Tema 1. Gobernanza de las TIC. Planificación, dirección y control de las TIC.

CoBIT («Control Objectives for Information and Related Technology»),

objetivos de control y métricas. Propuestas de proyectos (casos de negocio o
«business case»), análisis de costes/beneficios, análisis de riesgos, factores críticos

de éxito. ValIT.

1.1 GOBERNANZA DE LAS TIC. PLANIFICACIÓN, DIRECCIÓN Y CONTROL DE LAS

TIC.
Gobernanza de las TIC es la alineación de las Tecnologías de la información y la
comunicación (TIC) con la estrategia del negocio. Hereda las metas y la estrategia a todos los
departamentos de la empresa, y provee el mejor uso de la tecnología y de sus estructuras
organizacionales para alcanzarlas.
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de
liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y
extiende las estrategias y objetivos organizacionales

1.2 CoBIT («CONTROL OBJECTIVES FOR INFORMATION AND RELATED

TECHNOLOGY»), OBJETIVOS DE CONTROL Y MÉTRICAS.

Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe
implementar un sistema de control interno o un marco de trabajo. El marco de trabajo de control
COBIT contribuye a estas necesidades de la siguiente manera:
• Estableciendo un vínculo con los requerimientos del negocio
• Organizando las actividades de TI en un modelo de procesos generalmente aceptado
• Identificando los principales recursos de TI a ser utilizados
• Definiendo los objetivos de control gerenciales a ser considerados

La orientación al negocio que enfoca COBIT consiste en alinear las metas de negocio con
las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando
las responsabilidades asociadas de los dueños de los procesos de negocio y de TI.
El enfoque hacia procesos de COBIT se ilustra con un modelo de procesos, el cual subdivide
TI en 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y
monitorear, ofreciendo una visión de punta a punta de la TI. Los conceptos de arquitectura
empresarial ayudan a identificar aquellos recursos esenciales para el éxito de los procesos, es decir,
aplicaciones, información, infraestructura y personas. COBIT da soporte al gobierno de TI al
brindar un marco de trabajo que garantiza que:
• TI está alineada con el negocio
• TI habilita al negocio y maximiza los beneficios
• Los recursos de TI se usan de manera responsable
• Los riesgos de TI se administran apropiadamente

La medición del desempeño es esencial para el gobierno de TI. Los objetivos de control de
TI de COBIT están organizados por proceso de TI; por lo tanto, el marco de trabajo brinda una
alineación clara entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI.
COSO (y marcos de trabajo compatibles similares) es generalmente aceptado como el marco
de trabajo de control interno para las empresas. COBIT es el marco de trabajo de control interno
generalmente aceptado para TI. Los productos COBIT se han organizado en tres niveles diseñados
para dar soporte a:
• Administración y consejos ejecutivos
• Administración del negocio y de TI
• Profesionales en Gobierno, aseguramiento, control y seguridad.

COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la

gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de
negocio, y comunicar ese nivel de control a los Interesados.

1.2.1 MARCO DE TRABAJO COBIT

El marco de trabajo COBIT se creó con las características principales de ser orientado a
negocios, orientado a procesos, basado en controles e impulsado por mediciones.

1.2.1.1 ORIENTADO AL NEGOCIO

La orientación a negocios es el tema principal de COBIT. Está diseñado para ser utilizado no
sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como
guía integral para la gerencia y para los dueños de los procesos de negocio.

1.2.1.2 ORIENTADO A PROCESOS

COBIT define las actividades de TI en un modelo genérico de procesos organizado en cuatro
dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte
y Monitorear y Evaluar. Los dominios se equiparan a las áreas tradicionales de TI de planear,
construir, ejecutar y monitorear. También brinda un marco de trabajo para la medición y monitoreo
del desempeño de TI, comunicándose con los proveedores de servicios e integrando las mejores
prácticas de administración.

PLANEAR Y ORGANIZAR (PO)

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en
que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la
realización de la visión estratégica requiere ser planeada, comunicada y administrada desde
diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una
estructura tecnológica apropiada.

ADQUIRIR E IMPLEMENTAR (AI)

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas,
desarrolladas o adquiridas así como implementadas e integradas en los procesos del negocio.

ENTREGAR Y DAR SOPORTE (DS)

Este dominio cubre la entrega en sí de los servicios requeridos, lo que incluye la prestación
del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los
usuarios, la administración de los datos y de las instalaciones operativas.

MONITOREAR Y EVALUAR (ME)

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su
calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administración del
desempeño, el monitoreo del control interno, el cumplimiento regulatorio y la aplicación del
gobierno.

A lo largo de estos cuatro dominios, COBIT ha identificado 34 procesos de TI generalmente

usados. COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar
que se completan las actividades y responsabilidades; sin embargo, no es necesario que apliquen
todas, y, aun más, se pueden combinar como se necesite por cada empresa. Para cada uno de estos
34 procesos tiene un enlace a las metas de negocio y TI que soporta. Información de cómo se
pueden medir las metas, también se proporcionan cuáles son sus actividades clave y entregables
principales, y quién es el responsable de ellas.

1.2.1.3 BASADO EN CONTROLES

 COBIT define objetivos de control para los 34 procesos, así como para el proceso general y
los controles de aplicación. Control se define como las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para brindar una seguridad razonable de que los objetivos de
negocio se alcanzarán, y los eventos no deseados serán prevenidos o detectados y corregidos.

Ya que los objetivos de control de TI de COBIT están organizados por procesos de TI, el
marco de trabajo brinda vínculos claros entre los requerimientos de gobierno de TI, los procesos de
TI y los controles de TI. Cada uno de los procesos de TI de COBIT tiene un objetivo de control de
alto nivel y varios objetivos de control detallados.
Los objetivos de control detallados se identifican por dos caracteres que representan el
dominio (PO, AI, DS y ME) más un número de proceso y un número de objetivo de control.
Además de los objetivos de control detallados, cada proceso COBIT tiene requerimientos de control
genéricos que se identifican con PCn, que significa Control de Proceso número. Se deben tomar
como un todo junto con los objetivos de control del proceso para tener una visión completa de los
requerimientos de control.

PC1 Metas y Objetivos del Proceso

Definir y comunicar procesos, metas y objetivos específicos, medibles, accionables, reales,
orientados a resultado y en tiempo (SMARRT) para la ejecución efectiva de cada proceso de TI,
asegurando que están enlazados a las metas de negocio y se soportan por métricas adecuadas.
PC2 Propiedad del Proceso
Asignar un dueño para cada proceso de TI, y definir claramente los roles y responsabilidades
del dueño del proceso.
PC3 Proceso Repetible
Diseñar y establecer cada proceso clave de TI de tal manera que sea repetible y
consecuentemente produzca los resultados esperados. Proveer una secuencia lógica pero flexible y
escalable de actividades que lleve a los resultados deseados y que sea lo suficientemente ágil para
manejar las excepciones y emergencias. Usar procesos consistentes, cuando sea posible, y ajustarlos
sólo cuando no se pueda evitar.
PC4 Roles y Responsabilidades
Definir las actividades clave y entregables finales del proceso. Asignar y comunicar roles y
responsabilidades no ambiguas para la ejecución efectiva y eficiente de las actividades clave y su
documentación, así como la rendición de cuentas para los entregables finales del proceso.
PC5 Políticas, Planes y Procedimientos
 Definir y comunicar cómo todas las políticas, planes y procedimientos que dirigen los
procesos de TI están documentados, revisados, mantenidos, aprobados, almacenados, comunicados
y usados para el entrenamiento. Asignar responsabilidades para cada una de estas actividades y, en
momentos oportunos, revisar si se ejecutan correctamente. Asegurar que las políticas, planes y
procedimientos son accesibles, correctos, entendidos y actualizados
PC6 Desempeño del Proceso
Identificar un conjunto de métricas que proporcionen visión de las salidas y el desempeño
del proceso. Establecer objetivos que se reflejen en las metas del proceso y los indicadores de
desempeño de tal manera que permitan el logro de las metas de los procesos.

1.2.1.4 IMPULSADO POR LA MEDICIÓN

Las empresas deben medir dónde se encuentran y dónde se requieren mejoras, e
implementar un juego de herramientas gerenciales para monitorear esta mejora. COBIT atiende
estos temas a través de:
•Modelos de madurez que facilitan la evaluación por medio de benchmarking y la
identificación de las mejoras necesarias en la capacidad
•Metas y mediciones de desempeño para los procesos de TI, que demuestran cómo los
procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para medir el
desempeño de los procesos internos basados en los principios de un marcador de puntuación
balanceado (balanced scorecard)
•Metas de actividades para facilitar el desempeño efectivo de los procesos

El modelo de madurez para la administración y el control de los procesos de TI se basa en

un método de evaluación de la organización, de tal forma que se pueda evaluar a sí misma desde un
nivel de no-existente (0) hasta un nivel de optimizado (5). Este enfoque se deriva del modelo de
madurez que el Software Engineering Institute definió para la madurez de la capacidad del
desarrollo de software. Los niveles de madurez están diseñados como perfiles de procesos de TI que
una empresa reconocería como descripciones de estados posibles actuales y futuros. Con los
modelos de madurez de COBIT, a diferencia de la aproximación del CMM original de SEI, no hay
intención de medir los niveles de forma precisa o probar a certificar que un nivel se ha conseguido
con exactitud. Una evaluación de la madurez de COBIT resultara en un perfil donde las condiciones
relevantes a diferentes niveles de madurez se han conseguido.

1.2.3 MEDICIÓN DEL DESEMPEÑO

Las métricas y las metas se definen en COBIT a tres niveles:
 •Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio
usaría para medir a TI)
•Metas y métricas de procesos que definen lo que el proceso de TI debe generar para dar
soporte a los objetivos de TI (cómo sería medido el dueño del proceso de TI)
•Métricas de desempeño de los procesos (miden qué tan bien se desempeña el proceso para
indicar si es probable alcanzar las metas).

1.3 PROPUESTAS DE PROYECTOS (CASOS DE NEGOCIO O «BUSINESS CASE»),

ANÁLISIS DE COSTOS/BENEFICIOS, ANÁLISIS DE RIESGOS, FACTORES CRÍTICOS
DE ÉXITO. VALIT.
La iniciativa Val IT, en la que se incluyen investigaciones, publicaciones y servicios de
soporte, tiene como objetivo ayudar a la gerencia a garantizar que las organizaciones logren un
valor óptimo de las inversiones de negocio posibilitadas por TI a un coste económico, y con un
nivel conocido y aceptable de riesgo. Val IT proporciona guías, procesos y prácticas de soporte para
ayudar al consejo y a la dirección ejecutiva a comprender y desempeñar sus roles relacionados con
dichas inversiones. Aunque es aplicable a todas las decisiones inversoras, Val IT está dirigido
principalmente a las inversiones de negocio posibilitadas por TI: inversiones de negocio
importantes en el mantenimiento, crecimiento o transformación del negocio con un componente
crítico de TI, donde TI es un medio para conseguir un fin, siendo el fin el de contribuir al proceso
de creación de valor en la empresa. En concreto, Val IT se centra en la decisión de invertir
(¿estamos haciendo lo correcto?) y en la realización de beneficios (¿estamos obteniendo
beneficios?). COBIT, el estándar generalmente aceptado a nivel internacional para el control sobre
TI, se centra específicamente en la ejecución (¿lo estamos haciendo correctamente, y lo estamos
logrando bien?).

La aplicación eficaz de los principios, procesos y prácticas contenidas en Val IT permitirá a

las organizaciones:
 Aumentar el conocimiento y transparencia de los costes, riesgos y beneficios, dando como
resultado unas decisiones de gestión mucho mejor informadas
 Aumentar la probabilidad de seleccionar inversiones que tienen el potencial de generar la
mayor rentabilidad
 Aumentar la probabilidad de éxito al ejecutar las inversiones elegidas de modo que logren o
sobrepasen su rentabilidad potencial
 Reducir costes no haciendo cosas que no deben hacerse y tomando rápidamente medidas
correctivas o terminando inversiones que no están cumpliendo su potencial esperado
  Reducir el riesgo de fracaso, especialmente el fracaso de alto impacto
 Reducir sorpresas en relación con el coste y entrega de TI, y de esa forma aumentar el valor
del negocio, reducir costes innecesarios y aumentar el nivel global de confianza en TI

Las inversiones de negocio posibilitadas por TI, cuando se gestionan bien dentro de un
marco de gobierno efectivo, suponen para las organizaciones unas oportunidades importantes para
crear valor. Sin un gobierno efectivo y una buena gestión, las inversiones de negocio posibilitadas
por TI generan una oportunidad igualmente importante para destruir valor.
Implica una selección acertada de las inversiones y su gestión como activo o servicio
durante todo su ciclo de vida. En COBIT, se establece un marco global para la gestión y entrega de
servicios de alta calidad basados en la tecnología de información. Se fijan mejores prácticas para los
medios de contribuir al proceso de creación de valor. En Val IT ahora se añaden las mejores
prácticas para el fin, proporcionando así los medios para medir, monitorizar y optimizar de forma
inequívoca el rendimiento, tanto financiero como no financiero, de la inversión en TI.
Val IT complementa a COBIT desde el punto de vista financiero y de negocio, y ayudará a
todos aquellos con un interés en la entrega de valor a partir de TI.

1.3.2.1 PRINCIPIOS DE VAL IT

Los principios de Val IT son:
 Las inversiones posibilitadas por TI se gestionarán como cartera de inversiones.
 Las inversiones posibilitadas por TI incluirán el alcance total de actividades que son
necesarias para lograr el valor de negocio.
 Las inversiones posibilitadas por TI se gestionarán a lo largo de su ciclo de vida
económico completo.
 En las prácticas de entrega de valor, se reconocerá que existen distintas categorías de
inversión cuya evaluación y gestión será diferente.
 En las prácticas de entrega de valor, se definirán y monitorizarán las métricas claves y se
responderá rápidamente a cualquier cambio o desviación.
 Las prácticas de entrega de valor implicarán a todos los socios y se asignará la
responsabilidad correspondiente para la entrega de capacidades y la realización de
beneficios del negocio.
 Se hará un monitoreo, evaluación y mejora continua de las prácticas de entrega de valor.

1.3.2.2 PROCESOS DE VAL IT

 •Gobierno de Valor (VG) El gobierno de valor tiene como objetivo optimizar el valor de las
inversiones posibilitadas por TI de una organización:
•Gestión de Cartera (PM) La gestión de cartera tiene como objetivo asegurar que la cartera
global de inversiones posibilitadas por TI de una organización esté alineada con los objetivos
estratégicos de la misma
•Gestión de Inversiones (IM) La gestión de inversiones tiene como objetivo asegurar que los
programas individuales de inversiones posibilitadas por TI entreguen un valor óptimo a un coste
económico y con un nivel conocido y aceptable de riesgo.

En Val IT, se facilitan guías para maximizar la calidad de los casos de negocio, poniendo especial
énfasis en la definición de indicadores claves, tanto financieros (valor neto actual, tasa interna de
rentabilidad y período de recuperación) como no financieros, y en la evaluación y valoración global
del riesgo de pérdidas. El caso de negocio no es un documento puntual y estático, sino una
herramienta operativa que hay que actualizar continuamente para reflejar la realidad actual y para
dar soporte al proceso de gestión de cartera.

1.3.3 VAL IT. EL CASO DE NEGOCIO

El caso de negocio es una de las herramientas más valiosas disponibles para la dirección,
para guiarle en la creación de valor de negocio. Los casos de negocio se basan en las expectativas
de los sucesos futuros y tienen que dar respuesta a los “Cuatro Interrogatorios”
 ¿Estamos haciendo lo correcto?
 ¿Lo estamos haciendo correctamente?
 ¿Lo estamos logrando bien?
 ¿Estamos obteniendo los beneficios?

El proceso de desarrollo del caso de negocio debe describir cómo se van a medir los
resultados del negocio, así como el pleno alcance de las iniciativas necesarias para lograr los
resultados esperados. Entre estas iniciativas, se debe incluir cualquier cambio necesario en la
naturaleza del negocio de la empresa, los procesos de negocio, las habilidades y competencias
personales, la tecnología impulsora y la estructura organizacional. En el caso de negocio, se
identifica la naturaleza de la contribución de cada iniciativa, cómo se va a medir dicha contribución,
y todas las suposiciones claves. En el caso de negocio, se deben establecer también las métricas o
indicadores similares para el monitoreo de la validez de dichas suposiciones. También es necesario
identificar y documentar los riesgos principales, tanto para la realización con éxito de las iniciativas
individuales como para la consecución de los resultados deseados, junto con las acciones de
mitigación. La decisión de proceder o no con una inversión posibilitada por TI se toma primero a
nivel de programa individual por parte del promotor del negocio, determinando si el caso de
negocio es lo suficientemente sólido para su evaluación a nivel de cartera. A nivel de cartera, se
valora el valor relativo del programa frente a otros programas activos y candidatos.

1.3.3.2 ESTRUCTURA DEL CASO DE NEGOCIO

El desarrollo del caso de negocio consiste en ocho pasos:
Paso 1 - Elaboración de la Hoja de Datos
La hoja de datos del caso de negocio contiene todos los datos necesarios para el análisis de
la alineación estratégica, los beneficios financieros y no financieros, y los riesgos del programa.
Para cada partida, a efectos de las etapas de elaboración, implementación, operación y retiro, se
recogen los datos de los escenarios de caso mejor / caso peor, según corresponda, para la inversión
posibilitada por TI.

Paso 2 - Análisis de Alineación

El análisis de alineación constituye un método para garantizar la utilización efectiva y
eficiente de recursos escasos

Paso 3 - Análisis Financiero Basado en el Incremento de ‘Cash Flows’ Descontados

Un objetivo clave de la elaboración de un caso de negocio es el de expresar los beneficios en
términos financieros, y se debe intentar en la medida de lo razonablemente posible.

Paso 4 - Análisis de Beneficios no Financieros

Aunque un objetivo clave de la elaboración de un caso de negocio es el de expresar los
beneficios en términos financieros y se debe intentar en la medida de lo razonablemente posible, no
se debe pasar por alto los beneficios no financieros. De hecho, en el sector público y en
organizaciones sin ánimo de lucro, muchos de los resultados de negocio deseados son de carácter no
financiero.

Paso 5 - Análisis de Riesgo

Los programas no son iguales en lo que se refiere a la probabilidad de que entreguen el valor
de negocio esperado o la probabilidad de que cumplan con los objetivos de coste y plazo. Dos
programas con el mismo nivel de alineación estratégica y valor financiero previsto pueden tener
características de riesgo muy diferentes.
Paso 6 - Optimización del Riesgo y Rendimiento
La decisión de proceder o no con una inversión posibilitada por TI la toma primero el
promotor del negocio a nivel de programa individual, determinando si el caso de negocio es lo
suficientemente sólido para su valoración a nivel de cartera. A nivel de cartera, se contrasta el valor
relativo del programa con los programas activos y candidatos.

Paso 7 - Documentar el Caso de Negocio

La categoría de la inversión, sus dimensiones, el impacto de su fracaso y su posición en el
ciclo de vida económico, son factores que permiten determinar los componentes del caso de
negocio a los que hay que prestar mayor atención, así como el nivel de detalle necesario.

Paso 8 - Mantener el Caso de Negocio

Un caso de negocio no es más que una fotografía en un momento dado. Debe ser actualizada
continuamente durante todo el ciclo de vida económico de una inversión y aprovechada para dar
soporte a la implementación y ejecución de un programa, incluyendo la realización de beneficios.
Tema 2. Gestión estratégica de las TIC. Herramientas de planificación y control:
cuadros de mando integral (“balanced scorecards”), mapas estratégicos, gestión
del conocimiento e innovación.

2.1 HERRAMIENTAS DE PLANIFICACIÓN Y CONTROL: CUADROS DE MANDO

INTEGRAL (“BALANCED SCORECARDS”)
El Cuadro de Mando Integral es una herramienta de Gestión Estratégica cuya
implementación puede ayudar a una empresa a clarificar sus objetivos a largo plazo, comunicarlos a
toda la empresa y traducirlos en acciones concretas.
El Cuadro de Mando Integral, o Balance ScoreCard (BSC), desarrollado por Kaplan y
Norton, permite transmitir las estrategias definidas por una organización de una manera clara y
eficiente a todos los integrantes de la misma, y a la vez, poder traducir dichas estrategias en
objetivos, indicadores y acciones concretas.
Las estrategias definidas por las máximas autoridades de la empresa se basan en muchos
factores, como el análisis de la posición de la empresa en el mercado, los recursos con los que
cuenta, los objetivos a corto y largo plazo y la visión de futuro basado en la intuición del
empresario.
El Cuadro de Mando Integral plantea que primero se deben definir las estrategias, es decir, a
dónde se quiere llegar y cómo se va a medir el éxito de las mismas. Luego se plantean los objetivos
intermedios y, por último, cómo se van a alcanzar.
Más o menos automatizados, todas tienen sus medios, compuestos por reportes de ventas, de
producción, balances contables, etc. Este conjunto de informes y reportes se llama “Sistemas de
Medición de Performance”.
El valor agregado del Cuadro de Mando Integral es que los sistemas de medición de
performance están asociados de forma coherente a la estrategia general definida por la dirección de
la empresa.
La visión y la estrategia general de la empresa se ordenan mediante el Cuadro de Mando
Integral alrededor de cuatro perspectivas básicas: finanzas, clientes, procesos internos, y aprendizaje
y crecimiento:
• La perspectiva finanzas se enfoca en producir mejores ganancias para los accionistas o
dueños de las organizaciones.
• La perspectiva clientes incluye aquellos objetivos estratégicos que tienen en cuenta la
satisfacción del cliente.
 • La perspectiva procesos internos se refiere a mejorar los procesos internos en cuanto a la
cadena de valor. Cualquier mejora en este aspecto tiene un impacto en las perspectivas de clientes y
finanzas.
• La perspectiva de aprendizaje y crecimiento incluye aquellos aspectos relacionados con los
recursos humanos necesarios para poder implementar las mejoras en el resto de las perspectivas.

La combinación de las cuatro perspectivas en un sistema integrado compondrán el Cuadro de

Mando Integral. Concluyendo, el Cuadro de Mando Integral sirve para comunicar la visión y la
estrategia de la organización, transformándola en acciones concretas.

2.1.2 DISEÑO DEL CUADRO DE MANDO INTEGRAL

La siguiente es la enumeración de las etapas a seguir en el diseño del Cuadro de Mando Integral:
 ANÁLISIS DE LA SITUACIÓN ACTUAL. Es la etapa inicial del programa, que implica
ver dónde está ubicada la empresa y dónde se quiere llegar. Suele incluir un análisis DAFO
(Debilidades, Amenazas Fortalezas y Oportunidades), un análisis de mercado, un análisis
económico-financiero de los últimos 6 meses y un análisis de capacidad operativa, que
indique los recursos materiales, de infraestructura y humanos con los que cuenta la empresa.
Este análisis será la base del compromiso de inicio y de la definición de la misión y visión
de la organización. La misión de la organización es el propósito de la misma, es decir, la
razón de ser de la empresa. La visión es el objetivo hacia dónde apuntan todas las acciones
que se desarrollarán, es decir, a dónde se quiere llegar.
 DESARROLLO DE LA ESTRATEGIA GENERAL DE NEGOCIO. Una vez definidas
la misión y la visión de la organización, hay que definir la estrategia general de negocio, es
decir, los objetivos a largo plazo, entre 3 y 5 años. La estrategia consiste en definir de qué
forma se va a alcanzar la visión. Pueden utilizarse muchas herramientas, entre ellas la matriz
DAFO de estrategias combinadas.
 DESCOMPOSICIÓN EN OBJETIVOS. Una vez definida la estrategia global, hay que
definir los objetivos más detallados y a corto plazo. Estos objetivos deben estar distribuidos
en las cuatro perspectivas: finanzas, clientes, procesos internos, y aprendizaje y crecimiento.
Para cada una de las perspectivas existen ciertos objetivos comunes a la mayoría de
empresas, y otros más específicos, que dependen de la situación de la empresa y del giro de
negocio específico de la misma. En cuanto a los temas estratégicos para la perspectiva
finanzas, hay que tratar de mejorar el valor financiero de las acciones de la empresa y del
Retorno de la Inversión (ROI). En cuanto a los temas estratégicos para la perspectiva
clientes, hay que tener en cuenta los siguientes aspectos: participación de mercado, retención
 de clientes, adquisición de clientes, satisfacción del cliente y rentabilidad del cliente. Las
estrategias relacionadas con la perspectiva de procesos internos se definen en función de la
cadena de valor del producto. La cadena de valor de los procesos internos de una empresa
está relacionada con el ciclo de vida del producto y se descompone en tres etapas: procesos
de innovación, procesos operativos y procesos de servicio post-venta. Estos procesos
abarcan desde que se detecta la necesidad del cliente hasta que las necesidades del cliente
quedan satisfechas. En los procesos de innovación, las estrategias van dirigidas a la forma en
que la organización maneja los costos y las inversiones en investigación básica,
investigación aplicada, desarrollo del producto y marketing. En los procesos operativos, se
trata de mejorar las tareas que van desde producir, fabricar un producto o estandarización en
la metodología para prestar un servicio, hasta la distribución o entrega de los servicios. En
los procesos posventa se centran en los servicios y productos que se ofrezcan al cliente tras
la venta, tales como garantías, políticas de devolución, etc. En cuanto a los temas
estratégicos para la perspectiva de aprendizaje y crecimiento, si queremos implementar
cambios en la manera de hacer las cosas, nuestro personal debería estar motivado para
realizar los cambios y capacitado para ejecutar las tareas de forma apropiada. Además, hay
que contar con los recursos materiales necesarios para efectuar las tareas indicadas. Dichos
recursos incluyen, por ejemplo, los sistemas informáticos adecuados, las herramientas, los
uniformes, etcétera. No podemos pretender clientes satisfechos si primero no tenemos
empleados satisfechos.
 CREACIÓN DEL MAPA ESTRATÉGICO DE LA ORGANIZACIÓN. Una vez
definidos los objetivos y las estrategias a largo plazo, dentro de cada una de las perspectivas,
hay que analizar cómo cada uno de esos objetivos va encadenándose y afectándose entre sí.
Para la creación del mapa estratégico hay que ir relacionando los objetivos, utilizando
conexiones lógicas (si…entonces) en las perspectivas correspondientes a cada uno de ellos.
Dichas relaciones se utilizarán para determinar los indicadores y métricas que informarán
cuando una estrategia ha tenido éxito o no.
 DEFINICIÓN DE LAS MÉTRICAS DE PERFORMANCE. Tras crear el mapa
estratégico, donde podremos observar cómo se relacionan cada uno de los objetivos, hay que
analizar cuáles serán las métricas o indicadores clave, que permitirán conocer en qué medida
se está alcanzando cada objetivo.
 IDENTIFICACIÓN Y DISEÑO DE NUEVAS INICIATIVAS. Consiste en definir cuáles
van a ser las iniciativas y actividades a desarrollar para poder implementar nuestra
estrategia. Cada una de las iniciativas estará unida a un conjunto de métricas o medidas que
 permitirán conocer su evolución. Dichas iniciativas deben ser comprendidas como un medio
para alcanzar los objetivos estratégicos y no un fin en sí mismas.

2.1.3 IMPLEMENTACIÓN DEL CUADRO DE MANDO INTEGRAL

Entre los factores de riesgo que pueden poner en peligro el éxito de un programa de Cuadro de
Mando Integral, se encuentran:
• Falta de compromiso de la Dirección.
• Falta de continuidad: el Cuadro de Mando Integral debe ser un programa de largo plazo,
realizando los ajustes periódicos necesarios.
• Sistema de comunicación deficiente.
• Definiciones débiles al definir los indicadores.
• Problemas en la escalabilidad: cuando la empresa tiene cierta envergadura, se implementa
el Cuadro de Mando Integral en ciertas unidades de negocio, escogidas por su importancia,
y luego se extiende a toda la organización. A medida que se vayan agregando más áreas al
Cuadro de Mando Integral, será más complicado mantener la integridad de la información
y su actualización.

Existen una serie de estándares acerca de qué debe poseer un sistema para poder implementar un
Cuadro de Mando Integral, elaborados por la Balanced Scorecard Collaborative Inc, una
organización fundada por los creadores de este concepto (Kaplan y Norton). Los requerimientos
funcionales básicos especificados en el estándar se dividen en cuatro secciones: diseño del Cuadro
de Mando Integral; capacitación estratégica y comunicación; explotación del negocio; y feedback y
aprendizaje.
• Diseño del Cuadro de Mando Integral: la aplicación debe permitir el desarrollo de todas las
etapas del diseño del Cuadro de Mando Integral.
• Capacitación estratégica y comunicación: uno de los objetivos del Cuadro de Mando
Integral es facilitar la comprensión de las estrategias de la compañía mediante la
comunicación y la capacitación, por lo que se debe mantener la documentación de las
definiciones de objetivos, medidas, metas e iniciativas alineadas con las estrategias.
• Explotación del negocio: las iniciativas o programas de acción son la aplicación concreta
para cumplir las metas planteadas, y por tanto los objetivos estratégicos. Una herramienta
que cumpla los estándares del Cuadro de Mando Integral debe permitir relacionar las
iniciativas con los objetivos estratégicos.
 • Feedback y aprendizaje: una herramienta de Cuadro de Mando Integral efectiva debe
facilitar el análisis de las medidas a controlar, mediante una interfaz que muestre tanto
valores numéricos como indicadores gráficos.

Existen otros factores que debemos tener en:

• Envergadura de la empresa.
• Alcance de las capacidades funcionales e integración con otros sistemas.

La implementación o automatización del Cuadro de Mando Integral debe afrontarse como un

proyecto más de sistemas. Como tal, es conveniente aplicar alguna metodología de ingeniería de
software que permita:
• Determinar el alcance y objetivos.
• Analizar la factibilidad y alternativas de solución.
• Estimar correctamente la duración del proyecto.
• Facilitar el mantenimiento y los cambios en la definición.
• Permitir la reutilización y conjunción entre el resto de sistemas.
• Mejorar la calidad, reducir costos y mejorar el aprovechamiento de recursos.

2.2 MAPAS ESTRATÉGICOS 

El mapa estratégico es el primer paso para la implementación de la metodología de Balanced

Scorecard. ¿Qué es y para qué sirve?

El mapa se construye en función de lo que la organización piensa hoy con respecto al futuro.
Los mapas estratégicos son una representación visual de la estrategia de una organización. Estos
mapas se diseñan bajo una arquitectura específica de causa y efecto, y sirven para ilustrar cómo
interactúan las cuatro perspectivas del Balanced Scorecard.

El mapa estratégico del BSC proporciona un marco para ilustrar de qué modo la estrategia
vincula los activos intangibles con los procesos de creación de valor.
 La perspectiva financiera describe los resultados tangibles de la estrategia en términos
financieros. Los indicadores clave para evaluar el éxito o fracaso de la estrategia son la
rentabilidad de la inversión (ROI), el valor para los accionistas, el crecimiento de los
ingresos y el costo por unidad.
  La perspectiva del cliente, por su parte, define la propuesta de valor para los "clientes
target". Si los clientes valoran la calidad constante y la entrega puntual, entonces, las
habilidades, los sistemas y los procesos de desarrollo de nuevos productos y servicios de
gran funcionalidad adquieren gran valor. La alineación de acciones y capacidades con la
propuesta de valor para el cliente es el núcleo de la ejecución de la estrategia.
 La perspectiva de procesos internos identifica los pocos procesos críticos que se espera
tengan el mayor impacto sobre la estrategia.
 La perspectiva de aprendizaje y crecimiento identifica los activos intangibles más
importantes para la estrategia. Se centran en las tareas, los sistemas y el tipo de ambiente
requeridos para apoyar los procesos internos de creación de valor.

En síntesis, el mapa estratégico proporciona el marco visual para integrar todos los objetivos
de la empresa. Por último, el mapa identifica las capacidades específicas relacionadas con los
activos intangibles de la organización (capital humano, de información y organizacional) para
obtener un desempeño excepcional

2.2.1 PLAN ESTRATÉGICO

El plan estratégico es una actividad administrativa que tiene como objetivo conducir el rumbo de la
organización para conseguir su sostenibilidad, produciendo respuestas consistentes a las tres
cuestiones fundamentales: ¿Dónde estamos? ¿Adónde queremos llegar? ¿Cómo vamos a hacer para
alcanzarlo? El establecimiento de un plan estratégico envuelve seis actividades:
• definición de la misión corporativa
• análisis de la situación
• formulación de objetivos
• formulación de estrategias
• implementación
• seguimiento, aprendizaje y control.

La elaboración de un Plan Estratégico engloba varios tópicos fundamentales:

• Misión: razón de ser de la organización. Expresa las necesidades a las que atiende, de
que grupos de personas y con qué competencias básicas.
• Visión: definición de dónde y cómo la organización deberá estar en el futuro – en un
horizonte medio de tiempo de 5 años.
• Políticas: guías (con carácter de permanencia) para la toma de decisiones sobre
aspectos importantes de la organización.
 • Objetivos: resultados parciales – horizonte de 1 año – en dirección a lo propuesto por
la visión de futuro
• Estrategias: vías/caminos escogidos para la realización de la visión.
• Plan de acción: conjunto de programas y proyectos propuestos para el cumplimiento
de la misión y en dirección a la visión de futuro

2.3 GESTIÓN DEL CONOCIMIENTO E INNOVACIÓN.

La actual tercera fase productiva, o sea la sociedad del conocimiento, se caracteriza por la
importancia dada al conocimiento, la predominancia de los trabajadores intelectuales y donde el
trabajo repetitivo es delegado a las máquinas, robots y/o computadoras.

El conocimiento disponible en el interior de la organización así como la capacidad de incrementarlo

es el activo intangible de tal organización. El conocimiento tácito es aquel fruto de la experiencia y
adquirido en forma práctica, en tanto que el conocimiento explícito es aquel conocimiento ya
codificado disponible para su captación y/o transmisión en manuales o textos.

Para conservar y disponer los conocimientos de una organización se hace necesario contar
con formas versátiles de almacenamiento del conocimiento, en manuales de procedimientos, en un
proyecto de gestión del conocimiento e inteligencia competitiva, y mediante la gestión estratégica
de un sistema de información. Es decir, se hace necesario tener una memoria organizada de la
empresa para no perder ni el conocimiento tácito ni el explícito que la empresa fue acumulando en
el transcurso de los años.

2.3.1 LA INNOVACIÓN.

¿Qué es la Innovación?

Podemos definir la innovación como "el proceso en el cual a partir de una idea, invención o
reconocimiento de una necesidad se desarrolla un producto, técnica o servicio útil hasta que sea
comercialmente aceptado". De acuerdo con este concepto, innovar no es más que el proceso de
desarrollar algo nuevo o que no se conoce a partir del estudio metódico de una necesidad, ya sea
personal, grupal u organizacional, para lograr una meta económica.

Innovación y competitividad van de la mano, pero no necesariamente la una existe sin la

otra. Se puede ser competitivo sin ser innovador.

Según su aplicación podemos tener:

•Innovación de PRODUCTO: Comercialización de un producto tecnológicamente distinto o
mejorado;
•Innovación de PROCESO: Ocurre cuando hay un cambio significativo en la tecnología de
producción de un producto o servicio;

Según su grado de originalidad:

•Innovación RADICAL: aplicaciones nuevas de una tecnología o combinación original de
nuevas tecnologías.
•Innovación INCREMENTAL: mejoras que se realizan sobre un producto, servicio o método
existente.

La capacidad innovadora de la empresa dependerá de la forma en que organicemos y

gestionemos el proceso de innovación, el cual está constituido por cuatro etapas principales:
1. Generar ideas.
2. Seleccionar. Deberemos disponer de sistemas para evaluar la viabilidad de las ideas que
generemos.
3. Desarrollar.
4. Medir.
3.1 DIRECCIÓN Y GESTIÓN DE PROYECTOS
3.1.1 INTRODUCCIÓN
Un proyecto es una actividad temporal diseñada para producir un único producto, servicio o
resultado. Un proyecto tiene un comienzo y un final, así como un alcance y recursos definidos.
La gestión de proyectos es la aplicación de conocimientos, habilidades y técnicas para ejecutar los
proyectos de forma eficaz y eficiente. Es algo estratégico para las organizaciones, capacitándolas
para alinear los resultados del proyecto a los objetivos del negocio - y por ello siendo más
competitivas en sus mercados

3.1.2 PROJECT MANAGEMENT INSTITUTE (PMI®)

Es una organización sin ánimo de lucro que intenta mejorar la profesión de la gestión de proyectos
por medio de estándares y certificaciones reconocidas globalmente, comunidades colaborativas, un
extenso programa de investigación, y oportunidades de desarrollo profesional.
Estándares
Desde 1987, el PMI se ha encargado de investigar, recopilar y publicar las buenas prácticas
generalmente aceptadas para la mayoría de los proyectos. Desde entonces, ha publicado 14 libros de
estándares. Uno de ellos, el PMBOK,
Objetivos
Los principales objetivos del PMI son:
• Promover la dirección de proyectos.
• Compartir la experiencia internacional a través del desarrollo de profesionales.
• Desarrollar calidad en los recursos humanos para la dirección de proyectos.
• Compartir los conocimientos generalmente aceptados que dan reconocimiento a la profesión.
• Consolidar estándares internacionales
• Certificación de profesionales en proyectos reconocidos a nivel mundial.

3.1.3 EL PROJECT MANAGEMENT BODY OF KNOWLEDGE (PMBOK)

3.1.3.1 INTRODUCCIÓN
PMBOK describe los métodos y prácticas que deben tenerse en consideración desde que se inicia
un proyecto hasta su finalización. Laaplicación de éstas prácticas permitirá llevar una buena gestión
del proyecto y mantener un mayor control, permitiendo al Project Manager y a su equipo realizar
proyectos de manera eficaz y eficiente (en alcance, tiempo, coste), así como asegurar la calidad y
transparencia a lo largo de toda la vida del proyecto
La finalidad principal del PMBOK es identificar, concentrar y publicar las mejores prácticas
generalmente aceptadas en la Dirección de Proyectos.
La base del PMBOK son los procesos, los cuales se clasifican por
grupos y áreas de conocimiento:
• Grupos de Procesos: modo lógico de agrupar los procesos de dirección de proyectos, necesarios
para cualquier proyecto, con dependencias entre ellos, y que se llevan a cabo en la misma secuencia
siempre. Son los siguientes: Iniciación, Planificación, Ejecución, Seguimiento y Control y Cierre
• Áreas de Conocimiento: categoría que agrupa elementos en común. Son 9 en total: Integración,
Alcance, Tiempo, Coste, Calidad, Comunicaciones, Recursos Humanos, Riesgo y Adquisiciones

Fortalezas de PMBOK
 La guía de PMBOK es un marco y un estándar.
 Está orientada a procesos.
 Indica el conocimiento necesario para manejar el ciclo vital de cualquier proyecto, programa
y portafolio a través de sus procesos.
 Define para cada proceso sus entradas, herramientas, técnicas y reportes necesarios.
 Define un cuerpo de conocimiento en el que cualquier industria pueda construir las mejores
prácticas específicas para su área de aplicación

Limitaciones de PMBOK
 Complejo para los pequeños proyectos
 Tiene que ser adaptado a la industria del área de aplicación, tamaño
y alcance del proyecto, el tiempo y el presupuesto y las exigencias de calidad.

3.1.3.2 RELACIÓN DEL PMBOK CON LA DIRECCIÓN DE LAS TIC

BSC (Balanced Scorecard). Las mejores prácticas definidas en PMBOK sirven como referencia
para la administración de los proyectos que sustentan la consecución de la estrategia de la empresa,
la cual puede ser definida e implementada mediante Balanced Scorecard.
COBIT (Control Objectives for Information and Related Technology). Las mejores prácticas
definidas en PMBOK están relacionadas con los objetivos de control “Administrar las Inversiones
de TI”, “Administrar la Calidad”, “Evaluar y Administrar los Riesgos de TI”, “Administrar los
Proyectos de TI” y Aprovisionamiento de los Recursos de TI” definidos en COBIT.

3.1.3.3 ESTRUCTURA DEL PMBOK

La Guía del PMBOK está dividida en tres secciones:
Sección I. Marco Conceptual de la Dirección de Proyectos: Se definen los términos clave y
proporciona una descripción general del resto de la Guía del PMBOK. También se describe el Ciclo
de Vida del Proyecto y la Organización.

Sección II. Norma para la Dirección de Proyectos aplicable a

un proyecto: especifica todos los procesos de Dirección de Proyectos que usa el equipo del
proyecto para gestionar el mismo. Se describen los cinco Grupos de Procesos de Dirección de
Proyectos aplicables a cualquier proyecto y los procesos de Dirección de Proyectos que componen
tales grupos.
Un grupo de procesos es un modo lógico de agrupar los procesos de dirección de proyectos,
necesarios para cualquier proyecto, con dependencias entre ellos, y que se llevan a cabo en la
misma secuencia siempre. Son los siguientes:

Procesos de inicio: procesos mediante los cuales se lleva a cabo la autorización formal para
comenzar un proyecto.
Procesos de Planificación: procesos que deberán refinar los objetivos planteados durante el grupo
de procesos de Inicio y planificar el curso de acción requerido para lograr los objetivos y el alcance
pretendido del
proyecto.
Procesos de Ejecución: procesos que se despliegan para completar el trabajo definido en el grupo de
procesos de Planificación con objeto de cumplir los requisitos del proyecto.
Procesos de Control: procesos realizados para medir y supervisar regularmente el avance del
proyecto, de manera que se puedan identificar las variaciones respecto a la planificación y adoptar,
cuando sea necesario, las acciones correctivas, preventivas y de control de cambios para cumplir
con los objetivos del proyecto.
Procesos de Cierre: procesos requeridos para cerrar formalmente un proyecto y que aseguran que
las experiencias adquiridas durante el proyecto queden registradas y a disposición de futuros usos.

Sección III: Áreas de Conocimiento de la Dirección de Proyectos:

organiza los 42 procesos de Dirección de Proyectos en nueve Áreas de Conocimiento
Un equipo de proyectos funciona en 9 áreas de conocimiento con un número de procesos básicos
según el resumen que presentamos a continuación:

3.1 GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO

 La Gestión de la Integración del Proyecto incluye los procesos y actividades necesarios para
identificar, definir, combinar, unificar y coordinar los diversos procesos y actividades de la
dirección de proyectos dentro de los grupos de procesos de dirección de proyectos
Procesos de Gestión de la Integración del Proyecto :
Desarrollar el Acta de Constitución del Proyecto
Desarrollar el Plan para la Dirección del Proyecto
Dirigir y Gestionar la Ejecución del Proyecto
Monitorear y Controlar el Trabajo del Proyecto
Realizar el Control Integrado de Cambios
Cerrar Proyecto o Fase
3.1.1 El plan general del proyecto
El plan para la dirección del proyecto define la manera en que el proyecto se ejecuta, se
monitorea, se controla y se cierra. El contenido del plan para la dirección del proyecto variará en
función del área de aplicación y de la complejidad del proyecto. Se controla y se aprueba a
través del proceso Realizar el Control Integrado de Cambios

3.2 Gestión del alcance del proyecto

Describe los procesos necesarios para asegurarse que el proyecto incluya todo el trabajo
requerido para completarse satisfactoriamente. Se compone de los procesos:
Recopilar Requisitos: Se documentan las necesidades de losinteresados para convertirlas en
requisitos del proyecto.
Definir el Alcance. Se desarrolla el enunciado del alcance detallado
Crear la EDT
Verificar el Alcance. Conseguir la aceptación formal del alcance por parte del cliente
Controlar el Alcance. Gestionar los cambios en el alcance

La Declaración del Alcance del Proyecto detallada y aprobada, y su EDT asociada junto con el
diccionario de la EDT, constituyen la línea base del alcance del proyecto

3.3 Gestión del tiempo del proyecto

La Gestión del Tiempo del Proyecto incluye los procesos requeridos para administrar la
finalización del proyecto a tiempo. Procesos:
Definir las Actividades, Secuenciar las Actividades (dependencias), Estimar los Recursos de las
Actividades, Estimar la Duración de las Actividades, Desarrollar el Cronograma (Se analiza la
integración existente entre la secuencia, los recursos necesarios, las restricciones y la duraciónde
cada actividad.) y Controlar el Cronograma

3.3.1 TÉCNICAS DE PLANIFICACIÓN

Método de la Ruta Crítica: El método de la ruta crítica calcula las fechas teóricas de inicio y
finalización tempranas y tardías para cada una de las actividades, sin tener en cuenta las
limitaciones de recursos
Método de la Cadena Crítica: Consiste en modificar el cronograma del proyecto teniendo en cuenta
la restricción de recursos.
Nivelación de recursos: Se modifica la programación del proyecto para mejorar la eficiencia en
cuanto a asignación de recursos.
Análisis “que pasa si”: Se realizan simulaciones de cómo cambiaría el cronograma del proyecto si
cambiásemos alguna de las variables que lo afectan
Aplicación de Adelantos y Retrasos: Los adelantos y retrasos son una técnica de refinamiento que
se aplica durante el análisis de la red para desarrollar un cronograma viable.
Compresión del cronograma: Consiste en acortar el cronograma del proyecto sin modificar el
alcance. Dos de las técnicas más utilizadas son:
• Compresión (Intensificación o Crashing) : se agregan más recursos al proyecto para acortar la
duración. Por lo general, esta técnica implicará mayores costos.
• Ejecución rápida (fast-tracking) : se realizan actividades enparalelo para acelerar el proyecto,
agregando riesgos al mismo

3.4 Gestión de los costos del proyecto

La Gestión de los Costos del Proyecto incluye los procesos involucrados en estimar, presupuestar y
controlar los costos de modo que se complete el proyecto dentro del presupuesto aprobado.
Procesos:
Estimar los Costos, Determinar el Presupuesto, Controlar los Costos
Los procesos de Gestión de los Costos del Proyecto, así como sus herramientas y técnicas
asociadas, se seleccionan generalmente durante la definición del ciclo de vida del proyecto y se
documentan en el plan de gestión de costos. Por ejemplo, el plan de gestión de costos puede
establecer lo siguiente:
Nivel de exactitud, Unidades de medida, Enlaces con los procedimientos de la organización
(mediante cuentas de control), Umbrales de control, Reglas para la medición del desempeño,
Formatos de los informes, Descripciones de los procesos
Toda esta información se incluye en el plan de gestión de costos, que es un componente del plan
para la dirección del proyecto
3.4.1 Presupuestos
Herramientas y Técnicas : Suma de Costos, Análisis de Reserva, Juicio de Expertos, Relaciones
Históricas, Conciliación del Límite del Financiamiento

3.5 Gestión de la calidad del proyecto

La Gestión de la Calidad del Proyecto incluye los procesos y actividades de la organización
ejecutante que determinan responsabilidades, objetivos y políticas de calidad a fin de que el
proyecto satisfaga las necesidades por la cuales fue emprendido
Procesos:
Planificar la Calidad . Qué normas son relevantes y cómo se van a satisfacer
Realizar el Aseguramiento de Calidad : Se utilizan los procesos necesarios para cumplir con los
requisitos del proyecto.
Realizar el Control de Calidad: Se supervisa que el proyecto esté dentro de los límites pre-
establecidos.
La gestión moderna de la calidad complementa la dirección de proyectos. Ambas disciplinas
reconocen la importancia de: La satisfacción del cliente, La prevención antes que la inspección,
La mejora continua, La responsabilidad de la dirección

3.5.1 El plan de calidad. El plan de gestión de calidad describe cómo el equipo de dirección
del proyecto implementará la política de calidad de la organización ejecutante. Es un componente o
un plan subsidiario del plan para la dirección del proyecto

3.6 Gestión de los recursos humanos del proyecto

La Gestión de los Recursos Humanos del Proyecto incluye los procesos que organizan, gestionan y
conducen el equipo del proyecto. Procesos:
Desarrollar el Plan de Recursos Humanos (definir roles y responsabilidades), Adquirir el
Equipo del Proyecto, Desarrollar el Equipo del Proyecto (mejorar competencias y habilidades),
Gestionar el Equipo del Proyecto (monitorear el desempeño y resolver conflictos)
Dirigir y liderar el equipo del proyecto también incluye, entre otros aspectos: Influenciar el equipo
del proyecto, Comportamiento profesional y ético
Capacidades del jefe de proyecto:: Liderazgo, Influencia, Toma de decisiones eficaz

3.7 GESTIÓN DE LAS COMUNICACIONES DEL PROYECTO

Describe los procesos relacionados con la generación, distribución, almacenamiento y destino final
de la información del proyecto en tiempo y forma. Se compone de los procesos:
• Identificar a los Interesados: Se identifica a todas las personas u organizaciones que de alguna
manera se verán afectadas por el proyecto.
• Planificar las Comunicaciones: Se determinan cuáles serán las necesidades de información del
proyecto.
• Distribuir la Información: Se coloca la información a disposición de los interesados.
• Gestionar las Expectativas de los Interesados: Se satisfacen los requisitos de los interesados y se
resuelven los conflictos entre los recursos humanos.
• Informar el Desempeño: Se comunica el estado de avance del proyecto.

Hay que tener en cuenta las diferentes dimensiones de la comunicación (externa, interna, oral,
escrita, formal, informal, vertical, horizontal). La mayoría de las habilidades de comunicación son
comunes a la dirección de proyectos

3.8 Gestión de los riesgos del proyecto

La Gestión de los Riesgos del Proyecto incluye los procesos relacionados con llevar a cabo la
planificación de la gestión, la identificación, el análisis, la planificación de respuesta a los riesgos,
así como su monitoreo y control en un proyecto. Procesos:
Planificar la Gestión de Riesgos, Identificar los Riesgos, Realizar el Análisis Cualitativo de
Riesgos, Realizar el Análisis Cuantitativo de Riesgos, Planificar la Respuesta a los Riesgos,
Monitorear y Controlar los Riesgos

Contingencias. Los eventos que disparan la respuesta para contingencias, tales como no cumplir
con hitos intermedios u obtener una prioridad más alta con un proveedor, deben definirse y
rastrearse

3.9 Gestión de las adquisiciones del proyecto

La Gestión de las Adquisiciones del Proyecto incluye los procesos de compra o adquisición de los
productos, servicios o resultados que es necesario obtener fuera del equipo del proyecto.Procesos:
Planificar las Adquisiciones: Se documentan las decisiones de compra para el proyecto,
especificando cómo hacerlo e identificando a los posibles vendedores.
Efectuar las Adquisiciones: Se obtienen las respuestas de los vendedores, seleccionando los
más ventajosos para el proyecto y adjudicando los contratos.
 Administrar las Adquisiciones: Se gestionan las relaciones de adquisiciones, se monitoriza
la ejecución de los contratos, y se efectúan cambios y correcciones según sea necesario.
Cerrar las Adquisiciones: Se completa cada adquisición para el proyecto.

Es responsabilidad del equipo de dirección del proyecto asegurar que todas las adquisiciones
satisfacen las necesidades específicas del proyecto, a la vez que se respetan las políticas de la
organización en materia de adquisiciones.
Tema 4. Sistemas de Gestión de Calidad. Normalización y certificación. EFQM.
Serie ISO 9000.

4.1 NORMALIZACIÓN Y CERTIFICACIÓN.

Consiste en la elaboración, difusión y aplicación de normas. Las normas son documentos
técnicos con las siguientes características:
• Contienen especificaciones técnicas de aplicación voluntaria.
• Son elaborados por consenso de las partes interesadas:
• Están basados en los resultados de la experiencia y el desarrollo tecnológico.
• Son aprobados por un Organismo Nacional/Regional/Internacional de Normalización
reconocido.
• Están disponibles al público.

¿Qué ventajas ofrece la normalización?

a) Para los consumidores:
5. Establece niveles de calidad y seguridad de los productos y servicios.
6. Informa de las características del producto.
7. Facilita la comparación entre diferentes ofertas.
b) Para los fabricantes:
• Racionaliza variedades y tipos de productos.
• Disminuye el volumen de existencias en almacén y los costes de producción.
• Mejora la gestión y el diseño.
• Simplifica la gestión de compras.
c) Para la Administración:
• Simplifica la elaboración de textos legales.
• Establece políticas de calidad, medioambientales y de seguridad.

Los documentos normativos pueden ser de diferentes tipos dependiendo del organismo que
los haya elaborado. En la clasificación tradicional de normas se distingue entre:
• Normas nacionales. Son elaboradas, sometidas a un período de información pública y
sancionadas por un organismo reconocido legalmente para desarrollar actividades de
normalización en un ámbito nacional. En España estas normas son las normas UNE,
aprobadas por AENOR.
 • Normas regionales. Son elaboradas en el marco de un organismo de normalización regional,
normalmente de ámbito continental, que agrupa a un determinado número de Organismos
Nacionales de Normalización. Las más conocidas, aunque no las únicas, son las normas
europeas elaboradas por los Organismos Europeos de Normalización (CEN, CENELEC,
ETSI), y preparadas con la participación de representantes acreditados de todos los países
miembros. AENOR es el organismo nacional de normalización español miembro de CEN y
CENELEC.
• Normas internacionales. Tienen características similares a las normas regionales en cuanto
a su elaboración, pero se distinguen de ellas en que su ámbito es mundial. Las más
representativas por su campo de actividad son las normas CEI/IEC (Comité Electrotécnico
Internacional) para el área eléctrica, las UIT/ITU (Unión Internacional de
Telecomunicaciones) para el sector de las telecomunicaciones y las normas ISO
(Organización Internacional de Normalización) para el resto. AENOR es el organismo
nacional de normalización español miembro de ISO y CEI.

La elaboración de una norma UNE, incluida la adopción de normas europeas, se lleva a cabo
en el seno de los Comités Técnicos de Normalización (CTN) a través de las siguientes fases:
• Trabajos preliminares;
• Elaboración del proyecto de norma;
• Información pública en el BOE; cualquier persona, física o jurídica, pueda remitir las
observaciones al mismo que estime oportunas;
• Elaboración de la propuesta de norma;
• Registro, edición y difusión de la norma UNE; publicación de la norma UNE por AENOR,
notificación a BOE, promoción y comercialización, a través de los servicios comerciales de
AENOR.

4.1.2 CERTIFICACIÓN.

La Organización Internacional de Normalización (ISO), define certificación como "atestación por

tercera parte relativa a productos, procesos, sistemas o personas", entendiéndose por atestación la
autorización y emisión de una declaración en la que se demuestra que se cumplen los requisitos
especificados

Las entidades de certificación, son aquellas organizaciones privadas, que tienen como función
evaluar la conformidad y certificar el cumplimiento de una norma de referencia, ya sea del
producto, del servicio o del sistema de gestión de una organización. En particular, son las
responsables de la auditoría realizada a las organizaciones interesadas en obtener una certificación
de su sistema de gestión de la calidad, su sistema de gestión ambiental, etc. Estas entidades deben
ser independientes de la organización que auditan, y no haber realizado otros trabajos para ella,
como por ejemplo, consultoría para implementar el sistema que certifican. Las Entidades de
Certificación son a su vez, evaluadas por Entidades Nacionales de Acreditación, a fin de disponer
de un reconocimiento de su capacidad para realizar su función como entidad evaluadora de la
conformidad. Las Entidades de Acreditación son las responsables de reconocer la capacidad de
evaluar la conformidad y emitir certificados e informes, de los organismos evaluadores de la
conformidad: entidades de certificación, laboratorios de ensayo, laboratorios de calibración,
entidades de inspección, etc. De este modo, cada país dispone de una infraestructura de la calidad,
conformada por un organismo nacional de normalización, y una entidad nacional de acreditación.

El proceso para certificarse suele ser el siguiente:

1. presentar una solicitud formal a la entidad de certificación,

2. después de aceptada la solicitud, estudio por parte de la certificadora de la documentación de
su sistema,

3. Realización de la auditoria de certificación.

4. Redacción del informe de auditoria, donde se indican las desviaciones detectadas.

5. La organización corrige las desviaciones detectadas y presenta la solución de las mismas a

la certificadora.

6. Concesión del certificado por parte de la certificadora.

7. Una vez otorgada la certificación, la certificadora realizará auditorias de seguimiento.

4.2 EFQM. MODELO EFQM DE EXCELENCIA

El Modelo EFQM de Excelencia es un instrumento práctico que ayuda a las organizaciones
a establecer un sistema de gestión apropiado, midiendo en qué punto se encuentran dentro del
camino hacia la excelencia, identificando posibles carencias de la organización y definiendo
acciones de mejora.
 EFQM (European Foundation for Quality Management o Fundación Europea para la
Gestión de la Calidad) es la propietaria del Modelo de Excelencia EFQM y es la encargada de
actualizarla con las buenas prácticas que se están llevando en las organizaciones punteras en el tema
de la Excelencia en Gestión.

El Modelo EFQM de Excelencia es un marco de trabajo no-prescriptivo que tiene nueve

criterios. Cinco de estos son “Agentes Facilitadores” (Lo que la organización hace. Incluye 24
subcriterios) y cuatro son “Resultados” (Lo que la organización logra. Incluye 8 subcriterios). Total:
9 CRITERIOS, 32 subcriterios y 298 áreas a contemplar.
 CRITERIO 1: LIDERAZGO: Cómo los líderes desarrollan y facilitan la consecución de la
misión y la visión, desarrollan los valores necesarios para alcanzar el éxito a largo plazo e
implantan todo ello en la organización mediante las acciones y los comportamientos
adecuados, estando implicados personalmente en asegurar que el sistema de gestión de la
organización se desarrolla e implanta.
 CRITERIO 2: POLÍTICA Y ESTRATEGIA: Cómo implanta la organización su misión y
visión mediante una estrategia claramente centrada en todos los grupos de interés y apoyada
por políticas, planes, objetivos, metas y procesos relevantes.
 CRITERIO 3: PERSONAS: Cómo gestiona, desarrolla y aprovecha la organización el
conocimiento y todo el potencial de las personas que la componen, tanto a nivel individual,
como de equipos o de la organización en su conjunto; y cómo planifica estas actividades en
apoyo de su política y estrategia y del eficaz funcionamiento de sus procesos
 CRITERIO 4: ALIANZAS Y RECURSOS: Cómo planifica y gestiona la organización sus
alianzas externas y sus recursos internos en apoyo de su política y estrategia y del eficaz
funcionamiento de sus procesos
 CRITERIO 5: PROCESOS: Cómo diseña, gestiona y mejora la organización sus procesos
para apoyar su política y estrategia y para satisfacer plenamente, generando cada vez mayor
valor, a sus clientes y otros grupos de interés.
 CRITERIO 6: RESULTADOS EN LOS CLIENTES: Qué logros está alcanzando la
organización en relación con sus clientes externos.
 CRITERIO 7: RESULTADOS EN LAS PERSONAS: Qué logros está alcanzando la
organización en relación con las personas que la integran.
 CRITERIO 8: RESULTADOS EN LA SOCIEDAD: Qué logros está alcanzando la
organización en la sociedad.
 CRITERIO 9: RESULTADOS CLAVE: Qué logros está alcanzando la organización con
relación al rendimiento planificado
 La implementación de programas de administración de la calidad total permiten alcanzar
beneficios significativos, tales como un incremento en la eficiencia, reducción de costos y mayor
satisfacción de los clientes, todo orientado a mejorar los resultados de los negocios.

Las entidades que hayan implantado el modelo pueden voluntariamente presentar su candidatura
para obtener un Reconocimiento a la Excelencia en la Gestión basado en la aplicación del Modelo
EFQM de Excelencia.

4.3 SERIE ISO 9000.

El Estándar ISO 9000 está basado en un modelo de gestión por procesos que desarrolla los
ochos principios de la Gestión de la Calidad. La Norma Internacional UNE EN ISO 9001 es un
método de trabajo considerado como el mejor para la mejora de la calidad y de la satisfacción del
cliente. Es genérica y aplicable a cualquier organización independientemente de su actividad,
tamaño o su carácter público o privado. Los 8 principios de gestión de la calidad son:
 Enfoque al cliente, que da como resultado el cumplimiento de los requisitos de los
clientes y el esforzarse por excederlos.
 Liderazgo, que apunta a crear un ambiente interno en el cual las personas estén
totalmente involucradas.
 Participación del personal, que es la esencia de una organización.
 Enfoque basado en procesos, que da como resultado la mejora de la eficiencia para
obtener los resultados deseados.
 Enfoque de sistema para la gestión, que conduce a la mejora de la eficiencia y la eficacia
por medio de la identificación, comprensión y gestión de procesos interrelacionados.
 Mejora continua, que se convierte en un objetivo permanente de la organización.
 Enfoque basado en hechos para la toma de decisiones, basado en el análisis de datos e
información, y
 Relaciones mutuamente beneficiosas con el proveedor, basado en la comprensión de su
interdependencia

Para el manejo de una organización la ISO 9000 estimula la adopción del enfoque basado en
procesos con cinco áreas principales:
 Sistema de gestión de la calidad
  Responsabilidad de la alta dirección
 Gestión de recursos
 Realización del producto
 Medición, análisis y mejora

El modelo de proceso usado en las normas es completamente compatible con el bien conocido ciclo
de PLANEAR, HACER, VERIFICAR, ACTUAR.

4.3.1 LA FAMILIA DE NORMAS ISO 9000

 ISO 9000, Quality management systems – Fundamentals and vocabulary (Sistemas de

gestión de la calidad – Fundamentos y vocabulario). Esta norma describe los conceptos
de un Sistema de Gestión de la Calidad (SGC) y define los términos fundamentales
usados en la familia ISO 9000. La norma también incluye los ocho principios de gestión
de la calidad que se usaron para desarrollar la ISO 9001 y la ISO 9004.

 ISO 9001, Quality management systems - Requirements (Sistemas de gestión de la

calidad – Requisitos) Esta norma especifica los requisitos de un SGC, con el cual una
organización busca evaluar y demostrar su capacidad para suministrar productos que
cumplan con los requisitos de los clientes y los reglamentarios aplicables, y con ello
aumentar la satisfacción de sus clientes.

 ISO 9004, Quality management systems – Guidelines for performance improvements

(Sistemas de gestión de la calidad – Directrices para la mejora del desempeño). Esta
norma proporciona orientación para la mejora continua y se puede usar para mejorar el
desempeño de una organización. Mientras que la ISO 9001 busca brindar aseguramiento
de la calidad a los procesos de fabricación de productos y aumentar la satisfacción de los
clientes, la ISO 9004 asume una perspectiva más amplia de gestión de la calidad y brinda
orientación para mejoras futuras.

La ISO 9001 y la ISO 9004 son un “par coherente” de normas que relacionan la gestión de la
calidad moderna con los procesos y actividades de una organización, y enfatizan en la promoción de
la mejora continua y el logro de la satisfacción del cliente. La ISO 9001, que se enfoca en la
eficacia del sistema de gestión de la calidad para cumplir los requisitos de los clientes, se usa para
certificación o para acuerdos contractuales entre proveedores y compradores. Por otra lado, la ISO
9004 proporciona orientación sobre la mejora continua del desempeño de una organización. La ISO
9001 se enfoca en la “eficacia”, es decir, en hacer lo correcto, mientras que la ISO 9004 hace
énfasis tanto en la “eficacia” como en la “eficiencia”, es decir, en hacer lo correcto en la forma
correcta.

Las normas para “sectores específicos” son normas de gestión de la calidad destinadas a una
industria específica, un producto o grupo de productos. Por ejemplo, existen normas de gestión de
calidad específicas para la industria automotriz, la industria de alimentos y bebidas, la industria de
las telecomunicaciones, etc.
.
La implementación de un sistema de gestión de calidad genera beneficios internos y externos. Los
beneficios internos para la compañía incluyen:
• Enfoque mejorado hacia el cliente y orientación a los procesos dentro de la compañía.
• Mayor compromiso de la dirección y mejor toma de decisiones.
• Condiciones de trabajo mejoradas para los empleados.
• Aumento de motivación por parte de los empleados.
• La mejora continua del sistema de gestión de la calidad.
Los beneficiones externos incluyen:
• Los clientes tienen más confianza en que recibirán productos conformes a sus requisitos,
lo que a su vez redunda en mayor satisfacción del cliente.
• Una mejor imagen de la compañía.

4.3.2 IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD

Un sistema de gestión de calidad con base en ISO 9000 se puede implementar en los
siguientes pasos:
1. Evaluar la necesidad y metas de la organización con relación a la implementación de un
SGC: La necesidad puede surgir a raíz de quejas repetidas de los clientes, devoluciones
frecuentes por garantía, entregas retrasadas, altos inventarios, retrasos frecuentes en la
producción, un alto nivel de reprocesos, o rechazo de productos o servicios. Otro objetivo de
implementar un SGC puede ser la demostración de conformidad por medio de una
certificación por tercera parte, que puede solicitar un cliente importante, o que se exige para
poder registrarse como proveedor de grandes compañías, por ejemplo, los fabricantes de
equipos originales (OEMs).
2. Obtener información acerca de la familia ISO 9000. Las personas identificadas para iniciar
el desarrollo de un SGC con base en ISO 9000 necesitan entender los requisitos de la ISO
9001, conjuntamente con la ISO 9000 y la ISO 9004.
3. Nombrar un consultor, si es necesario: Si dentro de la organización no se cuenta con la
competencia adecuada para desarrollar un SGC, se puede contratar un consultor.
4. Toma de conciencia y formación: Hay que despertar la conciencia acerca de los requisitos
del SGC entre todo el personal que realiza actividades que afectan a la calidad. También
planificar y brindar formación específica acerca de cómo desarrollar Manuales de Calidad,
cómo planear un SGC, cómo identificar e implementar procesos de mejora, y sobre cómo
auditar la conformidad con el SGC.
5. Realizar el análisis de brechas (Gap analysis): Se deben evaluar las brechas que hay entre el
sistema de gestión de la calidad existente y los requisitos de ISO 9001 para el SGC, y
preparar la manera de resolverlas.
6. Procesos de realización del producto: determinar cómo los requisitos se aplican o no al SGC
de la compañía.
7. Suministrar el personal: Decidir sobre las responsabilidades de las personas que estarán
involucradas en el desarrollo y documentación de su SGC.
8. Elaborar el cronograma: En este plan incluir las actividades por realizar, los recursos
requeridos, las responsabilidades y un tiempo de finalización estimado para cada actividad.
9. Redactar el Manual de Calidad: En el Manual de Calidad:
• Incluir cómo se aplica el SGC a los productos, procesos, instalaciones y departamentos de
la organización.
• Describir la interacción entre los procesos del SGC y
• Redactar la política de calidad y los objetivos de calidad de la organización.
10. Realización de auditorías internas Durante la fase de implementación, de aproximadamente
tres a seis meses después de que se escribe la documentación, los auditores entrenados
deberían llevar a cabo una o dos auditorías internas que cubran todas las actividades del
SGC, y la dirección involucrada debería emprender sin demora las acciones correctivas
sobre los hallazgos de auditoría.
11. Solicitud de la certificación Una vez finalizado satisfactoriamente el Paso 10, y si la
compañía decide obtener una certificación por tercera parte, se puede solicitar una
certificación a un organismo de certificación acreditado.
12. Realización de evaluaciones periódicas Después de la certificación, la organización debería
realizar periódicamente auditorías internas para revisar la eficacia del SGC y ver cómo se
puede “mejorar continuamente”.
5.1 La biblioteca de infraestructura TI (ITIL)
5.1.1. Introducción
En la actualidad la dependencia por las TI es un factor crítico en el desarrollo de las organizaciones.
Por ello es indispensable que existan estándares internacionales que orienten a las organizaciones
respecto a cómo es posible organizar y estructurar de la mejor manera y a los mejores costos, todos
los servicios de TI que giran entorno a la organización.
ITIL (Information Technology Infraestructure Library) considerado como un modelo que permite
adoptar “mejores prácticas” en las organizaciones, es el resultado de la unión de varias librerías
estandarizadas dedicadas a una práctica en particular dentro de la Gestión de Servicios de TI; ofrece
herramientas que facilitan la administración y optimización de las TI en las organizaciones. Su
propósito final es implementar buenas prácticas en la prestación de servicios de TI

5.1.2. ¿Qué es ITIL?

ITIL (Information Technology Infraestructure Library) se considera una colección de guías
especializadas en temas organizacionales enfocadas a la planeación, el suministro y soporte de
servicios de TI. Se reconoce como un estándar global que resume las mejores prácticas para el área
de la Gerencia de Servicios de TI
ITIL ofrece un marco de trabajo para las actividades del área de TI, proporcionando una descripción
de los roles, tareas, procedimientos y responsabilidades que pueden ser adaptados en organizaciones
de TI

5.1.3. Objetivos
- Promover la visión de IT como proveedor de servicios.
- Generar mejoras en la calidad del suministro de los servicios de TI.
- Fomentar la reducción de costos de los servicios de TI.
- Alinear la prestación de los servicios de TI con las necesidades actuales y futuras del negocio de
las organizaciones, además de mejorar la relación con los Clientes.
- Estandarizar los procesos que forman parte de la Gestión de Servicios de TI.
- Promover el uso de un lenguaje común por parte de las personas para mejorar la comunicación
dentro de las organizaciones.
- Servir de base para la certificación de las personas y de las organizaciones que desean adoptar este
estándar.
- Mejorar la eficiencia, aumentando la efectividad.
- Reducir los posibles riesgos que se pueden presentar.
ITIL centra sus esfuerzos en la satisfacción de los requerimientos organizacionales con la mejor
relación costo/beneficio, a través de la descripción de un enfoque sistémico y profesional de la
Gerencia de Servicios de TI
5.1.4 Estructura
El marco de trabajo de ITIL está conformado por cinco (5) elementos principales, los cuales
tienen directa relación entre sí, ya que el éxito de cada uno de ellos depende de su interacción y
coordinación con los demás.
Estos elementos son:
- The Business Perspective (La Perspectiva del Negocio)
- Managing Applications (Administración de Aplicaciones)
- Deliver IT Services (Entrega de Servicios de TI)
- Support IT Services (Soporte a los Servicios de TI)
- Manage the Infraestructure (Gestión de la Infraestructura)

Cada una de las publicaciones de ITIL se enfoca en documentar uno a uno los elementos del marco
de trabajo, se realiza una descripción general de lo que se requiere para estructurar la Gestión de
Servicios de TI y se definen los objetivos, las actividades, los roles, los flujos de comunicación
necesarios y las entradas y salidas de cada uno de los procesos que son indispensables en una
organización de TI.

En la ultima versión (V3) liberada en mayo de 2007, contempla cinco (5) volúmenes articulados,
los cuales principalmente se enfocan en el concepto y desarrollo del ciclo de vida del Servicio de
TI. Ese ciclo se inicia con una definición de la estrategia del servicio, luego se concentra en realizar
el diseño del servicio, posteriormente inicia un periodo de transición donde se busca realizar el
desarrollo y la implantación del
servicio, en seguida se realiza la operación del servicio y finalmente se concentra en proveer una
mejora continua del servicio, la cual está relacionada permanentemente con las demás etapas del
ciclo de vida.

LIBROS DE ITIL V3

Service Strategy.
Se encarga de asegurar que la estrategia del servicio sea definida, se mantenga y se
implemente; se introducen nuevos conceptos, tales como la consecución del valor, la definición del
mercado y el espacio de solución; se centra en el desarrollo de prácticas que permitan la toma de
decisiones, basado en la comprensión del servicio activo, las estructuras y los servicios de la
economía con el objetivo final de incrementar la vida económica de los servicios; busca obtener el
alineamiento entre las TI y el negocio, no como anteriormente se venía trabajando, donde solamente
las TI eran las
que debían adaptarse al negocio.

Service Design
Este libro se concentra en definir cómo se diseñará el servicio identificado previamente en la
estrategia, a través del desarrollo de planes que la conviertan en realidad; para el diseño de servicios
de TI adecuados e innovadores, es necesario establecer e implantar políticas de TI, arquitecturas y
alguna documentación pertinente. Dentro de los aspectos abordados en el nuevo proceso de Gestión
de Proveedores que forma parte del diseño del servicio, se encuentran el aprovechamiento de la
disponibilidad, la capacidad, la continuidad y administración del SLA, así como los conceptos de
garantía del servicio y utilidad, los cuales son considerados como aspecto fundamental por los
Clientes.

Service Transition
Se concentra en las acciones que intervienen una vez el servicio diseñado debe ponerse en
producción, enfocándose especialmente al papel que desempeña el Change Management y
explicando las prácticas existentes para un correcto Release Management, de una manera amplia y
con visión a largo plazo, permitiendo que se consideren todos los factores que participan, tales
como mecanismos de entrega, riesgos, beneficios y facilidad en la posterior operación continua del
servicio diseñado.

Service Operation
En este volumen se explican las actividades necesarias para garantizar
operatividad en el día a día. Específicamente se concentra en los libros de Service Support y Service
Delivery. A través de los conocimientos que se adquieren con la prestación real del servicio, puede
llegar a influir en la estrategia del servicio, el diseño, la transición y la mejora continua del servicio.

Continual Service Improvement

Este libro abarca la calidad del servicio en el contexto de mejora continua, además se centra
también en ofrecer mejora continua del servicio aún cuando este se encuentre cercano a ser retirado.
Uno de losmayores beneficios de este libro es que indica explícitamente las accionesque se deben
realizar para la revisión y mejora de los procesos
 5.1.5. Conclusiones
Las mejores prácticas de ITIL ofrecen un marco de trabajo que permite a las organizaciones mejorar
el nivel de calidad en los servicios de TI ofrecidos, es por esto que su adopción es un paso
fundamental y trascendental que debe ser tomado, ya que los beneficios que se van a obtener, no
solamente en el mediano sino en el largo plazo, van a permitir que se perciba una mejora continua a
nivel institucional

La adopción de un estándar como el de ITIL implica el desarrollo disciplinado de un proceso

enfocado en el ciclo de vida del servicio de TI, en el cual intervienen varios actores de la
organización, tanto internos como externos y donde el aporte y contribución de cada uno de ellos
con el cumplimiento de las políticas y actividades definidas para todos losprocesos, favorecen de
manera significativa el éxito de su implantación

5.2. Soporte al servicio. Entrega de Servicios

La Gestión de los Servicios de TI está conformada por dos grandes áreas: Entrega del Servicio
(Service Delivery) y Soporte al Servicio (Service Support)

5.2.1. Soporte al servicio

Es considerado como uno de los ejes principales de la Gestión del Servicio de TI; el contenido del
libro se centra en describir los procesos necesarios para mantener las operaciones funcionando en el
día a día. Se encarga de describir la manera en que los clientes y usuarios pueden acceder a los
servicios que les permitan apoyar el desarrollo de sus actividades diarias y las del negocio, así como
la forma en que dichos servicios deben ser soportados; además, se centra en todos los aspectos que
intervienen para garantizar que el servicio ofrecido a los usuarios sea un servicio continuo, que esté
disponible y que sea de calidad. Procesos:
Service Desk
Es el único punto de contacto entre el cliente y los usuarios con los proveedores de servicios de TI
para todo lo relacionado con el suministro de servicios de TI; también es el punto de partida
encargado de informar sobre los Incidentes y la toma de solicitudes de servicio realizadas por los
usuarios
Su obligación es mantener informados a los usuarios del servicio sobre los eventos, acciones y
oportunidades que pueden llegar a afectar de alguna manera la disponibilidad del servicio y por
consiguiente lacontinuidad en el suministro del servicio en el día a día. Todo lo anterior es posible a
través del registro, resolución y monitoreo de problemas.
Dentro del marco de trabajo de las mejores prácticas de ITIL, el Service Desk no fue concebido
como un proceso sino como una función por desarrollar dentro de la organización del servicio
De acuerdo con las mejores prácticas de ITIL, el Service Desk se clasifica en tres tipos: Call Center
(Centro de Llamadas), Help Desk (Mesa de Ayuda) y Service Desk (Centro de Soporte). por su
parte, el Help Desk esta categorizado en: Service Desk Local ( el servicio es ofrecido en diferentes
lugares), el Service Desk Central, (todos los requerimientos del servicio sean registrados en una
ubicación central) y el Service Desk Virtual cuya finalidad es ofrecer el servicio en cualquier parte
del mundo a través de la red, no importa su ubicación física

Configuration Management (Gestión de la Configuración)

Tiene por objetivo controlar los activos y elementos de configuración que forman parte de la
infraestructura de TI (CI’s). Las solicitudes de cambio sobre los CIs, se registran en una base de
datos creada para la Gestión de la Configuración denominada Configuration Management Database
(CMDB). En esta base de datos se encuentran registrados todos los datos de los CIs requeridos para
la prestación del servicio, desde su descripción e interconexión, hasta un nivel de detalle que
incluye la categoría, las relaciones, los atributos y los posibles estados en los cuales puede estar en
determinado momento; es necesario actualizar la CMDB cada vez que se realiza un cambio en la
infraestructura y dicho cambio esté
relacionado con la gestión de la configuración

Incident Management
El objetivo de este proceso es resolver cualquier incidente que genere una interrupción en la
prestación del servicio, restaurándolo nuevamente de la manera más rápida y efectiva posible; este
proceso no se detiene en encontrar, evaluar y analizar cuales fueron las causas que desencadenaron
la ocurrencia de dicho incidente, el cual generó una interrupción en el servicio, sino simplemente se
limita a solucionarlo
temporalmente y a restaurar el servicio de cualquier manera, lo que probablemente puede llegar a
generar nuevas interrupciones al servicio por el mismo incidente; los incidentes se reportan sobre
los CIs.
Una de las mayores contribuciones que se le atribuyen a las mejores prácticas de ITIL fue la
de establecer la diferencia que existe entre los incidentes y los problemas, donde se distingue entre
la restauración rápida del servicio (Incident Management) y la identificación y corrección total de la
causa que ocasionó el incidente (Problem Management). Algunas de las tareas a cargo de este
proceso tienen que ver con: identificación y documentación de todos los reportes que se hayan
realizado de los incidentes ocurridos, incluyendo informes e investigaciones; priorizar y categorizar
los reportes de los incidentes que se han generado; proporcionar un análisis inicial del incidente
ofreciendo un soporte de primer nivel; escalar, cuando sea necesario, la ejecución de soporte de
segundo y tercer nivel; cuando se encuentre en riesgo el cumplimiento en los SLAs, es necesario
incrementar la asignación de recursos que trabajan en la solución del incidente; resolver la situación
en el menor tiempo posible, restaurando el servicio; cerrar y documentar los incidentes ocurridos.

Problem Management
Este proceso se dedica a identificar las causas (origen) que ocasionan los problemas que se
presentan en la infraestructura de TI y su solución definitiva para evitar nuevas ocurrencias. cuando
existe un incidente que se repite más de una vez, es posible que posteriormente se pueda convertir
en un problema, aunque la idea es evitar que esto suceda siendoproactivos y previniendo nuevas
ocurrencias cuando sea posible; de ahíque se hable de la gestión de problemas proactiva
Como resultado de la identificación temprana de los incidentes, las acciones preventivas que se
recomienda realizar se traducen en la ejecución de cambios en los CIs interactuando de esta forma
con la Gestión de Cambios; este proceso también se relaciona con la Gestión de Incidentes

Change Management
Dentro de sus objetivos se encuentran: realizar una valoración de los cambios y garantizar que
pueden ejecutarse ocasionando el mínimo impacto en la prestación de los servicios de TI y en la
infraestructura actual o nueva, y asegurar de manera simultánea la trazabilidad de los cambios;
implementar los cambios autorizados y requeridos para el cumplimiento de los SLAs de manera
eficiente, efectiva, económica y oportuna; minimizar los cambios, evitando que se implementen
cambios no autorizado

Release Management
Este proceso está asociado con la correcta implantación de todas las versiones de los CIs requeridas
para la prestación de un SLA, proporcionando un marco de trabajo para la coordinación, el control y
la introducción física de un cambio; se encarga de llevar el control de todos los cambios y nuevas
versiones que se han generado como resultado de laimplementación de un cambio o de una nueva
adquisición (ej. Nuevo software instalado en una máquina)

5.2.2 Entrega de servicios

Considerado otro de los ejes fundamentales de la Gestión del Servicio de TI, el Service Delivery se
concentra en la gestión de los niveles del servicio, los niveles de seguridad requeridos, la viabilidad
financiera de los servicios, su capacidad, continuidad y disponibilidad, entre otros. Procesos:
Availability Management
Este proceso se encarga de garantizar que los servicios de TI puedan ser accedidos de una
manera confiable y se encuentren disponibles y funcionando correctamente cada vez que los
Clientes o usuarios así lo requieran, enmarcados en los SLAs que se hayan definido para la
prestación del servicio.
Capacity Management
El objetivo de este proceso es asegurar la existencia de cierta capacidad a nivel de
infraestructura de TI, la cual debe encontrarse disponible constantemente para satisfacer los
requerimientos del negocio a nivel del volumen de transacciones, el tiempo de proceso, el tiempo de
respuesta y ante todo contemplando su viabilidad cuantitativa y económica para no incurrir en
costos desproporcionados.
Financial Management for IT Services
Se concentra en realizar un adecuado manejo del recurso financiero (ingresos y gastos) asociado a
lo que implica la prestación de los servicios de TI, siempre enfocándose en el cumplimiento de los
SLAs definidos; determina cuál es el manejo financiero asociado para cada uno de los recursos que
participan en el suministro de un servicio, buscando mantener un balance permanente
IT Service Continuity Management
La función principal de este proceso es evitar que una grave e imprevista interrupción en el
servicio atente contra la continuidad del negocio, por lo que se concentra en la preparación y
planificación de las medidas que se deben tomar para recuperar el servicio en caso de que algún
desastre ocurra.
Service Level Management (SLM)
Se encarga de definir los servicios de TI ofrecidos, formalizándolos a través de Acuerdos de Niveles
de Servicio (SLA) y Acuerdos de Nivel Operativo (SLO); realiza una evaluación del impacto que
ocasionan los cambios sobre la calidad del servicio y los SLAs una vez estos cambios hayan sido
propuestos e implementados, asegurando de esta manera que cualquier impacto negativo sobre la
calidad en los servicios de TI sea relativamente bajo; también se encarga de la creación de planes y
emisión de informes respecto a la calidad del servicio que se está ofreciendo

5.3 ISO 20.000. Objetivos de la norma

5.3.1 ¿Qué es ISO 20.000?
ISO 20000 une los enfoques de ITIL y COBIT. ISO 20000 abre las puertas a las
organizaciones de TI para que puedan obtener por primera vez una certificación.
Aquellas organizaciones que aspiren a lograr una certificación según ISO 20000 deben cumplir los
requisitos formulados en la normativa ―UNEISO/IEC 20000, Parte 1: Especificaciones, en los que
se fijan los requisitos obligatorios que debe cumplir toda organización que desee una certificación
según esta normativa

Los requisitos centrales de la normativa ISO 20000 a una organización de TI son:

 El alineamiento de los procesos de TI según las normas de ISO 20000, que corresponden
esencialmente a las recomendaciones de la Gestión del Servicio de ITIL (en especial tras
la introducción de ITIL V3).
 El uso de un método de gestión en la organización de TI según las normas ISO 9001,
basado en los principios de la gestión de procesos y dirigido a una mejora continua de la
calidad.

La norma contiene asimismo dos partes más con carácter recomendatorio: UNE-ISO/IEC 20000,
Parte 1 (correspondencia entre la norma ISO/IEC 20000-1:2005 y la norma ISO 9001:2008) y Parte
2 (Código de buenas prácticas sobre la Gestión de Servicios de TI)
Un certificado ISO 20000 demuestra que una organización de TI:
 está orientada a las necesidades de los clientes,
 está en condiciones de prestar servicios que cumplen con los objetivos de calidad fijados,
 utiliza sus recursos de forma económica.
5.3.2 ISO 20.000 e ITIL
ISO 20000 fija requisitos a los procesos sin ocuparse de cómo deben ser conformados tales
procesos de forma concreta (ahí entra ITIL). La introducción de ITIL es por lo tanto la mejor forma
de prepararse para una certificación ISO 20000.
Obtener una certificación ISO 20000 es un proyecto laborioso. La condición más importante al
iniciar un proyecto así es determinar qué objetivo se persigue. Concretamente debe responderse a la
pregunta: ¿Cómo debe ser la organización de TI al final del proyecto?

5.4 Mapa de procesos ITIL

El Mapa de Procesos ITIL® V3 es un modelo de referencia íntegro de ITIL.
Contiene la descripción completa de forma gráfica de todos los procesos estándar en la Gestión de
Servicios de TI según ITIL V3
El Mapa de Procesos ITIL® V3 ha sido creado para organizaciones de TI y proveedores de
servicios de TI que:
8. tengan previsto introducir por primera vez, parcial o totalmente, la Gestión de Servicios de
TI según ITIL V3,
9. deseen revalorar los procesos ya introducidos de ITIL en base a ITIL V3
 10. quieran orientarse según ISO 20000 y/o se estén preparando para una certificación según
ISO 20000.

El Mapa de Procesos ITIL® V3 está organizado para prestar el apoyo óptimo en todos los pasos de
cualquier proyecto ITIL o ISO 20000, desde la primera planificación hasta una organización de TI
que funcione según losprincipios de las mejores prácticas. Su uso ofrece ventajas decisivas:
–Con el modelo de procesos de ITIL puede aclarar ITIL a todos los colaboradores de su
organización de TI de una forma muy efectiva y económica.
– Los modelos de procesos, claramente estructurados, y las guías complementarias sirven de hilo
conductor a la hora de incorporar su proyecto a la implementación de ITIL y llevarlo a cabo.
– El Mapa de Procesos es una documentación de procesos profesional con la que la gestión de TI
estará en la ventajosa situación de poder demostrar a los clientes que la organización de TI realiza
su labor de forma planificada, orientada al cliente y de calidad
Tema 6. Auditoría informática. Marco general. Metodología. Auditoría de los grandes
sistemas informáticos. Auditoría de la informática personal y las redes de área local.

6.1 Auditoría informática. Marco General.

Auditoría es un proceso sistemático de obtención y evaluación independiente de evidencias de
hechos y realidades, para testimoniar el grado de correspondencia entre unas afirmaciones
realizadas por alguien sobre tales hechos y realidades, y un conjunto de criterios convencionales,
comunicando los resultados a los destinatarios.

El método auditor se desglosa en tres fases y un epílogo: reconocimiento del problema, recolección
de la evidencia, evaluación de la evidencia,y formulación de un juicio profesional.

Las auditorías se pueden clasificar en:

o Auditorías de Cuentas.
o Auditorías Operativas.
o Auditorías de Cumplimiento.

La auditoría informática se puede considerar, generalmente, como un caso de auditoría operativa.

Dependiendo de quién sea el auditor, se puede distinguir entre auditoría interna y auditoría
externa.Sin embargo en ambos casos se exigen unos requisitos especiales de independencia al
auditor.

Auditoría Informática es aquella revisión independiente o auditoría que evalúa las operaciones de
los sistemas de información automatizados de un Ministerio, Organismo, Agencia o Ente
Público,para determinar si estos sistemas producen información cualitativamente caracterizada por
su fiabilidad, precisión, disponibilidad y seguridad; y si la forma en que esta información es
producida atiende a los principios de economía, eficacia y eficiencia.

Las clases de Auditorías en Informática son:

o Auditoría Informática de explotación.

o Auditoría Informática de desarrollo de proyectos, de sistemas.

o Auditoría Informática decomunicaciones y redes.
o Auditoría Informática de la seguridad.
6.2 Metodología
El método detrabajo del auditor pasa por lassiguientes etapas:
13. Definición de Alcance y Objetivos
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.A
los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones
de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser
auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos
generales y comunes de a toda auditoría Informática: La operatividad de los Sistemas y los
Controles Generales de Gestión Informática.
14. Estudio Inicial
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es
fundamental. Para realizar esto en auditor deberá fijarse en:
- La Organización:
1) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
2) Departamentos: El equipo auditor describirá brevemente las funciones de cada uno de
ellos.
3) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor
verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama.
- Entorno Operacional:
1) Arquitectura y configuración de Hardware y Software: Los auditores, en su estudio
inicial, deben tener en su poder la distribución e interconexión de los equipos.El auditor recabará
información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. El
inventario de software debe contener todos los productos lógicos del Sistema, desde el software
básico hasta los programas de utilidad adquiridos o desarrollados internamente.
2) Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán
del número, situación y características principales de las líneas, así como de los accesos a la red
pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa.
3) Aplicaciones de bases de datos y ficheros: El auditor recabará información de tamaño y
características de las Bases de Datos, clasificándolas en relación y jerarquías.
15. Determinación de recursos de la auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoría.Las cantidad, características y perfiles
del personal seleccionado dependen del volumen y la materia auditable La mayoría de los recursos
materiales son proporcionados por el cliente.
16. Elaboración del Plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen
un plan de trabajo. Decidido éste, se procede a la programación del mismo.El plan se elabora
teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la
elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no
solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
Una vez elaborado el Plan, se procede a la Programación de Actividades.
17. Actividades de la Auditoría Informática
Para completar las distintas actividades propias de la auditoría informática, el auditor puede
hacer uso de las siguientes técnicas y herramientas:
Técnicas de Trabajo:
- Análisis de la información recabada del auditado.
- Análisis de la información propia.
- Entrevistas.
- Simulación.
- Muestreos.
Herramientas:
- Cuestionario general inicial.
- Cuestionario Checklist.
- Estándares.
- Monitores.
- Simuladores (Generadores de datos).
- Paquetes de auditoría (Generadores de Programas).
- Matrices de riesgo.
18. Informe Final
La función de la auditoría se materializa exclusivamente por escrito. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final, que son elementos
de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en
el auditor.
6.3 AUDITORÍA DE LOS GRANDES SISTEMAS INFORMÁTICOS
 La auditoría de los S.I. habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de información.Además debe
evaluar todo (informática, organización de centros de información, hardware y software).Para hacer
una adecuada planificación de la auditoría de los S.I., hay que seguir una serie de pasos previos que
permitirán dimensionar el tamaño y características del organismo a auditar, sus sistemas,
organización y equipo.
6.3.1 REGULACIÓN INTERNACIONAL SOBRE AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
Las organizaciones más relevantes enla regulaciónde la auditoría informáticason:
A) ISACA-COBIT: ISACA es la asociación líder en Auditoría de Sistemas, con 23.000 miembros
en 100 países.ISACA propone la metodología COBIT, que es dirigido a auditores, administradores
y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la
eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el
cumplimiento de las leyes y regulaciones.
B) COSO: hace recomendaciones a los contables de gestión de cómo evaluar, informar e
implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de
las operaciones, la información financiera y el cumplimiento de las regulaciones.
C) AICPA-SAS:Da una guía a los auditores externos sobre el impacto del control interno en la
planificación y desarrollo de una auditoría de estados financieros de las empresas.
D) IFAC – NIA: La Federación Internacional de Contables IFAC emitió las Normas Internacionales
de Auditoría NIA 15 (Auditoría en Entornos Informatizados), NIA 16(Técnicas de Auditoría
Asistida por Computador) y 20 (efectos de un entorno informatizado en la evaluación de sistemas
de información contables) en 1991.
E) SAC: Ofrece una guía de estándares y controles para los auditores internos en el área de
auditoría de sistemas de información y tecnología.
F) MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y
el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían
adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados
G)EDP: Entidad de carácter educativo sobre estándares para la auditoría de los sistemas de
información.
LosobjetivosdelasNormasTécnicasdeAuditoríadeSistemasdeInformaciónydelrestodeestándares son
los de informar a los auditores del nivel mínimo de rendimiento aceptable para satisfacer las
responsabilidadesprofesionales,ydeinformaralaaltaDirecciónde las expectativas que de los
profesionales se deben tener.
6.4 AUDITORÍA DE LAS REDES DE ÁREA LOCAL.
Una Auditoría de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a
prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización
más eficiente y segura de la información. El primer paso para iniciar una gestión responsable de la
seguridad es identificar la estructura física (hardware, topología) y lógica (software, aplicaciones)
del sistema (sea un equipo, red, intranet, extranet), y hacerle un Análisis de Vulnerabilidad para
saber en qué grado de exposición nos encontramos; así, hecha esta "radiografía" de la red, se
procede a localizar sus carencias más críticas, para proponer una Estrategia de Saneamiento de los
mismos; un Plan de Contención ante posibles incidentes; y un Seguimiento Continuo del
desempeño del sistema de ahora en más.

6.5 AUDITORÍA DE LA INFORMÁTICA PERSONAL

Entre los distintos servicios de auditoría (interna, perimetral, test de intrusión, etc.) que se pueden
aplicar al ámbito de la Informática personal, destaca el Análisis forense como disciplina en auge
debido a la proliferación de ataques informáticos así como la exposición de los datos contenidos en
los archivos personales como consecuencia de la ‘necesidad’ de estar conectados a redes públicas
para el desempeño del trabajo o el ocio.

Son innumerables los medios de acceder a los dispositivos personales (desde ordenadores
personales a terminales móviles) y el riesgo de ser ‘espiado’ aumenta si no se toman unas medidas
mínimas de seguridad, como software anti-malware, actualización de parches de seguridad,
configuración del firewall, política de contraseñas, etc. Si estas medidas fallan, o bien se ha
explotado una nueva vulnerabilidad de la que todavía no hay constancia, nuestros equipos
personales pasan a estar controlados por terceros y toda la información en ellos contenida puede ser
utilizada de forma fraudulenta (cuentas bancarias, claves de servicios web, imágenes, videos,
correos personales, etc.)

Cuando hay sospecha de que nuestro equipo ha sido utilizado para llevar a cabo actividades ilícitas
(reenvío de spam en nuestro nombre, anexar nuestra máquina a una botnet para ejecutar ataques tipo
Denegación de Servicio, etc.) o bien ha dejado de funcionar al ser objeto de un ataque (por virus,
borrado de ficheros por un tercero, etc) deberemos obtener evidencias que certifiquen lo ocurrido.
La informática forense se ocupa de la investigación de acontecimientos sospechosos relacionados
con sistemas informáticos, el esclarecimiento de situaciones creadas y sus autores, a través de
laidentificación, preservación, análisis y presentación de evidencias digitales.

La informática forense se aplica allí donde se presume una actividad delictiva o cuando existen
sospechas de robo datos, espionaje industrial, sabotaje o delitos por el estilo

El objetivo de una investigación forense tras una agresión son en general las siguientes:
 reconocimiento de los métodos o los puntos débiles que posibilitaron la agresión
 determinación de los daños ocasionados
 identificación del autor
 aseguramiento de las evidencias
Tema 9.- Normativa en el ámbito de la propiedad intelectual. La protección jurídica de los
programas de ordenador. Tipos de licencias: Software de fuentes abiertas ( FLOSS )

9.1- NORMATIVA EN EL ÁMBITO DE LA PROPIEDAD INTELECTUAL.

Según la Organización Mundial de la Propiedad Intelectual, la propiedad intelectual (P.I.) tiene que
ver con las creaciones de la mente: las invenciones, las obras literarias y artísticas, los símbolos, los
nombres, las imágenes y los dibujos y modelos utilizados en el comercio.

La propiedad intelectual se divide en dos categorías: la propiedad industrial, que incluye las
invenciones, patentes, marcas, dibujos y modelos industriales e indicaciones geográficas de
procedencia; y el derecho de autor, que abarca las obras literarias y artísticas, tales como las
novelas, los poemas y las obras de teatro, las películas, las obras musicales, las obras de arte, tales
como los dibujos, pinturas, fotografías y esculturas, y los diseños arquitectónicos. Los derechos
relacionados con el derecho de autor son los derechos de los artistas intérpretes y ejecutantes sobre
sus interpretaciones y ejecuciones, los derechos de los productores de fonogramas sobre sus
grabaciones y los derechos de los organismos de radiodifusión sobre sus programas de radio y de
televisión

Por lo que respecta a los derechos que conforman la propiedad intelectual se distinguen los
derechos morales y los derechos patrimoniales:
 Derechos morales: reconocidos para los autores y para los artistas intérpretes o ejecutantes.
Estos derechos son irrenunciables e inalienables, acompañan al autor o al artista intérprete o
ejecutante durante toda su vida y a sus herederos o causahabientes al fallecimiento de
aquellos. Entre ellos destaca el derecho al reconocimiento de la condición de autor de la
obra o del reconocimiento del nombre del artista sobre sus interpretaciones o ejecuciones, y
el de exigir el respeto a la integridad de la obra o actuación y la no alteración de las mismas.
 Derechos de carácter patrimonial: Hay que distinguir entre:
o Derechos relacionados con la explotación de la obra o prestación protegida, que a su
vez se subdividen en derechos exclusivos y en derechos de remuneración: Los
derechos exclusivos son aquellos que permiten a su titular autorizar o prohibir los
actos de explotación de su obra o prestación protegida por el usuario, y a exigir de
este una retribución a cambio de la autorización que le conceda. Los derechos de
remuneración, a diferencia de los derechos exclusivos, no facultan a su titular a
autorizar o prohibir los actos de explotación de su obra o prestación protegida por el
 usuario, aunque si obligan a este al pago de una cantidad dineraria por los actos de
explotación que realice.
o Derechos compensatorios, como el derecho por copia privada que compensa los
derechos de propiedad intelectual dejados de percibir por razón de las
reproducciones de las obras o prestaciones protegidas para uso exclusivamente
privado del copista

9.1.1 Normativa Estatal

La propiedad intelectual es el conjunto de derechos que corresponden a los autores y a otros
titulares (artistas, productores, organismos de radiodifusión...) respecto de las obras y prestaciones
fruto de su creación. La ley nacional es la Ley de Propiedad Intelectual (LPI), cuyo Texto
Refundido fue aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril.

9.1.2 Normativa comunitaria:

1.-Directiva sobre derechos de alquiler y préstamo y otros derechos afines a los derechos de autor
en el ámbito de la propiedad intelectual. Esta Directiva, entre otros aspectos, reconoce el derecho de
autorizar o prohibir el alquiler y préstamo de originales y copias de obras protegidas.
2.-Directiva relativa a la armonización del plazo de protección del derecho de autor y de
determinados derechos afines.
3.-Directiva sobre la protección jurídica de las bases de datos.
4.-Directiva relativa a la armonización de determinados aspectos de los derechos de autor y
derechos afines en la sociedad de la información, que adecua el sistema de derechos de autor y
conexos al entorno digital.
5.-Directiva relativa a determinados aspectos jurídicos de los servicios de la sociedad de la
información, en particular el comercio electrónico

9.1.3 Normativa internacional:

1.-El Convenio de Berna, que protege las obras literarias y artísticas, datando su acta originaria de
1886, siendo España socio fundador del mismo.
2.-Tratado OMPI sobre Derecho de Autor, orientado a ofrecer la necesaria respuesta legislativa a los
problemas planteados por la tecnología digital, y particularmente por Internet.
3.-ISO 12083. Marcaje de documentos electrónicos

9.2.- PROTECCIÓN JURÍDICA DE PROGRAMAS DE ORDENADOR.

Desde el punto de vista de la normativa estatal se regula en el titulo VII del RD 1/1996, de 12 de
abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual
A los efectos de la Ley se entenderá por programa de ordenador toda secuencia de instrucciones o
indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para
realizar una función o una tarea o para obtener un resultado determinado, cualquiera que fuere su
forma de expresión y fijación. A los mismos efectos, la expresión programas de ordenador
comprenderá también su documentación preparatoria. La documentación técnica y los manuales de
uso de un programa gozarán de la misma protección que este Título dispensa a los programas de
ordenador.
El programa de ordenador será protegido únicamente si fuese original, en el sentido de ser una
creación intelectual propia de su autor.
La protección prevista se aplicará a cualquier forma de expresión de un programa de ordenador.
Asimismo, esta protección se extiende a cualesquiera versiones sucesivas del programa así como a
los programas derivados, salvo aquellas creadas con el fin de ocasionar efectos nocivos a un sistema
informático.
Cuando los programas de ordenador formen parte de una patente o un modelo de utilidad gozarán,
de la protección que pudiera corresponderles por aplicación del régimen jurídico de la propiedad
industrial.
No estarán protegidos mediante los derechos de autor las ideas y principios en los que se basan
cualquiera de los elementos de un programa de ordenador incluidos los que sirven de fundamento a
sus interfaces.

1.-Titularidad
Será considerado autor del programa de ordenador la persona o grupo de personas naturales que lo
hayan creado, o la persona jurídica que sea contemplada como titular de los derechos de autor en los
casos expresamente previstos por la ley. Cuando se trate de una obra colectiva tendrá la
consideración de autor, salvo pacto en contrario, la persona natural o jurídica que la edite y divulgue
bajo su nombre.
Los derechos de autor sobre un programa de ordenador que sea resultado unitario de la
colaboración entre varios autores serán propiedad común y corresponderán a todos éstos en la
proporción que determinen.
Cuando un trabajador asalariado cree un programa de ordenador, en el ejercicio de las funciones
que le han sido confiadas o siguiendo las instrucciones de su empresario, la titularidad de los
derechos de explotación correspondientes al programa de ordenador así creado, tanto el programa
fuente como el programa objeto, corresponderán, exclusivamente, al empresario, salvo pacto en
contrario.
La protección se concederá a todas las personas naturales y jurídicas que cumplan los requisitos
establecidos en la ley para la protección de los derechos de autor.

2.-Duración de la protección.
Cuando el autor sea una persona natural la duración de los derechos de explotación de un programa
de ordenador será 70 años después de la muerte. Cuando el autor sea una persona jurídica la
duración de los derechos a que se refiere el párrafo anterior será de setenta años, computados desde
el día 1 de enero del año siguiente al de la divulgación lícita del programa o al de su creación si no
se hubiera divulgado.

3.-Contenido de los derechos de explotación.

Los derechos exclusivos de la explotación de un programa de ordenador por parte de quien sea su
titular, incluirán el derecho de realizar o de autorizar:
a) La reproducción total o parcial, incluso para uso personal, de un programa de ordenador, por
cualquier medio y bajo cualquier forma, ya fuere permanente o transitoria. Cuando la carga,
presentación, ejecución, transmisión o almacenamiento de un programa necesiten tal reproducción
deberá disponerse de autorización para ello, que otorgará el titular del derecho.
b) La traducción, adaptación, arreglo o cualquier otra transformación de un programa de ordenador
y la reproducción de los resultados de tales actos, sin perjuicio de los derechos de la persona que
transforme el programa de ordenador.
c) Cualquier forma de distribución pública incluido el alquiler del programa de ordenador original o
de sus copias.
La primera venta en la Unión Europea de una copia de un programa por el titular de los derechos o
con su consentimiento, agotará el derecho de distribución de dicha copia, salvo el derecho de
controlar el subsiguiente alquiler del programa o de una copia del mismo.

4.-Límites a los derechos de explotación.

No necesitarán autorización del titular, salvo disposición contractual en contrario,
a) La reproducción o transformación de un programa de ordenador incluida la corrección de errores,
cuando dichos actos sean necesarios para la utilización del mismo por parte del usuario legítimo.
b) La realización de una copia de seguridad por parte de quien tiene derecho a utilizar el programa.
c) El usuario legítimo de la copia de un programa estará facultado para observar, estudiar o verificar
su funcionamiento, sin autorización previa del titular, con el fin de determinar las ideas y principios
implícitos en cualquier elemento del programa, siempre que lo haga durante cualquiera de las
operaciones de carga, visualización, ejecución, transmisión o almacenamiento del programa que
tiene derecho a hacer.

El autor, salvo pacto en contrario, no podrá oponerse a que el cesionario titular de derechos de
explotación realice o autorice la realización de versiones sucesivas de su programa ni de programas
derivados del mismo.
No será necesaria la autorización del titular del derecho cuando la reproducción del código y la
traducción de su forma sea indispensable para obtener la información necesaria para la
interoperabilidad de un programa creado de forma independiente con otros programas, siempre que
se cumplan los siguientes requisitos:
1.-Que tales actos sean realizados por el usuario legítimo o por cualquier otra persona
facultada para utilizar una copia del programa, o, en su nombre, por parte de una persona
debidamente autorizada.
2.-Que la información necesaria para conseguir la interoperabilidad no haya sido puesta
previamente y de manera fácil y rápida, a disposición de las personas a que se refiere el párrafo
anterior.
3.-Que dichos actos se limiten a aquellas partes del programa original que resulten
necesarias para conseguir la interoperabilidad.

5.-Protección registral.
Los derechos sobre los programas de ordenador, así como sobre sus sucesivas versiones y los
programas derivados, podrán ser objeto de inscripción en el Registro de la Propiedad Intelectual.

6.-Infracción de los derechos.

De acuerdo con la normativa vigente tendrán la consideración de infractores de los derechos de
autor quienes, sin autorización del titular de los mismos, realicen los actos siguientes:
a. La reproducción total o parcial, incluso para uso personal, de un programa de ordenador, por
cualquier medio y bajo cualquier forma, ya fuere permanente o transitoria.
b. La traducción, adaptación, arreglo o cualquier otra transformación de un programa de
ordenador y la reproducción de los resultados de tales actos.
c. Cualquier forma de distribución pública incluido el alquiler del programa de ordenador original
o de sus copias.

Además en particular, se considerarn infractores:

1.- Quienes pongan en circulación una o más copias de un programa de ordenador conociendo o
pudiendo presumir su naturaleza ilegítima.
2.-Quienes tengan con fines comerciales una o más copias de un programa de ordenador,
conociendo o pudiendo presumir su naturaleza ilegítima.
3.-Quienes pongan en circulación o tengan con fines comerciales cualquier instrumento cuyo único
uso sea facilitar la supresión o neutralización no autorizadas de cualquier dispositivo técnico
utilizado para proteger un programa de ordenador.

7.- Medidas de protección.

El titular de los derechos reconocidos sobre programas de ordenador:
1.- Podrá pedir el cese de la actividad ilícita, que podrá comprender, la suspensión de la
explotación o actividad infractora,
2.-La prohibición al infractor de reanudar la explotación o actividad infractora,
3.-La retirada del comercio de los ejemplares ilícitos y su destrucción,
4.-La retirada de los circuitos comerciales, la inutilización, y, en caso necesario, la destrucción de
los moldes, planchas, matrices, negativos y demás elementos materiales, equipos o instrumentos
destinados principalmente a la reproducción, a la creación o fabricación de ejemplares ilícitos,
5.-La remoción o el precinto de los aparatos utilizados en la comunicación pública no autorizada de
obras o prestaciones.
6.- La remoción o el precinto de los instrumentos utilizados para facilitar la supresión o la
neutralización no autorizadas de cualquier dispositivo técnico utilizado para proteger obras o
prestaciones aunque aquélla no fuera su único uso,
7.-La suspensión de los servicios prestados por intermediarios a terceros que se valgan de ellos para
infringir derechos de propiedad intelectual

9.3.-TIPOS DE LICENCIAS
Software Libre o Free Software es un software disponible para cualquiera que desee utilizarlo,
copiarlo y distribuirlo, ya sea en su forma original o con modificaciones. La posibilidad de
modificaciones implica que el código fuente está disponible. Si un programa es libre, puede ser
potencialmente incluido en un sistema operativo también libre. Es importante no confundir software
libre con software gratis, porque la libertad asociada al software libre de copiar, modificar y
redistribuir, no significa gratuidad. Existen programas gratuitos que no pueden ser modificados ni
redistribuidos.

Copyleft.
La mayoría de las licencias usadas en la publicación de software libre permite que los programas
sean modificados y redistribuidos. Estas prácticas están generalmente prohibidas por la legislación
internacional de copyright, que intenta impedir que alteraciones y copias sean efectuadas sin la
autorización del o los autores. Las licencias que acompañan al software libre hacen uso de la
legislación de copyright para impedir la utilización no autorizada, pero estas licencias definen clara
y explícitamente las condiciones bajo las cuales pueden realizarse copias, modificaciones y
redistribuciones, con el fin de garantizar las libertades de modificar y redistribuir el software
registrado. A esta versión de copyright, se le da el nombre de copyleft.

GPL.
La Licencia Pública General GNU (GNU General Public License GPL) es la licencia que acompaña los paquetes
distribuidos por el Proyecto GNU, más una gran varidad de software que incluye el núcleo del sistema operativo Linux.
La formulación de GPL (General Public License) es tal que en vez de limitar la distribución del
software que protege, llega hasta impedir que este software sea integrado en software propietario.
La GPL se basa en la legislación internacional de copyright.

Debian.
En esencia, esta licencia contiene criterios para la distribución que incluyen, además de la exigencia
de publicación del código fuente: (a) la redistribución libre ; (b) el código fuente debe ser incluido y
debe poder ser redistribuido; (c) todo trabajo derivado debe poder ser redistribuido bajo la misma
licencia del original; (d) puede haber restricciones en cuanto a la redistribución del código fuente, si
el original fue modificado; (e) la licencia no puede discriminar a ninguna persona o grupo de
personas, así como tampoco ninguna forma de utilización del software; (f) los derechos otorgados
no dependen del sitio en el que el software se encuentra; y (g) la licencia no puede 'contaminar' a
otro software.

BSD.
La licencia BSD cubre las distribuciones de software de Berkeley Software Distribution, además de otros programas
Ésta es una licencia considerada 'permisiva', ya que impone pocas restricciones sobre la forma de
uso, alteraciones y redistribución del software. El software puede ser vendido y no hay obligaciones
de incluir el código fuente. Esta licencia garantiza el crédito a los autores del software pero no
intenta garantizar que las modificaciones futuras permanezcan siendo software libre.

Software de Dominio Público.

 El Software de dominio público es software sin copyright. Algunos tipos de copia o versiones
modificadas pueden no ser libres si el autor impone restricciones adicionales en la redistribución del
original o de trabajos derivados.

Software Semi-libre.
El Software semi-libre es un software que no es libre pero permite que otros individuos lo usen, lo
copien, lo distribuyan y hasta lo modifiquen. Ejemplos de software semi-libre son algunas versiones
de browsers de Netscape, y StarOffice.

Freeware.
El término freeware no posee una definición ampliamente aceptada, pero es utilizada para
programas que permiten la redistribución pero no la modificación, y que incluyen su código fuente.
Estos programas no son software libre.
(wikipedia) El término freeware define un tipo de software no libre que se distribuye sin costo, disponible para su uso
y por tiempo ilimitado,[1] siendo una variante gratuita del shareware, en el que la meta es lograr que un usuario pruebe el
producto durante un tiempo ("trial") limitado, y si le satisface, pague por él, habilitando toda su funcionalidad. A veces
se incluye el código fuente pero no es lo usual.

Shareware.
Shareware es el software disponible con el permiso para que sea redistribuido, pero su utilización
está limitada en funcionalidad o en el tiempo. Generalmente, el código fuente no se encuentra
disponible, y por lo tanto es imposible realizar modificaciones.

Software Propietario.
El Software propietario es aquel cuya copia, redistribución o modificación están, en alguna medida,
prohibidos por su propietario. Para usar, copiar o redistribuir, se debe solicitar permiso al
propietario o pagar.

Software Comercial.
El Software comercial es el software desarrollado por una empresa con el objetivo de lucrar con su
utilización. Nótese que "comercial" y "propietario" no son lo mismo. La mayor parte del software
comercial es propietario, pero existe software libre que es comercial, y existe software no-libre que
no es comercial.

9.4 .-SOFTWARE DE FUENTES ABIERTAS.

El software libre y de código abierto (también conocido como FOSS o FLOSS, siglas de free/libre
and open source software, en inglés) es el software que está licenciado de tal manera que los
usuarios pueden estudiar, modificar y mejorar su diseño mediante la disponibilidad de su código
fuente.

El término "software libre y de código abierto" abarca los conceptos de software libre y software de código abierto, que,
si bien comparten modelos de desarrollo similares, tienen diferencias en sus aspectos filosóficos. El software libre se
enfoca en las libertades filosóficas que les otorga a los usuarios mientras que el software de código abierto se enfoca en
las ventajas de su modelo de desarrollo. "FOSS" es un término imparcial respecto a ambas filosofías.
El software gratis no necesariamente tiene que ser libre o de código abierto

Las 4 libertades del software libre

11. Ejecutar el programa con cualquier propósito (libertad 0) (privado, educativo, público,
comercial, militar, etc.)
12. Estudiar y modificar el programa (libertad 1) (para lo cual es necesario poder acceder al
código fuente)
13. Distribuir el programa de manera que se pueda ayudar al prójimo (libertad 2).
14. Distribuir las versiones modificadas propias (libertad 3)

Las 10 premisas del software de código abierto

1.-Libre redistribución: el software debe poder ser regalado o vendido libremente.
2.-Código fuente: el código fuente debe estar incluido u obtenerse libremente.
3.-Trabajos derivados: la redistribución de modificaciones debe estar permitida
4.-Integridad del código fuente del autor: las licencias pueden requerir que las
modificaciones sean redistribuidas sólo como parches.
5.- Sin discriminación de personas o grupos: nadie puede dejarse fuera.
6.-Sin discriminación de áreas de iniciativa: los usuarios comerciales no pueden ser
excluidos.
7.-Distribución de la licencia: deben aplicarse los mismos derechos a todo el que reciba el
programa.
8.-La licencia no debe ser específica de un producto: el programa no puede licenciarse solo
como parte de una distribución mayor.
9.-La licencia no debe restringir otro software: la licencia no puede obligar a que algún otro
software que sea distribuido con el software abierto deba también ser de código abierto.
10.-La licencia debe ser tecnológicamente neutral: no debe requerirse la aceptación de la
licencia por medio de un acceso por clic de ratón o de otra forma específica del medio de
soporte del software.
Existen organizaciones detrás de cada iniciativa de distinción del software. Por parte del software
libre, existe la Free Software Foundation (FSF); apoyando el concepto de software de código
abierto existe la Open Source Initiative (OSI).
Tema 11.- Legislación sobre protección de datos. Normativa Comunitaria. Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Real Decreto
1720/2007 por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal.

0 – Legislación sobre protección de datos. Normativa comunitaria.

La legislación española sobre protección de datos comienza con la constitución, que establece en
su artículo 18 el derecho a la intimidad de las personas cuando dice:

18.1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia

imagen.

18.4. La Ley limitará el uso de la Informática para garantizar el honor y la intimidad

personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Otras leyes fundamentales en el ámbito nacional son la ley orgánica 15/1999 de protección de
datos de carácter personal, y el reglamento 1720/2007 de desarrollo de la ley 15/1999.

La legislación europea sobre protección de datos se encuentra establecida en:

 Convenios y Tratados Europeos

o 1. Tratado de Funcionamiento de la Unión Europea. Artítulo 16.

o 2. Carta de los Derechos Fundamentales de la Unión Europea. TÍTULO II -

LIBERTADES - Artículo 8 - Protección de datos de carácter personal.

o 3. Convenio 108 del Consejo de Europa. Convenio 108 del Consejo de Europapara
la protección de las personas en lo que respecta al tratamiento automatizado de los
datos personales.

 Reglamentos Europeos

 Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL

CONSEJO relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos.

 Directivas Europeas

o 1. Directiva 1995/46/CE de Protección de las personas físicas en lo que respecta al

tratamiento de datos personales.
 o 2. Directiva 2002/58/CE de Tratamiento de los datos personales y protección de la
intimidad en el sector de las comunicaciones electrónicas.

o 3. Directiva 2006/24/CE de Comunicaciones electrónicas de acceso público.

o 4. Directiva 2002/22/CE de servicio universal.

o 5. Directiva 2000/31/CE sobre el comercio electrónico.

o 6. Propuesta de Directiva del PE y Consejo relativa a la protección de las personas

físicas en lo que respecta al tratamiento de datos personales por parte de las
autoridades competentes para fines de prevención, investigación, detección o
enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la
libre circulación de dichos datos.

1. La protección de datos personales. La Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal

La Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar.

La presente Ley Orgánica es de aplicación a los datos de carácter personal registrados en soporte
físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos
por los sectores público y privado.No será de aplicación:

o A los ficheros mantenidos por personas físicas en el ejercicio de actividades

exclusivamente personales o domésticas.

o A los ficheros sometidos a la normativa sobre protección de materias

clasificadas.

o A los ficheros establecidos para la investigación del terrorismo y de formas

graves de delincuencia organizada.

Se regirán por sus disposiciones específicas:

 Los ficheros regulados por la legislación de régimen electoral.

 Los que sirvan a fines exclusivamente estadísticos.

  Los de régimen del personal de las Fuerzas Armadas.

 Los derivados del Registro Civil y del Registro Central de penados y rebeldes.

 Los procedentes de imágenes y sonidos obtenidos mediante la

utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad.

1.2. Principios de la protección de datos

 Calidad de los datos: Los datos de carácter personal sólo se podrán recoger para su
tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y
las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. No
podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran
sido recogidos. Serán exactos y puestos al día de forma que respondan como veracidad a la
situación actual del afectado. Serán cancelados cuando hayan dejado de ser necesarios o
pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
 Derecho a información en la recogida de datos: Los interesados a los que se soliciten
datos personales deberán ser previamente informados de modo expreso, preciso e
inequívoco de la existencia de un fichero o tratamiento de datos de carácter personal, de la
finalidad de la recogida de éstos y de los destinatarios de la información, del carácter
obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas, de las
consecuencias de la obtención de los datos o de la negativa a suministrarlos, de la
posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición y de la
identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos,
en forma claramente legible, las advertencias a que se refiere el apartado anterior.

 Consentimiento del afectado: El tratamiento de los datos de carácter personal requerirá el

consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa. No será
preciso el consentimiento cuando Los datos de carácter personal se recojan para el ejercicio
de las funciones propias de las Administraciones públicas en el ámbito de sus competencias,
se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o
administrativa, el tratamiento de los datos tenga por finalidad proteger un interés vital del
interesado o cuando los datos figuren en fuentes accesibles al público. El afectado podrá
oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una
concreta situación personal. En tal supuesto, el responsable del fichero excluirá del
tratamiento los datos relativos al afectado.
 Datos especialmente protegidos: Sólo con el consentimiento expreso y por escrito del
afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la
ideología, afiliación sindical, religión y creencias. Los datos de carácter personal que hagan
referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y
cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado
consienta expresamente. No obstante podrán ser objeto de tratamiento los datos de carácter
personal a que se refieren los dos párrafos anteriores, cuando dicho tratamiento resulte
necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia
sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho
tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o
por otra persona sujeta asimismo a una obligación equivalente de secreto.

 Datos relativos a la salud: Las instituciones y los centros sanitarios públicos y privados y
los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter
personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados.

 Seguridad de los datos: El responsable del fichero, y, en su caso, el encargado del

tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que
garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida,
tratamiento o acceso no autorizadol.

 Deber de secreto: El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto profesional respecto
de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de
finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
  Comunicación de datos: Los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con
las funciones legítimas del cedente y del cesionario con el previo consentimiento del
interesado.

 Acceso a los datos por cuenta de terceros: No se considerará comunicación de datos el

acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un
servicio al responsable del tratamiento.

1.3. Derechos de las personas

Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre
ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos
destinados a evaluar determinados aspectos de su personalidad.
Cualquier persona podrá conocer la existencia de tratamientos de datos de carácter personal, sus
finalidades y la identidad del responsable del tratamiento. El Registro General será de consulta
pública y gratuita.

El interesado tendrá derecho a solicitar y obtener gratuitamente en el plazo de un mes información

de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las
comunicaciones realizadas o que se prevén hacer de los mismos. El responsable del tratamiento
tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el
plazo de diez días. No se exigirá contraprestación alguna por el ejercicio de los derechos de
oposición, acceso, rectificación o cancelación.

1.4.1 Ficheros de titularidad pública

La creación, modificación o supresión de los ficheros de las Administraciones públicas sólo podrán
hacerse por medio de disposición general publicada en el "Boletín Oficial del Estado" o Diario
Oficial correspondiente. Las disposiciones de creación o de modificación de ficheros deberán
indicar:
a) La finalidad del fichero y los usos previstos para el mismo.
b) Las personas o colectivos sobre los que se pretenda obtener datos de carácter personal o que
resulten obligados a suministrarlos.
c) El procedimiento de recogida de los datos de carácter personal.
d) La estructura básica del fichero y la descripción de los tipos de datos de carácter personal
incluidos en el mismo.
 e) Las cesiones de datos de carácter personal y, en su caso, las transferencias de datos que se
prevean a países terceros.
f) Los órganos de las Administraciones responsables del fichero.
g) Los servicios o unidades ante los que pudiesen ejercitarse los derechos de acceso,
rectificación, cancelación y oposición.
h) Las medidas de seguridad con indicación del nivel básico, medio o alto exigible.

1.4.2 Ficheros de titularidad privada

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando
resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad
titular y se respeten las garantías que esta Ley establece para la protección de las personas. Se
notificará previamente a la Agencia de Protección de Datos.

Quienes se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a

distancia, prospección comercial y otras actividades análogas, utilizarán nombres y direcciones u
otros datos de carácter personal cuando los mismos figuren en fuentes accesibles al público o
cuando hayan sido facilitados por los propios interesados u obtenidos con su consentimiento.

1.5. Movimiento internacional de datos

No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que

hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con
destino a países que no proporcionen un nivel de protección equiparable al que presta la presente
Ley salvo que se obtenga autorización previa del Director de la Agencia de Protección de Datos,
que sólo podrá otorgarla si se obtienen garantías adecuadas.

1.6. Infracciones y sanciones

Se establecen una serie de sanciones a los Responsables de los ficheros que contengan datos de
carácter personal. Estas se clasifican en leves, graves y muy graves, atendiendo a la infracción
cometida.

LEVES

a) No atender la solicitud del interesado de rectificación o cancelación

b) No inscribir el fichero en el RGPD
c) No informar al afectado (según Art. 5 LOPD) al recoger sus datos
d) Incumplir el deber de secreto del Art. 10 LOPD
GRAVES
a) Crear fichero de titularidad pública o iniciar la recogida de datos sin que la
correspondiente disposición general haya sido publicada en el Boletín oficial
b) Crear fichero de titularidad privada o iniciar la recogida de datos con finalidad distinta
del objeto empresarial
c) Recoger datos sin el consentimiento expreso del afectado
d) Tratar o usar los datos conculcando principios de la LOPD o del RD 1720/2007
e) Impedir u obstaculizar ejercicio de los derechos de acceso y oposición
f) Mantener datos inexactos, o no rectificarlos o cancelarlos cuando afecte derechos de las
personas
g) Vulnerar el deber de secreto sobre ficheros de nivel Medio
h) Mantener los ficheros, locales, programas o equipos incumpliendo las condiciones de
seguridad del RD 1720/2007
i) No proporcionar a la AEPD cuantos documentos sean requeridos o obstruir la inspección
j) No inscribir el fichero en el RGPD, cuando haya sido requerido por la AEPD
k) No informar al afectado según los Art. 5, 28 y 29 LOPD, si han sido recabados de
persona distinta del afectado
MUY GRAVES
a) Recoger datos en forma engañosa y fraudulenta
b) Comunicar o ceder datos, fuera de los casos en que esté permitido
c) Recabar y tratar datos especialmente protegidos sin consentimiento del afectado o
excepción LOPD
d) No cesar el uso o tratamiento ilegítimo de datos tras requerimiento de la AEPD o del
afectado
e) Transferencia temporal o definitiva de datos a países no homologados sin autorización de
la AEPD
f) Tratar datos de forma ilegítima o con menosprecio de principios y garantías, cuando se
impida o se atente el ejercicio de derechos fundamentales
g) Vulnerar el deber de secreto sobre datos especialmente protegidos o de nivel Alto
h) No atender u obstaculizar sistemáticamente el ejercicio de derechos de acceso,
rectificación, cancelación y oposición
i) No atender sistemáticamente el deber de notificación al afectado de la inclusión en un
fichero
La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales
afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de
intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y
a terceras personas y a cualquier otra circunstancia que sea relevante para determinar el grado
de incumplimiento de la legislación y de culpabilidad presentes en los hechos sancionados.
SANCIONES a entidades privadas
LEVES Multa de 601 € a 60.101 € (de 100.000 a 10 millones de
GRAVES Pts.) de 60.101 € a 300.506 € (de 10 a 50 millones de Pts.)
Multa
MUY GRAVES Multa de 300.506 € a 601.012 € (de 50 a 100 millones de
Pts)
Si el Responsable del tratamiento de los ficheros es una Administración Pública, el Director de la
Agencia Española de Protección de Datos (AEPD) podrá proponer, si procedieran, la iniciación
de actuaciones disciplinarias.

2 - El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de

Protección de Datos de Carácter Personal: Real Decreto 1720/2007, de 21 de diciembre.

El RD 1720/2007 (Reglamento de desarrollo de la LOPD 15/1999), aparte de aclarar y completar

algunos conceptos de la ley, establece las medidas de índole técnica y organizativas necesarias para
garantizar la seguridad que deben reunir los ficheros, centros de tratamiento, locales, equipos,
sistemas, programas y personas que intervengan en el tratamiento de los datos de carácter personal
sujetos al régimen de la LOPD.
El RD 1720/2007 identifica tres niveles de medidas de seguridad: BÁSICO, MEDIO y ALTO, los
cuales deberán ser adoptados en función de los distintos tipos de datos personales de los que se
disponga en cada fichero, según se expone en la tabla siguiente.

NIVEL TIPO DE DATOS MEDIDAS DE SEGURIDAD

OBLIGATORIAS
 • Afecta a todos los ficheros o tratamientos de datos • Documento de seguridad
de carácter personal. • Régimen de funciones y obligaciones
• Ideología, afiliación sindical, religión, creencias, del personal
origen racial, salud o vida sexual (cuando la única • Registro de incidencias
finalidad es realizar una transferencia dineraria a • Identificación y autenticación de usuarios
las entidades de las que los afectados sean • Control de acceso
asociados; o caso de ficheros que de forma • Gestión de soportes
accesoria contengan estos datos). • Copias de respaldo y
• Grado de discapacidad o invalidez (salud) sólo para recuperación, verificación
el cumplimiento de deberes públicos. semestral
• Almacenamiento de ficheros no
automatizados o en papel bajo
llave
• Pruebas sin datos reales
• Infracciones administrativas o penales. • Medidas de seguridad de nivel básico
MEDIO

• Prestación de servicios de información sobre • Responsable de Seguridad

solvencia patrimonial y crédito.
Cumplimiento o incumplimiento de obligaciones
dinerarias.
• Administraciones Tributarias.
• Prestación de servicios financieros.
• Entidades Gestoras y Servicios Comunes de la
Seguridad Social, en el ejercicio de sus
competencias en materia de recaudación.
• Definición de las características o de la autorización para los procedimientos
personalidad (evaluación del comportamiento).
• Auditoría bienal
• Medidas adicionales de Identificación y
autenticación de usuarios (límite
reintentos de acceso)
• Control de acceso físico
• Medidas adicionales de gestión de soportes
(registro entrada y salida)
• Registro de incidencias (anotación y
de recuperación)
• Ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.
• Fines policiales sin consentimiento.
• Actos de Violencia de género.
• Operadores de servicios de comunicaciones
electrónicas (datos de tráfico y de
localización).
• Medidas de seguridad de nivel básico
y medio
• Seguridad en la distribución de soportes
(cifrado)
• Registro de accesos (tanto para
ficheros automatizados como en
soporte papel).
• Medidas adicionales de copias de respaldo
(copia en lugar diferente)
• Cifrado de telecomunicaciones
• Almacenamiento de ficheros no
automatizados o en papel bajo llave y
en áreas de acceso restringido
TEMA 13. IMPLANTACIÓN DE LA ADMINISTRACIÓN ELECTRÓNICA. SEDE
ELECTRÓNICA Y SERVICIOS DE SEDE. REGISTRO ELECTRÓNICO. EXPEDIENTE
ELECTRÓNICO. ARCHIVO ELECTRÓNICO DE DOCUMENTOS. DIGTALIZACIÓN,
COMPULSA ELECTRÓNICA. FACTURA Y LICITACIÓN ELECTRÓNICAS.

13.1. IMPLANTACIÓN DE LA ADMINISTRACIÓN ELECTRÓNICA

La e-Administración o Administración electrónica hace referencia a la incorporación de las
tecnologías de la información y las comunicaciones en dos vertientes:
- Desde un punto de vista organizativo, transformando las oficinas tradicionales, convirtiendo los
procesos en papel en procesos electrónicos.
- Desde una perspectiva de las relaciones externas, habilitando la vía electrónica como un nuevo
medio para la relación con el ciudadano, empresas y otras instituciones.

Pero sobre todo es necesario hacer mención a la Ley 11/2007, de 22 de junio, de acceso electrónico
de los ciudadanos a los Servicios Públicos, muchas veces denominada simplemente "Ley de
Administración Electrónica" o mencionada por siglas LAECSPC, que consagra el concepto de
Administración electrónica en el marco jurídico español y la eleva a la categoría de derecho de los
ciudadanos.
Su principal objetivo es reconocer y garantizar el derecho del ciudadano a relacionarse por medios
electrónicos con las Administraciones Públicas. Por otra parte se pretende impulsar el uso de los
servicios electrónicos en la Administración

También establece una serie de fines, que definen con claridad que debe perseguir todo proyecto de
Administración Electrónica:
4 Facilitar el ejercicio de derechos y el cumplimiento de deberes por medios electrónicos.
5 Facilitar el acceso por medios electrónicos de los ciudadanos a la información y al
procedimiento administrativo.
6 Crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las
medidas necesarias.
7 Promover la proximidad con el ciudadano y la transparencia administrativa.
8 Contribuir a la mejora del funcionamiento interno de las Administraciones Públicas,
incrementando la eficacia y la eficiencia de las mismas mediante el uso de las tecnologías de la
información.
9 Simplificar los procedimientos administrativos.
10 Contribuir al desarrollo de la sociedad de la información en el ámbito
La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la
Constitución y el resto del ordenamiento jurídico.
Además, los ciudadanos tienen en relación con la utilización de los medios electrónicos en la
actividad administrativa, los siguientes derechos:
- A elegir, entre aquellos que en cada momento se encuentren disponibles, el canal a través del
cual relacionarse por medios electrónicos con las Administraciones Públicas.
- A no aportar los datos y documentos que obren en poder de las Administraciones Públicas,
las cuales utilizarán medios electrónicos
- A la igualdad en el acceso electrónico a los servicios
- A conocer por medios electrónicos el estado de tramitación de los procedimientos.
- A obtener copias electrónicas de los documentos electrónicos.
- A la conservación en formato electrónico por las Administraciones Públicas de los
documentos electrónicos que formen parte de un expediente.
- A obtener los medios de identificación electrónica necesarios, pudiendo las personas físicas
utilizar en todo caso los sistemas de firma electrónica del Documento Nacional de Identidad
- A la utilización de otros sistemas de firma electrónica admitidos en el ámbito de las
Administraciones Públicas.
- A la garantía de la seguridad y confidencialidad de los datos.
- A la calidad de los servicios públicos prestados por medios electrónicos.
- A elegir las aplicaciones o sistemas para relacionarse con las Administraciones Públicas
siempre y cuando utilicen estándares abiertos o, en su caso, aquellos otros que sean de uso
generalizado por los ciudadanos.

La LAECSPC obliga a las Administraciones a asegurar la disponibilidad, el acceso, la integridad, la

autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que
gestionen en el ejercicio de sus competencias.
La Administración General del Estado garantizará el acceso de todos los ciudadanos a los servicios
electrónicos proporcionados en su ámbito a través de un sistema de varios canales que cuente, al
menos, con los siguientes medios:
19. Las oficinas de atención presencial
20. Puntos de acceso electrónico
21. Servicios de atención telefónica
Cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los
datos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico
(teniendo en cuenta la LOPD)

13.2. SEDE ELECTRÓNICA Y SERVICIOS DE LA SEDE

La LAECSPC define la sede electrónica como aquella dirección electrónica disponible para los
ciudadanos a través de redes de telecomunicaciones cuya titularidad, gestión y administración
corresponde a una Administración Pública, órgano o entidad administrativa en el ejercicio de sus
competencias
El establecimiento de una sede electrónica conlleva la responsabilidad del titular respecto de la
integridad, veracidad y actualización de la información y los servicios a los que pueda accederse a
través de la misma
Deberá garantizarse la identificación del titular de la sede, así como los medios disponibles para la
formulación de sugerencias y quejas, comunicaciones seguras (cuando sean necesarias)
La publicación de los diarios o boletines oficiales en las sedes electrónicas de la Administración,
Órgano o Entidad competente tendrá los mismos efectos que los atribuidos a su edición impresa.
La publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban
publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación
en la sede electrónica del organismo correspondiente

La LAECSP establece los siguientes requisitos para las sedes electrónicas:

 Debe permitir el acceso de los ciudadanos para la realización de cualquier tipo de trámite o
interacción con la Administración.
 Debe permitir a los ciudadanos realizar consultas sobre el estado de tramitación de
expedientes.
 Deben basarse en aplicaciones y sistemas que utilicen estándares abiertos o
sean de uso generalizado por los ciudadanos.
 Debe contener la información sobre los pasos a seguir para cada uno de los trámites y
procedimientos de las Administraciones Públicas.
 Debe contener la información sobre las autoridades competentes para cada actividad de los
servicios ofrecidos por las Administraciones Públicas.
 La AGE deberá disponer de una sede electrónica que sirva como Punto de acceso general
único a los servicios que presta la AGE y sus Organismos.
 Debe garantizar la identificación de su titular.
 Debe permitir establecer las conexiones seguras cuando sean necesarias.
  Debe cumplir los principios de accesibilidad y usabilidad de acuerdo con las normas
establecidas al respecto (se deben cumplir los requisitos AA).
 Permitirá la publicación de actos y comunicaciones que, por disposición legal o
reglamentaria deban publicarse en tablón de anuncios o edictos.
 Debe contener la lista de sistemas de firma electrónica avanzada admitidos.
 Debe contener la lista de sellos electrónicos utilizados por cada Administración.
 Debe contener las disposiciones de creación de registros electrónicos.
 La sede permitirá la publicación electrónica del boletín oficial de la Administración, órgano
o Entidad competente.
 Debe contener los distintos tipos de escritos, comunicaciones, solicitudes, etc. que pueden
presentarse.
 Deberá publicar los medios electrónicos disponibles para que el ciudadano se relacione con
las Administraciones Públicas.
 Deberá mostrar de manera visible la fecha y hora garantizando su integridad.
 Deberá publicar una lista con los días considerados inhábiles.
 En aquéllas administraciones que tengan lenguas cooficiales, se debe garantizar el acceso en
ambas lenguas.

Los "Certificados de identificación de sede electrónica" son aquellos certificados expedidos por la
FNMT-RCM bajo la Declaración de Prácticas de Certificación de la Administración Pública del
Estado y que vinculan unos datos de verificación de firma a los datos identificativos de una sede
electrónica en la que existe una persona física que actúa como firmante o custodio de la clave y
titular del certificado, junto con la entidad de la administración a la que pertenece y que es titular de
la dirección electrónica a través de la que se accede la sede electrónica (sólo la titularidad es
compartida, no siendo así la custodia). Esta persona física es la que tiene el control sobre dicho
certificado y los datos de creación y verificación de firma y es responsable de su custodia de forma
diligente.

13.3. REGISTRO ELECTRÓNICO

Las tareas fundamentales del registro electrónico son tomar una referencia de tiempo, anotar el
asiento de la entrada/salida, guardar los datos de la presentación de información, y devolver un
acuse de recibo con el número de registro y momento de la presentación
Los registros electrónicos podrán admitir: Documentos electrónicos normalizados o cualquier
solicitud, escrito o comunicación distinta
En cada Administración Pública existirá, al menos, un sistema de registros electrónicos
Las disposiciones de creación de registros electrónicos se publicarán en el Diario Oficial
correspondiente y especificarán el órgano o unidad responsable de su gestión, así como la fecha y
hora oficial y los días declarados como inhábiles
Podrán aportarse documentos que acompañen a la correspondiente solicitud, escrito o
comunicación, siempre que cumplan los estándares de formato y requisitos de seguridad que se
determinen en los Esquemas Nacionales de Interoperabilidad y de Seguridad.
Los registros electrónicos generarán recibos acreditativos de la entrega de estos documentos que
garanticen la integridad y el no repudio de los documentos aportados. Estarán disponibles 365 días
24h
A los efectos del cómputo de plazo fijado en días hábiles o naturales, y en lo que se refiere a
cumplimiento de plazos por los interesados, la presentación en un día inhábil se entenderá realizada
en la primera hora del primer día hábil siguiente, salvo que una norma permita expresamente la
recepción en día inhábil.
Desde el punto de vista técnico, el registro electrónico debe permitir la presentación de
documentación en formato electrónico y la generación del correspondiente asiento en el registro de
entrada y salida de la Administración

13.4. EXPEDIENTE ELECTRÓNICO

La LAECSP define expediente electrónico como el conjunto de documentos electrónicos
correspondientes a un procedimiento administrativo, cualquiera que sea el tipo de información que
contengan.
El foliado de los expedientes electrónicos se llevará a cabo mediante un índice electrónico, firmado
por la Administración, órgano o entidad actuante, según proceda.
Desde el punto de vista técnico, el expediente viene definido por el índice ordenado de documentos
que ha sido firmado electrónicamente, por lo que no puede ser modificado sin la pérdida de validez
de dicha firma. Los documentos como tal pueden ser almacenados de forma independiente, deben
contar con un código que los identifique de forma unívoca dentro de la organización y no sólo
dentro del ámbito del expediente. De este modo, un mismo documento puede ser referenciado desde
varios índices, o lo que es lo mismo, formar parte de distintos expedientes

13.5. ARCHIVO ELECTRÓNICO DE DOCUMENTOS

Podrán almacenarse por medios electrónicos todos los documentos utilizados en las actuaciones
administrativas.
Los documentos electrónicos que contengan actos administrativos que afecten a derechos o
intereses de los particulares deberán conservarse en soportes de esta naturaleza, ya sea en el mismo
formato a partir del que se originó el documento o en otro cualquiera que asegure la identidad e
integridad de la información necesaria para reproducirlo. Se asegurará en todo caso la posibilidad
de trasladar los datos a otros formatos y soportes que garanticen el acceso desde diferentes
aplicaciones.
Los medios o soportes en que se almacenen documentos, deberán contar con medidas de seguridad
que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de
los documentos almacenados. En particular, asegurarán la identificación de los usuarios y el control
de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de
datos.
Desde el punto de vista técnico, el almacenamiento y tratamiento de documentos en formato
electrónico implica la utilización de una firma avanzada que permita garantizar su integridad y el no
repudio. En caso de tratarse de documentos en otro formato, como el papel, puede ser necesaria su
conversión previa a algún formato electrónico mediante técnicas como la del escaneado.

13.6. DIGITALIZACIÓN Y COMPULSA ELECTRÓNICA.

El cotejo y la compulsa de documentos es la técnica consistente en la comprobación de que una
copia coincide con su original. La copia auténtica de un documento acredita la autenticidad de los
datos contenidos en la misma
Las copias realizadas por medios electrónicos de documentos electrónicos emitidos por el propio
interesado o por las Administraciones Públicas, manteniéndose o no el formato original, tendrán
inmediatamente la consideración de copias auténticas siempre que el documento electrónico
original se encuentre en poder de la Administración, y que la información de firma electrónica y, en
su caso, de sellado de tiempo permitan comprobar la coincidencia con dicho documento.
Las Administraciones Públicas podrán obtener imágenes electrónicas de los documentos privados
aportados por los ciudadanos, con su misma validez y eficacia, a través de procesos de
digitalización que garanticen su autenticidad, integridad y la conservación del documento imagen,
de lo que se dejará constancia. Esta obtención podrá hacerse de forma automatizada, mediante el
correspondiente sello electrónico
Las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios
electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas siempre que
incluyan la impresión de un código generado electrónicamente u otros sistemas de verificación que
permitan contrastar su autenticidad mediante el acceso a los archivos electrónicos de la
Administración Pública, órgano o entidad emisora.
El proceso tecnológico de conversión a formato electrónico se denomina “digitalización
certificada”: Debe ser completamente automático y realizarse de forma atómica, El proceso
tecnológico debe ser diseñado de tal forma que non produzca alteración con respecto al documento
original
Para la firma, la LAECSP establece la posibilidad de utilizar certificados de personal adscrito a la
Administración o funcionario.
El certificado para el personal de la Administración Pública, es la certificación electrónica emitida
por la FNMT-RCM que vincula a su titular con unos datos de verificación de firma y confirma, de
forma conjunta:
• la identidad de su titular, número de identificación personal, cargo, puesto de trabajo
y/o condición de autorizado.
• al órgano, organismo o entidad de la Administración Pública, bien sea ésta General,
autonómica, Local o institucional, donde ejerce sus competencias, presta sus
servicios, o desarrolla su actividad.

13.7. FACTURA Y LICITACIÓN ELECTRÓNICAS

La Ley 57/2007, de Medidas de Impulso de la Sociedad de la Información, define la factura
electrónica como “un documento electrónico que cumple con los requisitos legal y
reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y
la integridad de su contenido, lo que permite atribuir la factura a su obligado tributario emisor”.
Para cumplir con la norma y que una factura electrónica tenga la misma validez legal que una
emitida en papel, el documento electrónico que la representa debe contener los campos obligatorios
exigibles a toda factura, estar firmado mediante una firma electrónica avanzada basado en
certificado reconocido y ser transmitido de un ordenador a otro recogiendo el consentimiento de
ambas partes. Campos de Factura
En la Orden PRE/2971/2007 se crea el formato de factura electrónica Facturae, junto con la
previsión de compatibilidad en futuras con normas como UBL (Universal Business Language).
Facturae define fundamentalmente las tecnologías de firma a utilizar en las facturas y una estructura
en XML que éstas deben cumplir. Permite extensiones (informacion estructurada específica) a nivel
línea, factura y lotes. Obligaciones legales del emisor y destinatario
La obligación del uso de facturas electrónicas nace de las previsiones de la Ley 30/2007, de
Contratos del Sector Público, la cual regula, entre otras muchas materias, el establecimiento de una
plataforma de contratación electrónica del Estado y la utilización de medios electrónicos,
informáticos o telemáticos por parte de las empresas del sector privado para la contratación con
Administraciones Públicas.
LICITACIÓN ELECTRÓNICA
En la práctica, un sistema de licitación electrónica debe permitir:
Consultar en Internet las convocatorias de los contratos y obtener los pliegos. Para ello se crea la
figura del Perfil del contratante
Presentar por medios electrónicos solicitudes de participación, ofertas y documentos
Obtener información sobre el desarrollo del procedimiento mediante la consulta de un tablón de
anuncios electrónico. Nuevamente a través del perfil del contratante.
Recibir notificaciones telemáticamente
Un sistema de licitación electrónica debe además garantizar que, en función del procedimiento de
contratación establecido, las ofertas sólo podrán ser accedidas en la fase de tramitación prevista
Técnicamente, esto se resuelve mediante la creación de sobres electrónicos, siguiendo los pasos que
se detallan a continuación:
PREPARACIÓN DE LA LICITACIÓN
Se identifica a los miembros de la mesa. El sistema debe tener acceso a la clave pública de cada uno
de los miembros.
PRESENTACIÓN DE OFERTAS:
En el momento de la presentación de las ofertas, se genera un par de claves pública y privada para
cada una, y la oferta es cifrada con la clave pública, creando el sobre electrónico.
Dicho sobre sólo puede ser abierto mediante la correspondiente clave privada. Sin embargo, la clave
privada no se almacena en el sistema. En su lugar, se le aplica un algoritmo que la divide en varias
partes.
Cada parte es asignada a un miembro de la mesa y cifrada con su clave pública, de tal modo que es
la única persona que puede acceder a ella con su clave privada.
APERTURA DE OFERTAS:
En el día y hora de constitución de la mesa de contratación, el sistema considera abierta la mesa de
contratación y los miembros pueden acceder al sistema.
Cada uno de los miembros pueden acceder a la parte de la clave privada del sobre que le
corresponde. Para ello, puesto que está cifrada con su clave pública, deben utilizar su clave privada,
identificándolos fehacientemente.
Una vez el sistema dispone de suficientes partes de la clave privada (no es necesario que participen
todos los miembros de la mesa, sino que es posible establecer previamente un quórum), recompone
la clave privada del sobre.
Con la clave privada del sobre, el sistema ya puede extraer y mostrar la oferta.
TEMA 14. INTEROPERABILIDAD. COORDINACIÓN ADMINISTRATIVA E
INTEROPERABILIDAD EN EL MARCO DE LA ADMINISTRACIÓN ELECTRÓNICA.
INICIATIVAS DE DESARROLLO DE LA ADMINISTRACIÓN ELECTRÓNICA:
@FIRMA, DNI ELECTRÓNICO

h. INTEROPERABILIDAD.

La interoperabilidad es la capacidad de los sistemas de información y de los procedimientos a los

que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y
conocimiento entre ellos.

El Real Decreto 4/2010, de 8 de enero (BOE de 29 de enero. Publicada el 10 de marzo una

corrección de errores), por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito
de la administración electrónica, regula el citado Esquema previsto en el artículo 42 de la LAECSP,
de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es
comprender el conjunto de criterios y recomendaciones en materia de seguridad, conservación y
normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en
cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la
interoperabilidad. En materia de seguridad, véase el Esquema Nacional de Seguridad regulado en el
Real Decreto 3/2010, de 8 de enero.

El Esquema Nacional de Interoperabilidad persigue la creación de las condiciones necesarias para

garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y
aplicaciones empleados por las Administraciones Públicas. En particular, introduce los siguientes
elementos principales:
- Se enuncian los principios específicos de la interoperabilidad.
- Se contemplan las dimensiones de la interoperabilidad organizativa, semántica y técnica.
- Se tratan las infraestructuras y los servicios comunes.
- Se trata la reutilización, aplicada a las aplicaciones de las administraciones públicas, de la
documentación asociada y de otros objetos de información.
- Se trata la interoperabilidad de la firma electrónica y de los certificados.
- Se atiende a la recuperación y conservación del documento electrónico.
- Por último, se crean las normas técnicas de interoperabilidad y los instrumentos para la
interoperabilidad, para facilitar la aplicación del Esquema.
Sus objetivos son los siguientes:
• Comprender los criterios y recomendaciones que garanticen la interoperabilidad y que
eviten la discriminación a los ciudadanos por razón de su elección tecnológica.
• Introducir los elementos comunes que han de guiar la actuación de las administraciones
públicas en materia de interoperabilidad.

El Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica establece,

en su disposición adicional primera, el desarrollo de la serie de Normas Técnicas de
Interoperabilidad que son de obligado cumplimiento por parte de las Administraciones públicas. Las
Normas Técnicas de Interoperabilidad desarrollan aspectos concretos de diversas cuestiones
necesarios para asegurar los aspectos más prácticos y operativos de la interoperabilidad entre las
Administraciones públicas y con el ciudadano. La relación de normas incluida en la citada
disposición adicional primera es la siguiente1:
 Catálogo de estándares.
 Documento electrónico(*).
 Digitalización de documentos (*).
 Expediente electrónico (*).
 Política de firma electrónica y de certificados de la Administración (*).
 Protocolos de intermediación de datos.
 Relación de modelos de datos que tengan el carácter de comunes en la Administración y
aquellos que se refieran a materias sujetas a intercambio de información con los ciudadanos
y otras administraciones.
 Política de gestión de documentos electrónicos.
 Requisitos de conexión a la Red de comunicaciones de las Administraciones Públicas
españolas (*).
 Procedimientos de copiado auténtico y conversión entre documentos electrónicos, así como
desde papel u otros medios físicos a formatos electrónicos (*).
 Modelo de Datos para el intercambio de asientos entre las Entidades Registrales (*).

i. COORDINACIÓN INTERADMINISTRATIVA E INTEROPERABILIDAD EN

EL MARCO DE LA ADMINISTRACIÓN ELECTRÓNICA.

1
Las Normas Técnicas marcadas con el símbolo (*) han sido ya desarrolladas y publicadas en el Boletín Oficial del
Estado número 182 del 30 de julio de 2011.
La LAECSP determina que el Comité Sectorial de administración electrónica, es el órgano técnico
de cooperación de la Administración General del Estado, de las administraciones de las
Comunidades Autónomas y de las entidades que integran la Administración Local en materia de
administración electrónica. El Comité Sectorial de la administración electrónica velará por el
cumplimiento de los fines y principios establecidos en la LAECSP, y en particular desarrollará las
siguientes funciones:
4 Asegurar la compatibilidad e interoperabilidad de los sistemas y aplicaciones empleados por las
Administraciones Públicas.
5 Preparar planes programas conjuntos de actuación.
6 Asegurar la cooperación entre las administraciones públicas.

Los grupos de trabajo que tiene definidos actualmente son los siguientes:
- Red SARA, a través de la cual se interconectan todas las Administraciones Publicas: Unión
Europea, Administración General del Estado, Comunidades Autónomas y Ayuntamientos.
- Identificación y firma electrónica, trabaja en servicios y aspectos relacionado con la
armonización de firma electrónica y la expansión del DNI electrónico.
- Mejora de Procesos Software: pretende elaborar unas directrices que permitan mejorar el
desarrollo del software.
- Observatorio Administración Electrónica (OBSAE): Permite conocer el estado de la
Administración electrónica en las administraciones públicas y cuyo principal producto es el
informe CAE.
- Programas Libres y reutilización de los sistemas de información.

La Administración General del Estado, las Administraciones Autonómicas y las entidades que
integran la Administración Local, así como los consorcios u otras entidades de cooperación
constituidos a tales efectos por éstas, adoptarán las medidas necesarias e incorporarán en sus
respectivos ámbitos las tecnologías precisas para posibilitar la interconexión de sus redes con el fin
de crear una red de comunicaciones que interconecte los sistemas de información de las
Administraciones Públicas españolas y permita el intercambio de información y servicios entre las
mismas, así como la interconexión con las redes de las Instituciones de la Unión Europea y de otros
Estados Miembros.

Las Administraciones Públicas podrán suscribir convenios de colaboración con objeto de articular
medidas e instrumentos de colaboración para la implantación coordinada y normalizada de una red
de espacios comunes o ventanillas únicas.
REUTILIZACIÓN DE APLICACIONES Y TRANSFERENCIA DE TECNOLOGÍA

A este respecto, la LAECSP establece que las administraciones titulares de los derechos de
propiedad intelectual de aplicaciones, desarrolladas por sus servicios o cuyo desarrollo haya sido
objeto de contratación, podrán ponerlas a disposición de cualquier Administración sin
contraprestación y sin necesidad de convenio. Las aplicaciones a las que se refiere el apartado
anterior podrán ser declaradas como de fuentes abiertas. Las Administraciones Públicas mantendrán
directorios actualizados de aplicaciones para su libre reutilización.

La Administración General del Estado, a través de un centro para la transferencia de la tecnología,

mantendrá un directorio general de aplicaciones para su reutilización, prestará asistencia técnica
para la libre reutilización de aplicaciones e impulsará el desarrollo de aplicaciones, formatos y
estándares comunes de especial interés para el desarrollo de la administración electrónica en el
marco de los esquemas nacionales de interoperabilidad y seguridad.

El Centro de Transferencia de Tecnología (CTT) publica un directorio general de aplicaciones y/o

iniciativas cuyo objetivo es favorecer la reutilización de soluciones por todas las Administraciones
Públicas. Este portal informa de proyectos, iniciativas, servicios, normativa y soluciones que se
están desarrollando en materia de Administración electrónica. Además, desde la forja del CTT se
permite el desarrollo colaborativo de aplicaciones de las administraciones públicas.

El CTT cuenta con dos entornos tecnológicos en los que trabajar en función de diferentes
necesidades.
 El entorno CTT-PAe o directorio de iniciativas del CTT es el lugar indicado para encontrar
una iniciativa, proyecto o/y servicio para reutilizar en tu administración. En este entorno está
disponible la información divulgativa de todas las iniciativas recogidas en el CTT y se
ofrecen diferentes opciones de descarga y de colaboración en ellas.
 El entorno de la forja-CTT, es un entorno de desarrollo colaborativo para aplicaciones de las
administraciones públicas en el que pueden participar activamente administraciones,
empresas y particulares. Cuenta con funcionalidades de descargas, documentos, novedades,
foros, registros de incidencias, bugs, sugerencias, encuestas, distribución de tareas, listas de
distribución de correo y gestión del código fuente.
CENATIC es el Centro Nacional de Referencia de Aplicación de las Tecnologías de la Información
y la Comunicación (TIC) basadas en fuentes abiertas. CENATIC es el único proyecto estratégico
del Gobierno de España para impulsar el conocimiento y uso del software de fuentes abiertas, en
todos los ámbitos de la sociedad.

j. INICIATIVAS DE DESARROLLO DE LA ADMINISTRACIÓN

ELECRÓNICA: @FIRMA, DNI ELECTRÓNICO.

xi. @FIRMA
@firma es una plataforma de validación y firma electrónica multi-PKI, que se pone a disposición
de las Administraciones Públicas, proporcionando servicios para implementar la autenticación y
firma electrónica avanzada de una forma rápida y efectiva.

Este proyecto se centra en facilitar a las aplicaciones los complementos de seguridad necesarios
para implementar la autenticación y firma electrónica avanzada basada en certificados digitales de
una forma eficaz y efectiva. Se ofrecen así servicios que impulsan el uso de la certificación y firma
electrónica en los sistemas de información de las diferentes Administraciones públicas que así lo
requieran.

Desde el punto de vista tecnológico, construye una capa de abstracción de seguridad a nivel de
aplicación que desacopla la lógica de negocio de las aplicaciones de la introducción de mecanismos
de seguridad a nivel de control de accesos, firma, cifrado, control del no repudio y validez de los
certificados, etc. Facilita la creación de redes de confianza y de reconocimiento mutuo de servicios
de validación entre autoridades de validación y los prestadores de certificación.

El objetivo de esta plataforma de validación es comprobar que el certificado utilizado por el

ciudadano es un certificado válido y que no ha sido revocado y que por tanto sigue teniendo plena
validez para identificar a su propietario. Los servicios de la plataforma son aplicables a todos los
certificados electrónicos cualificados publicados por cualquier proveedor de servicio de
certificación acreditado en España, incluidos los certificados de la tarjeta del DNIe del ciudadano.

Cuando el ciudadano interacciona con la Administración, para realizar un trámite personal, es

necesario conocer su identidad, que telemáticamente se realiza a través del DNI electrónico o un
certificado electrónico. La Administración comprueba el estado del certificado o el DNIe con el que
el ciudadano se está identificando o firmando la solicitud. Para esta comprobación se utiliza la
plataforma de validación @firma, delegando en ella la verificación de las credenciales del
certificado o DNIe utilizado.
 
Los servicios ofrecidos a los organismos se pueden catalogar en cuatro bloques, basándose la
mayoría en la publicación de un catálogo amplio de servicios web compatible con las tecnologías
java y Microsoft.
o Servicios de validación: servicios web de validación de firmas digitales en múltiples formatos y
certificados electrónicos de diferentes perfiles y prestadores.
o Servicios de firma electrónica: firma electrónica de servidor simple, en paralelo (cosign), en
cascada (countersign) o en bloque..
o Servicios de soporte a la Operación: a través de servicios de soporte a la integración, apoyo a la
evolución hacia nuevos estándares de firma electrónica, etc.

La plataforma de validación @firma en su versión 5.5 proporciona servicios de validación de

certificados y de firma electrónica de los principales Prestadores de Servicios de Certificación
reconocidos de nuestro país, entre ellos la Dirección General de Policía. Los servicios que ofrece
son: 
o Funcionalidades de verificación: Validación de certificados X.509 según la RFC 3280, de las
Autoridades de Certificación incluidas en la plataforma. 
o Funcionalidades de Firma: La plataforma permite varias modalidades de firma como de
servidor, de bloque, en dos fases y en tres fases.
o Sellado de Tiempo (TSA) Se incluye un servicio de sellado de tiempo según el estándar RFC
3161 para certificar temporalmente todas las operaciones de validación y firma que se realizan
a través de la plataforma. 
• Gestión y administración: La plataforma realiza la gestión y administración de los Prestadores
de Servicios de Certificación adheridos. Todas las operaciones realizadas en la plataforma son
registradas para la auditoria y trazabilidad del sistema.
 
xii. DNI ELECTRÓNICO

Con la llegada de la Sociedad de la Información y la generalización del uso de Internet se hace

necesario adecuar los mecanismos de acreditación de la personalidad a la nueva realidad y disponer
de un instrumento eficaz que traslade al mundo digital las mismas certezas con las que operamos
cada día en el mundo físico y que, esencialmente, son:
 Acreditar electrónicamente y de forma indubitada la identidad de la persona
  Firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente
a la que les proporciona la firma manuscrita

Para responder a estas nuevas necesidades nace el Documento Nacional de Identidad electrónico
(DNIe). La firma electrónica realizada a través del Documento Nacional de Identidad tendrá
respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en
relación con los consignados en papel. Con independencia de lo que establece el artículo 6.1 sobre
la validez del Documento Nacional de Identidad, los certificados electrónicos reconocidos
incorporados al mismo tendrán un período de vigencia de treinta meses.

La Autoridad de Validación es el componente que tiene como tarea suministrar información sobre la
vigencia de los certificados electrónicos que, a su vez, hayan sido registrados por una Autoridad de
Registro y certificados por la Autoridad de Certificación.

La información sobre los certificados electrónicos revocados (no vigentes) se almacena en las
denominadas listas de revocación de certificados (CRL). En la Infraestructura de Clave Pública
(PKI) adoptada para el DNI electrónico, se ha optado por asignar las funciones de Autoridad de
Validación a entidades diferentes de la Autoridad de Certificación, a fin de aislar la comprobación
de la vigencia de un certificado electrónico de los datos de identidad de su titular.

Así, la Autoridad de Certificación (Ministerio del Interior – Dirección General de la Policía) no

tiene en modo alguno acceso a los datos de las transacciones que se realicen con los certificados que
ella emite y las Autoridades de Validación no tiene acceso a la identidad de los titulares de los
certificados electrónico que maneja, reforzando la transparencia del sistema.

Para la validación del DNI electrónico se dispone de dos prestadores de Servicios de Validación:
11 Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, que prestará sus servicios de
validación con carácter universal: ciudadanos, empresas y Administraciones Públicas.
12 Ministerio de la Presidencia, que prestará los servicios de validación al conjunto de las
Administraciones Públicas.

La prestación de estos servicios de validación se realiza en base al protocolo Online Certificate

Status Protocol (OCSP), lo que, en esencia, supone que un cliente OCSP envía una petición sobre el
estado del certificado a la Autoridad de Validación, la cual, tras consultar su base de datos, ofrece
vía HTTP una respuesta sobre el estado del certificado. El servicio de validación está disponible de
forma ininterrumpida todos los días del año.

El DNI electrónico incluye dos certificados electrónicos, que son el conjunto de datos incluidos en
el chip, que permiten la identificación de su titular (Certificado de Autenticación) y la firma
electrónica de documentos (Certificado de Firma).

Para poder realizar transacciones electrónicas con el DNI electrónico es necesario:

 Un lector de tarjetas inteligentes (con chip), con sus correspondiente drivers.
 La librería para hacer uso del DNIe: CSP (para S.O. Microsoft) o PKCS#11
 Una conexión a Internet para realizar las transacciones telemáticas.

El lector de DNIe debe cumplir las características técnicas siguientes:

 Debe cumplir el estándar ISO 7816 (1, 2 y 3)
 Debe soportar tarjetas asíncronas basadas en protocolos T=0 (y T=1)
 Debe soportar velocidades de comunicación mínimas de 9.600 bps.
 Debe soportar los estándares siguientes:
- API PC/SC (Personal Computer/Smart Card)
- CSP (Cryptographic Service Provider, Microsoft)
- API PKCS#11
TEMA 15. SERVICIOS HORIZONTALES DE LA ADMINISTRACIÓN ELECTRÓNICA.
IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS FUNCIONARIOS, DE LOS
CIUDADANOS, Y DE LAS ADMINISTRACIONES PÚBLICAS. ACREDITACIÓN Y
RESPRESENTACIÓN DE LOS CIUDADANOS. FIRMA ELECTRÓNICA, INTERCAMBIO
DE CERTIFICADOS, SELLADO DE TEMPO (TIME-STAMPING). PAGO
ELECTRÓNICO Y NOTIFICACIONES TELEMÁTICAS.

o SERVICIOS HORIZONTALES DE LA ADMINISTRACIÓN

ELECTRÓNICA.
Los servicios horizontales son servicios comunes utilizables por cualquier administración, que
ayudan a acelerar el proceso de implantación de la administración electrónica. Se agrupan en las
siguientes materias:
 Interconexión entre Administraciones.
 Firma Electrónica
 Tramitación electrónica
 Normativa, Regulación y Recomendaciones
 Servicios integrales
 Información y difusión
 Herramientas de apoyo
 Gestión de Recursos Humanos en la Administración General del Estado

RED SARA
La Red SARA permite la interconexión de las Administraciones Públicas, facilitando el intercambio
de información y servicios entre ellas. A través de la Red SARA los Ministerios, las Comunidades
Autónomas, los Entes Locales y otros organismos públicos pueden interconectar sus redes de una
manera fiable, segura, capaz y flexible. Además, a través del enlace de la Red SARA con la red
transeuropea sTESTA las Administraciones Públicas españolas se pueden interconectar con redes de
instituciones europeas y de administraciones de otros Estados miembros de la UE.

Características de SARA

 Fiabilidad: La red SARA está diseñada con tecnología de última generación VPLS (Virtual
Private LAN Services) que la dota de gran capacidad de transmisión de datos y muy alta
disponibilidad.
  Seguridad: La red SARA implementa medidas de seguridad entre las que destaca el
establecimiento de VPNs. Es una red extremadamente segura en la que todo el tráfico
circula cifrado por la Troncal.
 Capacidad: La red SARA cuenta con un ancho de banda de 1 Gbps en Ministerios y CPDs, y
100 Mbps en cada Comunidad Autónoma.
 Calidad de Servicio (QoS): La tecnología VPLS permite dotar a la red de mecanismos de
calidad de servicio para todo tipo de tráfico.
 Punto-Multipunto: La red SARA está diseñada con un modelo de conexión punto-
multipunto mediante el cual no existe un nodo central en el que convergen todas las
conexiones y por tanto se eliminan posibles puntos únicos de fallo.

La red SARA expone además los siguientes servicios comunes:

 Verificación de los datos de identidad y residencia.
 Plataforma de validación de firma electrónica (@firma).
 Solicitud de cambio de domicilio.
 Notificación electrónica fehaciente.
 Pasarela de pago.
 Registro electrónico común.
 Consultas del estado de expedientes.
 Catálogos de procedimientos de las AAPP.
 Videoconferencia.
 Voz IP.
 Entornos de trabajo en colaboración.

PLAN DE DIRECCIONAMIENTO E INTERCONEXIÓN DE REDES

El Plan de direccionamiento e interconexión de redes en la Administración define un espacio de

direccionamiento privado común para los Centros de la Administración. Este Plan permite que cada
entidad u organismo pueda establecer de manera independiente sus planes de numeración IP, en
función de su infraestructura de red, o distribución orgánica o departamental, pero manteniendo una
coordinación con el resto de Administraciones Públicas que evite el uso de direcciones duplicadas.

SERVICIOS COMUNES PARA EL INTERCAMBIO DE DATOS

Se proporcionan unos servicios horizontales de consulta y verificación de datos, así como
componentes y aplicaciones informáticas que los desarrollan, y se ponen a disposición de las
Administraciones Públicas que lo deseen de manera gratuita:

 Plataforma de Intermediación: Ofrece un conjunto de servicios de verificación y consulta de

datos que permite a cualquier organismo público verificar, en tiempo real, los datos relativos
a un ciudadano que ha iniciado un trámite con una entidad y que son necesarios para la
resolución del trámite.
 SCSP: Es un protocolo que facilita la interoperabilidad e intercambio de datos entre las
AAPP con el objetivo de evitar que el ciudadano tenga que presentar certificados en papel,
de datos que la Administración ya tiene. Estos certificados se sustituyen por un intercambio
de datos entre Administraciones Públicas.
 Broker SCCD: Servicio web para permitir la comunicación del cambio de domicilio desde
los Ayuntamientos (y Comunidades Autónomas) hacia los organismos tramitadores de la
Administración General del Estado (AEAT, DGP, TGSS, INSS, MUFACE, etc...)

SUITE DE PRODUCTOS RELACIONADOS CON LA GESTIÓN DE RECURSOS HUMANOS

EN LA ADMINISTRACIÓN GENERAL DEL ESTADO.

Dentro de los servicios comunes proporcionados por la Dirección General para el Impulso de la
Administración Electrónica se ha creado una suite de productos relacionados con la gestión de
RRHH en la Administración General del Estado para fomentar la reutilización de soluciones con la
finalidad primordial de ofrecer servicios para la confección de nóminas, gestión de los
procedimientos de RRHH departamentales e interdepartamentales, gestión del Plan de Pensiones de
la AGE, consulta de información para la toma de decisiones en el ámbito de los RRHH de las
Administraciones Públicas y del Registro Central de Personal, y presentación de propuestas de
modificación de Relaciones de Puestos de Trabajo.
o IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS FUNCIONARIOS, DE
LOS CIUDADANOS, Y DE LAS ADMINISTRACIONES PÚBLICAS.

Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las
Administraciones Públicas, de acuerdo con lo que cada Administración determine:
13 En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de
Identidad, para personas físicas.
14 Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico
reconocido, admitidos por las Administraciones Públicas.
15 Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro
previo como usuario, la aportación de información conocida por ambas partes u otros sistemas
no criptográficos, en los términos y condiciones que en cada caso se determinen.

Por otro lado, las Administraciones Públicas podrán utilizar los siguientes sistemas para su
identificación electrónica y para la autenticación de los documentos electrónicos que produzcan:
a) Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro
o medio equivalente que permita identificar la sede electrónica y el establecimiento con ella
de comunicaciones seguras.
b) Sistemas de firma electrónica para la actuación administrativa automatizada.
c) Firma electrónica del personal al servicio de las Administraciones Públicas.
d) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo
específicamente acordado entre las partes.

La relación de sistemas de firma electrónica avanzada admitidos, con carácter general, en el ámbito
de cada Administración Pública, deberá ser pública y accesible por medios electrónicos. Las
Administraciones Públicas podrán determinar, teniendo en cuenta los datos e intereses afectados, y
siempre de forma justificada, los supuestos y condiciones de utilización por los ciudadanos de otros
sistemas de firma electrónica, tales como claves concertadas en un registro previo, aportación de
información conocida por ambas partes u otros sistemas no criptográficos.

En aquellos supuestos en los que se utilicen estos sistemas para confirmar información, propuestas
o borradores remitidos o exhibidos por una Administración Pública, ésta deberá garantizar la
integridad y el no repudio por ambas partes de los documentos electrónicos concernidos.

Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las
mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio
equivalente.

Para la identificación y la autenticación del ejercicio de la competencia en la actuación

administrativa automatizada, cada Administración Pública podrá determinar los supuestos de
utilización de los siguientes sistemas de firma electrónica:
 a) Sello electrónico de Administración Pública, órgano o entidad de derecho público, basado en
certificado electrónico que reúna los requisitos exigidos por la legislación de firma
electrónica.
b) Código seguro de verificación vinculado a la Administración Pública, órgano o entidad y, en
su caso, a la persona firmante del documento, permitiéndose en todo caso la comprobación
de la integridad del documento mediante el acceso a la sede electrónica correspondiente.
Desde el punto de vista técnico, este sistema funciona mediante la asignación de un código
único a cada documento emitido por la Administración, y el almacenamiento de una copia
en una base de datos documental.

La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las
características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública
y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas
adecuadas para facilitar la verificación de sus sellos electrónicos.

Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los
cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la
Administración u órgano en la que presta sus servicios. La firma electrónica basada en el
Documento Nacional de Identidad podrá utilizarse estos efectos.

Los documentos electrónicos transmitidos en entornos cerrados de comunicaciones establecidos

entre Administraciones Públicas, órganos y entidades de derecho público, serán considerados
válidos a efectos de autenticación e identificación. En todo caso deberá garantizarse la seguridad
del entorno cerrado de comunicaciones y la protección de los datos que se transmitan.

En el caso concreto de la Xunta de Galicia, y en aplicación de lo estipulado en la LAECSP, fue

aprobada la ORDEN de 25 de mayo de 2011 por la que se regula la tarjeta del personal al servicio
del sector público autonómico. Esta tarjeta sirva tanto para la identificación presencial del
empleado/a ante los ciudadanos como para permitir al personal y a la Administración acceder a las
prestaciones y servicios derivados del avance de las nuevas tecnologías y la implantación de la
Administración Electrónica.

La tarjeta tendrá las siguientes finalidades:

 a) Identificar y acreditar a su titular como personal al servicio del sector público autonómico,
en los ámbitos de la Administración general de la comunidad autónoma, y de las entidades
instrumentales.
b) El personal que desempeñe funciones de atención presencial al ciudadano deberá llevar, en
un lugar visible, la tarjeta.
c) La identificación electrónica de los empleados públicos.
d) Permitir el acceso a sistemas de información y áreas restringidas.
e) Mejorar el control del acceso a los edificios e instalaciones.
f) El seguimiento del cumplimiento del horario y jornada laboral por los empleados públicos,
facilitando el control de los supuestos de disminución y reducción de jornada, y la
implantación del horario flexible y el teletrabajo.

Las tarjetas deberán llevar la fotografía de su titular, su nombre y apellidos y el número del DNI con
el formato que se recoge en el anexo de la presente orden. A nivel tecnológico dispondrá de las
siguientes capacidades:

a) Chip criptográfico que permitirá el almacenamiento de varios certificados digitales (entre

ellos, el certificado para personal al servicio de las Administraciones Públicas y el
certificado de persona física).
b) Identificación por radiofrecuencia (chip RFID de cercanía) que permitirá el control de
acceso a lugares de acceso restringido y a instalaciones con acceso controlado mediante
elementos de impedimento de paso.
c) Banda magnética como contenedor de datos del profesional para su utilización en sistemas
de información que requieran de estos datos.

o ACREDITACIÓN Y REPRESENTACIÓN DE LOS CIUDADANOS.

En los supuestos en que para la realización de cualquier operación por medios electrónicos se
requiera la identificación o autenticación del ciudadano mediante algún instrumento de los previstos
de los que aquel no disponga, tal identificación o autenticación podrá ser válidamente realizada por
funcionarios públicos mediante el uso del sistema de firma electrónica del que estén dotados.

Para la eficacia de lo dispuesto en el apartado anterior, el ciudadano deberá identificarse y prestar su

consentimiento expreso, debiendo quedar constancia de ello para los casos de discrepancia o litigio.
Cada Administración Pública mantendrá actualizado un registro de los funcionarios habilitados para
la identificación o autenticación.

o FIRMA ELECTRÓNICA, INTERCAMBIO DE CERTIFICADOS, SELLADO

DE TEMPO (TIME-STAMPING).

 FIRMA ELECTRÓNICA

La  política de firma la Administración General del Estado representa el conjunto de criterios
comunes asumidos por esta Administración y sus organismos públicos vinculados o dependientes,
en relación con la firma electrónica.
- incluye las normas relativas a la firma electrónica, organizadas alrededor de los conceptos
de generación y validación de firma asociada a un contexto dado.
- permite reforzar la confianza en las transacciones electrónicas.
- define las reglas y obligaciones de todos los actores involucrados en un proceso de firma.
- permite determinar la validez de la firma electrónica para una transacción en particular.

 INTERCAMBIO DE CERTIFICADOS

Uno de los servicios horizontales de la Administración Electrónica mencionados anteriormente es el

SCSP, cuya finalidad es sustituir la presentación de certificados en papel ante una Administración
por una transmisión de datos entre el organismo que requiere los datos y el organismo que los
custodia y proporciona. El sistema tiene en cuenta la normativa referente a la protección de datos.

Actualmente están disponibles los siguientes datos que cumplen con la especificación de SCSP:
Identidad, residencia, situación de desempleo, títulos universitarios, títulos no universitarios, datos
catastrales, certificación catastral, importes de prestación de desempleo percibidos, estar al corriente
de pago de las obligaciones tributarias, consulta de deuda con la Seguridad Social, alta en la
Tesorería General de la Seguridad Social, certificado de Renta, domicilio fiscal, impuesto de
actividades económicas.

El funcionamiento del servicio es el siguiente:

- Petición de datos: el organismo peticionario identifica la solicitud, genera y envía firmado el
mensaje de petición completo.
 - Autorización de organismos: para cada petición el organismo emisor comprueba que el
organismo tramitador está autorizado para pedir esos datos.
- Validación del esquema de petición: el organismo emisor analiza el esquema XML del
mensaje de petición.
- Transmisiones emitidas: cada petición es guardada y tramitada en el organismo emisor.
Genera, firma, y almacena las respuestas a cada petición con el mismo identificador de la
petición.
- Transmisiones recibidas: el organismo peticionario valida, tramita y almacena cada una de
las respuestas recibidas.
- Conexión con el backoffice: incluye un módulo de conexión con el backoffice configurable
a medida del organismo.

Además de este proyecto, diferentes organismos como la AEAT, la DGT, o la DGP han
desarrollado o están desarrollando sus propios sistemas de intercambio telemático de información,
y firmando convenios de colaboración que permiten su uso con otras Administraciones.

 SELLADO DE TIEMPO

En el artículo 29.2 de la LAEPD se indica que: “Los documentos administrativos incluirán

referencia temporal, que se garantizará a través de medios electrónicos cuando la naturaleza del
documento así lo requiera". Las posibles referencias temporales que se pueden asociar a un
documento electrónico son:
a) Marca de tiempo: Asignación por medios electrónicos de la fecha y, en su caso, la hora a un
documento electrónico. La marca de tiempo será utilizada en todos aquellos casos en los que
las normas reguladoras no establezcan la utilización de un sello de tiempo.
b) Sello de tiempo: Asignación por medios electrónicos de una fecha y hora a un documento
electrónico con la intervención de un prestador de servicios de certificación que asegure la
exactitud e integridad de la marca de tiempo del documento.

AUTORIDAD DE SELLADO DE TIEMPO TS@

La Autoridad de Sellados de Tiempo (TSA) integrada en la plataforma de Validación y firma

electrónica (@firma) es una solución tecnológica que se centra en proporcionar servicios de sellado
de tiempo: emisión de sellos de tiempo, validación de sellos de tiempo y resellado. Los servicios de
la TSA están disponibles para todo Organismo o Entidad Pública perteneciente a las diferentes
Administraciones Públicas.

La TS@ es una plataforma de sellado de tiempo, sincronizada con la hora legal provista por el Real
Observatorio de la Armada, con las funcionalidades de sellado, validación y resellado de sellos de
tiempo. Mediante la emisión de un sello de tiempo sobre un documento, se generará una evidencia,
que determinará la existencia de ese documento en un instante determinado.

A través de la interfaz de validación, podrán validarse sellos de tiempo emitidos previamente,

pudiendo incluir una fecha de manera opcional para saber si en esa fecha dada el sello de tiempo era
válido. Si no se indica la fecha se validará con la fecha actual. Mediante la interfaz de resellado
podrá volver a sellar, sellos previamente emitidos.

Es una solución basada en software libre, estándares abiertos y en java. Desde el punto de vista
técnico, el funcionamiento habitual a la hora de utilizar los servicios de sellado de tiempo suele ser
el siguiente:
 La Administración firma el documento al que pretende adjuntar un sello de tiempo.
 La Administración envía a la TS@ dicho documento.
 La TS@ recibe el documento, incorpora la fecha y hora, y lo firma con su clave privada,
generando de esta manera un certificado o sello de tiempo.

o PAGO ELECTRÓNICO Y NOTIFICACIONES TELEMÁTICAS.

 PAGO ELECTRÓNICO

En la Administración, muchos servicios llevan asociado el pago de tasas, impuestos o precios

públicos, por lo que se hace necesario disponer de servicios de pago de distinto tipo. El
procedimiento más habitual es el de utilización de pasarelas de pago específicas de cada entidad
bancaria, o preferiblemente pasarelas de pago desarrolladas por la Administración para la
centralización de dicho proceso.

PASARELA DE PAGO DE RED.ES

La Entidad Pública Red.es ofrece el Servicio de Pago Telemático (SPT), que proporciona a los
administrados, organismos públicos y entidades financieras un mecanismo común, normalizado y
seguro que permite el pago electrónico de conceptos de deuda administrativa (tributos, precios
públicos, etc.) con todas las garantías jurídicas.
Los medios de pago que permite el servicio son tres: Cargo en cuenta, pago por tarjeta de crédito y
domiciliación.

PASARELA DE PAGOS DEL MINISTERIO DE POLÍTICA TERRITORIAL Y

ADMINISTRACIONES PÚBLICAS - AEAT

La pasarela de pagos pretende mejorar la disposición de la Administración del Estado para adoptar
el pago telemático en sus trámites.
Objetivo:
• Impulsar el pago electrónico en la Administración General del Estado.
• Facilitar la implantación del pago electrónico en los trámites que lo quieran.
• Aprovechar la experiencia y buenas prácticas de la AEAT, así como su infraestructura de
pago.

El proyecto tiene dos modelos de servicio claramente diferenciados. El Organismo colaborador

puede solicitar el que más se ajuste a sus necesidades:

i) Servicio “Mis pagos” centralizado en la web 060. Servicio de pago centralizado. El

organismo no necesita implantar nada en su infraestructura. El ciudadano, puede realizar el pago en
el servicio centralizado y presentar el justificante correspondiente con el NRC, en el Organismo
tramitador.
j) Librerías de pago: Servicio en el que se proporcionan unas librerías que se implantan en el
Organismo y que son utilizadas por las aplicaciones de gestión que lo requieren. Estas librerías se
integran con las aplicaciones, bien como un servicio web o como una librería java propiamente
dicha.

La seguridad para la autenticación e integridad de los datos se basa en el uso de firma digital
avanzada y comunicación HTTPS entre el Organismo y la AEAT, con certificado de servidor y
cliente. Además, el ciudadano tiene que firmar con su certificado digital los datos del pago que se
envían a la Entidad Financiera, cotejándose posteriormente esta firma en el banco con el propietario
de la cuenta o la tarjeta. Esto permite garantizar todo el ciclo de pago y mantener informados a
todos los actores del resultado del mismo en el instante.
Permite el pago mediante cargo en cuenta o tarjeta, si bien el ciudadano tiene que tener cuenta en el
banco que expide la tarjeta. Permite el pago a terceros. La plataforma de firma electrónica utilizada
es @Firma. El servicio de pago es proporcionado gratuitamente por las Entidades Financieras
colaboradoras en función de sus acuerdos de colaboración con la AEAT.

 NOTIFICACIONES TELEMÁTICAS

Las Administraciones Públicas utilizarán medios electrónicos en sus comunicaciones con los
ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el
consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos. Las
comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la
transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique
fidedignamente al remitente y al destinatario de las mismas.

Reglamentariamente, las Administraciones Públicas podrán establecer la obligatoriedad de

comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan
con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o
técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y
disponibilidad de los medios tecnológicos precisos.

Las Administraciones Públicas utilizarán preferentemente medios electrónicos en sus

comunicaciones con otras Administraciones Públicas.

El sistema de notificación permitirá acreditar la fecha y hora en que se produzca la puesta a

disposición al interesado del acto objeto de notificación, así como la de acceso a su contenido,
momento a partir del cual la notificación se entenderá practicada a todos los efectos legales.

Cuando, existiendo constancia de la puesta a disposición transcurrieran diez días naturales sin que
se acceda a su contenido, se entenderá que la notificación ha sido rechazada, salvo que de oficio o a
instancia del destinatario se compruebe la imposibilidad técnica o material del acceso.

Durante la tramitación del procedimiento el interesado podrá requerir al órgano correspondiente que
las notificaciones sucesivas no se practiquen por medios electrónicos.
Producirá los efectos propios de la notificación por comparecencia el acceso electrónico por los
interesados al contenido de las actuaciones administrativas correspondientes, siempre que quede
constancia de dichos acceso.

En respuesta a estas exigencias de la LAECSP, está disponible una plataforma desarrollada y

mantenida por la Sociedad Estatal de Correos y Telegrafos, denominada Sistema de Notificaciones
Telemáticas seguras. La Administración puede hacer uso de este servicio integrándolo en sus
sistemas informáticos a través del módulo SISNOT.

El Servicio de Notificaciones Electrónicas proporciona a cada ciudadano o empresa una Dirección

Electrónica Habilitada en la que recibir todas las notificaciones y comunicaciones de las
administraciones públicas. El servicio es gratuito para los ciudadanos y empresas. En un único
buzón podrá recibir todas las notificaciones y comunicaciones de la Administración.

Los agentes que intervienen en el Servicio son:

• El Ciudadano o empresa, que tienen el control de su dirección electrónica.
• El Ministerio de Política Territorial y Administración Pública, responsable de la Dirección
Electrónica Habilitada y del servicio
• Correos, el prestador que gestiona la entrega de las notificaciones al interesado
• El emisor, organismo responsable del trámite y competente de emitir la notificación al
interesado.

El funcionamiento del servicio consiste en:

• El ciudadano solicita un buzón seguro identificado mediante una Dirección Electrónica

Habilitada.
• El ciudadano selecciona, del Catálogo de procedimientos aquellos que para los que quiere
ser notificado electrónicamente con total seguridad y confidencialidad.
• El organismo emisor consulta el censo del procedimiento (aquellos ciudadanos que han
solicitado la notificación telemática de ese procedimiento).
• El organismo envía la notificación al prestador. El prestador verifica los datos y distribuye
las notificaciones en el buzón correspondiente, poniendo ésta a disposición del ciudadano.
Al mismo tiempo emite un aviso a la dirección de correo electrónico que ha facilitado o
mediante un mensaje corto a móvil SMS.
 • El ciudadano consulta su buzón y acepta o rechaza la notificación telemática, firmando la
aceptación o el rechazo de la notificación. La notificación se descarga en el ordenador del
interesado.
• El prestador almacena la aceptación, el rechazo firmada por le interesado o vencimiento de
plazo firmado por el prestador y entrega esta información de retorno al emisor.
El único requisito para el interesado identificarse a través de un certificado electrónico o DNIe.

Para facilitar la integración al servicio, existe un paquete denominado SISNOT, que es un sistema

intermedio que gestiona el ciclo de vida de las notificaciones emitidas por aplicaciones cliente y la
comunicación con el Servicio de Notificaciones Electrónicas; encargado de hacérselas llegar al
ciudadano
TEMA 16. DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN: MARCO DE
ACTUACIÓN. EUROPA 2020. AGENDA DIGITAL EUROPEA. PLAN AVANZA 2.

16.1.1. EUROPA 2020.

La Estrategia 2020 es el plan de crecimiento sostenible e inteligente diseñado por la Comisión

Europea para la próxima década, y puesto en marcha en marzo de 2010. En las siguientes líneas se
hace un resumen de las principales medidas, actuaciones y objetivos fijados para la próxima década.

1. Empleo: Aumentar la tasa de empleo de la población activa hasta el 75%.

2. Educación: Incrementar la calidad de todos los niveles de educación general de la UE. Reducir el % de
abandono escolar al 10%.
3. Innovación: Impulsar los niveles de inversión en I+D en toda la UE. hasta llegar al 3% del
PIB de la UE.
4. Energía e industria: Lograr una Europa que aproveche más eficazmente sus recursos.
Reducir las emisiones de carbono en un 20% respecto a los niveles de 1990.
5. Economía y finanzas: Evitar los proteccionismos nacionales.
6. Plataforma contra la pobreza: Reducir el número de europeos que viven por debajo de los
umbrales de pobreza en un 25%.

Las prioridades que se establecen en Europa 2020 son las siguientes:

• Crecimiento inteligente: Significa mejorar el rendimiento de la UE en materia de:

educación, investigación e innovación y sociedad digital.
• Crecimiento sostenible. crear una economía con bajas emisiones de carbono más
competitiva, que haga un uso eficiente y sostenible de los recursos,
• Crecimiento integrador: Es crecimiento integrador: aumentar el nivel de empleo en Europa:
más y mejores puestos de trabajo.
• Gobernanza económica. La gobernanza económica basa en tres elementos principales:
Reforzar la agenda económica con una supervisión más estrecha de la UE, salvaguardar la
estabilidad de la zona euro, y restauración del sector financiero

A estos ámbitos se destinan siete iniciativas emblemáticas. Dentro de cada iniciativa, tanto la
administración europea como las nacionales deben coordinar sus esfuerzos a fin de ayudarse
mutuamente
Actuaciones emblemáticas en el área del crecimiento inteligente:
1. Una agenda digital para Europa
 2. Unión por la innovación
3. Juventud en movimiento

Actuaciones emblemáticas en el área del crecimiento sostenible:

4. Una Europa que utilice eficazmente los recursos
5. Una política industrial para la era de la mundialización

Actuaciones emblemáticas en el área del crecimiento integrador:

6. Una agenda de nuevas cualificaciones y empleos
7. Plataforma europea contra la pobreza

16.1.2. LA AGENDA DIGITAL EUROPEA.

La finalidad genérica de la Agenda Digital es obtener los beneficios económicos y sociales

sostenibles que pueden derivar de un mercado único digital basado en una internet rápida y
ultrarrápida y en unas aplicaciones interoperables. La Agenda Digital propone medidas que es
preciso adoptar urgentemente para poner a Europa en la senda hacia un crecimiento inteligente,
sostenible e incluyente.

La Agenda Digital para Europa es una de las siete iniciativas emblemáticas de la estrategia Europa
2020, y su propósito es definir la función capacitadora esencial que deberá desempeñar el uso de las
tecnologías de la información y la comunicación (TIC) si Europa quiere hacer realidad sus
ambiciones para 2020.

El objetivo de esta Agenda es trazar un rumbo que permita maximizar el potencial económico y
social de las TIC, y en particular de internet, como soporte esencial de la actividad económica y
social: para hacer negocios, trabajar, jugar, comunicarse y expresarse en libertad.

La Comisión ha confeccionado la lista de los siete obstáculos más importantes. Por sí solos o
combinadamente, estos obstáculos socavan gravemente los esfuerzos realizados para explotar las
TIC, evidenciando la necesidad de una respuesta política global y unificada a nivel europeo. .

1. Fragmentación de los mercados digitales. Europa sigue siendo un mosaico de mercados

nacionales en línea.

2. Falta de interoperabilidad.

3. Incremento de la ciberdelincuencia y riesgo de escasa confianza en las redes

 4. Ausencia de inversión en redes

5. Insuficiencia de los esfuerzos de investigación e innovación

6. Carencias en la alfabetización y la capacitación digitales

7. Pérdida de oportunidad para afrontar los retos sociales.

La Agenda Digital para Europa estructura sus acciones clave en torno a la necesidad de abordar
sistemáticamente estos siete aspectos problemáticos, que como iniciativa horizontal abarca las tres
dimensiones de crecimiento establecidas en Europa 2020.

En la Agenda Digital se establecen ocho campos de actuación para dar respuesta a estos problemas,
dentro de los cuales de definen apartados más específicos y acciones clave.

16 UN MERCADO ÚNICO DIGITAL DINÁMICO

Afrontar estos problemas exige actuaciones en los campos que a continuación se enumeran:

d) Apertura de acceso a los contenidos

e) Simplificación de las transacciones en línea y transfronterizas

f) Crear confianza en el mundo digital

g) Reforzar el mercado único de servicios de telecomunicación.

17 INTEROPERABILIDAD Y NORMAS

Internet constituye el mejor ejemplo del potencial de la interoperabilidad técnica. Es preciso

potenciar aún más la interoperabilidad entre dispositivos, aplicaciones, repositorios de datos,
servicios y redes. Afrontar estos problemas exige actuaciones en los campos que a continuación se
enumeran:
 c) Mejorar el establecimiento de normas de TIC

d) Promover un mejor uso de las normas

e) Mejorar la interoperabilidad a través de la coordinación.

18 CONFIANZA Y SEGURIDAD

El derecho a la intimidad y a la protección de los datos personales constituye un derecho

fundamental en la UE que es preciso hacer aplicar eficazmente utilizando un amplio abanico de
métodos: desde la aplicación generalizada del principio de «privacidad a través del diseño» en las
tecnologías de TIC pertinentes, hasta las sanciones disuasorias cuando resulte necesario Una
aplicación rápida y efectiva del plan de acción de la UE para la protección de las infraestructuras
críticas de información y del Programa de Estocolmo generará una amplia gama de medidas en el
ámbito de la seguridad de las redes y de la información, así como en el de la lucha contra la
ciberdelincuencia. Por ejemplo, para reaccionar en tiempo real, debería establecerse en Europa una
red, amplia y con un buen funcionamiento, de equipos de respuesta a emergencias informáticas
(CERT), y también para las instituciones europeas. La cooperación entre los CERT y los
organismos policiales y judiciales es algo esencial, y debe promoverse un sistema de puntos de
contacto que ayude a prevenir la ciberdelincuencia y a reaccionar en caso de emergencias tales
como los ciberataques. A nivel más operativo, deberían proseguir las acciones sobre seguridad de la
información coordinadas internacionalmente y deberían emprenderse acciones conjuntas para
luchar contra la delincuencia informática, con el apoyo de una Agencia Europea de Seguridad de las
Redes y de la Información (ENISA) renovada.

19 ACCESO RÁPIDO Y ULTRARRÁPIDO A INTERNET

La estrategia Europa 2020 ha subrayado la importancia del despliegue de la banda ancha para
fomentar la inclusión social y la competitividad en la UE. Ha reafirmado el objetivo de poner la
banda ancha básica a disposición de todos los europeos a más tardar en 2013 y se propone que, para
2020, i) todos los europeos tengan acceso a unas velocidades de internet muy superiores, por
encima de los 30 Mbps, y que ii) el 50 % o más de los hogares europeos estén abonados a
conexiones de internet por encima de los 100 Mbps.
Fomentar el despliegue y la adopción de las redes de acceso de nueva generación (NGA) en una
gran parte del territorio de la UE, para hacer posibles conexiones ultrarrápidas de internet por
encima de los 100 Mbps.

Afrontar estos problemas exige actuaciones en los campos que a continuación se enumeran:

k) Garantizar la cobertura universal de la banda ancha con velocidades crecientes

l) Fomentar el despliegue de las redes NGA

m) Una internet abierta y neutral

20 INVESTIGACIÓN E INNOVACIÓN

Actuaciones en los campos que a continuación se enumeran:

22. Incrementar los esfuerzos y la eficiencia

23. Explotar el mercado único para impulsar la innovación en TIC

24. Iniciativas a favor de la innovación abierta lideradas por la industria

21 FOMENTAR LA ALFABETIZACIÓN, LA CAPACITACIÓN Y LA INCLUSIÓN DIGITALES

La competencia digital es una de las ocho competencias clave que resultan fundamentales para las
personas en una sociedad basada en el conocimiento. Además, las TIC no pueden funcionar con
eficacia como sector europeo en crecimiento y como motor de la mejora de la competencia y la
productividad en la economía europea si no se dispone de personal capacitado. Actuaciones en los
campos que a continuación se enumeran:

a) Alfabetización y capacitación digitales

b) Servicios digitales incluyentes

22 BENEFICIOS QUE HACEN POSIBLES LAS TIC PARA LA SOCIEDAD DE LA UE

Actuaciones en los campos que a continuación se enumeran:

 - Las TIC al servicio del medio ambiente

- Atención sanitaria sostenible y apoyo basado en las TIC para una vida digna y autónoma

- Promoción de la diversidad cultural y los contenidos creativos

- Administración electrónica

- Sistemas de transporte inteligentes a favor de un transporte eficiente y una movilidad mejor

23 ASPECTOS INTERNACIONALES DE LA AGENDA DIGITAL

La Agenda Digital europea se propone hacer de Europa un centro neurálgico del crecimiento inteligente, sostenible
e incluyente en la escena mundial. Los siete pilares de la Agenda Digital tienen, todos ellos, dimensiones
internacionales

El Acuerdo sobre Tecnologías de la Información (ATI) de 1997 ha producido resultados tangibles a

la hora de promover la adopción de la tecnología de la información en Europa y en el mundo.
También será necesario que el progreso tecnológico quede mejor reflejado en los acuerdos
comerciales internacionales en lo que se refiere al ámbito de los servicios digitales y la propiedad
intelectual.

APLICACIÓN Y GOBERNANZA

El éxito de la Agenda Digital depende de que las diferentes medidas del conjunto se ejecuten de
forma precisa y de acuerdo con la estructura de gobernanza prevista en Europa 2020. La Comisión
se propone:

1. Instituir un mecanismo de coordinación interno

2. Cooperar estrechamente con los Estados miembros, con el Parlamento Europeo y con todas
las partes interesadas.

3. Llevar un seguimiento de los avances de la Agenda Digital mediante la publicación anual,

en el mes de mayo, de un cuadro de indicadores.

4. Organizar un amplio debate entre las partes interesadas sobre los avances registrados, según
figuren en los cuadros de indicadores digitales.
 5. La Comisión presentará su informe al Consejo Europeo acerca de los resultados de estas
actividades en un Informe de situación anual.

OBJETIVOS CLAVE EN MATERIA DE RENDIMIENTO

1. Objetivos en materia de banda ancha:

 Banda ancha básica para todos en 2013.

- Banda ancha rápida para 2020: cobertura de banda ancha de 30 Mbps o superior para el
100 % de los ciudadanos.

- Banda ancha ultrarrápida para 2020: un 50 % de los hogares europeos deberán contar con
abonos por encima de los 100 Mbps.

2. Mercado único digital:

• Promoción del comercio electrónico: un 50 % de la población deberá efectuar

compras en línea para 2015.

• Comercio electrónico transfronterizo: un 20% de la población deberá efectuar

compras transfronterizas en línea para 2015.

• Comercio electrónico para las empresas: un 33 % de las PYME deberán efectuar
compras o ventas en línea para 2015.

• Mercado único de los servicios de telecomunicaciones: para 2015 la diferencia entre

las tarifas de itinerancia y las nacionales deberá aproximarse a cero.

3. Inclusión digital:

 Aumentar la utilización regular de internet de un 60 % a un 75 % en 2015.

 Disminuir a la mitad la parte de población que nunca ha usado internet para 2015 (hasta un
15 %).

4. Servicios públicos:

- Administración electrónica para 2015: Un 50 % de los ciudadanos utilizan la administración

electrónica, y más de la mitad de esa cifra cumplimentan formularios en línea.
 - Servicios públicos transfronterizos: En 2015 deberán estar disponibles en línea todos los
servicios públicos transfronterizos clave contenidos en una lista que acordarán los Estados
miembros en 2011.

5. Investigación e innovación:

 Fomento de la I+D en las TIC: Duplicación de la inversión pública a 11 000 millones de

euros.

6. Economía con baja emisión de carbono:

 Promoción del alumbrado con bajo consumo de energía: Reducción de al menos un 20 %
del consumo de energía en alumbrado para 2020.

16.1.3. PLAN AVANZA 2.

Avanza es el primer Plan que ha supuesto una verdadera apuesta real del Gobierno y del conjunto
de la Sociedad Española por el desarrollo de la Sociedad de la Información (SI) y del
Conocimiento. En este contexto, Avanza2 tiene como reto no ya tanto la dinamización de la oferta
como el fomento de la demanda.
Las iniciativas de Avanza2 se agrupan en cinco ejes de actuación:
1. Eje Capacitación: se presta especial atención al uso y la aceptación de las TIC y la
utilización de los servicios digitales por parte de los ciudadanos en riesgo de exclusión
digital. Por otro lado, se observa que el uso general de las TIC en las pequeñas empresas y
las microempresas.
Dentro de este eje, se establecen los siguientes programas:
a) En la línea de Capacitación Ciudadanía: Capacitación Tecnológica, Género, Mayores,
Personas con Discapacidad, Infancia, Otros Colectivos, Equipamiento y conectividad,
Inmigrantes.
b) En la línea de Capacitación PYME: Dinamización PYME, Soluciones sectoriales,
Formación y Equipamiento y conectividad.
2. Eje Contenidos y Servicios Digitales: Se pretende impulsar a la industria española
relacionada con la producción, gestión y distribución de contenidos digitales. Dentro de este
eje, se establecen los siguientes programas:
 En la línea de Contenidos: Contenidos Digitales y Centros del Conocimiento.
  En la línea de Servicios Digitales: Soluciones EELL, Ayuntamiento Digital, Ciudades
Digitales, Administración Electrónica de la Administración General del Estado,
Educación, Sanidad y Justicia.
3. Eje Desarrollo del Sector TIC: En este eje del Plan Avanza 2 se busca apoyar a empresas que
desarrollen nuevos productos, procesos, aplicaciones, contenidos y servicios TIC,
promoviendo, como prioridades temáticas básicas, la participación industrial española en la
construcción de la Internet del Futuro. Dentro de este eje, se establecen los siguientes
programas:
7 Fomento de Competitividad e Innovación.
8 Propiedad Intelectual.
9 Software Libre.
10 Promoción Tecnológica.
4. Eje Infraestructuras: El objetivo es disponer de unas infraestructuras de telecomunicaciones
adecuadas a las cambiantes necesidades siendo fundamentales para el desarrollo de la
sociedad de la información. Dentro de este eje, se establecen los siguientes programas:
 Banda Ancha.
 Telecentros.
 Televisión Digital Terrestre.

5. Eje Confianza y Seguridad: Dentro de este eje, se establecen los siguientes programas:
 Seguridad de la Información.
 DNI Electrónico.

ESTRATEGIA 2011-2015
Una de las principales contribuciones del Plan Avanza 2 es ayudar al cambio de modelo económico
de nuestro país a través de las TIC, ya que la generalización de su uso permite y permitirá un
incremento de la competitividad y la productividad, además de favorecer la igualdad de
oportunidades, dinamizando la economía y consolidando un modelo de crecimiento económico
sostenible.

La primera fase del Plan Avanza perseguía recuperar el retraso de España respecto de la Unión
Europea, especialmente en cobertura y conectividad. La Estrategia 2011-2015 del Plan Avanza 2
pretende situar a España en una posición de liderazgo en el desarrollo y uso de productos y
servicios TIC avanzados.
Tomando como punto de partida el Plan Avanza aprobado en el año 2005, así como el marco
europeo en el que se encuadran este tipo de iniciativas, se han identificado 34 retos concretos que
debe abordar España en el ámbito de las TIC. En este contexto, la Estrategia 2011-2015 del Plan
Avanza 2 consiste en centrar sus esfuerzos en la consecución de los siguientes 10 objetivos que
facilitarán la superación de los retos definidos:

1. Promover procesos innovadores TIC en las AAPP

2. Extender las TIC en la sanidad y el bienestar social
3. Potenciar la aplicación de las TIC al sistema educativo y formativo
4. Mejorar la capacidad y la extensión de las redes de telecomunicaciones
5. Extender la cultura de la seguridad entre la ciudadanía y las empresas
6. Incrementar el uso avanzado de servicios digitales por la ciudadanía
7. Extender el uso de soluciones TIC de negocio en la empresa
8. Desarrollar las capacidades tecnológicas del sector TIC
9. Fortalecer el sector de contenidos digitales garantizando la mejor protección de la propiedad
intelectual en el actual contexto tecnológico y dentro del marco jurídico español y europeo.
10. Desarrollar las TIC verdes.

Para la consecución de los 10 objetivos definidos, se han identificados más de 100 medidas
concretas que se deben articular, así como los indicadores de seguimiento que medirán su grado de
consecución.

La Estrategia 2011-2015 del Plan Avanza 2 consta de un texto base, en el que se destaca el papel de
las TIC en la economía y el crecimiento, los logros del Plan Avanza en su primera fase, el Marco
Europeo concretado en la Agenda Digital Europea 2010-2015 aprobada durante la Presidencia
Española, los principales retos de futuro en el ámbito de la Sociedad de la Información y los 10
objetivos que servirán para conseguir esos retos, y de un anexo en el que se recopilan las más de
100 medidas concretas que deben implementarse.

EVALUACIÓN Y SEGUIMIENTO

Para garantizar el éxito del Plan Avanza es fundamental asegurar la evaluación y seguimiento
permanente de las actuaciones que se realicen, valorando así la consecución de objetivos planteados
en cada una de las áreas de actuación. La documentación de evaluación y seguimiento disponible
en el sitio web del Plan Avanza es la siguiente:
 - Información Territorial
- Informe Plan Avanza España
- Informes Plan Avanza CC.AA.
- Informes Plan Avanza Provincia
- Información por Programas.
c) Informes Plan Avanza por Programas.
- Información Indicadores
- Indicador de Convergencia Plan Avanza.
- Indicadores de evolución de la Sociedad de la Información.
- Balance actuaciones SETSI.
- Información Internacional
g) Estudio del Plan Avanza por la OCDE.

Se puede encontrar toda la información necesaria sobre este tema en la dirección

http://www.planavanza.es
TEMA 17. INICIATIVAS DO GOBERNO GALEGO. OSIMGA. REDE CeMIT, PLAN DE
BANDA LARGA 2013. AXENDA DIXITAL 2014.gal. ESTRATEXIA DE IMPULSO DO
SECTOR TIC.

o OSIMGA
O Observatorio da Sociedade da Información e a Modernización de Galicia (OSIMGA) é un órgano
asesor para a valoración da evolución da Sociedade da Información, a Modernización
Administrativa e a Administración electrónica nas Administracións Públicas de Galicia, e para a
participación e colaboración coas distintas Administracións Públicas nestas materias

entre as súas funcións ten as de desenvolver ou promover estudos e análises de datos que permitan
coñecer o nivel de desenvolvemento, a tendencia e posibles problemáticas que poden afectar á
extensión da Sociedade da Información en Galicia e a aplicación do modelo de eGoberno nas
Administracións Públicas galegas. Así mesmo, o Observatorio analiza o estado de desenvolvemento
da Sociedade da Información para toda a cidadanía e, en especial, no que respecta aos colectivos en
risco de exclusión, promovendo liñas de actuación que potencien a súa incorporación e permanencia
en condicións de igualdade efectiva.

A web do OSIMGA (http://www.osimga.org/) é unha canle aberta de comunicación e difusión dos

datos, informacións, estudos e outros materiais elaborados polo Observatorio. Os principais
obxectivos do Observatorio son:

25. Desenvolver ou promover compilacións, estudos e análises de datos que permitan

coñecer cunha visión global o nivel de desenvolvemento, a tendencia e os posibles problemas
que afecten a extensión da sociedade da información en Galicia e á aplicación do modelo de
eGoberno nas Administracións Públicas galegas.
26. Facilitar análises comparativas e aliñacións de datos con outros marcos xeográficos.
27. Promover o intercambio de experiencias e información entre Administracións, con outros
observatorios, organismos ou entidades.
28. Impulsar a organización de eventos formativos, reunións de expertos ou grupos de
traballo.
29. Promover e xestionar a elaboración e difusión de publicacións técnicas, impresas ou
electrónicas, específicas e monográficas ou de publicación periódica.
30. Xestionar e ofrecer periodicamente e, como mínimo, a través dunha web específica,
información sobre o nivel de desenvolvemento da Sociedade da Información en Galicia, eventos
 formativos, noticias de actualidade, ou enlaces con outras fontes de información, observatorios
ou entidades.
31. Elaborar e presentar publicamente informes que reflictan o estado de situación ou a
evolución prevista.
32. Facilitar datos a outros organismos e entidades con competencias específicas na materia.
33. Analizar o estado de desenvolvemento da Sociedade da Información para toda a
cidadanía.
34. Avaliar e servir de elemento para a definición de políticas públicas en materia de
Sociedade da Información e modernización da Administración.

O Sistema de Indicadores da Sociedade da Información de Galicia é un conxunto de indicadores

estatísticos que permite monitorizar, dun xeito sintético, rigoroso e transparente, a evolución da
sociedade da información en Galicia, ofrecendo unha visión de conxunto da situación e do seu grao
de avance.

o REDE CeMIT
A Rede de Centros para a Modernización e a Inclusión Tecnolóxica (CeMIT) é unha iniciativa posta
en marcha pola Xunta da Galicia que busca impulsar as TIC e a Sociedade da Información na
comunidade galega. Esta rede forma parte da Axenda Dixital 2014.gal, enmarcada no Plan
Estratéxico Galicia 2010-2014 que ten como fin acadar a converxencia tecnolóxica con Europa no
horizonte do ano 2020.

A Rede CeMIT nace cos obxectivos estratéxicos de vertebrar territorial e socialmente Galicia, en
especial onde a fenda dixital se fai máis evidente, e impulsar, potenciar e difundo os coñecementos
nas tecnoloxías da información e a comunicación en tres colectivos principalmente: cidadanía,
profesionais TIC e empregados públicos. A Rede CeMIT ofrece un amplo abano de servizos que se
divide nos seguintes tres grandes bloques:
• FORMACIÓN
A Formación é un dos servizos principais que ofrecerá a nova rede a cidadáns, profesionais TIC,
empresas, empregados públicos e axentes territoriais a través de tres modalidades:
11 Formación presencial.
12 Formación en liña.
13 Tamén se contempla a formación mixta baseada no concepto de blended learning, é dicir, que
combina actividades presenciais, síncronas e en liña.
• ACTIVIDADES DE DIFUSIÓN
A organización de charlas e xornadas de sensibilización e divulgación das actividades da Rede, a
captación de usuarios e introdución a temas relacionados coas novas tecnoloxías.
• AULA ABERTA
Os centros da Rede tamén se converterán en “aulas abertas”, auténticos espazos nos que os seus
usuarios/as, dentro dun horario establecido, poderán acceder libre e gratuitamente á utilización das
aulas, para o que contarán co apoio e asesoramento dos axentes TIC.

A estratéxica localización das súas instalacións, ao longo de máis de 50 comarcas e 89 concellos,

favorece que calquera dos seus usuarios non deba percorrer grandes distancias para atopar unha
Aula CeMIT. Esta dispersión xeográfica permite garantir a correcta vertebración territorial e social
de Galicia.

CENTROS DE ALTA ESPECIALIZACIÓN: A ESCOLA GALEGA DE ADMINISTRACIÓN

PÚBLICA E O CENTRO DE NOVAS TECNOLOXÍAS DE GALICIA.
A Escola Galega de Administración Pública (EGAP), é un organismo público pertencente a Xunta
de Galicia, e a súa finalidade é deseñar e impartir o programa de formación destinado aos
empregados públicos de Galicia.
O Centro de Novas Tecnoloxías de Galicia (CNTG) contribúe activamente na formación e
capacitación dos profesionais TIC galegos a través de cursos especializados e certificacións
tecnolóxicas de primeiro nivel. Deste xeito, o CNTG orienta a súa actividade cara aos profesionais
dos sectores privado e público que demanden formación técnica de alto nivel relacionada co mundo
das novas tecnoloxías.

o PLAN DE BANDA LARGA 2013.

O Plan director de telecomunicación de banda larga busca garantir que as infraestruturas de
telecomunicacións conten coa capacidade necesaria para facer posible o acceso de todos os galegos
á sociedade da información. A Xunta de Galicia aprobou o 18 de febreiro de 2010 o Plan Banda
Larga de Galicia 2010-2013, que define a estratexia a seguir para alcanzar as seguintes metas:
14 Reducir o desequilibrio territorial proporcionando acceso á banda larga de calidade a toda a
poboación galega.
15 Impulsar a competitividade e innovación nas empresas proporcionando acceso á banda larga aos
sectores produtivos para extraer o máximo aproveitamento das novas tecnoloxías.
16 Modernizar os servizos públicos proporcionando acceso á banda larga a todos os núcleos con
puntos de demanda pertencentes á Administración.
ReDe – REXISTRO DE DEMANDANTES
ReDe é unha ferramenta de consulta que proporciona información sobre a cobertura de banda larga
alcanzada coas actuacións do Plan Banda Larga 2010-2013. Grazas a ReDe calquera cidadán pode
facer uso do seu navegador web habitual para obter información sobre a cobertura de banda larga
ou rexistrar demandas.

OFICINA TÉCNICA DO PLAN DE BANDA LARGA

A Oficina Técnica pon en marcha distintos servizos para apoiar o desenvolvemento das distintas
actuacións do Plan de Banda Larga, axilizando así a consecución dos seus obxectivos. Ditos
servizos agrúpanse segundo a súa índole en servizos de Xestión, Control e Seguimento das
actuacións do plan, así como, en servizos orientados á atención do cidadán en todo o referente aos
proxectos de despregamento de rede de banda larga derivados do Plan de Banda Larga.

o AXENDA DIXITAL 2014.gal

Galicia marcouse como obxectivo, dentro do actual marco establecido polo Plan Estratéxico Galicia
2010-2014, o reto de converxer co horizonte europeo para 2020. Deste Plan xorde a Axenda Dixital
de Galicia, como aposta pola definición dunha estratexia clara en materia de Sociedade da
Información, que nos permita competir como rexión no novo mercado único dixital europeo
definido pola Axenda Dixital para Europa.

Dentro do contexto da Axenda Dixital de Galicia, o último ano supuxo o arranque para iniciativas
básicas na creación de infraestruturas, como o Plan de Banda Larga ou o Centro de Proceso de
Datos Integral, e a aposta decidida pola Administración electrónica, impulsando o Decreto
198/2010, de 2 de decembro, polo que se regula o Desenvolvemento da Administración Electrónica
na Xunta de Galicia y nas entidades dela dependentes, desenvolvendo proxectos para a mellora de
servizos públicos dixitais e fomentando e divulgando o uso do TIC, como a rede CeMIT ou o
proxecto Abalar. As políticas deben estar plenamente aliñadas coa Axenda Dixital Europea para
chegar en condicións excelentes ao novo período de financiamento a partir de 2014.

O Plan Estratéxico Galicia 2010-2014 define un novo modelo socioeconómico que pretende unha
modernización para toda Galicia, que nos implique e inclúanos a todos. As novas tecnoloxías deben
servir como catalizadoras dos eixos marcados no Plan Estratéxico, como mecanismo facilitador da
cohesión social, da calidade de vida dos galegos, da xeración de emprego de calidade e como
impulsor dunha Administración austera, eficiente e próxima ao cidadán. Este reto ten como
resultado a Axenda Dixital de Galicia, que dá resposta á estratexia da Xunta de Galicia no emprego
das novas tecnoloxías.

Ademais do Plan Estratéxico Galicia 2010-2014, a nova Axenda tamén estará integrada con outros
plans estratéxicos, como o Plan Galego de I+D+i, co Plan de Banda Larga de Galicia, con Plans de
competitividade de diferentes sectores estratéxicos para Galicia (automoción, madeira, téxtil,
construción naval, enerxía, pedra e turismo) e coas Axendas Dixitais Locais que promoven o
desenvolvemento da Sociedade da Información nunha contorna máis próxima á cidadanía.

Para alcanzar o salto cualitativo implícito no reto que se plantexa Galicia establécense sete liñas
estratéxicas dentro da Axenda Dixital de Galicia:
L1. SERVIZOS PÚBLICOS DIXITAIS. A inclusión das TIC, para que se realice de forma axeitada,
leva consigo aparellado un cambio no modelo de Administración e na forma en que se prestan os
servizos públicos. Por todo iso dende a Xunta se puxo en marcha o plan eGoberno 2013, iniciativa
baixo a que se desenvolven todos os plans de modernización e mellora dos servizos públicos a
través das TIC.

L2. ADMINISTRACIÓN EFICIENTE. É obxectivo desta liña transformar a Administración

Pública Autonómica desde dentro, como usuaria do TIC, realizando accións de homoxeneización en
canto a estratexia tecnolóxica se refire e adoptando criterios de economía de escala que permitan a
redución de custos e mellora dos servizos prestados. Existen modelos para manter e mellorar o
papel do TIC dentro da organización e, en xeral, a incorporación do TIC na actividade da
Administración melloran a calidade de vida do cidadán, proporcionando ferramentas eficaces para a
redución de tempos e custos. Débense tomar medidas de austeridade e racionalidade do gasto TIC a
través de dúas grandes accións: a centralización da función de compras de activos e servizos TIC e a
consolidación contratos en servizos agregados de maior volume. A Xunta de Galicia lanzou unha
iniciativa para a promoción, difusión e fomento da utilización de tecnoloxías baseadas en software
libre e fontes abertas.

L3. CIDADANÍA DIXITAL. Galicia quere ser un país cohesionado cuxos cidadáns e cidadás sexan
competentes tanto para utilizar contidos e servizos dixitais avanzados como, especialmente, para
colaborar activamente na súa creación e desenvolvemento. Nesa tarefa o TIC abordan un papel
dobre: por unha banda, ser un medio valioso para a aprendizaxe permanente ao longo da vida e, por
outro, ser unha área en avance que esixe e facilita a mellora constante das competencias individuais.
L4. IMPULSO AO SECTOR DA ECONOMÍA DO COÑECEMENTO. O Plan Estratéxico 2010-
2014 e a nova Axenda Dixital de Galicia fan un recoñecemento da importancia do sector TIC para
contribuír á dinamización e a aumentar a competitividade da economía rexional, calidades que o
converten non só nun sector estratéxico, senón nun sector que actúa como motor do resto de
sectores estratéxicos de Galicia, impulsando un novo modelo produtivo baseado na economía do
coñecemento.

L5. EMPRESA INNOVADORA E ECONOMÍA DIXITAL. É preciso que as empresas galegas,

especialmente pemes e microempresas, sexan capaces de utilizar as TIC para ser máis eficientes,
aumentar a súa produtividade e innovar. Ademais, as TIC ofrecen unha gran oportunidade para que
pequenas e medianas empresas poidan competir en mercados até agora inaccesibles. As TIC
preséntanse como a grande oportunidade das empresas galegas, sen exclusión por tamaño ou sector,
de optimizar a súa competitividade no mercado e de innovar tanto no desenvolvemento de novos
produtos e servizos, como na súa propia operativa, acadando maiores competencias e contribuíndo
ao crecemento económico sostible da sociedade galega.

L6. POLÍTICAS DE TELECOMUNICACIÓNS. As infraestruturas de telecomunicacións

constitúen a canle de acceso de cidadáns e empresas aos servizos avanzados da Sociedade da
Información, e é por iso que resulta necesario dispor dunha rede destas infraestruturas moderna e
sustentable que garanta o acceso a novos servizos e que contribúa así ao desenvolvemento
económico e ao progreso do noso país.

L7. MEDIDAS INSTRUMENTAIS DE SEGUIMENTO E COOPERACIÓN. Nesta liña, a Xunta

de Galicia como elemento dinamizador do sector TIC rexional pretende establecer unha política de
austeridade e simplificación de estruturas organizativas, de tal forma que se transforme nunha
Administración áxil, de confianza e segura. Na presente lexislatura, a aparición da Secretaría Xeral
de Modernización e Innovación Tecnolóxica (SXMIT) constituíu un punto de inflexión na
orientación das políticas TIC da Xunta, no sentido de que supoñía a constatación de que estas
determinan un instrumento de alto nivel estratéxico polo seu potencial para impulsar a
modernización da Administración Pública, así como a súa capacidade para impulsar e sustentar o
desenvolvemento social e económico de Galicia. A SXMIT integrou unha grande cantidade de
competencias co obxecto de que se facilite o desenvolvemento dunha estratexia tecnolóxica eficaz
da Xunta e postúlase como o embrión dun novo Modelo de Xestión das políticas tecnolóxicas para a
Administración Autonómica
O Consello da Xunta de Galicia que tivo lugar o 21 de xullo de 2011 aprobou o Plan de posta en
marcha da Axencia de Modernización Tecnolóxica de Galicia (AMTEGA) co obxectivo de
consolidar un modelo de xestión integrado das TIC na Administración autonómica. A creación da
Axencia permitirá unha maior eficiencia e unha redución de gasto ao integrar os servizos
tecnolóxicos dos distintos departamentos da Xunta baixo unha mesma dirección.

o ESTRATEXIA DE IMPULSO DO SECTOR TIC

O sector das Tecnoloxías da Información e da Comunicación está a converterse nunha das áreas
produtivas claves no desenvolvemento económico e social de Galicia, pola súa condición de
acelerador do cambio tecnolóxico e polo seu carácter transversal ao resto de sectores.

O sector empresarial das TIC ocupa unha posición estratéxica pola súa capacidade de xeración de
emprego. O nivel de emprego no sector TIC situouse no ano 2009 nos 16.327 traballadores/as, o
que representa o 1,59% da poboación ocupada galega. A evolución da ocupación neste sector
mostra un continuo crecemento nos últimos anos.

O peso deste segmento empresarial tamén se reflicte claramente na súa contribución ao impulso e
desenvolvemento da I+D. No ano 2008, o 45,6% das empresas galegas do sector dispoñían de
persoal con dedicación relacionada coa I+D e un 37,1% realizou proxectos de I+D+i no último ano.

LIÑA TRAMSFORMA TIC

Nesta contorna, 2014.gal Axenda Dixital de Galicia definiu unha liña de impulso ao sector da
economía do coñecemento co obxectivo de convertelo nun sector que sexa capaz de dar soporte á
competitividade de Galicia e que se consolide coma un sector de peso na economía galega. 2014.gal
persegue a consecución duns obxectivos, a través desta liña:
 Consolidar un hipersector TIC competitivo, innovador e xerador de emprego cualificado,
que se converta en sector estratéxico para a economía galega.
 Que ese sector sexa cohesionado e integrador. Que actúe tamén como motor do resto de
sectores estratéxicos de Galicia.
 A creación dunha clase emprendedora e creativa estimulada por ese hipersector TIC.

MAPA DE CAPACIDADES TECNOLÓXICAS DE GALICIA.

A Xunta de Galicia está a poñer en marcha, como unha das actuacións dentro da estratexia de
impulso do sector TIC, un programa de demanda temperá de tecnoloxía innovadora. Este programa
promoverá a identificación de solucións tecnolóxicas innovadoras que acheguen vantaxes
competitivas ás Administracións Públicas e, por tanto, permitan contar con cada vez mellores
servizos públicos que dean soporte ás necesidades dos cidadáns e empresas de Galicia.

Como primeira actividade dentro deste programa, e dentro do ámbito socio-sanitario, elaborouse o
mapa de capacidades tecnolóxicas de Galicia. O mapa inclúe a experiencia e coñecementos
tecnolóxicos, ademais de información detallada de numerosos proxectos, de todos os grupos de
investigación TIC de Galicia que desenvolven o seu traballo no ámbito mencionado e de diferentes
centros tecnolóxicos galegos ademais do sector empresarial.

LIÑA EconomiC-IT
As TIC son a grande oportunidade das empresas galegas para facer fronte a eses retos, pois
melloran a eficiencia das empresas e facilitan a innovación. Sen embargo, en Galicia o nivel de
dotación e uso das TIC nas micropemes, conforman a maior parte do tecido empresarial en Galicia,
esta lonxe de converxer coa media europea. Existe una profunda fenda entre as pemes e as
micropemes. Estas ultimas presentan un preocupante desinterese pola oferta tecnolóxica,
seguramente producido polo descoñecemento. Nesta contorna, 2014.gal Axenda Dixital de Galicia,
definiu unha liña estratéxica “Empresa innovadora e Economía Dixital” co obxectivo de promover a
Sociedade da Información no tecido empresarial galego. Máis concretamente, os obxectivos
estratéxicos que persegue a Axenda Dixital a través da definición desta liña son os seguintes:
 Contribuír a creación de emprego e ao crecemento económico sostible de Galicia creando un
novo modelo produtivo.
 Facer máis competitivos os sectores estratéxicos de Galicia mediante as incorporacións das
TIC aos seus modelos de negocio (automoción, construción naval, enerxía, téxtil)
 Facilitar a incorporación das micropemes e autónomos á Sociedade da Información,
reducindo a fenda dixital para converxer con España e Europa.

A figura do titor tecnolóxico asociado a rede CeMIT xogará un papel moi importante, axudando a
coñecer a situación das empresas identificando cales son as súas necesidades concretas.

CENTRO DEMOSTRADOR TIC DE GALICIA

O Centro Demostrador TIC de Galicia é o instrumento operativo enmarcado no eixo de actuación

economIC-T: “Empresa DIXITAL E INNOVADORA” da Axenda Dixital 2014.gal. A misión do
Centro é facilitar ás empresas TIC os medios para acercar a súa oferta de produtos ás empresas
doutros sectores produtivos, de forma que poidan desenvolver produtos adaptados ás necesidades de
mercado, con dous obxectivos: incrementar a demanda de produtos TIC e adaptar esta demanda ás
necesidades de innovación dos sectores estratéxicos.
Tema 18. Modelo entidad-relación. Modelo relacional. Normalización
18.1.- MODELO DE DATOS
Los modelos de datos son herramientas de abstracción que permiten representar la realidad
captando las restricciones semánticas que en ella se puedan dar.
Esta representación se concibe en dos niveles: el de las estructuras que hacen posible la
representación de la información, y el de la información en sí misma.
Esto nos lleva a diferenciar entre lo que se denomina el esquema de la base de datos (descripción
específica en términos de un modelo de datos) y la colección de datos en sí misma que es lo que
denominamos base de datos.
Según el nivel de abstracción que apliquemos, podemos hablar de tres tipos de modelos de datos:

·        Modelo conceptual. Describe los tipos o clases de objetos desde un punto de vista
estructural. Para cada uno de estos tipos de objetos describe sus propiedades y el dominio y
restricciones de cada una, así como las relaciones entre ellos. (Modelo Entidad/Relación).
·        Modelo lógico. Representa el problema bajo las restricciones específicas del tipo de
Sistema Gestor de Base de Datos (SGBD) que se aplique en cada caso específico. (Modelo
Relacional para el caso de los SGBD Relacionales).
·        Modelo físico. Representa el problema desde el punto de vista de su implementación en el
sistema de tratamiento utilizado y los métodos y mecanismos que se van a usar en su
almacenamiento.

La representación de un mundo real mediante un determinado modelo da lugar a un esquema, el

cual describe las categorías existentes.  Por tanto las propiedades del mundo real son de dos tipos:

·         Estáticas relativamente invariantes en el tiempo, que es lo que se suele conocer como

estructuras. Este tipo de propiedades está compuesto por:
o       Elementos permitidos como: los objetos (entidades, relaciones, registros, …), asociaciones
entre objetos, propiedades de los objetos y asociaciones (atributos, elementos de datos, …),
dominios (conjuntos de valores que pueden tomar las propiedades).
o       Elementos no permitidos o restricciones.  Las restricciones impuestas por el modelo se
conocen como restricciones inherentes. Las restricciones que permiten capturar la semántica
del universo de discurso que se quiere modelar y verificar la corrección de los datos
almacenados en la base de datos se conocen como restricciones de integridad o
semánticas.  Las restricciones de integridad son impuestas por el usuario, mientras que las
restricciones inherentes son impuestas directamente por el modelo.
·         Dinámicas Son las operaciones que se aplican a los datos o valores almacenados en las
estructuras, los cuales varían a lo largo del tiempo.

La componente estática de un modelo de datos se define a través del lenguaje de definición de datos (DDL) y la
componente dinámica se define a través del lenguaje de manipulación de datos (DML), constituyendo ambas
componentes el lenguaje de datos. También se puede mencionar el lenguaje de control de datos (DCL) que añade una
capa de seguridad.

18.2.- MODELO ENTIDAD - RELACIÓN (E-R)

Propuesto por Peter Chen en dos artículos (1976 y 1977). El modelo se apoya en dos conceptos, el
concepto de entidad y el concepto de relación. 
El modelo E/R percibe el mundo real como una serie de objetos relacionados entre sí y pretende
representarlos gráficamente mediante un mecanismo de abstracción basado en una serie de
símbolos, reglas y métodos que permitirán representar los datos de interés del mundo real,
ofreciendo al diseñador una herramienta para aislar al modelo de consideraciones relativas a la
máquina y a los usuarios. Este modelo de datos permite representar casi cualquier restricción del diseño de datos

18.2.1 PARTE ESTÁTICA DEL MODELO E/R

Chen distingue en el modelo E/R los siguientes elementos: Entidad, Relación, Atributo y Dominio.

18.2.1.1 Entidad
Una entidad es un objeto real o abstracto de interés en una organización y acerca del cual se puede y
se quiere obtener una determinada información.

La estructura genérica que describe un conjunto de entidades aplicando la abstracción se

denomina tipo de entidad, mientras que entidad se refiere a cada una de las ocurrencias o ejemplares
de ese tipo de entidad. 

Una entidad debe cumplir las siguientes reglas:

·        Debe tener existencia propia

·        Cada ocurrencia de un tipo de entidad tiene que poder distinguirse de los demás
·        Todas las ocurrencias de un mismo tipo de entidad deben tener las mismas propiedades o
atributos

Una entidad se representa gráficamente en el modelo E/R mediante un rectángulo y en el interior

del mismo se escribe en mayúsculas el nombre del tipo de entidad.

ENTIDAD
 

Existen dos tipos de entidades:

·        Regulares: sus ejemplares tienen existencia por sí mismos.

·        Débiles en las que la existencia de un ejemplar depende de que exista un cierto ejemplar
de otro tipo de entidad. 
18.2.1.2 Relación o Interrelación
Una interrelación es una asociación entre entidades. Se representa gráficamente por un rombo
etiquetado con el nombre de la interrelación en mayúsculas unido mediante arcos a las entidades
que vincula. Asociado al concepto de interrelación surge el concepto de ocurrencia de
interrelación. Una ocurrencia de interrelación es la asociación concreta de ocurrencias de entidad de
diferentes entidades. 

Una interrelación queda caracterizada por tres propiedades:

·        Nombre: las interrelaciones deben tener un nombre que las identifique unívocamente.
·        Grado: número de tipos de entidad sobre las que se realiza la asociación. 
·        Tipo de Correspondencia: Número máximo de ocurrencias de cada tipo de entidad que
pueden intervenir en una ocurrencia del tipo de interrelación.

Las relaciones pueden tener atributos propios.

18.2.1.3. Dominio
Representa el conjunto de valores posibles de una determinada propiedad. Se puede decir que el
dominio es un conjunto de valores homogéneos con un nombre. Tienen existencia propia y captura
una semántica del mundo real. 

18.2.1.4 Atributos
Es cada una de las propiedades o características de un tipo de entidad o tipo de interrelación. Los
atributos toman valor en un dominio y varios atributos pueden tomar valores en el mismo dominio.
Se distinguen dos tipos de atributos:

·        Atributo identificador clave: distingue de manera única una ocurrencia de entidad del
resto de ocurrencias de entidad. Normalmente, el atributo identificador es único, pero puede
haber casos en los que haya varios atributos identificadores, por lo que denominaremos a
cada uno de ellos atributo identificador candidato. Elegiremos uno como identificador
clave y el resto serán atributos identificadores alternativos.
·        Atributo descriptor: caracteriza una ocurrencia de entidad pero no la distingue del resto
de ocurrencias de entidad.

18.2.2 PARTE DINÁMICA DEL MODELO E/R

18.2.2.1 Tipo de correspondencia

Se puede definir el tipo de correspondencia como el número máximo de ocurrencias de una entidad
asociada a una ocurrencia de otra o de la misma entidad a través de una relación. Para una relación
binaria, es decir, de grado dos, entre las entidades A y B, existen tres tipos posibles de
correspondencias:
 ·        Correspondencia 1:1 Una ocurrencia de la entidad A se asocia como máximo con una
ocurrencia de la entidad B y viceversa   

·        Correspondencia 1:N  Una ocurrencia de la entidad A se asocia con un número

indeterminado de ocurrencias de la entidad B, pero una ocurrencia de la entidad B se asocia
como máximo con una ocurrencia de la entidad A. 
·        Correspondencia N:M Una ocurrencia de la entidad A se asocia con un número
indeterminado de ocurrencias de la entidad B y viceversa.

18.2.2.2 Entidades Débiles

Esta restricción establece el hecho de que la existencia de una entidad no tiene sentido sin la
existencia de otra, es decir, una entidad tiene dependencia de existencia de otra cuando sin la
primera la segunda carecería de sentido. Se representan gráficamente por dos rectángulos
concéntricos y en el interior el nombre de la entidad. 

ENTIDAD DEBIL

 Hay dos tipos de dependencias de las entidades débiles respecto a las entidades regulares:
Dependencia en existencia los ejemplares de la entidad débil no pueden existir si  
desaparece el ejemplar de la entidad regular con el que están relacionados.
 
Por identificación la entidad débil no tiene sentido en sí misma y no puede ser
identificada sin la entidad fuerte relacionada.
 

1.      La dependencia en existencia no implica una dependencia en identificación, hecho que si

sucede en el caso inverso pues una entidad que depende de otra por su Atributo Clave no
tendrá sentido sin la existencia de esta última.
2.      En una interrelación con cardinalidad N:M nunca habrá entidades débiles. 

18.2.2.3. Papel o rol

Es la función que cada una de las entidades realiza en una interrelación concreta.  
18.2.2.4 Atributos multivaluados y compuestos
Atributos multivaluados. Son aquellos atributos que para una misma ocurrencia de la
entidad toman más de un valor.
Atributos Compuestos. Son aquellos que agrupan en sí mismos, por afinidad o por
forma de uso, más de un atributo. 
  
18.2.2.5 Atributos Derivados
Son aquellos que pueden calcularse a partir de otros. 
 18.3.- MODELO ENTIDAD RELACIÓN EXTENDIDO
18.3.1 CARDINALIDAD
El concepto cardinalidad, también denominado “clase de pertenencia”, permite especificar si todas las ocurrencias de
una entidad participan o no en la interrelación establecida con otra(s) entidad(es)
Podemos definir la Cardinalidad de un tipo de Entidad como el número mínimo y máximo de
ocurrencias de un tipo de entidad que pueden estar relacionadas con una ocurrencia del otro tipo de
entidad que participan en el tipo de interrelación.
Su representación gráfica es una etiqueta del tipo (0,1), (1,1), (0,n) ó (1,n) según corresponda.
 18.3.2 JERARQUÍA SUBCONJUNTO
 La interrelación que se establece entre un supertipo y sus subtipos corresponde a la noción de “ES-
UN” ( IS-A) o más exactamente “es un tipo de”. Para su representación se utiliza un triángulo
invertido, con la base paralela al rectángulo que representa el supertipo. El concepto jerarquía
Subconjunto establece que una entidad A es un subconjunto de otra entidad B cuando toda
ocurrencia de la primera también es una ocurrencia de la segunda, y lo contrario no tiene por qué
ser cierto. La entidad subconjunto puede tener atributos, además de tener los atributos de la entidad genérica, pero
siempre las entidades subconjunto se encuentran identificadas por la clave de la entidad genérica
Características:

·        Toda ocurrencia de un subtipo es una ocurrencia del supertipo.

·        Todo atributo del supertipo pasa a ser un atributo de los subtipos.

18.3.3 GENERALIZACIÓN
Se tendrá una jerarquía de generalización cuando la entidad genérica se divida en una serie de
entidades en función del valor que tome un determinado atributo de la entidad genérica.
La generalización tiene dos restricciones semánticas asociadas:

·        Totalidad si todo ejemplar del supertipo tiene que pertenecer a algún subtipo. El caso
contrario se llama Parcialidad.
·        Solapamiento si un mismo ejemplar del supertipo puede pertenecer a más de un subtipo.
El caso contrario se llama Exclusividad.

18.3.4 TIPOS DE RELACIONES

A. RELACIONES REFLEXIVAS Son interrelaciones en las que interviene un único tipo de entidad
(unarias).
B. INTERRELACIONES CON RESTRICCIONES DE EXCLUSIVIDAD. Dos interrelaciones que
implican a un mismo tipo de entidad participan de una restricción de exclusividad si los ejemplares
de esa entidad pueden participar de una u otra interrelación, pero no de ambas.
C. INTERRELACIONES CON RESTRICCIONES DE EXCLUSIÓN. Dos interrelaciones entre los
mismos dos tipos de entidad son exclusivas si un ejemplar del primer tipo de entidad y otro
ejemplar del segundo tipo de entidad sólo pueden estar relacionados por una de las dos
interrelaciones, nunca por ambas simultáneamente.
D. INTERRELACIONES CON RESTRICCIONES DE INCLUSIVIDAD. Son dos interrelaciones
que implican a un mismo tipo de entidad, en las que los ejemplares de la entidad tienen que haber
participado de una interrelación con una cardinalidad determinada para poder participar de la otra.
E. INTERRELACIONES CON RESTRICCIONES DE INCLUSIÓN. Son aquellas que se
establecen entre los mismos dos tipos de entidad y que restringen una interrelación entre dos
ejemplares de cada una de las entidades a la vinculación de esos dos mismos ejemplares a través de
la otra interrelación.
F. AGREGACIÓN. Es un tipo especial de interrelación que permite representar tipos de entidad
compuestos que se forman a partir de otros más simples. Existen dos clases de agregaciones

Compuesto/Componente El supertipo de entidad se obtiene por la unión de los

subtipos. 

Miembro/Colección: El supertipo de entidad es una colección de elementos de un

mismo subtipo. 

18.3.5 Control de redundancias

Un elemento de un esquema es redundante si puede ser eliminado sin pérdida de semántica. Existen dos formas
principales de redundancia: en atributos y relaciones. La existencia de un ciclo no implica la existencia de
interrelaciones redundantes.
18.3.6 Dimensión temporal
Es necesario establecer un método semántico y gráfico que recoja de algún modo, en el esquema conceptual, el
transcurso del tiempo y su influencia en la forma en que cambian los datos. Existen varias aproximaciones: La más
simple la constituyen los atributos de tipo fecha asociados a algunas entidades o interrelaciones, cuando es necesario
representar la evolución de un tipo de entidad a lo largo del tiempo se utiliza un atributo de estado (muchas veces con
fecha de estado)
 18.4.- MODELO RELACIONAL
Es un modelo lógico de datos, desarrollado por Codd, que introdujo la teoría matemática de las
relaciones en el campo de las BD.  Codd propone un modelo donde los datos se estructuran
lógicamente en forma de relaciones –tablas-, siendo un objetivo fundamental del modelo mantener
la independencia de esta estructura lógica respecto al modo de almacenamiento y a otras
características de tipo físico (independencia de ordenación, indexación y de los caminos de acceso). Objetivos :
Independencia lógica, Independencia física, Flexibilidad, Uniformidad, Sencillez .
18.4.1 ELEMENTOS

1.      Relación. Es el elemento central del modelo relacional. Son matrices bidimensionales

(tablas) caracterizadas por un nombre, un conjunto de atributos (dimensión vertical de la tabla
= columnas) y un conjunto de tuplas (dimensión horizontal = filas).
Cada tupla está formada por el conjunto de valores que toma cada uno de los atributos para un
elemento de la relación.
En las relaciones podemos hablar de dos componentes:
·        Intensión es la parte definitoria y estática de la relación. Es lo que llamaremos esquema de
relación.
 ·        Extensión es el conjunto de tuplas que satisfacen el esquema de relación en un instante
dado y se encuentran almacenadas en la base de datos. Varía con el transcurso del tiempo.
Al número de tuplas de una relación en un instante dado se le denomina cardinalidad de la
relación, y normalmente varía con el transcurso del tiempo. Al número de columnas o atributos
se le denomina grado de la relación.
2.      Dominio. Es el conjunto definido, finito y homogéneo de los valores atómicos posibles de un
determinado atributo. Los dominios pueden estar definidos por intensión (conjunto definido
mediante una serie de reglas abstractas) o por extensión (conjunto finito de valores posibles).
3.      Claves de una relación. Hay varias clases de claves
·         Clave candidata Cada uno de los conjuntos mínimos de atributos que identifiquen sin
ambigüedad y de forma única cada una de las tuplas de una relación.
·         Clave primaria o principal De entre todas las claves candidatas de una relación, en la
definición del esquema se deberá especificar cuál de ellas se considera como identificador
primario. Al resto de las claves candidatas se les denominará claves alternativas.
·         Claves foráneas o claves ajenas son el conjunto de atributos de una relación que se
corresponden con la clave primaria de otra relación del modelo. 

18.4.2 RESTRICCIONES

Distinguimos entre restricciones inherentes (propias del modelo) y restricciones semánticas (de
usuario).
Restricciones inherentes

1.      No se define ningún orden en los elementos que forman una relación, ni en el sentido
horizontal (tuplas) ni en el vertical (atributos). El orden es siempre irrelevante.
2.      En toda relación es obligatoria la existencia de la clave primaria, y por tanto no puede haber
dos tuplas iguales.
3.      Cada atributo de una tupla sólo puede tomar un único valor del dominio sobre el cual está
definido.
4.      Regla de integridad de clave o entidad: ninguno de los atributos que forman parte de una
clave primaria de una relación puede tomar un valor nulo.

Restricciones semánticas

1.      Declaración de Clave primaria (PRIMARY KEY): Permite declarar un atributo o un conjunto

de atributos como clave primaria de una relación.
2.      Unicidad (UNIQUE): indica que los valores de un atributo (o conjunto) no pueden repetirse en
una relación. 
3.      Obligatoriedad (NOT NULL) , indica que un atributo (o conjunto) no admite nulos.
4.      Integridad referencial (restricción de clave ajena): permiten que las claves foráneas de una
relación referencien una tupla válida de la relación padre. Las operaciones que deben llevarse a
cabo cuando se produce el borrado o modificación de una tupla en la relación padre son:
 ·        Borrado/modificación en cascada (CASCADE). 
·        Borrado / modificación restringido (NO ACTION). 
·        Borrado / modificación con puesta a nulos (SET NULL). 
·        Borrado / modificación con puesta a un valor por defecto (SET DEFAULT). 
5.      Restricciones de verificación (CHECK). Especifican condiciones que deben cumplir los
valores de determinados atributos de una relación.
6.     Aserciones (ASSERTION). Permiten especificar condiciones entre los elementos de distintas
relaciones del esquema.
7.    Disparadores (TRlGGER). Permiten especificar condiciones y acciones que se lleven a cabo
cuando se efectúe una acción determinada sobre alguna relación del esquema

18.5.- NORMALIZACIÓN DE RELACIONES.

El proceso de normalización de bases de datos consiste en aplicar una serie de reglas a las

relaciones obtenidas tras el paso del modelo E-R al modelo relacional. Las bases de datos
relacionales se normalizan para:

 Evitar la redundancia de los datos.

 Evitar problemas de actualización de los datos en las tablas.

 Proteger la integridad de los datos.

Existen seis formas normales. Las tres primeras en la mayor parte de los casos son suficientes para
normalizar los esquemas de relación.
1. Primera Forma Normal (1FN).
Se dice que una relación está en 1FN cuando cada atributo sólo toma un valor del dominio simple
subyacente. Es decir, cada atributo tiene asociado un dominio del cual sólo toma un valor en cada
tupla.
2. Segunda Forma Normal (2FN).
Se dice que una relación está en 2FN si está en 1FN y cada atributo no principal de la relación tiene
dependencia funcional completa respecto de la clave primaria de esa relación, esto es, el valor de
los atributos no principales de la relación viene determinado por el valor de todos los atributos de la
clave.
3. Tercera Forma Normal (3FN).
Una relación R satisface la tercera forma normal (3FN), si y sólo si está en 2FN, y, cada atributo no
principal (atributo que no forma parte de la clave) de la relación no depende funcionalmente de
otros atributos no principales de esa relación. Es decir, no pueden existir dependencias transitivas
entre los atributos que no forman parte de la clave primaria de la relación R.
4. Forma Normal de Boyce-Codd (FNBC).
Es una redefinición más estricta de la 3FN y se basa en el concepto de determinante funcional. Una
relación R satisface la forma normal de Boyce-Codd (FNBC) si, y sólo si se encuentra en 1 FN, y
cada determinante funcional es una clave candidata de la relación R, esto es, ningún atributo facilita
información de otro atributo que no es clave candidata.
5. Cuarta Forma Normal (4FN)
Está basada en la eliminación de las dependencias multivaluadas. 
6. Quinta Forma Normal (5FN).
Está basada en la eliminación de las dependencias de reunión. 

18.6.- TRADUCCIÓN DE ESQUEMAS E/R A ESQUEMAS RELACIONALES.

1.      Aplicar la 1 FN a los objetos que forman parte del esquema

2.      Los tipos de entidad se transforman a relaciones en el esquema relacional.
3.      Los tipos de interrelación binarias uno a uno se transforman en general en dos tablas mediante
propagación de la clave, esto es, se añade a una de las tablas como clave foránea el identificador
principal de la otra tabla con la que está relacionado.
4.      Los tipos de interrelación binarias uno a muchos se transforman en general en dos tablas
mediante propagación de la clave hacia el lado muchos.
5.      Los tipos de interrelación binarias muchos a muchos se transforman siempre en tres tablas:
una por cada tipo de entidad y otra con los identificadores de ambas entidades y los atributos (si
los hay) de la interrelación. La clave principal de esta tabla estará compuesta por los
identificadores principales de ambos tipos de entidades.
6.      Los tipos de interrelación en los que intervienen más de dos tipos de entidad, se transforman
de la misma forma que los tipos de interrelación binarias muchos a muchos.
7.      Los atributos de las interrelaciones, cuando hay propagación de la clave, también se propagan.
9.      Las relaciones jerárquicas de generalización - especialización se pueden transformar de tres
formas:
·         Transformando el tipo de entidad padre en una relación y colgando de ella los
atributos comunes y no comunes de todos los tipos de entidad hijo.
·         Crear una relación para el tipo de entidad padre, con los atributos comunes, y otra
relación para cada uno de los tipos de entidad hijo.
·         Crear una relación para cada uno de los tipos de entidad hijo y poniendo en cada una
de ellas todos los atributos comunes del tipo de entidad padre. Sólo sirve en caso de
jerarquía total.
10.  Las dependencias en identificación y en existencia, al transformarse, deben obligar al borrado y
actualización en cascada (CASCADE).
Tema 19: Sistemas de gestión de bases de datos. Bases de datos
XML nativas. Monitores transaccionales.

SISTEMAS DE GESTIÓN DE BASES DE DATOS (SGBD)

Introducción
Un Sistema de Gestión de Bases de Datos, “es un conjunto coordinado de programas,
procedimientos, lenguajes, etc... que suministra, tanto a los usuarios no informáticos, como a los
analistas programadores, o al administrador, los medios necesarios para describir y manipular los
datos integrados en la base, manteniendo su integridad, confidencialidad y seguridad”.
Este grupo definido de software encargado de ofrecer soporte a las bases de datos aporta una serie
de facilidades para el manejo de las bases de datos que se traducen en una serie de Lenguajes que
permiten operar contra las distintas bases de datos que soporta el SGBD, siendo los principales:
11. Lenguaje de Definición de Datos o DDL (Data DefinitionLanguage): permite definir los
esquemas conceptuales de una base de datos.
12. Lenguaje de Manipulación de Datos o DML (Data ManipulationLanguage): suministra
operaciones para la realización de consultas y actualizaciones de la información contenida
en las bases de datos.
13. Lenguaje de Control de Datos o DCL (Data Control Language): permite administrar y
controlar el acceso a los datos existentes en una base de datos.
El objetivo principal de un sistema gestor de bases de datos es el de ofrecer un entorno idóneo para
la extracción, manipulación almacenamiento de la información de las bases de datos. Los SGBD
realizan una gestión centralizada de todas las peticiones de acceso funcionando de interfaz entre los
usuarios y la base de datos. También es el gestor de la estructura física de los datos y de su
almacenamiento, por lo que en definitiva, libera a los usuarios de conocer la organización física
exacta de los datos, así como de crear los algoritmos de almacenamiento, actualización o consulta
de la información contenida en la base de datos.
Las herramientas que proporciona el SGBD han de proporcionar los siguientes servicios de tal
manera que resulte transparente al usuario:
 Permite el acceso de múltiples usuarios a la misma base de datos y en el mismo
momento. Ha de asegurarse de realizar una correcta gestión de la concurrencia evitando
la corrupción de los datos o que estos se vuelvan inconsistentes. Para realizar esta
gestión el SGBD hace un correcto uso de los bloqueos de las bases de datos.
 Ofrece a los usuarios un catálogo al cual pueden acceder donde se almacenan de una
manera centralizada, las descripciones de los datos. Este servicio es el que permite la
eliminación y detección de las redundancias de datos y se denomina diccionario de
datos.
 Realiza las transacciones garantizando que las actualizaciones correspondientes a una
transacción se realizaran, o en caso de que no sean posible realizar alguna, ninguna
tendrá efecto.
 Garantiza la recuperación de las bases de datos. Si ocurre algún problema que provoque
que la información se vea afectada, el SGBD debe proporcionar los mecanismos
necesarios para solventar este tipo de situaciones y recuperar la base de datos a un estado
consistente.
 Proporciona seguridad a las bases de datos, es decir, restringe mediante diferentes
niveles, que el acceso a las bases de datos sólo lo realizaran usuarios autorizados,
protegiendo las bases de accesos no autorizados, ya sean accidentales o no.
 Un SGBD garantiza la integridad de las bases de datos.
  Proporciona herramientas para la administración de las bases de datos. Este conjunto de
herramientas permiten una serie de funcionalidades:
o Importación y extracción de datos
o Monitorización del funcionamiento y obtención de datos estadísticos sobre el uso
de las bases de datos.
o Reorganización de índices
o Optimización del espacio liberado para su reutilización.
 Mantiene una disponibilidad continua, garantizando que en todo momento las bases de datos
están accesibles.
 Todo SGBD se integra con un gestor de comunicaciones, software encargado de gestionar el
acceso de los usuarios que realicen la conexión con la máquina que sirve de soporte al
SGBD de una manera remota a través de una red de datos.
 Posee un DDL, Lenguaje de Definición de Datos para la creación y modificación de las
bases de datos.
 Posee un DML, Lenguaje de Manipulación de Datos para la inserción, manipulación y
consulta de la información contenida en las bases de datos.
 Posee un DCL, Lenguaje de Control de Datos para controlar el acceso a lo información de
las bases de datos.
 Garantiza la escalabilidad y elevada capacidad de proceso, es decir, es capaz de aprovechar
los recursos de la máquina disponibles.
 Es capaz de almacenar enormes cantidades de datos sin que el usuario perciba una
degradación en el rendimiento del sistema.

Evolución
En los primeros inicios de la informática los datos formaban parte de los programas, integrados
como constantes. Posteriormente, con la aparición de los ficheros como colección de datos
homogénea, se empieza a diferenciar la estructura lógica que representa el punto de vista del
usuario y la estructura física de los datos.
Arquitectura en 2 capas
Con la aparición de los primeros SGBD en los años 60, los sistemas pasan de una orientación
centrada en el proceso a una orientación enfocada hacia las bases de datos.Esto produce que los
datos y las relaciones entre los mismos se ubiquen en la bases de datos, consiguiendo aislarlos de
las aplicaciones. Los primeros SGBD facilitan en gran medida la descripción y el almacenamiento
de las relaciones permitidas caracterizando al mismo tiempo los distintos modelos de datos:
jerárquico, red, relacional.
La arquitectura seguida por estos SGBD estaba definida en dos niveles:
35. Estructura Global, con la características lógicas y físicas: Esquema
36. Vistas Lógicas Externas de los usuarios: Subesquemas
Arquitectura en 3 capas
La organización ANSI publica en el año 1975 un informe que resultaría clave para el desarrollo de
los SGBD. En este informe se indica la necesidad de evolucionar los SGBD con el fin de conseguir
una total independencia entre los datos y las aplicaciones. Para tal propósito propone un modelo
arquitectónico en 3 capas y define a su vez el modelo conceptual para conseguirlo. Mediante esta
definición, los SGBD que siguen esta normativa muestran internamente los tres niveles
perfectamente diferenciados:
17. Nivel Interno o Físico: representa el nivel más bajo de abstracción y en este nivel es donde se
describe en detalle la estructura física de la base de datos, dispositivos de almacenamiento
físico, estrategias de acceso, índices, etc. Para ello interactúa con el sistema operativo y con el
 gestor de ficheros. En definitiva el esquema interno especifica que datos son almacenados y
cómo.
18. Nivel Conceptual: se corresponde con el nivel intermedio de abstracción y describe los datos
que son almacenados en la base de datos y las relaciones existentes entre ellos. También
describe la base de datos según su estructura de diseño. Mediante este nivel se consigue el
aislamiento de la representación de la información de los requerimientos de la máquina y de las
exigencias de los usuarios.
19. Nivel Externo o Lógico: supone el de mayor grado de abstracción y contiene las vistas externas
de la base de datos asociadas a un esquema externo. Proporciona a cada tipo de usuario
únicamente la parte del esquema que resulta relevante para él y para la cual tiene acceso.

Modelo de referencia ANSI

Parte de la arquitectura de tres niveles propuesta por ANSI sobre la cual se realizan una serie de
revisiones y simplificaciones, además de describir las interacciones de un SGBD.Los datos dentro
del Modelo de Referencia pasan por los tres niveles descritos por la arquitectura, pero estos niveles
ahora se encuentran separados y aislados por un conjunto de interfaces que les proporciona
completa independencia entre sí.
Debido a la existencia de los tres niveles independientes, esquema conceptual, externo e interno, se
generan dentro del modelo de referencia 3 tipos de funciones de administración:
1. Administración de Empresa (Diseñador de BD): encargado del diseño del esquema
conceptual.
2. Administración de la Base de Datos: especifica el esquema interno de tal manera que se
adapta lo mejor posible al esquema conceptual ya almacenado en forma de metadatos.
3. Administración de Aplicaciones: construye los esquemas externos partiendo del esquema
conceptual y gestiona los distintos programas de aplicación que utilizan las bases de
datos.
Dentro de esta estructura lógica de tres tipos de esquemas se diferencian dos fases o secciones:
 Definición: Las etapas más significativas de la fase de Definición son:
15. Especificación del esquema conceptual mediante el lenguaje de definición.
16. Compilación del esquema conceptual por parte del procesador de del esquema conceptual.
17. Almacenamiento del esquema conceptual en el diccionario de datos.
18. Procesado del esquema conceptual para la creación de los esquemas internos y externos por
parte de sus respectivos procesadores.
19. Control y almacenado de los esquemas internos y externos en la base de datos por parte de
sus procesadores.
 Manipulación: es realizada por acciones del usuario. Una vez definida la base de datos el
usuario puede realizar funciones de manipulación de los datos (inserción, borrado,
modificación) mediante el lenguaje de manipulación de datos.
Entorno
Un SGBD no resulta un sistema aislado, es decir, se encuentra situado dentro de un entorno. En un
entorno de un SGBD se puede encontrar los siguientes elementos:
• Programas de aplicación y procesadores de lenguaje de aplicación.
• Sistemas de diccionario de datos.
• Sistemas operativos.
• Sistemas de gestión de ficheros.
• Sistemas distribuidos y protocolos.
• Herramientas de gestión.
 Modelos de Datos
Un Modelo de Datos es un“Conjunto de conceptos, reglas y convenciones que permiten describir
los datos de una parcela del mundo real (Universo del Discurso)”. Se considera también una
herramienta que sirve de apoyo a la hora de diseñar una base de datos.Entre los Modelos de Datos
convencionales instrumentados en los SGBD se establecen tres grupos ordenados
cronológicamente:
 Modelo Jerárquico. Responde a una estructura arborescente a varios niveles. Los nodos y
las ramas determinan una relación del tipo 1:n. La forma de recuperar los datos es
recorriendo los distintos niveles según el camino definido por la sucesión de nodos en el
árbol.
 Modelo en Red. Es bastante más flexible que el jerárquico, pues permite establecer
múltiples conexiones, combinando varias jerarquías arborescentes. Se obtienen relaciones
n:m. Estas relaciones permiten al usuario acceder a un dato sin tener que recorrer todas las
jerarquías.
 Modelo Relacional. Propuesto teóricamente por Codd en 1970. Es reconocida su
superioridad frente a los anteriores. Basado en el álgebra y cálculo relacional, hace posible
el proceso de conjuntos de datos y no simples registros como en el caso de sus antecesores.
Básicamente se caracteriza, en cuanto a su estructura, por disponer de los datos organizados
en tablas (relaciones) de filas similares (tuplas) cada una con un conjunto de campos
(atributos) en columnas. No existen vinculaciones entre tablas visibles para el usuario, y
además se cumplen ciertas restricciones.

Estructura General de un SGBD

Los principales módulos del SGBD son:
h) El compilador del DDL. Chequea la sintaxis de las sentencias del DDL y actualiza las tablas
del diccionario de datos o catálogo que contienen los metadatos.
i) El precompilador del DML. Convierte las sentencias del DML embebidas en el lenguaje
anfitrión, en sentencias listas para su procesamiento por parte del compilador de lenguaje
anfitrión y además extrae dichas sentencia DML para que puedan ser procesadas de forma
independiente por el compilador del DML.
j) El compilador del DML. Chequea la sintaxis de las sentencias del DML y se las pasa al
procesador de consultas.
k) El procesador de consultas. Realiza la transformación de las consultas en un conjunto de
instrucciones de bajo nivel que se dirigen al gestor de la base de datos.
l) El gestor de la base de datos. Sirve de interfaz para los programas de aplicación y las
consultas de los usuarios. El gestor de la base de datos acepta consultas y examina los
esquemas externo y conceptual para determinar qué registros se requieren para satisfacer
la petición. Entonces el gestor de la base de datos realiza una llamada al gestor de
ficheros para ejecutar la petición.
Los principales componentes del gestor de la base de datos son los siguientes:
e) El gestor de transacciones. Realiza el procesamiento de las transacciones.
f) El gestor de buffers. Transfiere los datos entre memoria principal y los dispositivos de
almacenamiento secundario.
g) El gestor de ficheros. Gestiona los ficheros en disco en donde se almacena la base de datos.
Este gestor establece y mantiene la lista de estructuras e índices definidos en el esquema
interno. Para acceder a los datos pasa la petición a los métodos de acceso del sistema
operativo que se encargan de leer o escribir en los ficheros físicos que almacenan la
información de la base de datos.
SGBD Relacionales (SGBD-R)
Sus tres principales características son las estructuras de datos, los operadores asociados y los
aspectos semánticos.
Estructuras de datos: Relaciones y Claves
Elementos:
 Relación: subconjunto de un producto cartesiano entre conjuntos de atributos que en el
modelo relacional se muestra como una tabla con m fila y n columnas.
 Atributo: representan las columnas de una tabla y se corresponden con las propiedades
de las entidades. Estos atributos se encuentran limitados por un dominio que especifica
el rango de valores que pueden tomar pudiendo ser compartido por varios atributos.
 Dominio: rango de valores que un atributo puede adoptar. Este rango es dependiente del
tipo de atributo y los valores del dominio han de ser homogéneos.
 Tuplas: nombre que se le asocia a cada una de las filas de una tabla que se corresponden
con cada una de las ocurrencias de la relación que se representa en la tabla. Su orden no
es relevante.
 Cardinalidaddelarelación: número de tuplas de una relación.
 Gradodelarelación: número de atributos de una relación.
Dentro de los elementos que conforman la estructura de datos los más importantes son las
relaciones, cuyas características más importantes son:
7. Todas las tuplas de una relación están formadas por el mismo número, tipo de atributos y en
el mismo orden.
8. El orden de las tuplas carece de relevancia.
9. En cada atributo de una tupla sólo puede aparecer un valor que además ha de pertenecer al
dominio correspondiente.
10. No pueden existir dos tuplas iguales en la misma relación. Esto provoca que exista uno o
varios atributos que sirvan para distinguir unas tuplas de otras denominados claves
candidatas.
Alguna de estas claves candidatas son seleccionadas por el administrador o diseñador de la base de
datos para la identificación de tuplas, entonces la clave se denomina clave primaria y no puede
adoptar nunca el valor nulo. El resto de claves candidatas que no son seleccionadas como primarias
se denominan claves alternativas o secundarias.
Además una relación puede incluir dentro de sus atributos la clave primaria de otra relación,
pasando ésta a ser clave foránea de la primera relación.
Operadores asociados
Los operadores utilizan las relaciones del modelo como operandos. Los operadores más importantes
se muestran a continuación:
 Unión. La unión de dos relaciones “A” y “B” produce el conjunto de tuplas formado por las
tuplas de “A” y las tuplas de “B”. Solo es aplicable a relaciones con el mismo grado y con
los mismos atributos.
 Diferencia. La diferencia entre dos relaciones “A” y “B” es el conjunto de tuplas de la
relación A que no están en “B”. Solo es aplicable a relaciones con el mismo grado y con los
mismos atributos.
 Producto Cartesiano. El producto cartesiano de dos relaciones “A” de grado m y “B” de
grado n, está formado por el conjunto de todas las posibles tuplas de m+n atributos con los
m primeros valores de “A” y los n restantes de “B”.
  Proyección. Considerando “x” un subconjunto de atributos de la relación “A”, la
proyección del atributo “x” sobre la relación “A” es la relación formada por los atributos de
“A” correspondientes con los del subconjunto “x”.
 Selección. Si “F” resulta una fórmula que está compuesta por operadores lógicos,
aritméticos y de comparación y los operandos se corresponden con valores de los atributos
de una relación “A”, entonces la selección de “F” sobre “A” es el conjunto resultante
formado por las tuplas de “A” que cumplen la condición establecida por “F”.
Partiendo de este conjunto de operadores se pueden generar otros derivados como la intersección, el
cociente o la unión natural.
Aspectos Semánticos
Cuando una característica del entorno o del universo del discurso no se puede modelar mediante la
definición de una relación, ésta ha de definirse mediante un nivel de descripción superior pasando a
formar parte de los aspectos semánticos. Dentro de este conjunto de restricciones se pueden
identificar dos grupos:
• Restricciones de Usuario. Son restricciones que se aplican a los valores pertenecientes al
domino de los atributos, como por ejemplo en un atributo fecha limitar los meses a 12 y los
días a 31.
• Integridad Referencial. Las restricciones pertenecientes a la integridad referencial se
ocupan del mantenimiento de las referencias existentes entre las propias relaciones.

BASES DE DATOS XML NATIVAS

La aplicación de XML también ha afectado al mundo de las bases de datos, dando lugar a un nuevo
enfoque y creando una nueva generación de bases de datos denominadas bases de datos XML y
bases de datos XML nativas.Las bases de datos nativas son totalmente distintas a las bases de datos
tradicionales puesto que a pesar de que pueden soportar XML lo siguen realizando de una manera
relacional.Por el contrario, las bases de datos XML brindan una nueva capacidad sobre las
relacionales, y es el hecho de que permiten obtener los resultados de las consultas directamente en
XML.
En el conjunto de bases de datos que hacen uso del XML es posible caracterizar tres tipos de
archivos XML:
8. Centrados en datos: constan de muchos elementos de datos de pequeño tamaño y tienen
una estructura regular y bien definida. Se usa como mecanismo de intercambio o para
mostrar datos.
9. Centrados en documentos: están formados por pocos elementos y con estructura
impredecible en tamaño y contenido. Se enfocan a sistemas documentales y de gestión
de contenidos.
10. Híbridos: mezcla partes de los dos tipos anteriores.
Bases de datos habilitadas para XML
Desglosan un documento XML en su correspondiente modelo relacional o de objetos. La principal
característica es tener un mapeo objeto-relacional entre el contenido XML y las tablas en el SGBD-
R. Las bases de datos relacionales habilitadas para XML son buenas para cierto tipo de contenido de
documentos XML centrado en los datos, el cual tiene una estructura fija y se ajusta bien a tablas
relacionales y no tiene información jerárquica.

Bases de datos XML nativas

Son bases de datos especialmente diseñadas para almacenar documentos XML y por tanto son bases
de datos centradas en documentos que definen un modelo lógico para el documento XML. Respetan
la estructura del documento, permiten hacer consultas sobre dicha estructura y recuperan el
documento tal y como fue insertado originalmente.
Sus características principales son las siguientes:
17 No tienen ningún modelo de almacenamiento físico subyacente concreto
18 Almacenamiento de documentos en colecciones.
19 Validación de documentos.
20 Soportan uno o más lenguajes de consulta entre ellos XML.
21 Permiten la creación de índices para acelerar consultas realizadas frecuentemente.
22 Crean un identificador único para cada documento XML.
23 Tienen una gran variedad de estrategias para actualizar y borrar documentos.

MONITORES TRANSACCIONALES
Los monitores transaccionales son aplicaciones de control que realizan tareas de monitorización de
las transferencias de datos que se producen dentro de una organización. Su intención es la de
controlar las transacciones que se producen en los terminales, ya sean locales o remotos. Su
objetivo es el garantizar que un proceso de transacción se produce de manera correcta y en el caso
de no ser así, lanzar los procedimientos necesarios para solventar el problema y mantener la
integridad del sistema.
Un monitor transaccional en cierto modo rompe la ejecución de las aplicaciones en transacciones
para asegurarse que todas las bases de datos se actualizan mediante una única transacción.
Esta capacidad que garantiza la unicidad de una transacción resulta muy útil en sistemas de gestión
de reservas y en cualquier tipo de sistema en el que ocurra un elevado número de transacciones.
Recibe peticiones de consulta o de procesado procedentes de los clientes para ejecutarlas en uno o
varios servidores de bases de datos. El monitor transaccional encola estas peticiones y las prioriza
para posteriormente volcarlas sobre los sistemas de gestión de datos.
Una de las ventajas que aportan los monitores transaccionales es que una vez que una transacción es
aceptada por el monitor, éste asume la responsabilidad de llevarla a cabo, liberando a su vez al
cliente y posibilitando que este continúe con su procesamiento.

Ventajas de los monitores transaccionales

- Ofrecen la capacidad de actualización de múltiples bases de datos en una sola conexión,
estableciendo un pool de conexiones.
- Permiten que sea posible mantener estable un sistema con conectividad a múltiples fuentes
de datos y de distintos tipos archivos planos, XML, datos no relacionales, mainframes, etc.
- Proporcionan mecanismos para priorizar las transacciones.
- Suponen un aumento en la seguridad y robustez de un sistema
Tema 20 SQL. Lenguajes de definición de datos (DDL). Lenguajes de manipulación de datos
(DML) y DCL.

20.1.- SQL
EL SQL (Structured Query Language) es un lenguaje estandarizado de peticiones (query) a bases de
datos relacionales. Es el lenguaje de manipulación de bases de datos relacionales más extendido,
habiéndose convertido en un estándar de facto. Permite realizar consultas utilizando los recursos del
álgebra relacional combinados con el cálculo relacional de tuplas. SQL es un lenguaje declarativo
en lo que lo importante es definir qué se desea hacer, por encima de cómo hacerlo. Las operaciones
funcionan en términos de conjuntos y no de registros individuales.
El SQL fue desarrollado en el centro de investigación de IBM bajo el nombre SEQUEL (Structured
English Quero Language). La versión SEQUEL/2 cambió de nombre a SQL por motivos legales.
En 1989 aparece el estándar ISO (y ANSI) llamado SQL89 o SQL1. En 1992 aparece la nueva
versión estándar de SQL (a día de hoy sigue siendo la más conocida) llamada SQL92 (SQL2). En
1999 SQL99 (SQL 3).El último estándar es el del año 2008 (SQL2008).

20.1.1 Partes del lenguaje SQL

Se suelen agrupar las instrucciones en tres “sublenguajes”:
h) Lenguaje de Definición de Datos, DDL (Data Description Language): Es el lenguaje
utilizado para la creación y mantenimiento de la estructura de la base de datos. Se utiliza
para definir y modificar los esquemas de las relaciones, crear o destruir índices y eliminar
relaciones. Permite también la definición de vistas y permisos de acceso para los usuarios.
i) Lenguaje de Manipulación de datos, DML (Data Manipulation Language). Incluye todas
las instrucciones para realizar consultas a las bases de datos, insertar, modificar o eliminar
datos.
j) Lenguaje de Control de Datos, DCL (Data Control Language).Mediante este lenguaje se
establecen las restricciones adicionales necesarias para controlar la privacidad y la
integridad de la información almacenada en la base de datos.

20.1.2 Modos de trabajo con SQL

Los modos en que el lenguaje SQL actúa sobre una base de datos son los siguientes.
- Modo interactivo: El usuario de la base de datos establece un diálogo con el Sistema Gestor
de Base de Datos (SGBD) a través del intérprete de SQL.
- Desde un programa:El usuario ejecuta una aplicación sobre el sistema operativo. La
aplicación puede ser de dos tipos:
o Programa escrito íntegramente en SQL.
o Programa escrito en un lenguaje convencional de programación con partes escritas
en SQL. Esto es lo que se llama SQL Embebido. Este modo de trabajo admite dos
variantes:
 SQL estático: el programa no admite cambios durante la ejecución.
 SQL dinámico: si durante la ejecución se debe modificar algún parámetro.

20.2.-Lenguaje de Definición de Datos (DDL)

Cada objeto de una base de datos tiene un nombre que sirve para localizarlo a lo largo de su vida.
Estos nombres tienen un ámbito donde son reconocidos. Cada nombre debe ser único en su ámbito.
Los objetos que pertenecen a un esquema (tablas, índices, etc.) tienen ese esquema como ámbito
máximo. Por ello un nombre de tabla, por ejemplo, puede repetirse en distintos esquemas de
usuarios diferentes pero no dentro del mismo esquema. Con un DDL se puede hacer la gestión de
tablas, gestión de vistas, gestión de índices, etc.

20.2.1 Objetos de la Base de Datos

Un esquema representa la estructura de la base de datos. Los elementos que incluye un esquema
son tablas, dominios, vistas, restricciones, disparadores y otros constructores.
En el estándar SQL existe el concepto de catálogo que sirve para almacenar esquemas. Así el
nombre completo de un objeto vendría dado por:
catálogo.esquema.objeto
Si no se indica el catálogo se toma el catálogo por defecto. Si no se indica el esquema se entiende
que el objeto está en el esquema actual.
Tipos de datos y dominios
Un dominio es un conjunto del cual toma sus valores una columna o atributo de una relación. Según
este concepto los tipos de datos predefinidos son dominios. Algunos de los tipos de datos
predefinidos en el estándar son: Integer, SmallInt, Decimal (precisión, (escala)), Float, Char
(n),Varchar (n), Date (fecha), Time (hora), TimeStamp (fecha y hora), Boolean, bit, CLOB
(Representa textos de gran longitud), BLOB (Representa binarios de gran longitud)
Definición de dominios
CREATE DOMAIN nombre dominio tipo de datos
[ DEFAULT valor defecto ]
[ definición de restricciones de dominio ] ;
Ejemplo:
CREATE DOMAIN Color VARCHAR(8) DEFAULT ‘sinColor’
CONSTRAINT color_valido
CHECK (VALUE IN ( ‘rojo’, ‘amarillo’, ‘azul’, ‘verde’, ‘sinColor’ ) ) ;

20.2.2 Gestión de tablas

Una tabla es un objeto de la base de datos que almacena datos.
Las características básicas que debe de tener una tabla son:
- Definición de los atributos o columnas
- Restricciones de integridad
Para definir una columna habrá que decir el nombre y tipo de datos que se van a almacenar en ese
campo de la tabla
Restricciones de integridad
Se denomina restricción de integridad a una propiedad que debe cumplirse para mantener en las
tablas los criterios de diseño.
En SQL las restricciones de integridad se fijan mediante una sentencia CONSTRAINT. Las
restricciones que se pueden establecer son:
- NOT NULL: se aplica a un campo e indica que no puede contener valores nulos.
- UNIQUE: la(s) columna(s) NO puede contener valores duplicados.
- PRIMARY KEY: denota la(s) columna(s) que son clave principal de la tabla. Tienen valor
único y no nulo.
- CHECK:se puede aplicar a un atributo o a toda la tabla. Indica una condición que debe
satisfacer cada atributo o cada fila de la tabla antes de ser insertada borrada o actualizada.
- FOREING KEY / REFERENCES: cuando entre dos tablas se establece una relación las
tuplas de una se relacionan con las de la otra mediante ciertos campos clave en cada tabla.
La tabla de la que parte la relación se llama tabla primaria y la otra se llama tabla
secundaria.
 Se llama clave ajena (foreing key) al conjunto de atributos de la tabla secundaria que es
clave principal en la tabla primaria. Esta última debe ser clave principal o única.
Una relación mantiene la integridad referencial si cumple las siguientes dos condiciones:
o Toda tupla de la tabla hija está asociada con una tupla de la tabla padre.
o Si una tupla de la tabla hija no cumple lo anterior, el valor que tiene la columna de la
clave ajena es nulo.
La restricción de integridad referencial debe establecerse en la tabla hija. Se usan ciertos
parámetros para fijarla
 FOREING KEY: indica que columna o columnas constituyen la clave ajena en una
restricción de integridad referencial. Se aplica en la restricción de tabla.
 REFERENCES: especifica la tabla padre. Sino indica a qué clave primaria o única se refiere
la clave ajena se entiende que la clave referenciada es la clave primaria de la tabla indicada.
Las siguientes opciones hacen que el gestor mantenga la integridad referencial
 ON [DELETE | UPDATE]CASCADE: Al Borrar o actualizarla tabla padre,
automáticamente borra o actualiza los registros coincidentes en la tabla hija.
 ON [DELETE | UPDATE]RESTRICT: No se puede borrar o actualizar un registro en la
tabla padre mientras no se borre o actualice el registro secundario asociado en la tabla hija.
 ON [DELETE | UPDATE]SET NULL: Borra o actualiza el registro en la tabla padre y
establece en NULL la o las columnas de clave foránea en la tabla hija.
 ON [DELETE | UPDATE] NO ACTION: No será permitido si en la tabla referenciada hay
una valor de clave foránea relacionado.
 ON [DELETE | UPDATE] SET DEFAULT: Borra o actualiza el registro en la tabla padre y
establece el valor por defecto de la o las columnas de clave foránea en la tabla hija.
1) Creación de una tabla
La creación de una tabla engloba las definiciones de atributos y/o restricciones:
24 La DEFINICIÓN DE ATRIBUTOS se realiza dando el nombre del atributo (se ajusta a las
mismas reglas que los nombres de tablas) y su tipo. Opcionalmente se puede indicar unas
restricciones de atributos:
24.4 Not null: restricción de valor no nulo.
24.5 Definiciones de restricciones de clave primaria, valor UNIQUE, clave ajena.
24.6 Definición de restricciones generales con la cláusula check.
25 La DEFINICIÓN DE RESTRICCIONES DE INTEGRIDAD/SEMÁNTICAS: Las
restricciones pueden ser de columna si afectan a una sola columna, o de tabla si afectan a una o
más columnas. Ejemplo:
CREATE TABLE DPTO(
DEPTNO INTEGER(4),
DNAME VARCHAR(14) NOT NULL,
LOC VARCHAR(13) DEFAULT “OURENSE”,
PRIMARY KEY (DEPTNO)
)

2) Modificación de una tabla

Para modificar una tabla ya creada se utiliza el comando ALTER TABLE con el que pueden
especificarse nuevas columnas, nuevas restricciones (ADD) o bien modificarse o borrarse una
columna (MODIFY, DROP).Sólo se pueden borrar restricciones que tengan nombre. Al eliminar
una columna de una tabla podemos indicar la opción:
• CASCADE: elimina la columna y toda restricción o vista que le hace referencia.
• RESTRICT: sólo elimina la columna si ninguna vista ni restricción le referencia.
ALTER TABLE EMP (
ADD ADDRESS VARCHAR(12) DEFAULT “Unknow”;
ALTER ENAME VARCHAR(30)
)
3) Destrucción de una tabla
La sintaxis para eliminar una tabla es:
DROP TABLE nombre_de_tabla[CASCADE | RESTRICT]
El parámetro opcional :
14. RESTRICT: Destruye la tabla sólo si no se le hace referencia desde ninguna otra tabla (clave
ajena), ni es tabla base de una vista.
15. CASCADE: Elimina la tabla junto con las restricciones y vistas que la referencian.

20.2.3 Gestión de vistas

Una vista es una tabla virtual. Las vistas no tienen datos almacenados propios, sino la definición de
la vista (es decir, las reglas para acceder a las tablas base físicamente almacenadas para materializar
la vista).
Creación de una vista
Se usa la sentencia CREATE VIEW cuya sintaxis es:
CREATE[OR REPLACE] VIEW nombre_de_vista [lista_de_campos]AS consulta

CREATE VIEW EMP_SECURITY

AS SELECT EMPNO, ENAME
FROM EMP

Modificación de la estructura de una vista

La estructura de una vista no puede ser modificada como tal. Lo que se puede hacer es utilizar una
sentencia de creación con la cláusula OR REPLACE que sustituirá una vista por otras. El comando
de SQL ALTER VIEW se utiliza para recompilar una vista, Esto se debe hacer cuando se han
modificado las tablas bases de la vista para actualizar la vista sobre las nuevas estructuras.
ALTER VIEW vista COMPILE

Destrucción de una vista

La instrucción DROP VIEW permite eliminar una vista que haya sido creada anteriormente.
DROP VIEW view

20.2.4 Gestión de índices

El índice es un objeto de la base de datos que contendrá una entrada para cada valor de las
columnas indexadas, con la dirección del registro donde debe buscarse ese valor. Sólo es
recomendable crear índices para aquellos campos que tengan muchas búsquedas pues el índice
ocupa espacio y tiene que actualizarse cada vez que se borra, actualiza o inserta un elemento en una
tabla.
Creación de un índice
La instrucción para crear un índice es CREATE INDEX
CREATE INDEX nombre índice ON nombre_tabla (campo{, campo)
CREATE INDEX IND_EMPRE ON EMPRESA (num_emp)

Eliminar un índice
Para destruir un índice se utiliza la cláusula DROP INDEX
DROP INDEX índice
20.3.-LENGUAJE DE MANIPULACIÓN DE DATOS (DML)
Se llaman manipulaciones a aquellas operaciones sobre una base de datos que no afectan a la
estructura de ésta sino a su contenido. Estas operaciones se realizan con DML (Data Manipulation
Language). Las manipulaciones posibles sobre una base de datos son las siguientes:
11. Insertar filas (INSERT)
12. Eliminar filas (DELETE)
13. Actualizar el valor de un campo en una o varias filas (UPDATE)
14. Consultar o listar todos o algunos campos de un grupo de filas (SELECT)

20.3.1 Inserción de valores en una tabla

Para insertar una fila o tupla en una tabla ya creada se utiliza el comando INSERT cuya sintaxis es:
INSERT INTO nombre_tabla [columna (,columna)*]VALUES (valor (,valor)*)}

Si no se especifican nombres de columnas, los valores insertados deben corresponder en cantidad y

tipo de datos con los atributos de la tabla y tienen que estar en el mismo orden con el que se creó la
tabla.
Se pueden especificar unas columnas y otras no, teniendo en cuenta que las columnas no
especificadas tomarán el valor por defecto, si se definió, o NULL.
INSERT INTO DEPT (DEPTNO, DNAME, LOC) VALUES (90, ‘CONTABILIDAD’, ‘OURENSE’)

Se pueden insertar varias tuplas con una sola instrucción sustituyendo la parte VALUES por una
subconsulta que devuelva tuplas de estructura compatible con la de la tabla:
INSERT INTO nombre_tabla[columna (,columna)*]consulta

20.3.2 Borrado de valores de una tabla

Para borrar una fila se utiliza el comando DELETE cuya sintaxis es la siguiente:
DELETE FROM nombre_tabla [WHERE condición]

Con esta instrucción se borran todas las tuplas que cumplan la condición WHERE. Si no se incluye
ésta se borran todos los elementos de la tabla.

20.3.3 Modificación de valores de una tabla

Para modificar los valores de determinadas tuplas de una tabla se utiliza la sentencia UPDATE:
UPDATE nombre_tabla SET columna1=valor1{,columna2=valor2)*} [WHERE condición]
Si no hay WHERE, se aplica la modificación a todas las filas.

20.3.4 Consulta de datos

Una consulta sirve para extraer los datos almacenados en una base de datos. La consulta en SQL
consta de tres partes:
20. Cláusula SELECT: para indicar qué atributos se desean consultar
21. Cláusula FROM: indica sobre qué relación o relaciones se quiere hacer la consulta
22. Cláusula WHERE: indica las condiciones que deben cumplir las tuplas para ser
seleccionadas
Selección de atributos
Se utiliza el asterisco (*) como comodín para seleccionar todos los campos. Si solo se quieren
mostrar los valores diferentes de una columna en una tabla hay que usar la palabra clave
DISTINCT antepuesta al nombre de la columna. Se puede cambiar el nombre que se le da a la
cabecera de la columna en el resultado de la instrucción SELECT. Para ello se utiliza un alias con el
comando AS después del nombre de la columna.
Orden
Para ordenar los resultados, se utiliza la cláusula ORDER BY:
ORDER BY campo1 [ASC|DESC], campo2 [ASC|DESC], ...
Condiciones para restringir la consulta
Para restringir las tuplas que se obtienen, se pueden imponer condiciones. Para ello se usa la
cláusula WHERE que admite los siguientes operadores: Operadores Relacionales (comparación): >,
>=, <, <=, =, <>, Operadores lógicos: AND, OR, NOT, consulta de pertenencia a un rango
mediante el operador BETWEEN, consultas de pertenencia a una lista mediante el operador IN,
consulta con patrones con el operador LIKE (Es una comparación de igualdad pero admite
comodines: ‘%’: se puede sustituir por cualquier número de caracteres (0 o más). ‘_’ permite
sustituir un único carácter.
Funciones de agregación
Existen funciones que permiten calcular, desde una sentencia SQL, sumas, medias aritméticas, etc.
Algunas de las más importantes funciones son:AVG (Atributo): media aritmética de los valores de
atributo, MIN (Atributo), MAX (Atributo), SUM (Atributo): suma los valores de atributo, COUNT
(Atributo): cuenta el número de filas donde atributo no es nulo, COUNT (*): cuenta el número de
filas incluyendo aquellas con nulos.
Consulta con agrupamiento de filas
Las funciones de agregación se suelen utilizar combinadas con la cláusula de agrupamiento GROUP
BY, que agrupa el resultado por una serie de atributos. Una instrucción SELECT con este parámetro
devuelve grupos de tuplas en lugar de tuplas individuales. Como resultado de la consulta aparecerá
un resumen de la información por cada grupo en lugar de todas las filas.
La expresión de un GROUP BY puede contener referencias a cualquier campo de las tablas
nombradas en FROM. Sin embargo la lista de expresiones que siguen al SELECT no puede
contener más que:
 Constantes
 Funciones de grupo (AVG, MAX, MIN, COUNT,SUM)
 Expresiones idénticas a las de la cláusula GROUP BY
 Expresiones que devuelvan el mismo valor para todas las tuplas que formen parte de un
grupo.
No se pueden seleccionar atributos que no se puedan agrupar por los atributos indicados en el
GROUP BY.
Si en una consulta aparece una cláusula WHERE y una GROUP BY primero se seleccionarán las
tuplas que cumplan la condición del WHERE y después se aplica el agrupamiento.
Restricciones en los agrupamientos
Se pueden imponer condiciones a los grupos. Es la cláusula HAVING, que sería el equivalente a la
cláusula WHERE pero aplicada a los grupos.

20.3.5 Consultas sobre múltiples tablas.

Para realizar consultas a más de una tabla, basta con indicar en la cláusula FROM las tablas
separadas por comas y añadir las condiciones necesarias en la cláusula WHERE. Los nombres de
los atributos, en caso de que las tablas tengan atributos con el mismo nombre, irán precedidos por el
nombre de la tabla y un punto.
A partir de la versión SQL 1999 se ideó una nueva sintaxis para consultar varias tablas. La razón fue
separar las condiciones de asociación respecto de las condiciones de selección de registros.
 c) CROSS JOIN. Realiza un producto cruzado entre las tablas indicadas. Eso significa que
cada tupla de la primera tabla se combina con cada tupla de la segunda tabla. Es decir si la
primera tabla tiene 10 filas y la segunda otras 10, como resultado se obtienen 100 filas.
d) NATURAL JOIN. Establece una relación de igualdad entre las tablas a través de los
campos que tengan el mismo nombre en ambas tablas.
e) JOIN USING .Permite establecer relaciones indicando qué columna (o columnas) común a
las dos tablas hay que utilizar. Las columnas deben de tener exactamente el mismo nombre
en ambas tablas
f) JOIN ON. Permite establecer relaciones cuya condición se establece manualmente, lo cual
es útil para asociaciones cuyos campos en las tablas no tienen el mismo nombre
g) OUTER JOIN
h. tabla1 LEFT OUTER JOIN tabla2 ON. Obtiene los datos de la tabla1 estén o no
relacionados con datos de la tabla 2.
i. tabla1 RIGHT OUTER JOIN tabla2 ON. Obtiene los datos de la tabla2 estén o no
relacionados con datos de la tabla 1.
j. tabla1 FULL OUTER JOIN tabla2 ON. Obtiene los registros no relacionados de
ambas tablas.

20.3.6 Subconsultas
Son sentencias SELECT que se encuentra anidadas dentro de otras SELECT. Estas sentencias se
escriben entre paréntesis para advertir al gestor que se deben de ejecutar primero. Una subconsulta
que utilice los valores >,<,>=,... tiene que devolver un único valor, de otro modo ocurre un error.
La cláusula (NOT) EXISTS
La cláusula EXISTS (o NOT EXISTS) comprueba si una subconsulta devuelve algún valor
(EXISTS) o no devuelve ninguno (NOT EXISTS).
Consulta con cuantificadores
Los cuantificadores son:
6. ANY o SOME: La comparación con un ANY (o SOME , equivalente) es verdadera si lo es
para algún valor de los obtenidos con una subconsulta.
7. ALL. En este caso la comparación es verdadera si lo es con todos los valores devueltos por
la consulta subordinada y falsa en caso contrario.

20.3.7 Operaciones con consultas

Existen ciertos operadores que permiten realizar las operaciones del álgebra relacional:
13. UNION y UNION ALL realizan la unión de las tuplas obtenidas por dos consultas que se
especifican como operandos. UNION no incluye las tuplas repetidas mientras que UNION
ALL sí las incluye.
14. INTERSECT permite unir dos consultas SELECT de modo que el resultado serán las filas
que estén presentes en ambas consultas. Equivale al operador intersección del álgebra
relacional.
15. MINUS combina dos consultas SELECT de forma que aparecerán los registros del primer
SELECT que no estén presentes en el segundo. Corresponde a la diferencia del álgebra
relacional.
Las dos consultas sobre las que se aplique cualquiera de estos operadores deben devolver tuplas con
la misma estructura.
20.4.- DCL. LENGUAJE DE CONTROL DE DATOS
Con el nombre de lenguaje de control de datos (DCL Data Control Language) se hace referencia a
la parte del lenguaje SQL que se ocupa de los apartados de seguridad y de la integridad en el
procesamiento concurrente. La concesión y revocación de privilegios está recogida en las sentencias
GRANT y REVOKE.
La sentencia GRANT se utiliza para conceder privilegios de seguridad sobre objetos de la base de
datos a usuarios específicos. Normalmente la sentencia GRANT es utilizada por el propietario de la
tabla o vista para proporcionar a otros usuarios acceso a los datos. La sintaxis es la siguiente:
GRANT listaPrivilegios ON listaObjetos TO listaUsuarios[WITH GRANT OPTION]

• ListaPrivilegios: Se conceden todos (ALL) o un subconjunto de privilegios

(separados por comas) que permiten borrar, insertar, consultar, actualizar o modificar
(DELETE, INSERT, SELECT, UPDATE, ALTER) una tabla, vista o un conjunto de
ellas.
• ListaObjetos: Objetos a los que se le aplican los privilegios.
• ListaUsuarios: Se conceden a todos los usuarios (PUBLIC) o a una lista de usuarios.
• WITH GRANT OPTION: Indica que aquellos usuarios a los que se ha concedido
estos privilegios pueden a su vez concederlos (nunca más de los que se tienen
actualmente) a otros usuarios por medio de sentencias GRANT.
Los privilegios que se han concedido con la sentencia GRANT pueden ser retirados con la sentencia
REVOKE.
REVOKE ListaPrivilegios ON ListaObjetos FROM ListaUsuarios

20.4.2 Transacciones
Se entiende por transacción el efecto producido por un grupo de instrucciones DML ejecutadas una
tras otra, es decir, una transacción es un conjunto de acciones que o bien se realizan todas, o bien no
se realiza ninguna. SQL dispone de dos sentencias que permiten que los cambios realizados por una
transacción queden reflejados permanentemente en la base de datos (comprometer)
16. COMMIT [WORK]. Termina la transacción actual grabando permanentemente las
modificaciones.
17. ROLLBACK [WORK]. Obliga al sistema a volver al estado anterior al inicio de la
transacción.
Las transacciones especifican un nivel de aislamiento que define el grado en que se debe aislar una
transacción de las modificaciones de recursos o datos realizadas por otras transacciones. El estándar
SQL define cuatro niveles de aislamiento transaccional. La sentencia para controlar el nivel de
aislamiento en SQL es:
SET TRANSACTION ISOLATION LEVEL {READ UNCOMMITTED |READ
COMMITTED|REPEATABLE READ|SERIALIZABLE }
11. READ UNCOMMITTED. Especifica que las instrucciones pueden leer filas que han sido
modificadas por otras transacciones pero todavía no se han confirmado.
12. READ COMMITTED. Especifica que las instrucciones no pueden leer datos que hayan sido
modificados.
13. REPEATABLE READ. Especifica que las instrucciones no pueden leer datos que han sido
modificados pero aún no confirmados por otras transacciones y que ninguna otra transacción
puede modificar los datos leídos por la transacción actual hasta que ésta finalice.
14. SERIALIZABLE. Especifica que las instrucciones no pueden leer datos que hayan sido
modificados, pero aún no confirmados, por otras transacciones. Ninguna otra transacción
puede modificar los datos leídos por la transacción actual hasta que la transacción actual
finalice.
 Tema 21: CRM. ERP. BPM. Sistemas de Gestión Documental. Gestión del Conocimiento.

• CRM
Quizá el activo más importante de una empresa son sus clientes. CRM (Customer Relationship
Management) no es sólo una tecnología, sino una filosofía global de las relaciones de una
empresa con sus clientes , que incluye tecnología, procesos y el equipo humano. El CRM consiste
en identificar, conocer e interactuar con los clientes.

Por relación se debe entender a toda forma de interacción entre la empresa y el cliente, ya sea un
contrato, una venta, una queja, una llamada interesándose por un producto, un uso del servicio
postventa, una tarjeta de fidelización, una carta en el día de cumpleaños del cliente, etc. La filosofía
CRM se centra principalmente en marketing, ventas y atención al cliente y soporte, siendo estas
áreas las que mayores oportunidades de relación ofrecen.

El momento histórico en que aparece el CRM es un momento en que el coste de adquirir un nuevo
cliente suele superar con mucho al de tratar de evitar perderlo. Por este motivo se han hecho muy
importantes las estrategias de retención de clientes y las técnicas de fidelización. Se puede decir
que el término CRM nació a principios de los años 90’s y gano mucha popularidad a finales de los
90’s y principios del siglo XXI principalmente con la expansión de Internet.

Para que un CRM tenga éxito debe aplicarse a todos los canales de contacto con el cliente. En la
medida de lo posible, hay que considerar el utilizar con cada cliente el canal de contacto por el que
este cliente haya expresado su preferencia. Con las nuevas tecnologías, nuevos canales telemáticos
se han sumado a los canales de contacto tradicionales. Los canales más comunes son:
 Presencial
 Teléfono
 Internet. Tradicionalmente se veía Internet como una relación máquina-cliente, pero hoy en
día son cada vez más frecuentes espacios donde colaboran agentes de ventas o de servicio al
cliente a través de chats, foros, etc.
 Correo tradicional
 Correo electrónico

Dos aspectos clave de un CRM es que sea multicanal e integrado:

 • Multicanal hace referencia a que trate con todos los canales de contacto mencionados, o al
menos con los que utilice la empresa.
• Integrado quiere decir que se tenga constancia de cada interacción independientemente del
canal utilizado. Ej: si la empresa recibe una queja por correo electrónico, el servicio de atención al
cliente debería responder con la misma eficacia que si la queja se hubiera recibido por teléfono.

Una de las clasificaciones más utilizadas es la de dividir los tipos de CRM en dos:
 CRM Analítico. También se conoce a veces como back-office. Cubriría las tareas de identificar y
conocer a los clientes y sus necesidades. Hace uso intensivo de tecnologías de tratamiento de
información como Bases de datos para almacenar toda la información relacionada con los clientes,
Datawarehouse y reporting para analizar la información y data mining y otras técnicas estadísticas,
predictivas y de extrapolación de información para predecir el comportamiento y tendencias de los
clientes.
 CRM Operacional. También se conoce a veces como front-office. se encargaría de interactuar con
los clientes a través de Ventas, atención al cliente o soporte. Suele apoyarse en tecnologías como
call-center, software de gestión de incidencias, páginas web: informativas, foros, chat, páginas de
autoservicio, etc., herramientas de movilidad para agentes de venta y servicio itinerantes:
PDA’s,etc.

• ERP
En las Pymes, se suelen usar distintos sistemas software para automatizar distintas tareas y
funciones por separado. Aunque esto no se considera realmente eficiente. Para resolver los
problemas que pueden existir por la mala comunicación de los distintos sistemas, surgen los
Sistemas de Gestión Empresarial o ERP (Enterprise Resource Planning), que se puede definir como
un paquete de software que integra toda la gestión de la empresa (financiera, de producción,
logística, comercial y de recursos humanos). Los ERP están diseñados para modelar y automatizar
la mayoría de los procesos básicos de la empresa, desde la gestión financiera hasta la producción en
un único sistema de información. Un sistema ERP es un tipo de software que permite a una
compañía integrar los procesos de negocio de una empresa, acceder a la información en tiempo real
y producir y compartir datos.

Los ERP son sistemas transaccionales, es decir, están diseñados para trabajar con procesos de la
empresa, soportarlos, procesar los datos y obtener de ellos información específica. La función
principal de un ERP es estandarizar y organizar los datos internos y procesos de la empresa,
convirtiéndolos en información útil para el proceso de toma de decisiones. Algunas de las
principales características de un ERP son:
 Integrables
 Interfaces con otras aplicaciones
 Modulares
 Multiplataforma
 Optimizan las operaciones de las empresas, permitiéndoles evaluar, implementar y gestionar
más fácilmente su negocio
 Sistemas abiertos
 Universales

Generalmente la arquitectura de los ERP suelen coincidir en los siguientes aspectos:

 Base de datos común que favorece la coherencia de datos y la integración de los datos
generados.
 Arquitectura modular. Cada módulo se centra en un proceso diferente de la empresa como
recursos humanos, ventas, producción, etc.
 Interconexión de módulos.

Los ERP al ser modulares permiten que la implantación del sistema se realice por etapas, de tal
forma que el impacto en la organización es menor, de cada a una transacción con respecto al sistema
anterior. Las características de la arquitectura de un ERP son:
 Modelo Cliente-Servidor: Los ERP siguen un modelo cliente-servidor, donde dicho servidor
almacena los datos de los que hacen uso los distintos programas.
 Modularidad. Un ERP se divide en una serie de módulos que se caracterizan porque presentan
una interfaz común, Cada módulo implementa la funcionalidad de un área en concreto y deben
ser fácilmente integrables entre si.
 Integración. En un ERP se tiene una base de datos común que garantiza la integridad de los
datos y elimina la redundancia. De esta forma la empresa se ve como un único sistema donde la
información que se actualice en un punto, quedará actualizada para el resto de dicho sistema.
 Seguridad. Podemos considerar dos tipos de seguridad: privilegios de acceso a la aplicación y
privilegios de acceso a datos: estarán gestionados por los SGBD o directamente por la
aplicación.
 Interfaz de Usuario. La interfaz de todos los módulos es similar.
 Simulación de acciones
 Trazabilidad. Se trata de poder determinar qué componentes participan en la elaboración de los
productos finales. En caso de un producto defectuoso, la trazabilidad permite detectar el punto
donde se ha producido el error y depurar responsabilidades.
 Intercambio electrónico de datos

Los ERP se componen de una serie de módulos que se corresponden con las distintas áreas
funcionales de la empresa. Generalmente todos los ERP contienen los módulos básicos para el
funcionamiento y gestión de la empresa. De forma general los módulos cumplen con las siguientes
características: Integración con el resto de los módulos, Implantación en el departamento donde se
necesite y Autonomía propia. A continuación se comentarán las características de los principales
módulos presentes en un ERP:
 Ventas y Distribución (Logística). Este módulo permite llevar a cabo las actividades de venta y
distribución de los productos.
 Producción y Fabricación. Permiten emplear distintos métodos o estrategias de producción en
diferentes ambientes. Permiten las siguientes funcionalidades: Planificar la producción, Gestión
de las órdenes de producción, Gestión de costes, Análisis de la producción y Control de la
producción
 Contabilidad y Finanzas. Este módulo se encarga, entre otras, de operaciones relacionadas con:
Gestión de Cuentas, Costes de actividad, Contabilidad general, Costes de recursos, tesorería,
gestión de nóminas, gestión de contratos, calculo de costes, facturación
 Mantenimiento y Gestión de Proyectos. Este módulo ayuda a optimizar la producción y en la
mayoría de los casos se incluye en el módulo de logística.
 Recursos Humanos. En este módulo se integran las herramientas para obtener un conocimiento
del entorno económico y administrativo del personal. Las acciones que se realizan
habitualmente con este módulo son las relacionadas con: Estadísticas de personal, Generación
de Nóminas, Planificación de turnos y gestión de tiempos, Perfiles profesionales de los
trabajadores, Formación y desarrollo

La implantación de un sistema ERP puede significar importantes cambios en los procesos internos,
que pueden tener repercusión tanto en la estructura organizativa como en las actividades y los
puestos de trabajo de la empresa.La implantación de un ERP se inicia con un análisis técnico y
funcional, y con una evaluación de las restricciones económicas y temporales que pueden influir en
la ejecución del proyecto. En esta primera etapa de la implantación hay que definir qué módulos se
van a implantar, qué departamentos y procesos se verán afectados y estudiar la viabilidad del
proyecto
BPM
El Business Process Management o BPM apareció a partir del auge que tuvo la integración de los
ERP en las grandes empresas privadas. El propósito de BPM es controlar cómo todos los recursos
de la empresa, físicos, humanos, financieros y tecnológicos, participan y se integran en las acciones
operacionales que llevan hacia las metas organizacionales a partir de la definición de prioridades.
BPM permite realizar una gestión global de los procesos incluyendo su definición, análisis,
ejecución, seguimiento y administración.

La meta de un sistema BPM es tener un registro de los procesos corporativos y mejorar tanto la
productividad como la eficiencia. Las herramientas BPM por lo tanto, son aplicaciones que evalúan,
analizan y optimizan la gestión de los procesos y por lo tanto, la gestión global del negocio.

Los sistemas BPM ayudan a la empresa a realizar un mejor control de sus propios procesos, a
modificarlos cuando es necesario y a realizar las tareas importantes con mayor eficiencia. Este tipo
de sistemas permite al usuario tener un mayor control sobre la automatización de procesos.

El objetivo de un sistema BPM no es rehacer sistemas heredados, sino automatizar flujos de trabajo,
para que se realicen de forma más rápida y simple. Las herramientas BPM extraen de los sistemas
existentes las actividades que forman parte de los procesos, además de complementar y supervisar
dichas aplicaciones instaladas.

BPM Y WORKFLOW
Los sistemas de workflow tenían su base en la automatización del flujo de trabajo, por su parte el
BPM permite que los usuarios reciban las tareas que tienen que realizar junto con sus instrucciones
en sus sistemas personales.
Además BPM permite realizar representaciones gráficas de todos los tipos de trámites, flujos y
posibles desvíos, incluyendo separación de documentos, flujos alternativos, etc.

Las herramientas de Workflow tendían a usar cada una su propia notación gráfica, sin embargo las
herramientas BPM, gracias a la notación definida por la Business Process Management Initiativa,
suele emplear una notación común, lo que simplifica mucho los procesos de formación de los
usuarios.
Los sistemas de Workflow no incorporaban las operaciones que se realizaban en sistemas externos a
ellos, sin embargo, gracias a la evolución en las tecnologías de integración de sistemas, el BPM
permite realizar, además de lo que hacían los sistemas Workflow, una transferencia de datos entre
sistemas para que se puedan desempeñar tareas automáticamente en sistemas externos y obtener los
resultados de dichas acciones.

BI x BPM

Aunque BPM no es una herramienta estrictamente estratégica, como las soluciones de Business
Intelligence (BI), cuyo propósito es la ayuda en la toma de decisiones, BPM puede coordinarse
perfectamente con este tipo de herramientas e incluso suplir algunas de sus carencias.
BPM se orienta al ajuste de la operación y de las decisiones estratégicas de una empresa. Las
herramientas de BI por su parte, al menos las tradicionales, se orientan más a realizar un
seguimiento de lo que ya ha sucedido en la empresa. Estas soluciones de BPM trabajan con una
visión más amplia de la empresa que el BI, que se orienta a un ámbito departamental.

BPM se centra en el control de las actividades que han sido identificadas para un proceso, las cuales
generarán datos e informaciones que deben ser estudiados y consolidados como indicadores, que es
lo que emplean las herramientas de BI, junto con otros datos, para producir informes de apoyo a la
toma de decisiones.
BPM tiene un enfoque hacia la oportunidad y es proactivo, además de incorporar y analizar información y alertas en
tiempo real; por su parte BI es reactivo y opera con informaciones históricas de la empresa
Las soluciones BI se orientan a analizar el rendimiento y actuación actual y pasado de la empresa,
mientras que el BPM se orienta hacia la evaluación de la situación actual y futuro, siendo por tanto,
herramientas complementarias.

SISTEMAS DE GESTIÓN DOCUMENTAL

Un sistema de gestión documental se define como un conjunto de elementos y relaciones entre
ellos, que tiene el propósito de normalizar, controlar y coordinar todas las actividades y procesos
que afectan en cualquier medida a los documentos generados en el transcurso de la actividad de una
organización. Las operaciones más habituales que se realizan sobre estos documentos, abarcan todo
su ciclo de vida, desde su creación hasta su almacenamiento y puesta a disposición de los usuarios.

Deben mantener la organización de los documentos integrados en un contexto. Esto implica

conservar una interrelación con los otros documentos que surgen de la misma función, actividad,
que son producidos por el mismo departamento u organismo, que forman parte de la misma serie,
etc.

El software de gestión documental abarca todos aquellos programas software diseñados para
gestionar grandes cantidades de documentos. Entre los objetivos que se persiguen a la hora de
implantar un sistemas de gestión documental cabe mencionar:
8. Resaltar la importancia que tienen los documentos dentro de cualquier tipo de organización,
pública o privada.
9. Facilitar la recuperación de información de forma rápida, exacta y efectiva.
10. Analizar la producción documental, para evitar documentos innecesarios o que no merece la
pena almacenar pasado cierto tiempo.

Las principales funciones de la gestión documental son:

26 Almacenamiento
27 Captura
28 Conservación
29 Consulta
30 Creación
31 Difusión
32 Eliminación
33 Ingreso
34 Uso

Ciclo de Vida de los Documentos

El ciclo de vida de un documento abarca todas las fases por las que un documento pasa, desde que
se crea hasta que se archiva o elimina. Los documentos pueden tener distintos valores que son:
• Valor Primario (Administrativo): su propósito es dejar constancia de una actividad.
 Valor fiscal o contable: acreditar el cumplimiento de las obligaciones
contables o tributarias.
 Valor legal o jurídico: su finalidad es, entre otras, servir de prueba ante la ley.
• Valor Secundario:
 Valor Informativo: su propósito es servir de base para la reconstrucción de
cualquier actividad realizada.
 Valor Histórico: sirve de fuente para la investigación histórica.
Las distintas fases que atraviesa un documento son:
37. Archivo de Oficina (Documentación Activa): fase en la cual los documentos son creados o
recibidos por algún departamento, sobre los cuales se puede realizar una serie de operaciones de
edición.
38. Archivo General (Documentación semiactiva): en esta etapa la principal función es la consulta
de la documentación y la actividad que recibe este tipo de documentación es menor que en el
Archivo de Oficina.
39. Archivo Histórico (Documentación Inactiva): en esta etapa la documentación sólo tiene
utilidad como fuente de información histórica. Las consultas que recibe son menores.

GESTIÓN DEL CONOCIMIENTO

En general, la gestión del conocimiento es la conversión del conocimiento tácito en conocimiento
explícito y su intercambio dentro de la organización. La gestión del conocimiento es el proceso
mediante el cual las organizaciones generan valor de sus activos intelectuales. Definidos de esta
manera, se hace evidente que la gestión del conocimiento tiene que ver con el proceso
de identificación, adquisición, distribución y mantenimiento de los conocimientos que son
esenciales para la organización. Dependiendo de un contexto más amplio podríamos tener otras
definiciones:
 Una definición orientada a los resultados puede afirmar que la gestión del conocimiento es
"tener el conocimiento adecuado en el lugar correcto, en el momento adecuado y en el formato
correcto".
 Una definición orientada al proceso puede afirmar que la gestión del conocimiento consiste
en “la gestión sistemática de los procesos por los cuales el conocimiento se identifica, se crea, se
une, se comparte y se aplica”.
 Una definición orientada a la tecnología puede presentar una fórmula de gestión del
conocimiento como "Business Intelligence +  motores de búsqueda + agentes inteligentes".

Existen dos aspectos principales en la gestión del conocimiento, que son la gestión de la
información y la gestión de las personas. Visto desde esta perspectiva, la gestión del
conocimiento es, por un lado, la información y, por otro, la gente.

En la vertiente teórica la gestión de la información ha evolucionado convirtiéndose en gestión del

conocimiento. En la práctica, la gestión del conocimiento implica, entre otros, la identificación y
mapeo de los activos intelectuales de una organización. Esto significa, básicamente, la
identificación de quién sabe qué dentro de la empresa.  Implica la creación de conocimiento para
obtener ventajas competitivas y la conversión de grandes cantidades de datos de la organización en
información de fácil acceso.

Un aspecto de la gestión del conocimiento es la gestión de personas. Básicamente, se trata de la

gestión del conocimiento tácito que reside dentro de las cabezas de las personas. En la práctica
implica la gestión del conocimiento que existe junto a los procesos organizativos que implica una
serie compleja de capacidades dinámicas, know-how y otras capacidades relacionadas con el
conocimiento. 

La gestión del conocimiento tácito no es común y la tecnología actual basada en la gestión del
conocimiento no se ha desarrollado de forma plenamente eficaz para la extracción de conocimiento
tácito. Aunque el conocimiento tácito es la base de conocimiento organizacional, es algo tan
personal que es difícil de formalizar y comunicar.
Tema 22: Datawarehouse. Data Marts.Arquitectura.Análisis multidimensional y arquitecturas
OLAP. ROLAP/MOLAP/HOLAP. Minería de datos. Generación de informes para la
dirección.

DATAWAREHOUSE
Generalmente una organización o entidad almacena su datos en bases de datos diseñadas para
introducir y almacenar datos mediante el proceso OLTP (On-Line Transaction Process, Proceso de
Transacciones On-Line). Este proceso realiza de una manera idónea las tareas de inserción,
modificación o borrado de registros, pero resulta ineficiente a la hora de realizar consultas
complejas. Los Datawarehouse surgen como solución a los problemas que plantea el realizar
análisis de datos sobre una base de datos OLTP.Esta base de datos se caracteriza por la integración y
depuración de información procedente de una o múltiples fuentes de datos, con el fin de procesarla
y así ofrecer la posibilidad de analizarla desde un mayor número de perspectivas y a una mayor
velocidad de respuesta sobre las posibles consultas que sobre ella se realicen.

Los aspectos por los cuales se caracteriza un Datawarehouse son los siguientes:
 Temático: orientado sobre la información que resulta relevante para la organización. Los
datos son organizados en temas.
 Integrado: es capaz de incorporar en una sola solución integral datos recopilados de
diversos sistemas operacionales y fuentes de información, las cuales pueden ser de
carácter interno a la organización como externo.
 Histórico: la variable temporal forma parte de la información implícita contenida en un
Datawarehouse.
 No volátil: el repositorio de información contenida dentro de un Datawarehouse sólo
existe para ser consultada, no para modificar su contenido, lo cual proporciona a esta
información carácter permanente.
Otro valor añadido que aporta un Datawarehouse son los metadatos, datos que describen a otros
datos. Estos metadatos aportan nueva información sobre los valores existentes en el Datawarehouse,
mejorando la descripción de los datos y aportando nuevo conocimiento permitiendo, por ejemplo,
conocer la procedencia de la información, su grado de fiabilidad, su periodicidad de refresco o
incluso el algoritmo utilizado para calcularla. es utilizado para aportar mayor información y en menor tiempo
al proceso de toma de decisiones en el ámbito de la gerencia empresarial. La ventaja principal que aporta un
Datawarehouse tiene su origen en las estructuras o modelos en los que organiza y almacena la información, los
principales son:
Modelo de tablas en estrella., Modelo de tablas en copo de nieve y Cubos relacionales.

Elementos que componen un Datawarehouse

Los elementos más importantes que conforman un son:

Ilustración 1: Componentes de un Datawarehouse

18. Fuentes de datos: son el origen de los datos que contendrá. Las fuentes de datos pueden
pertenecer a diversos ámbitos tanto dentro como fuera de la organización, desde sistemas
operacionales propios a fuentes externas.
19. ETL (Extracción, transformación y carga): representa la parte del sistema que realiza el
proceso de construcción del Datawarehouse. Para ello hace uso de las fuentes de datos desde
las cuales extrae la información para luego procesarlas y almacenarlas.
11. Extracción: recuperación de la información procedente de las distintas fuentes de datos.
12. Transformación: proceso mediante el cual se realizan tareas de filtrado, limpieza,
depuración, homogeneización y agrupación de la información.
13. Carga: este proceso se encarga de la organización y la actualización de los datos y de los
metadatos del Datawarehouse.
20. Servidor de datos: componente que realiza las labores de gestión del
Datawarehouse. Para el almacenamiento de los datos se pueden diferenciar dos
posibilidades en función del tipo de bases de datos y gestor de la misma empleados:
• Bases de datos relacionales y un sistema gestor de base de datos relacional o SGBDR.
• Bases de datos multidimensionales, con un gestor de base de datos multidimensional o
SGBDM.
21. Herramientas de acceso: estas herramientas aportan técnicas para la captura de datos de
una manera rápida para poder ser analizados desde distintos puntos de vista. Este tipo de
herramientas se denominan business intelligence tools y se sitúan a nivel conceptual sobre el
Datawarehouse.
22. Repositorio/Metadatos: el repositorio ayuda a los usuarios a saber qué es lo que hay
almacenado en el Datawarehouse y como pueden acceder a lo que quieren.
Las aportaciones más importantes que ofrece un Datawarehouse son las siguientes:
m) Posibilita la utilización de técnicas de modelización y análisis estadístico para la búsqueda
de relaciones ocultas entre los datos almacenados.
n) Ofrece una herramienta de apoyo a la toma de decisiones en cualquier área funcional,
gracias la información integrada y global que proporciona.
o) Aporta la capacidad de aprendizaje sobre los datos pasados para la predicción de posibles
situaciones futuras.
DATA MARTS
Son almacenes de datos que se especializan por áreas o temáticas como pueden ser ventas o
compras. Los Data Marts suelen recibir la información desde el datawarehouse, almacén de datos
centralizado, y pueden estar ubicados en máquinas distintas, en otras BBDD, redes, etc. También
pueden integrar la información desde distintas fuentes. Según estos dos modelos de extracción de la
información, existen dos tipos de Data Mart:
 Data Mart dependiente, cuyos datos vienen proporcionados desde un datawarehouse.
 Data Mart independiente, donde los datos son extraídos de diversas fuentes de
información de los sistemas operacionales.
Un Data Mart representa una pequeña porción de un datawarehouse, con lo que soporta un número
de usuarios más reducido, con lo cual se pueden optimizar para realizar el proceso de recuperación
de la información de una manera más rápida. Según su estructura se pueden establecer dos tipos de
Data Marts:
35 Data Mart OLTP: son Data Marts basados en un datawarehouse, pero es habitual que
incorporen mejoras para ofrecer un mayor rendimiento adaptando las necesidades de cada área
al Data Mart.
En este tipo de Data Marts las estructuras más comunes son:
23. Tablas report, que son tablas de hechos reducidas que agregan las dimensiones oportunas.
24. Vistas materializadas, que se construyen con la misma estructura que las tablas report para
explotar la reescritura de las consultas. Este tipo de estructura es dependiente del SGBD.
c) Data Mart OLAP: se basan en cubos OLAP que se generan en función de los requisitos
de cada área, agregando las dimensiones y los indicadores necesarios de cada cubo
relacional.

ANÁLISIS MULTIDIMENSIONAL Y ARQUITECTURAS OLAP.

Codd definió OLAP como un tipo de procesamiento de datos caracterizado por permitir el análisis
multidimensional. La multidimensionalidad desde el punto de vista de un proceso analítico en línea
consiste en transformar los datos procedentes desde varias fuentes, tablas de una base de datos,
archivos,… y convertirlos en una estructura donde estos estén agrupados en dimensiones separadas
y heterogéneas. Estas estructuras se denominan cubos.
Las dimensiones constituyen las perspectivas de alto nivel de los datos que representan la
información más importante de un negocio.
El análisis multidimensional se fundamenta en modelar la información en dimensiones, hechos y
medidas.
 Medidas: es un tipo de dato que contiene información que utilizan los usuarios en sus
consultas con las que son capaces de medir el grado de rendimiento de un proceso.
 Dimensiones: entidades o colección de entidades que se encuentran relacionadas y que
son usadas para determinar o identificar el contexto de las medidas. Una dimensión tiene
componentes denominados miembros (dimensión Tiempo, miembro trimestre) y entre los
miembros pueden existir jerarquías (un mes puede considerarse dentro de un trimestre).
Las dimensiones contienen:
- Entidades de dimensión.
- Atributos de dimensión.
- Jerarquías de dimensión.
- Niveles de agregación.
11. Hechos: identifican la existencia de valores específicos de una o más medidas para una
combinación concreta de dimensiones.
El análisis OLAP tiene un mejor desempeño si la fuente de datos es única y aún mejor si esa fuente
de información es a su vez una base de datos multidimensional, como por ejemplo un
Datawarehouse.
Sistemas OLAP

Los sistemas OLAP son un conjunto de métodos que permiten consultar la información contenida
en los datos de diversas maneras. Esta versatilidad y multiplicidad de opciones de visualización
viene producida por la clasificación de los datos en diferentes dimensiones que pueden ser
visualizadas unas con otras combinándolas para obtener diferentes análisis de la información. Se
emplean para proporcionar al nivel estratégico información que resulte relevante a la hora de tomar decisiones.

Operadores OLAP

Una consulta consiste en la obtención de medidas sobre los hechos parametrizadas por los atributos
de las dimensiones y limitadas por las condiciones impuestas sobre las dimensiones. Las
herramientas OLAP ofrecen una serie de nuevos operadores que refinan esas consultas.
20. Drill o disgregación: posibilita introducir un nuevo criterio de agrupación en el análisis,
disgregando los grupos actuales. Existen varias variantes:
 Drill-down, permite visualizar los datos del nivel inferior de la dimensión actual dentro de
una jerarquía definida.
 Drill-across, visualiza la información contenida en otro modelo multidimensional
 Drill-through, similar a drill-down consulta la información del nivel inferior a la dimensión
actual. Sin embargo drill-through navega por fuera del modelo multidimensional
estableciendo un enlace entre este y el sistema fuente, sobre el cual consulta los datos del
nivel detallado directamente. Para poder utilizar este operador se debe establecer acceso al
sistema fuente desde el sistema OLAP.
21. Roll o agregación: permite que se elimine un criterio de agrupación en el análisis, agregando
los grupos actuales. Variantes:
4. Roll-up, también conocido como drill-up se encarga de pasar al nivel superior de la
jerarquía de la dimensión actual.
h) Roll-across, elimina un criterio de análisis eliminando de la consulta una dimensión.
22. Slice-and-dice: permite seleccionar y proyectar datos. Se trabaja con un subconjunto de los
datos para un valor determinado de un nivel en una dimensión. Con frecuencia este operador es
empleado sobre un eje temporal para poder analizar tendencias y encontrar patrones
23. Pivot: con este operador se permite cambiar la orientación de las dimensiones en un informe.
Selecciona el orden de visualización de las dimensiones con el fin de analizar los datos desde
distintas perspectivas.

ROLAP, MOLAP Y HOLAP

ROLAP

ROLAP (Relational On-Line Analytic Processing) posee las virtudes de un sistema gestor de bases
de datos relacional sobre el cual se le incorporan una serie de herramientas y extensiones para poder
ser utilizado como un datawarehouse o almacén de datos. Tiene como ventaja que es escalable para
volúmenes grandes de datos y los datos pueden ser compartidos con otras aplicaciones que utilicen
el lenguaje SQL. Como desventaja principal, que las consultas son más lentas.

MOLAP

La función principal de los sistemas MOLAP (Multidimensional On-Line Analytic Processing) es

la de almacenar físicamente los datos en estas estructuras especificas de tipo multidimensional
haciendo coincidir la representación interna de los datos con la representación que las capas
superiores dan a la información. Incorporan tecnología optimizada para la realización de las
consultas y del análisis, la cual está fundamentada en el modelo multidimensional. Tienen como
principal ventaja un mayor rendimiento a la hora de ejecutar las consultas.

HOLAP

Este tipo de sistemas HOLAP (Hybrid On-Line Analytic Processing) están considerados como
sistemas híbridos entre los ROLAP y los MOLAP, puesto que incorpora características de ambos.
Para ello utiliza un motor relacional para almacenar parte de los datos en una base de datos de tipo
relacional y utiliza una base de datos multidimensional para otra parte de la información. Haciendo
un particionamiento vertical, HOLAP mejora la velocidad de las consultas almacenando las
agregaciones en un sistema MOLAP, mientras que para optimizar el tiempo, los datos son
detallados en un sistema ROLAP.

MINERÍA DE DATOS
El concepto de Data Mining o Minería de datos viene determinado por el método de extracción de
la información contenida en los datos. La minería de datos prepara, sondea y explora el conjunto de
datos con el fin de conseguir información que de algún modo se encuentra oculta. Está formada por
un conjunto de técnicas dirigidas a la obtención del conocimiento procesable oculto en las bases de
datos. Estas técnicas fundamentan su base en la inteligencia artificial y en el análisis estadístico para
generar modelos con el fin de poder abordar la solución a problemas de predicción, clasificación y
segmentación. La minería de datos ha de realizarse con un enfoque exploratorio y no confirmador.
Produce cinco tipos de información: Asociaciones, Secuencias, Clasificaciones, Agrupamientos,
Pronósticos.
Las técnicas más importantes que se utilizan para llevar a cabo este proceso son Redes Neuronales,
Árboles de Decisión, Algoritmos Genéticos, Clustering (Agrupamiento) y Aprendizaje Automático
Los algoritmos utilizados en la minería de datos se pueden clasificar en:
 Supervisados
40. Predicen el valor de un atributo de un conjunto de datos una vez conocidos otros atributos.
41. Partiendo de los datos cuyos atributos son conocidos, se inducen nuevas relaciones entre
atributos.
42. Constan de dos fases:
 Entrenamiento, en la cual se construye un modelo usando un subconjunto
de datos conocidos.
 Prueba, se prueba el modelo con el resto de los datos.
• No Supervisados
 Se utilizan cuando una aplicación no se encuentra lo suficientemente madura o no tiene las
capacidades necesarias para realizar una solución predictiva.
 Descubren patrones y tendencias en los datos.

GENERACIÓN DE INFORMES A LA DIRECCIÓN

Los aplicaciones para la generación de informes a la dirección o Sistemas de Información para
Ejecutivos (EIS), son herramientas software que se basan en sistemas de apoyo a las decisiones
(DSS Decisión Support System) proporcionando a la gerencia de una organización acceso fácil y
sencillo a la información que resulta clave para el éxito de su compañía, ya sea interna o externa.
El objetivo principal de este tipo de aplicaciones es poner a disposición de los ejecutivos una serie
de herramientas que muestren el abanico completo del estado de los indicadores de negocio que le
interesan en tiempo real, ofreciendo a su vez la capacidad de un análisis detallado de aquellos que
no se estén consiguiendo las expectativas o las planificaciones establecidas a priori.
Dentro de estos sistemas, lo más común es encontrar los términos de:
- Informes (Reports):contiene datos utilizados para su estudio y análisis por parte de la
dirección. Pueden estar compuestos por una simple tabla de datos o una vista más compleja
 con datos agregados, con datos transformados mediante la aplicación de fórmulas, etc. La
característica principal de un informe es que no ofrece al lector del mismo ningún tipo de
conclusión o visión predefinida de los datos.
- Cuadro de Mando (Dashboard) : Un cuadro de mando es una interfaz de carácter visual que
ofrece en cada momento diferentes vistas o perspectivas de las diferentes métricas o
indicadores (también denominados KPI Key Performance Indicators)que se hayan
considerado como relevantes para un proceso de negocio o los objetivos de una empresa.
Un KPI es un indicador de la ejecución y el rendimiento de una tarea o actividad diaria que
se considera fundamental desde el punto de vista de la dirección para su seguimiento. La
idea que subyace a un KPI es que no es una métrica simple del negocio, sino que está
diseñado de forma que describe y alerta sobre distintas circunstancias permitiendo detectar e
intervenir en aquellas situaciones que así lo requieran. Además, incluye conclusiones
predefinidas que son relevantes para los objetivos del cuadro de mando y que ayudan al
lector a realizar su propio análisis.
- Cuadro de Mando Integral (Balanced ScoreCard).El cuadro de mando integral permite de
una forma sencilla presentar los indicadores o métricas críticas para el negocio y
contrastarlas con la estrategia de negocio que se pretende para la organización. Los cuadros
de mando integral se diseñan siempre con el fin de aumentar la productividad de toda la
organización, porque indica en tiempo real como se está comportando un empleado, un
equipo, un departamento o toda la empresa, de acuerdo a los objetivos definidos en el plan
estratégico. Esto lo convierte en un sistema de gestión estratégica de la empresa que
permite:
Formular estrategias consistentes y que estas sean transparentes a toda la organización.
Comunicar las estrategias definidas por la dirección a través de toda la organización.
Coordinar los objetivos de las diversas unidades organizacionales (equipos,
departamentos, secciones, etc.) de acuerdo al mismo plan estratégico.
Conectar los objetivos de cada unidad organizacional con la planificación financiera y
presupuestaria de la organización.
Medir de un modo sistemático la realización, proponiendo acciones correctivas oportunas
por parte de la dirección o por cada uno de las unidades organizacionales implicadas
Tema 24: Motores de búsqueda. Herramientas colaborativas. Correo electrónico. Listas de
distribución. Grupos de noticias de red (NNTP). Foros de discusión. Chat. Sistemas de
videoconferencia. Mensajería instantánea.

24.1 MOTORES DE BÚSQUEDA

Los motores de búsqueda, también conocidos como buscadores, son sistemas software que
se encargan de localizar sitios web relacionados con un determinado conjunto de términos clave que
se le suministran. Para realizar esta tarea, habitualmente utilizan una pieza de software
específicamente diseñado para analizar la red en busca de webs y obtener información que permita
clasificarlas mediante términos clave o bien utilizando árboles jerárquicos por temas.

La búsqueda la realizan en una base de datos en la cuál almacenan referencias de las páginas
accesibles junto con datos concretos, metainformación, que sirve para catalogarlas. Esta
información habitualmente se recoge a través de un programa (habitualmente robot) que es el que se
encarga de realizar visitas periódicas por todo el contenido disponible del web. A nivel general, se
pueden distinguir cinco tipos básicos de motores de búsqueda:

• Spiders. Los Spiders, también conocidos como arañas web o crawlers, son programas que
revisan las páginas web de forma metódica y automática. Habitualmente realizan copias de
las páginas web visitadas para un procesado posterior que consiste en indexar dichas páginas
en función de su contenido, determinado por conjuntos de términos clave, para proporcionar
un sistema de búsqueda posterior más optimizado. El funcionamiento es simple. La araña se
inicia con una lista de URLs o páginas a visitar. A medida que va consultando las páginas, va
añadiendo todos los hipervínculos que se encuentran en dichas páginas a una lista de URLs
que visitará de forma recurrente en función de unas reglas establecidas. Algunos ejemplos
de “Spiders” son Google, Bing o Hotbot
• Directorios. Los directorios son simplemente listas categorizadas de recursos, que se
estucturan jerárquicamente. Esta estructura se organiza en forma de árbol, permitiendo
visualizar los contenidos con diferente grado de granularidad, desde los más generales a los
más específicos. Realiza las clasificaciones y categorizaciones del material en función de un
conjunto de criterios seleccionados de forma manual. Algunos ejemplos de directorios son
Yahoo! y Open Directory Project.
• Sistemas mixtos (directorio y motor de búsqueda). Los sistemas mixtos combinan
características de directorios y motores de búsqueda. Disponen habitualmente de alguna
pieza software de tipo “Spider” para realizar el análisis de la web, y además permiten añadir
y presentar páginas clasificadas en catálogos según su contenido.
 • Metabuscadores. Los metabuscadores son un tipo de motores de búsqueda que centran sus
resultados en búsquedas que realizan sobre otros buscadores y a continuación refinan esos
resultados presentando una selección propia. El problema principal es que los
metabuscadores no distinguen entre las diferentes sintaxis de los buscadores, limitando la
especificidad con la que los metabuscadores pueden trabajar para localizar información.
Algunos ejemplos de metabuscadores son Metacrawler, Ixquick, Dogpile o Metabuscador

• Multibuscadores. Similares a los metabuscadores, pero con una diferencia notable; mientras
que los metabuscadores no distinguen las diferentes sintáxis de los buscadores que utilizan
para la obtención de resultados, los multibuscadores sí lo hacen. Esto implica que puedan
lanzar varias búsquedas en motores seleccionados respetando el formato original de los
buscadores. Los multibuscadores no almacenan información de páginas relativas a contenido.
Simplemente realizan la consulta adecuada a cada buscador dentro de su registro, y realizan un filtrado
de los enlaces repetidos, y aplican además criterios de selección como la relevancia de cada enlace en los

diferentes buscadores, para generar finalmente una lista de resultados. Un ejemplo de multibuscador
es iniciodirecto.com.

24.2 HERRAMIENTAS COLABORATIVAS

Las herramientas colaborativas son aquellas que proporcionan los medios adecuados para
que los usuarios finales puedan interactuar entre sí y alcanzar metas comunes. Habitualmente se las
conoce como sistemas colaborativos o Groupwares. Se basan en la adopción de un espacio de
trabajo virtual y compartido denominado Workplace, definido como un sistema que proporciona
procesamiento de información y actividades comunicativas.

24.2.1 Groupware

El Groupware es un tipo de software colaborativo que ayuda a grupos de trabajo a realizar sus
actividades a través de una red. Las características más importantes de los groupware son:
25. Proveer de un ambiente de colaboración, en el que realmente se perciba que el trabajo en
grupo se lleva a cabo.
26. Mantener la información en un solo sitio común para todos los miembros.
27. Interactuar con otros usuarios, de forma escrita, voz o vídeo.

Los groupware se pueden clasificar en base a tiempo y espacio. En base al tiempo se clasifican en
sincrónicos y asincrónicos; y en base al espacio, pueden estar en el mismo lugar o en forma
distribuida. Las aplicaciones típicas de los groupware sincrónicos (los cuales soportan aplicaciones
en tiempo real) son: pizarrones compartidos, teleconferencia, chat y sistemas de toma de decisiones.
 Algunos ejemplos de aplicaciones típicas de los groupware asincrónicos son: e-mail,
newsgroups, calendarios y sistemas de escritura colaborativos. Los groupware se están volviendo
más populares dentro de las empresas, ya que resulta más barato instalar una Intranet y comprar o
implementar un sistema de colaboración a estar transportando personal de un lugar a otro.

24.2.2 Workflows

Los Workflows son sistemas que ayudan a administrar y automatizar procesos de negocios.
Un workflow puede ser descrito como el flujo y control en un proceso de negocio. Los workflows
son solo un camino para la información, para reducir tiempo, dinero y esfuerzo en la ejecución de
un proceso de negocio. Las funciones más comunes que proporcionan los workflows son:
 Asignación de tareas al personal.
 Aviso al personal de tareas pendientes.
 Permitir la colaboración en las tareas comunes.
 Optimización de recursos humanos y técnicos, alineándolos a la estrategia de la empresa.

24.3 CORREO ELECTRÓNICO

El correo electrónico, o email, está catalogado como un servicio de red, que proporciona a
los usuarios la capacidad para enviar y recibir mensajes y archivos de forma rápida y eficiente a
través de dispositivos digitales.

Técnicamente hablando, el correo electrónico es un servicio proporcionado en internet,

soportado por el protocolo SMTP (Simple Mail Transfer Protocol) y el protocolo POP (Post Office
Protocol). Como en todo servicio, la arquitectura del sistema consta de una parte cliente,
habitualmente utilizada por los usuarios para enviar y recibir correos, y una parte servidora, que
proporciona los mecanismos adecuados para el almacenamiento y transferencia de los correos entre
los diferentes clientes.

El cliente de correo electrónico, también llamado Mail User Agent (MUA) es un

programa que básicamente permite gestionar los mensajes recibidos así como recibir correos
nuevos. Pueden ser aplicaciones stand-alone que proporcionan un amplio abanico de
funcionalidades para la gestión de nuestro correo. Sin embargo, actualmente la mayoría de los
proveedores de servicio de correo permiten el acceso a través de los navegadores web,
proporcionando interfaces web a modo de cliente para la consulta y gestión de nuestro correo
electrónico. Cuando se utiliza un cliente de correo electrónico, todos los mensajes disponibles se
descargan en el ordenador en el que se esté ejecutando ese cliente de correo electrónico. Sin
embargo, cuando se accede a la cuenta de correo a través de las interfaces web, los mensajes siguen
almacenados en el servidor, siendo accesibles a través del cliente web, desde cualquier ordenador
que disponga de una conexión a Internet.

Algunos ejemplos de clientes de correo electrónico stand-alone son Microsoft Outlook y

Mozilla Thunderbird. Algunos ejemplos de proveedores de servicio de correo web son gmail,
hotmail o yahoo!.

El servidor de correo electrónico consiste en un conjunto de aplicaciones informáticas

ubicadas en un equipo servidor, ya sea en red local o en Internet, cuya tarea consiste en realizar una
serie de procesos que tienen la finalidad de transportar información entre los distintos usuarios del
servicio. El servidor de correo electrónico es el encargado de gestionar a todos los usuarios
registrados en el sistema con sus correspondientes identificaciones. El servidor de correo
electrónico, dispone de una pieza software denominada Agente de Transferencia de Correo (MTA)
o Agente de Transporte de Mensajes, cuyo objetivo consiste en transmitir los datos de una máquina
a otra.

Los servicios de correo gratuíto son los más conocidos por los usuarios, y entre ellos podemos
destacar los servicios de gmail, hotmail o yahoo!. En cuanto a las soluciones software para la
implantación de un servidor de correo electrónico, pueden destacarse Microsoft Exchange Server
para plataformas Windows o Sendmail, Qmail y Postfix para Unix/GNU Linux.

La dirección de correo electrónico es una secuencia de palabras que tienen por objeto identificar a
un determinado usuario de un servicio de correo de forma inequívoca. La sintáxis de una dirección
de correo es la siguiente: nombre de usuario, @ y nombre de dominio.

El ordenador con el cliente A redacta un correo electrónico para el cliente B y lo envía. Al realizar la
operación de envío, el cliente de correo en A contacta con el Servidor de correo A a través del
protocolo SMTP, le transfiere el correo y le da la órden de enviarlo. Al recibir la petición, el
servidor de correo A verifica que el correo pertenece a otro dominio. Para resolver la dirección a la
cuál tiene que enviar el correo, realiza una consulta a un servidor de DNS para averiguar quién es el
encargado de gestionar el dominio asociado al cliente B. Una vez obtenida la respuesta, y resuelto el
servidor de correo B, el servidor de correo A se comunica con él a través del protocolo SMTP,
enviandole el correo emitido desde el cliente A, y quedando este correo almacenado en el servidor
B. Posteriormente, cuando el cliente B decida consultar el correo, accederá mediante el protocolo
POP o IMAP al servidor de correo B y se descargará los mensajes almacenados en dicho servidor
que tengan por destinatario al usuario de Cliente B.
24.4 LISTAS DE DISTRIBUCIÓN
Las listas de distribución, o listas de correo electrónico son agrupaciones de usuarios de
correo electrónico. Mediante un software apropiado se pueden configurar listados de direcciones de
email para el envío masivo de información a múltiples usuarios a la misma vez. Cada lista de
distribución de correo electrónico está a su vez referenciada por una dirección email. A grandes
rasgos, cada vez que un usuario autorizado emite un email con la dirección de la lista de
distribución como destinatario, en realidad la lista reenviará el email a todos los usuarios adscritos a
esa lista. Las listas de correo electrónico están gestionadas por el propio servidor de correo, o por
software adicional específico para su gestión. Tipos de listas de correo electrónico:

 Boletín electrónico: se utiliza como medio unidireccional para la transmisión de

información debido a que sólo pueden enviar mensajes a la lista determinadas personas
encargadas de la publicación y gestión de dicho boletín.

 Lista de debate: En este tipo de lista, cualquier suscriptor puede enviar correos a la lista
de distribución, y el resto de usuarios pueden contestarlos de la misma manera. De esta
forma se pueden generar debates e intercambios de información. Las cadenas de correos
van generando hilos que pueden ser contestados por cualquiera de los usuarios de la
lista.

Existen en internet diferentes servicios que permiten la creación de listas de correo electrónico de
forma gratuíta, como por ejemplo Google Groups, Yahoo! o eListas.

24.5 GRUPOS DE NOTICIAS DE RED

Los grupos de noticias serían similares a un tablón electrónico de noticias categorizadas
jerárquicamente por temáticas. El usuario se puede suscribir a un grupo o grupos determinados que
resulten de su interés y recibirá todos los mensajes que el resto de usuarios envían a ese grupo. Este
funcionamiento se asemeja bastante al de una lista correo. La diferencia es que con las listas de
correo se reciben directamente los mensajes en el cliente de correo, mientras que con las news o
grupos de noticias, se necesita conectarse a un servidor de noticias y extraer los grupos en los que el
usuario esté interesado.

Una vez que el usuario se registra en un grupo o grupos determinados, puede agregar
mensajes al sistema. Puede también publicar noticias que contesten o repliquen otras noticias
previas, formando hilos de debate. Para la gestión de las noticias se necesita software específico
para este servicio. Actualmente la mayoría de los clientes de correo web vienen preparados para
desempeñar esta función. Las funcionalidades básicas que deben proporcionar son las de permitir
seleccionar los grupos de interés para el usuario, lectura de noticias publicadas por otros y envío de
noticias al servidor.

24.6 FOROS DE DISCUSIÓN

Los foros son aplicaciones web dinámicas que permiten a los usuarios el intercambio de opiniones.
Para interactuar con el foro, únicamente es necesario un navegador web. En función de la
configuración particular de cada foro, podría ser necesario que los usuarios se registren para poder
participar. La dinámica de uso del foro por parte de los usuarios es controlada habitualmente por
coordinador o moderador. En este sentido, existe en los foros una estricta política de roles y
permisos, que permite controlar a nivel de usuario las actividades vinculadas con cada rol.

Están considerados como complementos de sitios web ampliando las funcionalidades de dichos
sitios mediante la introducción de herramientas que permitan a los usuarios discutir o compartir
información relevante acerca de la temática del sitio.

Existe una gran variedad de soportes disponibles para la implementación de foros. Habitualmente
los paquetes desarrollados preparados para la instalación están desarrollados en lenguajes
orientados a desarrollo web como PHP, ASP, Perl, o Java. La arquitectura de este tipo de
aplicaciones es similar a la de los sistemas de gestión de contenidos, disponiendo de una base de
datos que asegura la persistencia del contenido publicado en el foro, así como el registro de las
configuraciones y los usuarios autorizados en el sistema.

Los ejemplos más habituales de sistemas de foros que se pueden encontrar en un alto porcentaje de
sitios en web son: phpBB, vBulletin, MyBB, SMF, YaBB, o JavaBB. Como se comentó anteriormente,
muchos sistemas de gestión de contenidos integran sus propios módulos con funcionalidad de foro, como es el caso de
WordPress, Drupal o Joomla!

24.7 CHAT
Se utiliza para designar las comunicaciones escritas realizadas en tiempo real a través de Internet
entre dos o más personas. Puede realizarse a través de canales públicos, o mediante canales
privados. Tenemos diferentes tipologías de chat:

- Webchat: Es un tipo de chat en el que los mensajes se transmiten a través de WWW. Es un

tipo de chat de fácil acceso, dado que las interfaces están implementadas como aplicaciones
web, accesibles desde cualquier navegador.

- IRC (Internet Relay Chat): Representa la forma más conocida y antigua de chat que
 existe. IRC es un protocolo de comunicación en tiempo real basado en texto que permite
comunicación entre usuarios sin necesidad de acuerdo previo de establecer la comunicación,
es decir, que dos usuarios que se encuentren en un canal pueden comunicarse entre sí sin
necesidad de haber establecido una comunicación previa. El IRC presenta un modelo
cliente-servidor donde las aplicaciones cliente se configuran y conectan contra un
determinado servidor de IRC, permitiendo establecer comunicación con el resto de personas
que se encuentran conectadas a dicho servidor, bien mediante chat privado, o a través de
canales de libre acceso. El cliente más habitual de este tipo de redes es el mIRC.

- Mensajería instantánea: En esencia es similar al IRC. La diferencia radica en que en los

sistemas de mensajería instantánea, para que dos usuarios se comuniquen, deberá de existir
un contacto previo mediante el cuál ambos usuarios accedan a establecer la comunicación.
La mayoría de estos sistemas cuentan con su propia red que únicamente es accesible
mediante el cliente propio de esa red, desarrollado por una entidad o compañía concreta. En
ese sentido, se presenta como un modelo de comunicación limitado y controlado que se está
comenzando a adoptar en algunas empresas y corporaciones para establecer un mecanismo
de intercambio de información de forma económica, controlada y fiable. Algunos sistemas
de mensajería instantánea más comunes son el MSN Messenger, Yahoo Messenger o ICQ.

24.8 SISTEMAS DE VIDEOCONFERENCIA

Los sistemas de videoconferencia tienen como principal característica el permitir

comunicación simultánea y bidireccional de señales de audio y vídeo, lo que proporciona capacidad
para mantener reuniones con personas situadas en lugares alejados.

La base tecnológica de los sistemas de videoconferencia es la compresión digital de los

flujos de audio y vídeo en tiempo real. En cuanto a la categorización de los sistemas de
videoconferencia, podemos clasificarlos fundamentalmente en dos grandes grupos:

- Sistemas de videoconferencia dedicados: Disponen de los componentes hardware

necesarios para realizar una videoconferencia en remoto. Son sistemas de alta calidad,
especiales para las circunstancias en las que se demanda una alta fiabilidad y calidad de los
datos transmitidos.
- Sistemas de videoconferencia de escritorio: Los sistemas de escritorio, o sistemas de
usuario, se basan en la combinación de parte software y hardware. En cuanto a parte
software, se trata de algún cliente de mensajería con capacidad para realizar
videoconferencia mediante la transmisión de una cámara web y un micrófono conectado al
ordenador. En cuanto a los dispositivos hardware, simplemente serían necesarios una cámara
web y un micrófono. En la actualidad, prácticamente la gran mayoría de los sistemas de
mensajería instantánea soportan videoconferencia. Es el caso por ejemplo de los clientes de
MSN Messenger o Skype.
TEMA 25: Web 2.0. Wikis. Blogs. Comunidades virtuales. Redes sociales. Sindicación de
contenidos. Podcast. Modelos de TV en internet. Suites de ofimática en web. Almacenamiento
en web. Escritorios virtuales. Mashups. Widgets. Mundos virtuales. P2P. Web semántica.

WEB 2.0

El concepto de web 2.0 nace para describir aquellas aplicaciones web que se centran en el usuario,
en contraposición a la web tradicional (o 1.0) que simplemente actúa como una mera presentadora
de datos. La web 2.0 fomenta la interacción con el usuario, la interoperabilidad, y busca compartir
información y la colaboración. Este concepto se ha desarrollado principalmente mediante servicios
web, redes sociales, wikis, blogs y sistemas de almacenamiento de vídeos, entre otros.

Uno de los principales cambios se producen en la gestión de los datos. En la web 1.0, es la empresa
la que gestiona la información. Por su parte, la web 2.0 es un concepto colaborativo en el que se
espera que los datos sean obtenidos por medio de los usuarios. No se trata de un cambio tecnológico
en la web, sino un cambio en la forma en la que desarrolladores y usuarios utilizan la web. Sin
embargo, Tim Berners-Lee, el creador de la World Wide Web, ha calificado el término 2.0 como
“palabrería”, ya que, según él mismo, la web ya contenía esos valores desde un principio. Una
primera aproximación al concepto 2.0 fueron las aplicaciones webs dinámicas, en las que las
páginas son servidas al usuario dinámicamente a partir de contenido obtenido de una base de datos.

Algunas de las características que definen la web 2.0 son:

 Permite el uso de aplicaciones online, sustituyendo potencialmente a las aplicaciones de

escritorio, y desde un punto de vista multiplataforma.
 Permite la transferencia de información y contenidos entre aplicaciones web.
 Permite gradualmente la virtualización de las estructuras sociales en el mundo online.
 Hace que el papel del usuario gane importancia, llevándolo hasta el rol de co-desarrollador,
y fomentando un desarrollo colectivo.
 Fomenta la interoperabilidad de las aplicaciones web, la incrustación de código externo y el
uso de API's incluso por usuarios no expertos. En este punto es destacable la contribución de
la tecnología RSS (Real Simple Syndication) que separa totalmente contenido y
presentación de los datos.
 Fomenta la participación para la mejora continua de la aplicación.
WIKIS

Un wiki es un tipo de aplicación web que permite la edición de sus contenidos de forma
concurrente, voluntaria y colaborativa por parte de usuarios, autenticados o no, a través de un
navegador web, y con el objeto de acumular conocimiento de manera conjunta a modo de
repositorio centralizado. Cada página de contenido del wiki se corresponde con un nombre unívoco
y simple que facilita su comprensibilidad, así como su enlazamiento desde otras páginas de wiki y
portales externos.

El origen de los wikis proviene de Ward Cunningham, quien desarrolló un servidor wiki como
repositorio de patrones de diseño y definió al wiki como 'la base de datos online más simple que
podría funcionar'.

Cada artículo se co-escribe con el resto de la comunidad. Dentro de la colaboración múltiple, el

wiki posibilita un historial de actualizaciones que actúa a modo de control de versiones temporal y
por usuario. Al trabajar como un repositorio, los wikis permiten volver a versiones anteriores con
facilidad. La tendencia actual es que exista un reducido grupo de usuarios con un rol especial que
revisa los contenidos y hace posible mantener la calidad en los contenidos y evitar incoherencias y
sabotajes. Hoy en día, la versión inglesa de Wikipedia es el wiki más grande que existe. Existen
plantillas para que las páginas wiki guarden coherencia entre si, lo que hace aumentar la calidad del
repositorio.

Los software más utilizados para el desarrollo de wikis son: MediaWiki, TikiWiki o CitiWiki (en
PHP), y JSPWiki o XWiki (en Java), entre otros. La aplicación solamente define la presentación
básica de los datos (estilos, entorno...), pero la edición de los datos corre por parte de los usuarios.

BLOGS

Un blog (o weblog) es un sitio web de actualización frecuente que recopila artículos, presentando
primero el más reciente, y que permite la interacción con los lectores por medio de comentarios
sobre los artículos. El blog es cronológico (permite mantener una línea de tiempo de publicación),
es colaborativo (pueden publicar varios autores), y es interactivo (los lectores pueden publicar sus
comentarios, de modo que el autor pueda contestarles para conformar un diálogo).
La temática del blog es variada, siendo su motivación primigenia el actuar a modo de diario
personal o bitácora. Desde entonces, los hay corporativos, periodísticos, educativos, etc. El blog que
se dedica esencialmente a la publicación de fotografías se denomina fotolog o fotoblog (y videoblog
en el caso de vídeos). Las entradas del blog suelen agruparse en categorías, y es frecuente la
práctica de indicar palabras clave o etiquetas para facilitar la búsqueda por contenido. Los blogs
también proporcionan archivos e índices mensuales y anuales que permiten una navegación
ordenada por fecha.

En ocasiones las entradas permiten que se les haga trackback (un enlace inverso) para conocer quién ha enlazado la

entrada desde otro sitio web .Existen principalmente dos tipos de soluciones blog: las que proporcionan
una solución completa de software y alojamiento web gratuito (como Blogger o LiveJournal), y las
que simplemente proporcionan software que precisa ser instalado en un sitio web (como
WordPress). Este último es un tipo específico de gestor de contenido (CMS).

COMUNIDADES VIRTUALES

Una comunidad virtual es aquella cuyos vínculos, interacciones y relaciones no tienen lugar en un
espacio físico, sino en un espacio virtual como Internet. Desde el punto de vista social, las
comunidades virtuales permiten a los usuarios relacionarse con los demás, adquiriendo así un
carácter socializador. Sus características son:
k) Asociación virtual de personas
l) Existe un propósito determinado que es la razón de ser de la comunidad virtual
m) Existe un gran deseo de interacción entre los usuarios para satisfacer unas necesidades o
desempeñar unos roles concretos
n) Existen sistemas que evalúan y miden las interacciones y favorecen la cohesión entre los
miembros

El principal inconveniente es la problemática de la organización interna de las mismas, que suele

ser muy difícil de establecer y gestionar.

REDES SOCIALES
El concepto de red social, está estrechamente ligado con el de comunidad virtual, entendiéndose una
comunidad virtual como un caso más específico de red social. Una red social es una estructura de
nodos donde distintos actores, que pueden ser individuos u organizaciones, están conectados
mediante un serie de relaciones basadas en propiedades comunes.

Una red social es distribuida cuando su emplazamiento no está limitado a un sitio en concreto sino
que se distribuye a nivel geográfico. Una red social se apoya en el uso de alguna tecnología de
comunicación que permite a los distintos usuarios interactuar entre si. En este caso, lo más habitual
es emplear Internet como tecnología subyacente, sin embargo, también existen redes sociales
basadas en tecnologías móviles e incluso en tecnologías no digitales como el teléfono, el fax o el
correo postal.

Actualmente las redes sociales se orientan alrededor de un sitio web que ofrece a los usuarios una
serie de servicios, como son chat, mensajería instantánea, carga de imágenes, vídeos, grupos de
debate, etc. Dentro de las redes sociales más empleadas hoy en día, podemos nombrar a Facebook,
Youtube, Twitter, Myspace, Orkut, Hi5 etc.

SINDICACIÓN DE CONTENIDOS

La sindicación de contenidos (sindicación web o redifusión web) consiste en el reenvío o

redistribución de contenidos desde un sitio web de origen, hasta otro sitio web receptor, el cual a su
vez se puede ver como un emisor de los contenidos. Esta redifusión de contenidos se hace
habitualmente mediante una licencia o contrato entre los sitios web de origen y destino.

Existen dos familias más destacadas en cuanto a formatos de redifusión web, que son RSS y Atom.
De hecho, actualmente el término RSS (Really Simple Sindication) se ha empezado a usar
indistintamente para referirse a cualquiera de los 2 formatos de fuentes web, el propio RSS o Atom.

Para poder leer una fuente web es necesario realizar una suscripción mediante un agregador, el cual
muestra los nuevos contenidos que hayan sido publicados por el proveedor de la fuente web
suscrita.

Un canal web o fuente web (Web feed) es un medio de redistribución de contenidos web, que se
emplea para suministrar información a los suscriptores de manera actualizada.
Un lector RSS o agregador de noticias (eventualmente sólo agregador) es una aplicación que
permite establecer una suscripción a fuentes de noticias en formatos Atom, RSS y otros derivados
de XML/RDF. La función del agregador consiste en reunir todas las noticias y contenidos
publicados en los sitios con redifusión escogidos y mostrarlas de manera unificada al usuario.

RSS es un formato XML para sindicar contenidos web que se emplea para difundir información a
los usuarios suscritos a una fuente de contenido.
Atom hace referencia a 2 estándares relacionados entre si:
- Protocolo de Publicación Atom (AtomPub o APP): protocolo basado en http para crear o
actualizar recursos en web.
- Formato de Redifusión Atom: fichero en formato XML usado para redifusión web.

El formato Atom fue desarrollado como una alternativa a RSS. Atom surge por la incompatibilidad
existente entre algunas versiones del protocolo RSS.

PODCAST

Podcasting consiste en distribuir archivos multimedia, generalmente audio o vídeo, mediante un

sistema de redifusión que permita a los usuarios establecer suscripciones, los cuales emplean un
programa de descarga para poder visualizar el contenido en el momento que se desee. También
existe la posibilidad de descargar los contenidos sin una suscripción previa. El podcasting es un tipo
de sindicación donde los archivos que se redistribuyen son de contenido multimedia.

Los podcasts suelen ser accesibles desde el sitio web en que han sido colocados. Existen blogs que
permiten realizar podcasting mediante el uso de plug-ins gratuítos. Además estos archivos también
se pueden descargar.

Antes de la aparición del podcasting, la forma habitual de transmitir contenidos multimedia era el
streaming o webcasting. Podcasting y streaming presentan ciertas diferencias, las más destacadas:
14. Con streaming no se produce la descarga del fichero sino que este se reproduce en modo
flujo mientras se está descargando. Cuando termina la reproducción, el fichero no se
almacena en el equipo receptor. Esto presenta la ventaja del ahorro de espacio de
 almacenamiento, sin embargo, siempre que se quiera ver u oír nuevamente el archivo
volverá a ser descargado.
15. Con streaming, es necesario acceder al sitio Web donde está el canal deseado. Con
podcasting, cuando el contenido está disponible, este se descarga de manera automática
y puede ser escuchado en cualquier momento.
16. El streaming es más sensible a problemas de conexión a Internet o de sobrecarga del
servidor ya que la descarga se produce mientras se está reproduciendo el archivo.
17. El streaming presenta más problemas de compatibilidad entre los distintos sistemas empleados que el
podcasting

MODELOS DE TV EN INTERNET

La televisión IP (IPTV) supone una nueva forma de comunicación audiovisual que consiste en la
retransmisión de material audiovisual por Internet. Mediante la red IP la programación de los
diversos canales de televisión llega a todos los televidentes, este proceso se realiza mediante las
funciones que se detallan en el gráfico siguiente.
 Las señales de video originales se digitalizan y convierten en paquetes de datos IP.
 Este contenido, convertido a IP, se almacena para su redistribución, así como para su
disponibilidad futura.
 Estas tramas de paquetes se transportan a través de una red IP.
 Las señales son recibidas en un equipo residencial cuya función es volver a convertir los
paquetes IP en señales de televisión estándar.

Características de la televisión IP:

 Soporte para definición estándar y alta definición (HDTV)

 Nivel de interactividad completo. El equipo receptor permite al usuario servicios como:
o Video conferencia
o Acceso a cuentas bancarias
o Compra online de los productos que se estén publicitando en el momento
o Navegación por internet a través del dispositivo de TV
 Posibilidad de visualizar desde el principio programas ya iniciados, e incluso programas
transmitidos con anterioridad.
  Reproducción a cámara lenta, posibilidad de pausar y retroceder la reproducción, en una
retransmisión en vivo.
 Servicio de videograbadora virtual.
 Servicio de vídeo bajo demanda.
 Guías de programación interactivas.

En la televisión IP la publicidad aparece simultáneamente y de forma continuada a los contenidos

que estemos visualizando.

SUITES OFIMÁTICAS EN WEB

Actualmente existen distintas versiones de suites ofimáticas pero en web, a las cuales se accede
mediante el uso de un navegador:
Feng Office: Feng Office es una aplicación libre de tipo Web Office, antes conocida como
OpenGoo. Se trata de una sistema completo que proporciona funcionalidades para crear,
publicar, colaborar y compartir documentos. Feng Office permite crear y trabajar entre otros,
sobre documentos, listas de tareas, correo electrónico, calendario y agenda. Esta aplicación
puede funcionar bajo un modelo SaaS (Software as a Service), donde los servidores del
proveedor a través de un navegador, nos permiten trabajar con la aplicación, pero también es
posible realizar una instalación de la aplicación en un servidor propio, en este caso los
requisitos de este sistema pasan por un servidor web Apache, PHP y MySQL como base de
datos.
Google Docs. Google Docs es un programa web gratuito que permite crear y trabajar sobre unos
documentos de manera individual o en grupo. Se compone de procesador de textos, hojas de
cálculo, programa de presentación sencillo y editor de formularios. Puede ser usado tanto
online como offline. En esta modalidad offline, los cambios que se introduzcan en los
documentos serán actualizados de forma automática en cuanto la conexión con internet se
restablezca. Recientemente se ha incorporado compatibilidad entre Google Docs y los
dispositivos móviles, de tal forma que se pueda no solo acceder a los documentos sino
también editarlos.
Office Web Apps. Office Web Apps es la solución de Microsoft para las suites ofimática en la web.
Se compone de Word Web App, Excel Web App, PowerPoint Web App y OneNote Web App.
Permiten acceder a los documentos a través del navegador, así como compartir archivos y
trabajar sobre ellos de forma colaborativa.
ALMACENAMIENTO EN WEB

Un servicio de almacenamiento de archivos online es un servicio de alojamiento online cuyo

propósito es facilitar el almacenamiento de contenido estático, como archivos, documentos, etc. Por
norma general este tipo de servicios provee de accesos a través de diversas interfaces, web, ftp, etc.

Como ejemplo tenemos Dropbox es un servicio de alojamiento de archivos en la nube, que permite
almacenar y sincronizar archivos entre distintos ordenadores e incluso con distintos usuarios. El
funcionamiento es muy sencillo, cada ordenador cliente instala un software que permite a los
usuarios desplazar cualquier contenido a una carpeta designada, la cual se integra en el sistema de
archivos del sistema que se trate. Una vez se sitúa un archivo en esa carpeta, o se modifica, éste es
sincronizado en la nube y con todos los demás ordenadores donde esté instalado el cliente Dropbox
de ese usuario.

ESCRITORIOS VIRTUALES

Un escritorio virtual consiste en un servicio de virtualización aplicado sobre un escritorio

tradicional. En este caso el escritorio del usuario se ejecuta en un servidor, donde las órdenes de
dicho usuario se transmiten online al servidor, el cual envía de vuelta los resultados de dichas
acciones. El usuario puede tener un sistema completo y emplear adicionalmente el escritorio virtual
para cierto tipo de tareas.

Un ejemplo de escritorio virtual es eyeOS que es un sistema libre y multiplataforma que se basa en el estilo
que tienen los escritorios en los sistemas operativos tradicionales, e incluye la estructura de un sistema operativo así
como ciertas aplicaciones ofimáticas como procesador de textos, calendario, navegador, gestor de archivos, etc.
No necesita de ningún software adicional para poder usarlo, puesto que todo el acceso se realiza
mediante un navegador web. Recientemente, el sistema ha sido adaptado para poder utilizarse en
dispositivos móviles.

MASHUPS

Un mashup es una aplicación o página web que usa y combina funcionalidades y datos de una o
más fuentes para crear nuevos servicios. Se toman una serie de datos existentes y se transforman en
otros con un valor añadido que son más útiles tanto a nivel personal como profesional. Los mashup
se componen de 3 partes:
 Proveedor de contenidos o fuente de datos. Los datos están accesibles a través de un API y
mediante distintos protocolos como RSS.
 Sitio mashup: aplicación web que ofrece un servicio a partir de distintas informaciones que
no son suyas.
 Navegador web: es la interfaz con la que el usuario interactúa con el mashup.

Un error muy frecuente es confundir los contenidos embebidos con los que existen en un mashup.
Un sitio que permite embeber por ejemplo un video o un archivo de sonido, no es un mashup, ya
que no ha existido ningún tipo de procesado en estos datos que permita incrementar el valor que
estos tienen para el usuario.
Existen distintos tipos de mashups:
p) De consumidores: es el más conocido. Se integran datos de diversas fuentes y se accede a través de una
interfaz sencilla. Ejemplo: Google Maps.
q) De datos: se mezclan datos de tipo similar de distintas fuentes. Ejemplo: combinación de múltiples feeds RSS
en uno solo.
r) Empresariales: integra datos de fuentes tanto externas como internas. Ejemplo: incorporar mayor información
a un informe estratégico mediante datos existentes en algún registro oficial.
s) De negocio: es una combinación de los 3 anteriores.

MUNDOS VIRTUALES
Los mundos virtuales podemos verlos como un tipo de comunidad virtual, que simula un mundo
artificial, el cual puede estar inspirado o no en la realidad. En este mundo virtual los distintos
usuarios mediante sus avatares (personajes o representantes del usuario en el mundo virtual) pueden
interactuar entre si y con otros objetos presentes en el mundo virtual. Para poder definirlo como un
mundo virtual, es necesario que dicho mundo tenga una línea temporal activo, persistente y
disponible las 24 horas. La interacción que se establece entre los usuario de un mundo virtual es
habitualmente en tiempo real.

Un ejemplo de mundo virtual es Second Life, cuyos usuarios suelen emplear unos programas
llamados viewers para acceder al sistema, en el cual los usuarios interactúan a través de avatares.

P2P
Una red P2P (Peer-to-peer, red de pares o red punto a punto) es una red de ordenadores en la que
todos o algunos de los aspectos funcionan sin que existan clientes ni servidores fijos, sino una serie
de nodos que actúan como iguales entre sí, donde cada uno de ellos es a la vez cliente y servidor.
Este tipo de redes permite el intercambio directo de información entre los ordenadores que están
conectados. Habitualmente para compartir ficheros de cualquier tipo, aunque también se emplea
para telefonía VoIP.

Algunas características de las redes P2P son el anonimato, descentralización, robustez (al existir
replica de los datos en múltiples destinos, la información deseada siempre se puede encontrar),
escalabilidad (cuantos más nodos, mejor será el funcionamiento). Tendremos los siguientes tipos:
 Centralizadas: Arquitectura monolítica donde todas las transacciones se hacen a través
de un único servidor, el cual almacena y distribuye los nodos donde se almacenan los
contenidos.
 Híbridas, semicentralizadas o mixtas: Existe un servidor que atiende peticiones pero
no almacena información. El servidor administra los recursos, enrutamientos y
comunicación entre nodos. Los nodos son los encargados de almacenar la información.
El servidor central reconoce la información que desea compartir cada nodo.
 Puras o totalmente descentralizadas: No necesitan de ningún tipo de gestión central.
Cada nodo es a la vez cliente y servidor. Las conexiones se establecen entre usuarios,
con la ayuda de un tercer nodo que permite enlazar dicha conexión.

WEB SEMÁNTICA

La web semántica (semantic web) se basa en la idea de incorporar metadatos ontológicos y

semánticos a la web. Esta información adicional, describe el significado, contenido y relación entre
los datos. Además debe ser proporcionada de manera formal para que pueda ser evaluada
automáticamente por equipos de procesamiento. La función de la web semántica es describir los
contenidos de una web, mediante tecnologías como RDF, OWL, además de XML. Este tipo de
tecnologías aporta descripciones explícitas de los distintos recursos incorporando una serie de
etiquetas interpretables por los gestores de contenidos, de tal forma que sea posible la interpretación
de los documentos, tratamiento de su información, etc.

La Web semántica, para realizar una adecuada definición de los datos, emplea fundamentalmente
RDF, SPARQL y OWL.
- RDF: proporciona información sobre los recursos de la web, de forma simple y descriptiva.
- SPARQL: es el lenguaje de consulta de RDF. Permite realizar búsquedas sobre los recursos
de la web semántica.
- OWL: es un mecanismo que permite desarrollar vocabularios específicos que se puedan
asignar a los recursos. Proporciona un lenguaje para definir ontologías que se pueden usar a
través de distintos sistemas.
Tema 26: Sistemas de Información Geográfica

INTRODUCCIÓN
Como información espacial (geográfica, georreferenciada o geodatos) nos referimos a todo tipo de
información relativa a sucesos o elementos para la cual se incluye una referencia a su localización,
la cual está situada sobre o en las inmediaciones de la superficie de la Tierra. La forma de
referenciar la posición de estos elementos o estos sucesos puede realizarse de distintas formas,
mediante una simple dirección postal, con coordenadas geográficas (longitud y latitud) o con
coordenadas cartesianas en algún sistema de referencia cartográfico.
La primera manifestación de los sistemas de información geográfica los podemos encontrar en los
mapas, sin embargo, ya en épocas más recientes, las aportaciones de las tecnologías de la
información en el ámbito de la cartografía han sido muy importantes. En lo tocante a la producción
cartográfica, actualmente se cuenta con técnicas muy depuradas para la producción de mapas en
todas sus fases, desde la captura de datos (fotogrametría aérea, imágenes de satélite, teledetección,
telemetría láser, GPS, etc), hasta los diferentes procesos que componen la fase de elaboración de la
cartografía. En lo tocante al análisis de la información geográfica es necesario destacar en primer
lugar las importantes limitaciones prácticas que presentan los mapas tradicionales para su
utilización en análisis mediante técnicas manuales. La superación de estas limitaciones es ha sido la
motivación inicial para el desarrollo de los Sistemas de Información Geográfica, SIG (o GIS de
acuerdo con la terminología anglosajona), que se ha convertido en la otra gran rama de aportaciones
de las tecnologías de la información en el ámbito de la cartografía.
Un Sistema de Información Geográfica está orientado a la captura, manipulación, recuperación,
análisis, representación, etc, de información georreferenciada, aquella en la que la posición espacial
ocupada por los objetos del mundo real que se modelizan forma parte inherente a dicha
información.

CONCEPTOS BÁSICOS

Georreferenciación
Lageorreferenciaciónes el proceso por el cual se identifica una determinada posición en la
superficie terrestre o sus inmediaciones. Se dice que una información es o está georreferenciada
cuando mediante algún procedimiento se ha asociado a dicha información la posición del elemento
o suceso al que se refiere la misma.Existen dos técnicas para asociar la posición a una información:
la georreferenciación directa y la indirecta (o discreta).
 Georreferenciación directa
La georreferenciación directa se basa en la utilización de coordenadas para definir posiciones. El
sistema de coordenadas geográfico es el más sencillo a nivel conceptual, según el cual, para definir
la posición de un punto se utilizan la longitud y latitud del mismo. Este es un procedimiento muy
sencillo que se complica notablemente cuando lo que queremos localizar es una distancia o una
superficie y no un punto, puesto que entran en juego procedimientos de trigonometría esférica. Por
ello, es muy habitual la utilización de sistemas de coordenadas cartesianas definidos para un
determinado sistema de proyección.Entre los sistemas de proyección válidos para todo el globo
terráqueo, también denominados globales, el más utilizado es el correspondiente a la proyección
Universal Transversal Mercator (UTM).
La georreferenciación directa es de tipo continuo, es decir, se puede situar una posición con la
precisión que sea necesaria. Por contraposición a la georreferenciación discreta que sólo permite
referenciar un número finito de posiciones en el espacio.

Georreferenciación indirecta o discreta

La georreferenciación indirecta o discreta consiste en el uso de nombres, topónimos, etc.para
indicar la posición de un lugar e incluso si este descriptor no existe, se emplean construcciones
léxicas de aproximación partiendo de un lugar si referenciado, como pueden ser, “al lado del
colegio”, “ más allá del banco”, “cerca del teatro”, etc. En muchos casos las coordenadas de estos
lugares de referencia sí son conocidos y contamos con mecanismos lo suficientemente accesibles
para obtener la posición deseada.La referencia de este tipo más empleada es la dirección postal.

Modelo de Datos
El modelo de datos es el mecanismo por el cual se realiza la representación de los objetos del
mundo real en el sistema de información. Los modelos de datos utilizados han variado poco desde
los inicios de los SIG, siendo, el modelo de datos ráster y el modelo de datos vectorial, los más
utilizados.
 Modelo de datos Ráster: se parte de una concepción de la realidad, o parte de la misma,
y se representa como algo continuo, por lo que dicha realidad tiene asociada una
distribución de los valores que toma en cada posición (o en un conjunto discreto de
posiciones seleccionadas).
 Modelo de datos Vectorial: la abstracción del mundo real conduce a la distinción de una
serie de objetos diferenciables, relevantes para el problema en cuestión, que son los
representados en el sistema.
El tipo de modelo de datos que se seleccione condicionarátodas las operaciones que puedan ser
realizadas con el mismo. Si bien existen muchos sistemas comerciales que permiten la combinación
de ambos, lo cual puede ser conveniente en el tratamiento de determinado tipo de problemas.

Modelo Ráster
El modelo de datos Ráster tiene su origen en las técnicas de captura de datos temáticos y
geográficos a partir de imágenes satelitales y de fotografía aérea (técnicas de teledetección). Estas
técnicas comparten muchos puntos con las tecnologías de tratamiento de imágenes.
La región a modelar se considera dividida siguiendo una matriz o malla rectangular de celdas
(píxeles) de generalmente cuadradas y de igual tamaño.A cada una de estas celdas se le asigna el
valor delapropiedad o atributo que se va a representar, el cual se determina en base a una
convención preestablecida, por ejemplo,el valor que toma el atributo en el centro de la celda, en uno
de los vértices o el valor medio en la celda,etc. Este valor podría ser, el nivel de gris en una escala
de 256 valores, la temperatura media de un cierto lugar, las precipitaciones en una región, etc.De
acuerdo con esto, los objetos reales a representar son los segmentos del terreno correspondientes a
las celdas, o más concretamente, el valor del atributo que se está representando en dicho segmento
del terreno. Hoy en día es habitual obtener imágenes de grandes extensiones de terreno con
resoluciones de 50x50cm o incluso inferiores.
En el modelo de datos ráster no existe una representación explícita de entidades físicas del mundo
real, no se representan explícitamente los edificios, ni los ríos, por ejemplo. Es por esto, que este
modelo no es útil para la representación de información topológica, es decir, del tipo “un elemento
es contiguo a” o “un elemento está sobre” otro. Este modelo tampoco guarda explícitamente la
posición de las celdas, ya que, si se conoce la orientación de la malla de celdas respecto a una
referencia, la secuencia de barrido (filas y columnas) y las coordenadas geográficas de una de ellas,
puede obtenerse la georreferencia de cualquier celda.
Las técnicas de organización y compresión que se emplean para el almacenamiento interno de la
información que se asocia a cada capa son muy relevantes y buscan un equilibrio entre el volumen
de información y la eficiencia del acceso a la misma. Se suelen emplear técnicas de compactación
de datos, como son, RunLengthEncoding (RLE) en la cual, se almacenan pares (L,V), donde L es el
número de celdas contiguas en que repite el valor V del atributo. Otras técnicas más complejas se
basan en estructuras de datos orientadas a la indexación espacial y a la compresión de datos,
denominadas quadtrees.Una técnica de compresión cada vez más utilizada es la basada en wavelets,
que aunque implica una cierta pérdida de información, la suple al conseguir unos niveles de
compresión muy elevados.
 Modelo Vectorial
En el modelo vectorial, se utilizan tres principios geométricos para representar las entidades
geográficas. Estas bases geométricas son:
 El punto es la entidad básica de representación de entidades con posición, pero se acepta que
carece de dimensión.
 El arco representa las entidades unidimensionales y se define mendiante vórtices o nodos.
 El polígono se utiliza para las entidades bidimensionales y se define mediante los arcos que
lo delimitan.
Cada entidad geográfica que se representa mediante el modelo vectorial tiene asignado un
identificador único en el sistema.Para especificar la definición geométrica se emplean las
coordenadas de los puntos y vértices a partir de los que se definen las distintas entidades.Podemos
hablar por tanto de una georreferenciación continua, sin que la resolución suponga unimpedimento
como pasaba en el modelo de datosráster.
A pesar de esto, la diferencia más relevante entre este modelo y el ráster, es la capacidad que tiene
para expresar las relaciones espaciales que existen entre las entidades (información topológica).
Los primeros SIG basados en el modelo vectorial almacenaban de forma separada la información
geométrica y topológica de la información correspondiente a los atributos. Hoye en día, las bases de
datos que se emplean son normalmente de propósito general y externas al propio SIG, dando lugar a
las llamadas bases de datos geoespaciales (Geodatabases).
Si bien, tanto el modelo vectorial como el ráster, tienen sus ventajas y sus inconvenientes y se
admite de forma global que cada modelo se adecúa más a un tipo distinto de problemas, también
existen soluciones híbridas que permiten la combinación de ambos modelos.
n) Los modelos ráster son más adecuados para problemas que admiten algún tipo de
formulación analítica.
o) Los modelos vectoriales son más adecuados se adecuan mejor a problemas de gestión que
admiten una formulación mediante polígonos, redes, etc.

Como evolución del modelo de datos vectorial, tenemos el modelo de datos orientado a objetos en
el que el elemento central es el conjunto de elementos geográficos y las relaciones entre los
mismos.

ARQUITECTURA DE UN SIG

En un sistema SIG podemos hablar de arquitecturas de 3 capas, así tenemos:

  Capa de Presentación: incorpora todas las funcionalidades que permiten la interacción entre
el usuario y el sistema, para acceso el acceso a la información y presentación de resultados.
Habitualmente esto se traduce en una GUI que facilita el acceso a las herramientas de la
siguiente capa o también en una aplicación externa que pueda acceder a determinadas
funciones de geoproceso.
 Capa de Proceso: abarca una serie de herramientas diferentes que integran el núcleo del SIG.
 Capa de Gestión de Datos: centraliza el acceso a los datos, que pueden localizarse en
distintos almacenes. Además, integra también muchas de las funciones que se encargan de
proporcionar transparencia sobre los detalles de los datos: sistemas de proyección, formatos,
transformación de coordenadas, etc.

En el mercado de los SIG comerciales, se están asumiendo cada vez mas una serie de estándares de
facto que han ido surgiendo en los últimos años debido a las tecnologías de componentes (Java
Beans, .NET, …) y de plataformas interoperables de objetos distribuidos (SOAP, CORBA). Estas
tecnologías, permiten construir nuevos SIG de forma extensible e integrando funcionalidades
proporcionadas por diversos proveedores.
Desde la perspectiva de los almacenes de datos, se tiende cada vez mas al uso de los sistemas post
relacionales, que permiten integrar en sistemas relacionales tradicionales algunas características de
las BDOO e incluso incluyen extensiones espaciales del modelo multimedia del estándar SQL3.
Por otro lado, el avance en el campo de las telecomunicaciones y más en concreto, de Internet, con
un gran potencial tanto para la transmisión de grandes cantidades de información y acceso a datos,
ha favorecido la expansión de las arquitecturas de geoproceso basadas en servicios web.Los
servicios web permiten concebir y desarrollar sistemas que integran, con un mínimo nivel de
acoplamiento, información y servicios de geoproceso interoperables de múltiples fuentes y en
distintos formatos, a los que se accede en un entorno de red distribuido.
Por otra parte, este crecimiento en la implantación de productos y servicios de información
cartográfica en la red, establece los principios para el asentamiento real de un entorno en el que sea
posible el intercambio de información geográfica y servicios de geoproceso. Cabe destacar también
la acción tan importante que en esta línea está desarrollando el consorcio OpenGIS, en el que se
aglutinan los principales entes involucrados en el sector de la información espacial y todos los
sistemas y tecnologías que la soportan (usuarios, universidades, administraciones, industrias
software, …). El propósito es elaborar de forma consensuada, especificaciones de interfaces
interoperables en el campo de las tecnologías de la información espacial.
Desde la creación de OpenGIS, a mediados de los años 90, han sido ya muchas las realizaciones
prácticas en las que ha tomado parte y siendo, sus especificaciones estándares de facto en el área de
las tecnologías de la información espacial. Además, en muchos casos estos estándares son la base
para la formulación de estándares internacionales.
Por ejemplo, los dos siguientes, son servicios web que ya han sido enteramente especificados:
15. Servicio de Entidades Vectoriales: facilita información relativa a la entidad o entidades que
se encuentran almacenadas en una capa vectorial y que reúnen las características
especificadas durante la consulta.
16. Servicio de Mapas en la Web: genera mapas en el formato deseado para ser visualizados en
un navegador u otro tipo de cliente sencillo. Estos mapas serán la respuesta a alguna
consulta con ciertos parámetros realizada previamente.
Podemos concluir que las arquitecturas de los SIG tienden a ser distribuidas, interoperables y en
red, apoyadas sobre estándares abiertos de Internet.

ÁREAS DE APLICACIÓN

Demografía: Los datos en los que se apoyan este tipo de sistemas

suelen proceder de registros estadísticos confeccionados por algún
organismo .Las aplicaciones dentro de esta categoría se suelen
centrar en el marketing evaluación del impacto de un servicio,
selección de lugares para el establecimiento de negocios o
servicios, etc.

Gestióny Planificación Urbana: la gestión de servicios de

infraestructura (alumbrado, alcantarillado, mobiliario urbano,
etc.), la gestión del tráfico, la gestión de tasas y licencia, el
emplazamiento para instalaciones y servicios comunitarios,
etc.Este tipo de sistemas suele manejar escalas grandes y se usa
como base el callejero del municipio en cuestión. Además este
tipo de aplicaciones suele emplear un modelo de datos de tipo
vectorial.

Gestión de Instalaciones: En esta categoría se agrupan los

desarrollos orientados a compañías de suministros y servicios,
como son electricidad, agua, ferrocarril, etc.
Aplicaciones de gestión e inventario de recursos: En esta
categoría se incluyen campos como la gestión forestal, la
planificación agraria, la evaluación del impacto ambiental, la
gestión del territorio, la del patrimonio natural y la del medio
ambiente.

Gestión Catastral. Esta categoría se orienta a la gestión de la

propiedad inmobiliaria y por su importancia ha adquirido un
término específico, Sistemas de Información Territorial (SIT).En
nuestro país contamos con el Sistema de Información Catastral,
que cuenta con datos y descripciones de las propiedades tanto a
nivel urbano, como a nivel rústico.

INFRAESTRUCTURAS DE DATOS ESPACIALES

Una IDE (Infraestructura de Datos Espaciales) es un sistema informático integrado por un conjunto
de recursos (catálogos, servidores, programas, datos, aplicaciones, páginas Web,…) dedicados a
gestionar Información Geográfica (mapas, ortofotos, imágenes de satélite, topónimos,…),
disponibles en Internet, que cumplen una serie de condiciones de interoperabilidad (normas,
especificaciones, protocolos, interfaces,…) que permiten que un usuario, utilizando un simple
navegador, pueda utilizarlos y combinarlos según sus necesidades.
La justificación del establecimiento de una IDE, esta ligada a dos ideas fundamentales:
d) La necesidad de aprovechamiento de manera fácil, cómoda y eficaz de los datos
geográficos existentes. La Información Geográfica ha sido hasta ahora un recurso de
costosa producción y difícil acceso por varios motivos: formatos, modelos, políticas de
distribución, falta de información,…
e) La oportunidad de reutilizar la Información Geográfica generada en un proyecto para
otras finalidades diferentes, dado el alto coste de su producción.

Componentes de los IDE

Datos
En la actualidad existe un consenso internacional que clasifica los datos espaciales que pueden
manejar las IDEs en:
 Datos de referencia
Son aquellos datos georreferenciados fundamentales que sirven de esqueleto para construir o
referenciar cualquier otro dato fundamental o temático. Constituyen el marco de referencia que
proporciona el contexto geográfico a cualquier aplicación.

Datos temáticos
Son los datos propios de aplicaciones específicas que explotan la Información Geográfica con una
finalidad concreta. Incluyen valores cualitativos y cuantitativos que se corresponden con atributos
asociados a los datos de referencia como por ejemplo: vegetación, geología, clima, tráfico,
contaminación, etc.

Metadatos
La estructura y el contenido de los metadatos deben estar basados en una norma aceptada y
ampliamente utilizada.En la actualidad existen diferentes normas y perfiles dentro del campo de los
metadatos que es interesante mencionar:
• ISO 19115 “Geographicinformation – Metadata”. Norma Internacional de metadatos
perteneciente a la familia ISO 19100.
• Núcleo Español de Metadatos “NEM”. Es un conjunto mínimo de elementos de metadatos
recomendados en España para su utilización a la hora de describir recursos relacionados con la
información geográfica.
• Dublín CoreMetadata Iniciativa. La iniciativa Dublín CoreMetadata es un foro abierto dedicado
al desarrollo de estándares en la línea de los metadatos.

Servicios
Mucho más adecuado que concebir una IDE como algo basado en los datos geográficos disponibles,
es pensar que una IDE es en realidad un conjunto de servicios, que ofrecen una serie de
funcionalidades que resultan útiles e interesantes a una comunidad de usuarios. Al usuario no le
interesa ya tanto descargarse los datos en su sistema, sino obtener directamente las respuestas que
necesita y que un servicio le ofrece.Los servicios IDE ofrecen funcionalidades accesibles vía
Internet con un simple navegador o browser, sin necesidad de disponer de otro software específico
para ello. 
• Servicio de Mapas en Web (WMS). Su objetivo es poder visualizar Información Geográfica.
Esta representación puede provenir de un fichero de datos de un SIG, un mapa digital, una
ortofoto, una imagen de satélite,…Está organizada en una o más capas, que pueden visualizarse
u ocultarse una a una. 
• Servicio de Fenómenos en Web (WFS). Ofrece el poder acceder y consultar todos los atributos
de un fenómeno (feature) geográfico como un río, una ciudad o un lago, representado en modo
vectorial, con una geometría descrita por un conjunto de coordenadas..
• Servicio de Coberturas en Web (WCS). Es el servicio análogo a un WFS para datos ráster.
Permite no solo visualizar información ráster, como ofrece un WMS, sino además consultar el
valor del atributos o atributos almacenados en cada píxel. 
• Servicio de Nomenclátor (Gazetteer). Ofrece la posibilidad de localizar un fenómeno geográfico
de un determinado nombre. Se define como un servicio que admite como entrada el nombre de
un fenómeno, con las posibilidades habituales de nombre exacto, comenzando por, nombre
incluido,…y devuelve la localización, mediante unas coordenadas, del fenómeno en cuestión. 
• Servicio de Geoparser. Un Servicio de Geoparser analiza palabra por palabra un texto digital
dado, efectúa comparaciones con un conjunto de nombres geográficos dado y crea los vínculos
o enlaces necesarios para que exista una referencia permanente en el texto original a los
fenómenos geográficos aludidos. Transforma el texto original en un hipertexto con vínculos
geográficos. Este servicio se basa y utiliza un Servicio de Nomenclátor. 
• Servicio de Catálogo (CSW). Un Servicio de Catálogo permite la publicación y búsqueda de
información (metadatos) que describe datos, servicios, aplicaciones y en general todo tipo de
recursos. 
• Descriptor de Estilo de Capas (SLD). Describe un conjunto de reglas de codificación que
permite al usuario definir estilos de simbolización de las entidades personalizados. Los servicios
pueden ser encadenados y combinados en un Geoportal, ofreciendo por ejemplo la posibilidad
de: buscar un fenómeno por nombre (Nomenclátor) y visualizar el resultado sobre unos datos de
referencia (WMS); localizar un producto seleccionando algunas características (Catálogo) y
visualizarlo en pantalla (WMS o WCS). También es posible basarse en un servicio OGC para
implementar servicios que ofrezcan funcionalidad adicional, por ejemplo desarrollar un servicio
de camino mínimo por carretera basado en un WFS que acceda a todos los atributos de un
conjunto de datos de poblaciones y carreteras.
TEMA 27. ARQUITECTURA DAS REDES INTRANET E INTERNET:
CONCEPTO, ESTRUTURA E CARACTERÍSTICAS. A SÚA
IMPLANTACIÓN NAS ORGANIZACIÓNS.

27.1. INTRODUCIÓN E CONCEPTOS

Unha rede son dous ou máis nodos comunicados entre si. A partir de aí, a rede pode aumentarse en
calquera número de nodos e conectarse a outras redes. Internet é unha rede de alcance mundial que
conecta as diferentes redes físicas dun xeito descentralizado como unha rede lóxica única. Por
debaixo destas redes ademais teremos diferentes tipos de redes físicas, que tomarán diferentes
medios e tecnoloxías. Internet proporcionará un mecanismo de comunicación común baseado na
familia de protocolos TCP/IP, de maneira que calquera destas redes que implemente ou acepte esta
familia de protocolos poderá comunicarse coas demais.

Unha Intranet é unha rede interna a unha organización ou institución, que ten por obxecto
proporcionar un conxunto de servizos accesibles exclusivamente dende a rede local ou un conxunto
de redes illadas do exterior a través de Internet. A idea principal dunha Intranet é que os seus
servizos sexan só accesibles polos usuarios da organización ou institución, dun xeito privado. Estes
servizos poden incluír servidores web, servidores de correo electrónico, sistemas de xestión de
arquivos, contidos e utilidades de comunicación ou mensaxería.

Estendendo este concepto a Internet, cando os servizos están dispoñibles cara fóra, pero só para os
usuarios da organización ou institución estarase falando dunha Extranet. No caso da Extranet
establécese un mecanismo de seguridade ou autenticación dos usuarios para garantir que pertencen
á organización ou institución. En consecuencia unha Extranet non será nin unha Intranet nin un sitio
de Internet senón a publicación dos servizos dunha Intranet a través da Internet mediante un sistema
de autenticación dos usuarios da organización ou institución.

27.2. INTERNET
Internet ten as súas orixes a finais da década dos 60, sendo unha evolución da rede experimental
ARPANET (Rede da Axencia de proxectos de investigación avanzada), desenvolvida polo
departamento de Defensa dos EUA. A idea orixinal era dispoñer dunha rede na que en caso de
acontecer danos ou a desaparición dalgún nodo ou punto da mesma a rede permanecera activa entre
os nodos ou elementos restantes, garantindo así a supervivencia da información e o funcionamento
do medio de comunicación. A partir deste concepto pode entenderse o funcionamento distribuído e
completamente descentralizado que posúe o sistema actualmente, de xeito que cada nodo individual
ten a mesma importancia e peso no conxunto á hora de dar servizo ou comunicarse cos demais.

Posteriormente desenvolveuse sobre a rede un software básico de control da transmisión de

información que terminaría por dar lugar á familia de protocolos TCP/IP. Esta familia de
protocolos representa un conxunto de normas e estándares que definen o mecanismo de
comunicación entre os diferentes nodos da rede. Calquera rede física que implemente ou dea
soporte a este conxunto de protocolos poderá comunicarse con outras redes que tamén o fagan. A
partir dun destes protocolos, podemos especificar outro dos factores fundamentais que explican o
funcionamento desta rede o concepto de Enderezo IP (Protocolo de Internet). Este enderezo
representa o enderezo ou nome de cada nodo da rede, sendo un identificador único para cada un
deles. Os enderezos IP compóñense de catro cifras numéricas separadas por puntos que toman
valores entre 0 e 255. Por mor de aumentar o rango de enderezos deseñouse o IPv6 que pasa a
valores de 128 bits, con oito grupos de catro díxitos hexadecimais.

Como este tipo de identificación pode resultar difícil de lembrar emprégase en conxunción o
Sistema de Nomes de Dominio (DNS). Neste sistema diferentes nodos da rede fan as funcións de
tradutores entre enderezos IP e nomes de Dominio

Por último outro concepto fundamental é o de clientes e servidores. O obxectivo da rede será dobre
comunicar e dar servizos. Neste caso podemos distinguir tres tipos de nodos:
 Servidores. Provén de servizos á rede, tales como contidos web, correo electrónico, vídeo,
xestión das comunicacións, seguridade, etc...
 Clientes. Nodos que representan o equipo de traballo dun usuario final, o cal fai uso dun dos
servizos da rede que lle proporciona un servidor.
 Elementos de interconexión. Son nodos específicos de comunicación, encárganse de
xestionar as comunicacións, retransmitir e dirixir as mensaxes.

27.2.2. TIPOS DE CONEXIÓN A INTERNET

Para conectar outra rede ou equipo cliente, xa sexa un ordenador de sobremesa, portátil, teléfono
móbil, PDA , etc..., á rede Internet o primeiro paso será dispoñer dun provedor de acceso ou ISP
(en inglés Internet Service Provider, provedor de servizos de Internet). Trátase de empresas que
proporcionan e xestionan a conexión á rede aos seus clientes, empregando diferentes
tecnoloxías.Entre as tecnoloxías de conexión máis empregadas hoxe en día dispoñemos de:
 RTC. A rede telefónica conmutada, que emprega a mesma rede que os teléfonos fixos en
Galicia. Neste caso trátase dun soporte analóxico polo que para enviar datos dixitais haberá
que transformalos previamente. Actualmente esta tecnoloxía atópase nun estado
practicamente obsoleto, debido a que non pode transmitir datos e voz á vez e que a súa
velocidade máxima é moi baixa (arredor de 56 Kbps).

 ADSL. A liña de aboado dixital asimétrica convirte a liña telefónica nunha liña de alta
velocidade que permite que a través da mesma liña se envíen datos e voz á vez. O concepto
de asimétrica ven de que as velocidades de subida e baixada de datos son diferentes sendo
máis altas as velocidades de baixada, nunha interpretación de que as necesidades dos
usuarios van neste senso.
 Sen fíos. Aínda que en orixe as redes sen fíos foron deseñadas para redes de área local
actualmente tamén se empregan para posibilitar accesos a Internet. Baseados no conxunto de
estándares Wi-Fi. O hardware necesario neste caso será un Router Wi-Fi sen fíos que faga as
funcións de punto de acceso (en inglés hotspot) e no equipo de traballo unha antena
receptora integrada nunha tarxeta de rede (interna ou externa).
 Cable. Redes baseadas en tecnoloxías de fibra óptica. O hardware empregado é similar ao
da ADSL Acostuman a proporcionar velocidades similares ás da ADSL.
 Satélite. A conexión vía satélite emprégase en emprazamentos con pouca infraestrutura onde
non é posible aplicar as tecnoloxías anteriores, como ADSL ou Cable. En Galicia recórrese a
este tipo de tecnoloxías en zonas do contorno rural ou zonas de alta montaña. Esta
tecnoloxía ten un custe moi alto, pero presenta unha ampla cobertura. O hardware necesario
require a instalación dunha antena parabólica e na oferta habitual dos ISP proporcionan 2
Mbps de subida e baixada.
 Módem Móbil. As últimas tecnoloxías desenvolvidas para teléfonos móbiles como GSM,
GPRS, ou UTMS/3G permiten que os operadores ofrezan aos usuarios servizos de Internet
ben directamente dende o dispositivo móbil ou ben conectando outro equipo de traballo á
rede a través do mesmo. Empregan un protocolo específico denominado WAP (en inglés
Wireless Application Protocol) e as velocidades de conexión varían dependendo da
tecnoloxía de 56 Kbps a 2 Mbps coas tecnoloxías de última xeración.
 PLC. (Do inglés Power Line Communication) Esta tecnoloxía ofrece conexión a Internet a
través da rede eléctrica. Como a ADSL esta tecnoloxía aproveita unha infraestrutura de
cableado xa existente para ampliar os canais empregando medias e altas frecuencias.
Require hardware específico, os denominados Módem PLC.
27.2.3. SERVIZOS DE INTERNET

O fin último de acceder a Internet ou a outra rede é facer uso dos servizos que se atopan nela, e que
veremos a continuación:
1. WWW
No caso de Internet o servizo máis empregado é a Rede global mundial ou WWW (siglas en inglés
de World Wide Web), trátase dun sistema de publicación e intercambio de información distribuído
que relaciona uns contidos con outros a través de ligazóns (hyperligazóns: un texto ou outro
obxecto dun documento que contén unha ligazón a outro documento). Os documentos están
dispostos nos servidores webs, e poden ser visualizados mediante uns programas denominados
navegadores de Internet. Os enderezos web serven para identificar os recursos da rede, e
denomínanse URL (en inglés Uniform Resource Locator) ou localizador uniforme de recurso. As
URL poden ser da forma: https://www.xunta.es:80/ruta/index.htm tendo os seguintes compoñentes:
 O protocolo da rede que se emprega para recuperar a información do recurso
especificado, neste caso 'https', sendo un dos máis habituais xunto a 'http', 'ftp', 'mailto',
'file', ou 'ldap'. Normalmente o protocolo HTTP é opcional na maioría dos navegadores
xa que se trata do protocolo máis utilizado.
 O nome de dominio, ou servidor co que se comunica, neste caso 'www.xunta.es'.
 O porto de comunicación que emprega ese protocolo no servidor, neste caso ':80', sendo
este opcional pois os protocolos acostuman levar un porto asociado por defecto.
 A ruta do recurso no servidor, (en inglés path), neste caso '/ruta'.
 O nome do arquivo aloxado nesa ruta ou directorio, neste caso 'index.htm'.
 Outros campos como parámetros ou propiedade propias de determinados protocolos.
2. Correo electrónico
O servizo de correo electrónico (e-Correo) proporciona os mecanismos para facilitar o envío e
recepción de mensaxes que poden incluír texto e outras achegas a modo de arquivos multimedia.
Neste servizo identifícase cada usuario cunha conta que levará o seu nome de usuario para o
dominio dese servidor de correo seguido do símbolo '@' (arroba) e o nome de dominio (DNS) dese
servidor.
3. Transferencia de arquivos (FTP)
O servizo de transferencia de arquivos ou FTP (en inglés File Transfer Protocol) é un protocolo que
define os estándares para o servizo de transferencia de arquivos a través de Internet. Pode
xestionarse dende un navegador empregando o servizo www, ou ben cun cliente FTP . Unha conta
de usuario especial é a que ten como usuario e contrasinal 'anonymous' que se emprega para acceder
a servidores FTP anónimos ou públicos. Ampliacións deste protocolo no eido da seguridade dan
lugar á evolución a SCP (en inglés Secure Copy) e SFTP (en inglés SSH File Transfer Protocol)
ambos engaden a seguridade SSH.
4. Conexión ou acceso remoto (Telnet)
Este servizo permite o acceso remoto a outro equipo a través da rede e traballar con ela dende o
noso equipo a través dunha consola coma se estiveramos conectados directamente a ela. Require
unha conta de usuario e contrasinal para o servidor de Telnet, que en moitos casos pode coincidir
cun usuario do equipo remoto. Os problemas de seguridade das versións iniciais do Telnet
arranxáronse coa súa evolución a SSH unha nova versión do sistema con técnicas de cifrado e con
novas funcionalidades. Un paso máis alá, os terminais en modo gráfico permiten ademais de texto
amosar imaxes, co cal accederíamos dende o noso equipo a un escritorio idéntico a como o
veríamos se nos atopáramos fisicamente no equipo remoto. Os clientes deste servizo empregan os
protocolos RDP ou X11 segundo o sistema operativo, para sistemas Windows e Unix/Linux
respectivamente.
5. P2P
O servizos P2P teñen a súa orixe no concepto das redes entre iguais (en inglés peer-to-peer). A
característica principal deste tipo de redes é que todos os nodos que participan na rede teñen o
mesmo peso na mesma, todos actúan como clientes e como servidores. Segundo dispoñan de nodos
centrais podemos falar dos seguintes tipos de redes:
- Redes P2P centralizadas, en forma de estrela cun servidor central que monopoliza a xestión
e administración da rede.
- Redes P2P híbridas, onde ademais do nodo central existen nodos de segundo nivel que
centralizan a xestión de subredes.
- Redes P2P descentralizadas, onde todos os nodos son clientes e servidores co mesmo peso.
6. Conversa (Chat)
Este servizo permite que dous ou máis usuarios conectados simultaneamente a Internet sosteñas
conversas interactivas en tempo real. O IRC (en inglés Internet Relay Chat) é o protocolo de
comunicación baseado en texto que sustenta o servizo. As conversas teñen lugar nos denominados
canles de IRC. Nas súas orixes permitía unicamente o envío de mensaxes de texto, pero
evolucionou ata permitir o envío de arquivos, transmisión de voz e vídeo e mesmo conexión de
escritorio remota.

27.2.4. MOTORES DE BUSCA

Outra característica de Internet froito da gran cantidade de información que almacena sería a
existencia dunhas ferramentas denominadas Motores de busca. Estas ferramentas buscan os
arquivos almacenados nos servidores web e os indexan para poder proporcionar resultados de
buscas de palabras chave nos mesmos nun tempo óptimo. Os motores de busca empregan un robot
(ou simplemente bot) que fai as funcións de rastrexador da web.

27.3. INTRANET/EXTRANET
Unha Intranet sería unha Internet que restrinxe o acceso aos sistemas de información, estando
limitada ao ámbito da organización á que da servizo. A efectos de alcance e servizos poderemos
dispor das mesmas posibilidades en cada tipo de rede. No tocante ao seu funcionamento tamén é
idéntica ao de Internet, cada equipo ou nodo tamén disporá dun enderezo IP, pero neste caso non se
corresponderá cos enderezos IP de Internet senón que será un enderezo IP privado, para uso interno.
Se parte dos equipos atópanse abertos a Internet pasaremos a falar de Extranet, podendo convivir
ambas na mesma organización.

Noutra variante unha Extranet pode comunicar dúas Intranets con distinta localización xeográfica
establecendo por exemplo unha Rede privada virtual ou VPN (en inglés Virtual Private Network)
que define unha rede privada lóxica sobre unha rede pública.

Para poder soportar os servizos unha Intranet debería estar dotada dos seguintes compoñentes
básicos:

1. Soporte e infraestrutura de rede.

O modelo máis sinxelo de Intranet sería dous equipos dunha organización conectados en rede. A
partir de aí a rede pode medrar tanto como requira a organización, podendo incluír calquera número
de redes, subredes, equipos e elementos de interconexión. A implantación disto equivalería á dunha
rede LAN, sendo preciso definir unha topoloxía, un conxunto de tecnoloxías (Ethernet, Fibra óptica,
Wi-Fi, etc...), dispositivos de interconexión e de seguridade e unha política de asignación de
enderezos IP e nomes de dominio DNS. Nun paso máis alá habería que estender a rede cara o
exterior no caso de que se queira definir parte da mesma como Extranet, tendo en conta tamén este
conxunto de características.

2. Servidores.
Os servidores serán os provedores de servizos na Intranet/Extranet atopándonos diferentes
requirimentos hardware e software segundo a función que van desempeñar. Atendendo ao tipo de
servizo que proporcionan, poderían clasificarse do seguinte xeito:
 12. Servidores de arquivos. Almacenan arquivos e directorios e xestionan o acceso aos
mesmos por parte dos usuarios da Intranet.
13. Servidores de impresión. Controlan as impresoras, fax ou escáneres en rede.
14. Servidores de comunicacións. Realizan a xestión das comunicacións de telefonía, voz
sobre IP (VoIP) ou videoconferencia.
15. Servidores de correo. Almacenamento e xestión de mensaxes exclusivo para usuarios da
Intranet/Extranet, con soporte para SMTP, IMAP, POP3 e seguridade SSL/TLS.
16. Servidores de mensaxería instantánea. Xestionan as comunicacións de Chat ou conversa
instantánea entre os usuarios da Intranet/.
17. Servidores de rede. Realizan funcións de interconexión, encamiñamento, firewall, NAT, etc
das redes e subredes que forman a Intranet/Extranet.
18. Servidores de acceso remoto. Xestionan a conexión remota de equipos dende outras
localizacións.
19. Servidores de aplicacións. Permite que os clientes traballen con aplicacións. As solucións
máis habituais baséanse nas plataformas JEE, .NET, PHP e Coldfusion.
20. Servidores de copias de seguridade. Permiten manter un sistema de control de
almacenamento de copias de seguridade de datos ou servidores en discos duros redundantes
ou cintas, en ocasións noutras localizacións pero adicados ou SAN.
21. Servidores de Bases de datos. Provén os servizos de acceso ás Bases de datos.
22. Servidores web. Soportan o servizo de contidos web a nivel interno controlando o acceso ás
páxinas e documentos HTML e XML. Os dous exemplos máis representativos son Apache e
IIS.
23. Outros. Calquera outro servizo de importancia para a Intranet/Extranet debería ter un
servidor adicado especializado que destinara todos os seus recursos á xestión e soporte dese
servizo.

3. Control de Seguridade
En todas as redes e sistemas de comunicación é importante adicar recursos ao control da seguridade,
principalmente nas partes visibles dende fóra, é dicir as partes da Extranet, pero tampouco hai que
esquecer as partes propias da Intranet.
.
4. Administración da rede.
O papel de administrador da rede resulta fundamental para asegurar o correcto funcionamento e
seguridade do sistema, ademais de para dar soporte e participar da resolución de incidencias.
27.4. IMPLANTACIÓN DE REDES EN ORGANIZACIÓNS
Cando as organizacións conectan a súa rede e servizos con Internet teñen varias alternativas:

1) Integrar por completo a rede corporativa en Internet. Deste xeito cada equipo da
organización pasa a ser un nodo de Internet, con enderezos IP de Internet.
2) Integrar parcialmente a rede e equipos. Neste tipo de solucións a maioría da rede aparece
oculta ao exterior, fóra de Internet, para evitar os riscos de seguridade. Dende o exterior pódense ver
algúns servidores da organización e do mesmo xeito dende a rede se pode acceder a servidores
externos, pero restrinxido os servizos e comunicacións. Resulta obvio que o primeiro paso da
implantación dunha Intranet/Extranet será a planificación. Na planificación abordaranse os
seguintes puntos:
1. Plantexamento de obxectivos: Os obxectivos da rede quedará definidos polo seu alcance.
Habería que realizar tarefas tales como:
36 Estimación do número de usuarios e a súa posible evolución.
37 Determinar o emprazamento da rede e posibles subredes, situación de posibles redes externas e
as necesidades de comunicación coas mesmas.
38 Considerar os sistemas de información e necesidades de acceso aos mesmos, tendo en conta
tamén os fluxos e procesos internos.
39 Definir os servizos que se proporcionarán na Intranet/Extranet polo miúdo,...
2. Selección de tecnoloxías: Nun segundo paso tomando os obxectivos e requisitos habería que
seleccionar as tecnoloxías máis axeitadas tanto a nivel de hardware, físico, como de software.

3. Definición dos recursos necesarios: Unha vez seleccionadas as tecnoloxías que tomarán parte
no deseño da selección habería que definir o número de recursos necesarios para a implantación.
4. Definición de políticas de seguridade: Paralelamente haberá que establecer e documentar os
protocolos e políticas de seguridade como:
 A asignación de contas de usuario e contrasinais e usuarios dos equipos e servidores, así
como caducidade e revisión do cambio de contrasinais nas mesmas.
 Equipos que comunican co exterior e que precisan máis seguridade e equipos que
pertencerán á DMZ (zona desmilitarizada).
 Filtros de aplicacións, de enderezos IP e enderezos físicos.
A continuación viría a implantación en si, sendo o recomendable establecer un período de proba e
realimentación previo para ofrecer un produto de maior calidade.
1. Período de proba: Durante este período realizaranse probas completas do funcionamento da
Intranet/Extranet., buscando os picos de demanda de recursos, e casos de ataques de seguridade
controlados. Todo elo mentres se realiza a monitorización e posteriores probas de auditoría, útil para
detectar puntos febles que arranxar antes da posta en servizo.

2. Posta en servizo: Nos primeiros momentos da posta en servizo cómpre realizar a monitorización
e auditoría os sistemas do mesmo xeito que se fixo durante o período de proba pois neste primeiro
momento poderán detectarse problemas e debilidades reais que puideron pasar desapercibidas
durante as probas controladas realizadas anteriormente.
 TEMA 29. ARQUITECTURA WEB EN .NET.
ARQUITECTURA WEB EN J2EE.

29.2 ARQUITECTURA WEB EN .NET

.NET é, segundo a empresa Microsoft, unha plataforma para o desenvolvemento de servidores,
clientes e servizos. Representa un conxunto de tecnoloxías que teñen como núcleo principal o .NET
Framework, un marco de desenvolvemento e compoñente software que pode instalarse en Sistemas
Operativos da familia Windows (Windows 2003, Vista, Windows 7, ...). Unha vez publicados os
documentos de especificación da arquitectura .NET apareceu o Proxecto Mono co obxectivo de
implementar o marco de traballo .NET Framework empregando código aberto, para a partir de aí
desenvolver aplicacións para sistemas UNIX/Linux.

29.2.1 .NET Framework

Marco de traballo que proporciona o conxunto de ferramentas e servizos para o desenvolvemento de
compoñentes software, aplicacións, servidores e servizos web. Pode dividirse en tres bloques
principais:
 O Contorno de Execución Común (en inglés Common Language Runtime ou CLR).
Encárgase da xestión de código en execución, control de memoria, seguridade e o outras
funcións relacionadas co Sistemas Operativo.
 A Biblioteca de Clases Base (en inglés .NET Framework Base Classes). Realizan a función
de API de servizos a disposición dos desenvolvedores para tarefas como xestión de
ficheiros, mensaxería, procesos en varios fíos, acceso a datos, encriptación, etc...
 Control de acceso a datos, que permite realizar as operacións de acceso a datos a través de
clases e obxectos do framework incluídos no compoñente ADO.NET.
 O Motor de Xeración da Interface de Usuario, que permite crear interfaces para
aplicacións de escritorio ou web empregando compoñentes específicos coma ASP.NET para
web, Web forms para aplicacións de escritorio ou Web services para servizos web.

29.2.2 Contorno de Execución Común (CLR)

O Contorno de execución común ou CLR é o encargado de xestionar o código en tempo de
execución. De xeito análogo á Maquina virtual de Java este contorno permite executar aplicacións e
servizos web ou de escritorio en calquera cliente ou servidor que dispoña deste software. O
contorno de desenvolvemento compila o código fonte en calquera das linguaxes soportadas a un
código intermedio denominado CIL (en inglés Common Intermediate Language) de maneira
análoga ao BYTECODE de Java. A esta linguaxe intermedia chégase empregando a especificación
CLS (en inglés Common Language Specification) onde se especifican unhas regras necesarias para
crear o código intermedio CIL compatible co CLR.
Así mesmo, o CLR dispón de compiladores coma JIT (en inglés Just In Time) ou AOT (en inglés
Ahead Of Time) adaptados a cada linguaxe. JIT xera o código máquina real en cada máquina a
partir dese código intermedio conseguindo independencia do hardware. Esta compilación faise en
tempo de execución a medida que a aplicación ou servizo invoca métodos ou funcións. Por contra
AOT, compila o código antes de executarse co cal logra un maior rendemento en execución pero
menos independencia da plataforma.

O CLR cumpre ademais a función de proporcionar unha ampla gama de servizos ás aplicacións,
como:
 Seguridade acceso ao código ou CAS. Controla que tipo de operacións pode realizar un
código segundo se identifique na sinatura do ensamblado ou na orixe do código.

 Comprobación da seguridade de tipos. Reserva espazos de memoria para cada obxecto

segundo o especificado para o seu tipo.

 Cargador de clases. Permite cargar en memoria clases e tipos de datos a partir da

interpretación dos metadatos.
 Recolección de lixo (en inglés Garbage Collector).
 Motor de interacción COM. Realiza funcións de conversión de datos e mensaxes ou
marshaling dende e cara obxectos COM, o que permite a integración con aplicación Legacy.
 Motor de depuración.
 API multifío (en inglés multithread). Proporciona unha API e as clases necesarias para
xestionar a execución de fíos paralelos.
 Xestor de excepcións.
 API da Biblioteca de Clases Base (BCB). Interface coa BCB do marco de traballo que
realiza a integración do código co motor de execución.

No .NET Framework cando se compila un programa ou aplicación web xérase una arquivo
denominado ensamblado que contén o código compilado á linguaxe intermedia CLI e un manifesto
con permisos e referencias a outros ensamblados, compoñentes software ou servizos web.

29.2.3 Biblioteca de Clases Base (BCB)

A Biblioteca de Clases Base é unha API de alto nivel para permitir acceder aos servizos que ofrece o CLR a través de
obxectos nunha xerarquía denominada espazo de nomes. Atópase implementada en CIL polo que pode integrarse en
calquera outra linguaxe
A Biblioteca de Clases é un conxunto de clases, interfaces e tipos valor que son a base sobre as que
se crearán as aplicacións, compoñentes e controis do .NET Framework. Permite realizar operacións
como: soporte para diferentes idiomas, xeración de números aleatorios, manipulación de gráficos e
imaxes, operacións sobre datas e outros tipos de datos, integración con APIS antigas, operacións de
compilación de código adaptada ás diferentes linguaxes de .NET, elementos para interfaces de
usuario, tratamento de excepcións, acceso a datos, encriptación, administración de memoria, control
de procesos, etc...

29.2.4 Control de acceso a datos.

O control de acceso a datos, documentos XML e servizos de datos no marco .NET Framework
recóllese na arquitectura ADO .NET. As conexións realízanse identificando os provedores de datos
a través dos obxectos (Connection, Command, DataReader e DataAdapter). Unha vez establecida a
conexión entra en escena o principal elemento do marco, o Dataset que recolle os resultados
cargados a partir dunha orixe. Á súa vez pode particularizarse con outros elementos da base de
datos con obxectos coma: DataTable, DataView, DataRelation, DataRow, DataColum ou
Constraint. Os obxectivos de deseño principais deste marco son:
 Soporte á tecnoloxía ADO previa.
 Integración con tecnoloxías baseadas en XML.
 Soporte a modelos de arquitectura multicapa.

29.2.5 Motor de Xeración de Interfaces de Usuario

A parte do marco de traballo encargada da xeración de interfaces de usuario e servizos web sería a
arquitectura ASP .NET. O conxunto de clases correspondentes agrúpanse nos espazos de nomes:
System.Web, System.Web.Services, System.WebUI. As páxinas web desenvolvidas con ASP .NET
teñen a extensión ASPX e son coñecidas con Formularios Web (en inglés Web Forms).
Paralelamente a esta tecnoloxía de presentación atoparíamos Formularios Windows (en inglés
Windows Forms) para aplicacións de escritorio e tecnoloxías para Móbiles, sendo a primeira a máis
empregada para aplicacións de servidor. Os Controis de usuario (en inglés User Controls) seguen
a mesma estrutura que os Formularios Web, pero derivan do espazo
System.Web.UI.UserControl. O marco incorpora tamén elementos para control do estado e
a sesión así coma outros para seguridade, autenticación de usuarios, uso de roles. Así mesmo,
permite a integración con AJAX, a través da incorporación dun Toolkit na aplicación, ou WPF (en
inglés Windows Presentation Foundation) baseado en XALM e marco para Silverlight.

29.2.6 Niveis lóxicos.

Nos modelos e solucións que propón esta estrutura establécense unha serie de servizos xenéricos
presentes na maioría de aplicacións corporativas actuais. Esta división permite definir un deseño e
unha arquitectura específicos para cada nivel, facilitando o desenvolvemento e soporte da
aplicación.
• Servizos de usuarios. Atópanse na primeira liña de interacción cos usuarios e
proporcionan a interface de acceso ao sistema que deriva en chamadas aos
compoñentes do nivel de Servizos corporativos. En ocasións considéranse dentro
deste nivel procesos fóra das interfaces de usuario, como procedementos de control
ou automatizados que non requiren a presenza dun usuario.
• Servizos corporativos. Encapsulan a lóxica corporativa proporcionando unha API
das funcionalidades básicas do sistema. Isto permite abstraer os servizos de usuario
da lóxica corporativa e manter diferentes servizos de usuario a partir das mesmas
funcionalidades. Cada funcionalidade pode precisar dispoñer de varios servizos
corporativos.
• Servizos de datos. Sería a parte máis illada do usuario, proporcionando o acceso a
datos e a outros sistemas ou servidores. Establecen diferentes API xenéricas das que
poden facer uso os Servizos corporativos. Conteñen unha ampla gama de orixes de
datos e sistemas de servidor, encapsulando regras de acceso e formatos de datos.

29.2.6 Solucións de integración.

Coa tecnoloxía .NET existen tres principais plantexamentos de solucións arquitectónicas:
43. SOA (en inglés Service Oriented Architecture). Entende a comunicación entre aplicacións e
compoñentes coma servizos, non necesariamente servizos web, demandados por clientes ou
subscritores e proporcionados e publicados por provedores.
44. MOA (en inglés Message Oriented Architecture). A comunicación realízase por paso de
mensaxes forzando un modelo SOA distribuído.
45. EAI (en inglés Enterprise Integration Application). Especifica unha serie de requirimentos
de integración e comunicación en sistemas regulados polos patróns de integración
Mediación e Federación, onde un sistema EAI fai funcións de Hub ou bus de
comunicacións.
29.3 ARQUITECTURA WEB EN J2EE
JEE representa un conxunto de especificacións para plataformas de desenvolvemento baseadas en
linguaxe Java para servidores de aplicacións en arquitecturas de múltiples capas. As plataformas
JEE constan dos seguintes compoñentes:
24. Un conxunto de especificacións.
25. Un test de compatibilidade ou CTS (en inglés Compatibility Test Suite)
26. Unha implementación de referencia para cada especificación.
27. Un conxunto de guías de desenvolvemento e boas prácticas denominadas JEE Blueprints.

As principais especificacións que inclúe JEE dan soporte a Servizos web, RPC baseado en XML,
Mensaxería XML, despregues, servizos de autorización, conexión remota RMI, JSP, JSF, JSTL,
Servlets, Portlets, Applets, JavaBeans, esquemas XML, acceso a datos JDBC, documentación
Javadoc, transformacións XSL, etc...

O soporte multiplataforma do Java ten a súa base na Maquina Virtual, unha plataforma lóxica
capaz de instalarse en equipos con diferente hardware e Sistema operativo e interpretar e executar
instrucións de código Java bytecode.. A forma máis habitual para a VM é mediante un compilador
JIT pero tamén permite interpretación. Do mesmo xeito permítese execución segura mediante o
modelo das Java Applets. Programas de cliente que se executan nunha VM dentro do navegador
logo de descargar vía HTTP código do servidor, que se executa nunha Sandbox moi restrinxida.

Os compoñentes software web e de negocio dentro desta tecnoloxía despréganse a través de

Contedores (en inglés containers). Os contedores son implementacións de arquitecturas JEE que
proporcionan os servizos do servidor de aplicacións aos compoñentes, incluíndo seguridade, acceso
a datos, manexo de transaccións, acceso a recursos, control de estados, xestión do ciclo de vida e
comunicacións entre outros. Antes de executarse un compoñente software debe configurarse coma
un servizo JEE e despregarse dentro dun contedor. Os principais serían os contedores web para
Servlets e JSP, os contedores EJB para compoñentes da lóxica de negocio, e contedores de
aplicacións cliente e contedores de Applets para os programas de cliente e código de cliente para o
navegador respectivamente.
Os principais servizos que proporciona JEE xunto coas súas respectivas API serían:
• HTTP e HTTPS. Para control das comunicacións web e SSL a través destes protocolos. As
API de servidor veñen dadas polos paquetes de clases Servlets e JSP e a de clientes no
paquete Java.Net.
• JDBC (en inglés Java Data Base Connection). API de acceso a datos en sistemas xestores
de bases de datos relacionais vía SQL. Por un lado aporta a interface para ser empregada
polos compoñentes software e por outra a interface para que os provedores poidan
desenvolver os controladores específicos. As versións máis recentes son as JDBC 3.0 e 4.0,
que inclúen os paquetes java.sql e javax.sql.
• JSTL (en inglés Java Server Pages Standard Tag Library). Proporciona as funcionalidades
para etiquetas nas páxinas JSP.
• RMI-IIOP (en inglés Remote Method Invocation-Internet Inter-ORB Protocol).
Proporciona a API para permitir comunicacións en aplicación distribuídas a través de JAVA
RMI, por exemplo para acceder a compoñentes EJB. Os protocolos máis habituais son
JRMP, de RMI e IIOP, de CORBA.
• IDL (en inglés Java Interface Definition Language). Permite a comunicación de clientes
con servizos CORBA a través do protocolo IIOP, servizos SOAP ou RPC.
• JNDI (en inglés Java Naming and Directory Interface). Proporciona o servizo de nomes e
directorios, indicando o contexto de cada obxecto e as relacións entre eles. Divídese en dúas
interfaces, a API de programación e unha SPI que permite conectar con provedores de
servizos de nomes e directorios sendo os principais LDAP, CORBA e RMI.
• JAXP (en inglés Java API for XML Processing). Soporta o procesamento de documentos
XML que cumpra cos esquemas do W3C a través de DOM, SAX e XSLT.
• JMS (en inglés Java Message Service). Proporciona a API de envío de mensaxes para
comunicarse cun MOM (en inglés Message-Oriented Middleware), unha abstracción
independente do provedor para comunicacións entre sistemas.
• JavaMail. Proporciona a interface para controlar o envío e recepción de correos
electrónicos. Pode soportar o formato MIME grazas á súa integración con marco de traballo
JAF.
• JAF (en inglés Java Beans Activation Framework). API que proporciona o marco de
traballo para activación que soporta as peticións doutros paquetes.
• JTA (en inglés Java Transaction API). Orientada cara o manexo de transaccións e a permitir
a comunicación entre contedor e compoñentes do servidor de aplicacións coma os monitores
transaccionais e os administradores de recursos.
• JAX-RPC (en inglés Java API for XML-based RPC). Proporciona soporte para
comunicacións remotas de tipo RPC entre clientes e servizos web cos estándares HTTP e
SOAP. Soporta outros estándares coma WSDL, así coma SSL e TTL para autenticación. O
SAAJ (en inglés SOAP with attachments API for Java) engade a posibilidade de arquivos ou
notas achegados coas mensaxes.
Cada compoñente denomínase Módulo JEE de xeito que unha aplicación estará formada por un
conxunto de módulos sendo cada un un compoñente para un contedor. Existen catro tipos de
módulos:
24 Arquivos JAR (en inglés Java Archive). Agrupación de arquivos Java e recursos segundo o
formato ZIP. Empaquetan compoñentes EJB segundo a estrutura de directorios do código,
engadindo unha carpeta especial, META-INF, con metadatos.
25 Arquivos WAR (en inglés Web Application Archive). Agrupan nun único arquivo unha
aplicación web, incluíndo Servlets, arquivos JSP, contido estático e outros recursos web.
26 Arquivos EAR (en inglés Enterprise Application Archive). Agrupa nun único arquivo varios
módulos dunha aplicación coma arquivos WAR ou compoñentes EJB e outras librarías en
arquivos JAR empaquetados cos seus respectivos recursos. Así mesmo inclúese o descritor de
despregue da aplicación na carpeta META-INF.
27 Arquivos RAR (en inglés Resource Adapter Archive). Contén un adaptador de recursos de
xeito análogo a un controlador JDBC e similar aos EAR, podendo ir contido nun arquivo deste
tipo.

De xeito xeral convén considerar á plataforma como JEE, se ben, existen diferentes edicións, sendo
as principais:
40 J2ME. (en inglés Java 2 Platform Micro Edition). Para desenvolvemento de aplicacións para
dispositivos móbiles, electrodomésticos e equipos PDA.
41 J2SE. (en inglés Java 2 Platform Standard Edition). Para desenvolvemento de aplicacións de
uso xeral en estacións de traballo.
42 J2EE. (en inglés Java 2 Platform Entreprise Edition). Para desenvolvemento de aplicacións
destinadas a servidores de aplicacións para dar soporte a sistemas distribuídos en N capas.

Para cada edición pode distinguirse entre a SDK (en inglés Software Development Kit), co software
e recursos destinados ao desenvolvemento de aplicacións e o JRE (en inglés Java Runtime
Environment) co contorno e librarías principais para permitir a execución das aplicacións.

29.3.1 Modelo de desenvolvemento

O modelo de desenvolvemento máis habitual na arquitectura JEE é un modelo separado en
múltiples capas sendo o habitual un mínimo de tres, pero podendo chegar a 5 ou 7 segundo a
complexidade do sistema. As 5 capas máis habituais se describirán a continuación.
29.3.1.1 Capa de cliente.
Agrupa os elementos da interface de usuario máis próximos ao cliente. Exemplos destes elementos
serían o código (X)HTML/XML e Javascript, os Applets, arquivos de recursos e tecnoloxías RIA.
Os tipos de aplicacións cliente máis habituais serían os navegadores web, as aplicacións de
escritorio e actualmente cobran forza as aplicacións para dispositivos móbiles. A variedade de
interfaces actual fai que aparezan frameworks de xeración dinámica dos mesmos baseados na
linguaxe XUL (en inglés XML User-Interface Language), baseada en XML..

29.3.1.2 Capa de presentación.

Contén toda a lóxica de interacción directa entre o usuario e a aplicación. Encárgase de xerar as
vistas máis axeitadas para amosar a información a través de formatos e estilos adecuados.
Compóñense dunha serie de Servlets e páxinas JSP. Ademais de ensamblar as diferentes vistas,
controla o fluxo de navegación e fai funcións de autenticación, permisos de acceso e autorización de
usuarios, etc... O patrón máis habitual nesta capa será o MVC (en inglés Model View Controller).
Entre as tendencias actuais atópanse implementacións deste modelo coma Swing o JFace para
aplicacións de escritorio, mentres que dentro dos frameworks web atoparíanse Struts, JSF e moitos
outro, sendo Struts unha especie de estándar de feito.

29.3.1.3 Capa de lóxica de negocio.

Contén os compoñentes de negocio reutilizables EJB ou POJO, que representan o conxunto de
entidades, obxectos, relacións, regras e algoritmos do dominio ou negocio no que opere o sistema.
Nesta capa a solución POJO e unha opción sinxela que pode mesturar elementos das capas de
integración e datos, mentres que os EJB distinguen os obxectos de sesión e as entidades. O patrón
básico nesta capa será o SessionFacade onde un único Bean de sesión encárgase de recibir as
chamadas de cliente-presentación e dirixilas dentro do contedor de EJB illando esta capa.
29.3.1.4 Capa de Integración.
Agrupa os compoñentes encargados do acceso a datos, sistemas legacy, motores de regras de
workflow, acceso a LDAP, etc... No tocante ao acceso a datos aparecen as seguintes alternativas:
 JDBC. Para POJO ou Beans de entidade con control de persistencia.
 DAO. Vai un paso máis alá que o JDBC incorporando interfaces para abstraer o acceso a
datos e facelo independente da linguaxe do xestor. Cada interface terá unha implementación
diferente para cada xestor de bases de datos.
 Frameworks de persistencia. Fan as funcións de motores de correspondencia de obxectos a
bases de datos relacionais definindo entidades e relacións vía XML. Hibernate, iBatis.
  JDO (en inglés Java Data Objects). Sistema de persistencia estándar engadindo ademais da
correspondencia entre o modelo relacional e os obxectos a posibilidade de permitir definir
os obxectos sobre a base de datos.

29.3.1.5 Capa de sistemas de información.

Atópase integrada polos sistemas de bases de datos, ficheiros, sistemas 4GL, ERP, Data Warehouse,
Servizos web e calquera outros sistema de información da organización. Nesta capa irían os
conectadores para diferentes sistemas de información heteroxéneos e os propios recursos que
integran os sistemas de información. As solucións máis habituais enuméranse a continuación.
23. JCA (en inglés J2EE Connector Architecture). Define unha interface de acceso común
independente do sistema, coa mesma API para todos. Basease no concepto de adaptador de
recursos.
24. JMS (en inglés Java Message Service). O servizo de mensaxes Java emprega colas de
mensaxes para o traspaso de información entre compoñentes software establecendo unha
infraestrutura MOM.
25. Servizos web. Permiten a comunicación entre sistemas heteroxéneos a través do acceso á
URL de aplicacións empregando protocolos baseados en XML como SOAP ou SAAJ.

29.3.2 Servidores de aplicacións.

O servidor de aplicacións será o encargado de soportar a maioría das funcionalidades e servizos da
tecnoloxía JEE, sendo o núcleo desta arquitectura. Cando un servidor de aplicación implementa a
tecnoloxía JEE ten que proporcionar todos os compoñentes definidos na especificación e por tanto
calquera aplicación JEE poderá despregarse e executarse no devandito servidor. O servidor de
aplicacións disporá de diferentes contedores para Applets e aplicacións clientes, web e EJB, sendo
estes últimos os que se encargarán de operar coa lóxica do dominio, xestión de transaccións,
persistencia, control do fluxo, etc...
- Tomcat. Sen presentar tódalas funcionalidades dun servidor de aplicacións, este servidor
libre de Apache incorpora o servidor web Apache e soporte para JSP e Servlets.
- JBoss. Un dos servidores de aplicacións libres de uso máis estendido composto por un
Contedor de Servlets para JSP e Servlets e un Contedor de Beans. A diferencia de Tomcat
implementa todo o conxunto de servizos especificados por JEE. Entre os módulos e
funcionalidades que soporta destaca que permite a creación de cluster, soporte EJB, JMX,
Hibernate, JBoss AOP para dotar a clases Java de persistencia e funcionalidade
transaccional, sistema caché, JSF, Portlets, JMS, Servidor de correo, xestión de contidos
foros e portais, entre outras moitas.
- Geronimo. Outro produto libre de Apache, compatible con JEE que inclúe JDBC, RMI, JM,
Servizos web, EJB, JSP, Servlets e outras tecnoloxías.
- JonAS. Outra alternativa libre a JBoss, aínda que non soporta por completo JEE. Permite
integración con Tomcat ou Jetty como contedores web e ten contedor de EJB.
- Glassfish. Alternativa libre de Sun, agora Oracle, que ten como base o framework para
persistencia Toplink. Incorpora ademais módulos para soporte EJB, JAX-RS, JSF, RMI,
JMS e servizos web.
- WebSphere. Alternativa comercial de IBM cunha versión de libre distribución. A diferencia
con outros servidores e que posúe ferramentas de administración máis avanzadas, sobre todo
para sistemas en cluster e soporte para mainframes.
- Weblogic. Alternativa comercial de Oracle baseada en Glassfish, incorporando servizos do
Weblogic server sobre a JVM JRockit..
- Coldfusion. Alternativa comercial de Adobe das máis valoradas actualmente,
diferenciándose polo soporte a tecnoloxías RIA, principalmente Flash. Implementa parte dos
servizos JEE pero pode integrarse con outros servidores de aplicacións como WebSphere ou
Jboss, podendo despregarse como aplicación Java. Destaca polo soporte en tecnoloxías
AJAX, Flex, PDF, RSS, Flash Remoting, integración .NET e ferramentas de administración
avanzadas.
 TEMA 32. APLICACIÓNS DE INTERNET ENRIQUECIDAS (RIA).

32.1 INTRODUCIÓN E CONCEPTOS

As aplicacións de Internet enriquecidas ou RIA (en inglés Rich Internet Applications), son un
conxunto de tecnoloxías que buscan achegar as interfaces das aplicacións web ás das aplicacións de
escritorio dotándoas de novas funcionalidades, de aí a riqueza, e axilizando aspectos como as
recargas de datos. Por norma xeral precisan dun framework, compoñente adicional ou plug-in no
navegador que permitan a súa interpretación. Nas aplicacións RIA a maior parte da comunicación
faise de maneira asíncrona en comunicacións transparentes ao usuario que evitan gran parte das
recargas de páxinas para realizar actualizacións de datos. Fronte a estas vantaxes no tocante á
usabilidade en canto a mellora das funcionalidades e actualizacións de datos, a principal
desvantaxe será a accesibilidade da páxina para usuarios que presenten dificultades de acceso á
información na web.

Moitas destas tecnoloxías pertencen ao mundo do software propietario atopando gran dependencia
respecto das compañías que as desenvolven. As principais tecnoloxías atópanse nas plataformas
Flash, Flex e AIR de Adobe, Silverlight de Microsoft, OpenLaszlo, incontables frameworks AJAX e
Javascript, e outras tecnoloxías como as xa maduras, Applets e Java WebStart e as emerxentes como
XUL, JavaFX, GWT ou Bindows. Calquera destas tecnoloxías localízase na capa de vista, usuario
ou cliente como complemento á (X)HTML/CSS e intégranse coas tecnoloxías de servidores de
aplicacións como .NET/JEE.

Dentro dos casos de éxito desta tecnoloxía, actualmente a maior parte das aplicacións e servizos
web globais de maior uso dentro da Web 2.0 fan uso de tecnoloxías RIA nas súas interfaces, sendo
Google Maps, Gmail, Flickr, Meebo, Orkut, e un longo etcétera.

32.2 AJAX
AJAX (en inglés Asynchronous JavaScript And XML), Javascript Asíncrono e XML, orixínase para
aproveitar que a comunicación entre o usuario e a interface non é fluída permitindo realizar
comunicacións asíncronas co servidor e realizar así un maior aproveitamento do ancho de banda e
obter unha maior velocidade de resposta. Os datos cárganse nun segundo plano sen afectar á
interface. AJAX non representa unha tecnoloxía en si mesma, senón que se trata da combinación
dun grupo de tecnoloxías xa existentes:
28. (X)HTML e CSS para o deseño das páxinas web.
 29. DOM (en inglés Document Object Model), ou Modelo de Obxectos do Documento, API que
representa un conxunto de obxectos para manipular e modificar dinamicamente documentos
(X)HTML e XML a través de linguaxes de Script como Javascript, JScript ou ECMAScript.
30. Obxectos dos tipos Iframe ou XMLHttpRequest para intercambiar datos de maneira
asíncrona co servidor.
31. XML para os formatos de intercambio de datos e comunicacións a través de JSON ou
EBML.
32. Outras tecnoloxías para facilitar a implantación de solucións específicas como XSLT, RSS,
PDF ou outras tecnoloxías RIA.
33. Javascript para proporcionar o nexo común a todo o conxunto.

Como acontece coas tecnoloxías RIA en xeral, é requisito que o navegador teña soporte para o
conxunto de tecnoloxías AJAX, doutro xeito habería que proporcionar unha alternativa HTML
básica.

O funcionamento básico de AJAX baséase no obxecto de comunicación asíncrona, por exemplo o

XMLHttpRequest, que se instala no lado do cliente. O motor AJAX proverá os métodos para
permitir a comunicación asíncrona de datos. O feito de realizar todas estas funcións dende o cliente
de maneira asíncrona supoñen a gran mellora de rendemento de AJAX sobre o modelo tradicional
de desenvolvemento web.

A refactorización de aplicacións tradicionais ao modelo AJAX implica cambios na estrutura

interna coa preserva das funcionalidades. Diferentes compoñentes sobre todo da vista presentan
funcionalidades comúns que se poden factorizar a través de compoñentes AJAX e etiquetados, para
facilitar o mantemento e a reutilización.

Na actualidade existen infinidade de frameworks e librarías AJAX, incorporando compoñentes da

vista, diferentes funcionalidades Javascript, elementos para comunicación asíncrona tanto no cliente
coma no servidor e outros elementos para integración con outras tecnoloxías RIA. O obxectivo
destes frameworks resúmese en facilitar o desenvolvemento de aplicacións web baseadas en AJAX,
facendo fincapé en aspectos da capa de vista ou cliente. Os principais frameworks en canto ao seu
uso máis estendido, son:
 Prototype. Pode ser o framework de uso máis estendido, tamén de código aberto dispón
da extensión Scriptaculous para engadir animacións e efectos nos documentos, e JSON
para intercambio de datos. Serve á súa vez a base de outros frameworks AJAX.
  Dojo Toolkit. Proxecto de software libre, actualmente co soporte de IBM e Sun entre
outros, que contén varias APIs Javascript modulares e unha ampla coleccións de widgets
para uso baixo demanda, agrupados nun sistema de paquetes ao estilo de JEE.
- JQuery. Outro proxecto de software libre, que neste caso busca simplificar o acceso a
documento (X)HTML, o modelo DOM, a manipulación de eventos, utilidades, animacións e
efectos. Permite a instalación a través dun paquete básico moi lixeiro (jquery.js).
 Qooxdoo. Colección de librarías Javascript multipropósito de código aberto, que como as
vistas anteriormente permite control áxil a alto nivel de (X)HTML, CSS e DOM. A principal
diferenza respecto as anteriores é que proporciona widgets de última xeración moi similares
aos das aplicacións de escritorio. Entre as súas principais características atópanse a
abstracción do navegador, administración de eventos e soporte para internacionalización e
localización.
 Mootools. Framework de código aberto modular e extensible que permite ao desenvolvedor
seleccionar que compoñentes empregar para minimizar o peso final da libraría no cliente.
Presenta un compoñente para a incorporación de efectos avanzados e transicións,
estreitamente relacionados con Flash sendo un punto forte a súa integración con esta outra
tecnoloxía RIA.
 ExtJS. Conxunto de librarías derivadas da Yahoo! UI, actualmente emprégase como
extensión de JQuery e Prototype incorporando widgets especializados, en especial na
representación de gráficas e grids.
 Rico. Baseado en Prototype e orientado cara a Web 2.0 as principais achegas deste
framework inclúen efectos de animacións que permiten realizar transicións que poden ser
interrompidas, pausadas ou reiniciadas, permitindo o solapamento de animacións.
46. DWR. (En inglés Direct Web Remoting). Framework de código aberto orientado á
integración de AJAX con aplicacións JEE a través de mecanismos de RPC como RMI ou
SOAP. Permite executar código Java nun servidor de aplicacións como se estivera no
navegador do cliente, invocando os obxectos como se foran locais. Consta de dous
elementos principais: un framework Javascript no cliente e un Servlet no servidor para
procesar as peticións e xerar as respostas.
28. SAJAX. (En inglés Simple AJAX Toolkit). Ferramenta de código aberto que de xeito análogo
a DRW permite realizar chamadas a métodos do servidor en PHP, ASP, Coldfusion, Ruby,
Perl, Phyton e outras linguaxes dende Javascript no navegador, sen ter que recargar a páxina.
Prove dunha API para cada linguaxe de servidor.
• GWT. (En inglés Google Web Toolkit). Framework de desenvolvemento AJAX dentro de
aplicacións Java. Ademais prove doutras funcionalidades como compoñentes HTML
 dinámicos e reutilizables, protocolos de transferencia XML e JSON, internacionalización
i18n.

A maiores destes frameworks existen infinidade de alternativas e librarías para temas específicos ou
versións mais ou menos simples de propósito xeral, como AJAX .NET, ATLAS, BAJAX, Taconite,
Tacos, XAJAX ou ZK.

32.3 RIA PARA MULTIMEDIA E ANIMACIÓNS

Conforme mellorou o ancho de banda das conexións foron en aumento as tecnoloxías RIA
destinadas a mellorar as funcións multimedia, gráficos vectoriais, animacións e interactividade. A
pioneira destas tecnoloxías foi Flash para posteriormente aparecer Flex, AIR, JavaFX, OpenLaszlo
e Silverlight como principais alternativas.

32.3.1 FLASH RIA

A plataforma Flash evolucionou de plug in no cliente (Flash Player) para a visualización de imaxes
vectoriais e animacións, cara unha arquitectura RIA para dotar de novas funcionalidades ás
interfaces web. Representa a primeira tecnoloxía RIA, sendo o marco que engloba diferentes
tecnoloxías dentro do que se denomina Flash RIA. Dentro das Flash RIA atópanse as tres
tecnoloxías principais soportadas por Adobe, e anteriormente Macromedia, as cales teñen o uso
máis estendido:
 Flash. Empaqueta de aplicación en arquivos SWF a modo de compoñentes.
 Flex. A partir dun servidor de aplicacións JEE realiza a comunicación co
SWF permitindo chamar a obxectos do servidor.
 AIR. Para execución de aplicacións Flash no equipo do cliente sen
necesidade de navegadores como intermediarios.

Alternativamente, existen outros provedores de tecnoloxías Flash RIA, coma OpenLaszlo,

SnappMX, Zulu ou XAMLON (Permite desenvolver aplicacións Flash coa linguaxe de marcado
XAML dentro da plataforma .NET)

Os contornos de desenvolvemento de Flash están máis orientados cara a edición de animacións que
cara o desenvolvemento web, pero foise abrindo camiño no campo da elaboración de widgets,
soporte multilinguaxe, efectos 3D, control e validación de formularios. Permite integración con
AJAX e Javascript pero dispón dunha linguaxe de script propia denominada ActionScript. Lánzase
nunha máquina virtual específica AMV2 (en inglés ActionScript Virtual Machine) aloxada no
contorno de execución Flash Player.

32.3.1 FLEX
Flex é a evolución de Flash ampliando o ámbito de desenvolvemento RIA con novas tecnoloxías e
formatos. Diferenciase de Flash na súa facilidade de integración con tecnoloxías de linguaxes de
servidor o que facilita o uso de patróns de deseño e que emprega MXML (en inglés Macromedia
eXtensible Markup Language) para definir o aspecto e comportamento das interfaces de usuario.
Como Flash, soporta a linguaxe ActionScript. Permite integración con outras tecnoloxías do lado do
servidor como Servizos Web. As aplicacións Flex poden integrarse nun documento HTML de xeito
que este pode actualizar dinamicamente a vista e enviar e recibir datos asincronamente co servidor
de fondo, de xeito similar a AJAX.

Nas comunicacións cliente servidor, Flex no cliente comunícase co servidor vía HTTP,
dispoñendo de tres API RPC: HTTPService, WebService e RemoteObject. Obtense un maior
rendemento que noutras tecnoloxías, como JSON ou SOAP. Así mesmo Flex permite intercambio
de datos en tempo real perante dúas vías: XML Socket e Socket Binario. Co XML Socket créase
unha conexión que permanece aberta mentres dure a comunicación, ou é pechada explicitamente.
No Socket Binario o funcionamento é similar pero cliente e servidor non precisan intercambiar
paquetes XML especificamente senón que envían os datos como información binaria, o que permite
conectar con servidores de correo como POP3, SMTP e IMAP ou servidores de novas como NNTP.

No tocante á seguridade á hora de integrar Flex nunha aplicación JEE será a arquitectura desta a
que impoña o modelo de seguridade, variando dende un framework de autenticación/autorización
específico a un directorio LDAP, ou arquivos de configuración XML.

Coma noutras tecnoloxías, en Flex están dispoñibles unha serie de frameworks multipropósito.
Moitos deles tamén son válidos para AIR. Os máis empregados son Cairgorm, Mate,
PureMVCFramework, Swiz ou Parsley.

32.3.3 SILVERLIGHT/MOONLIGHT
Complemento para navegadores que permite integrar na mesma extensión elementos multimedia,
animacións e interactividade, de xeito similar ao WPF (tecnología de Microsoft Windows
Presentation Foundation). Atópase baseado en XAML para a definición das interfaces de usuario, a
partir das que invoca a métodos do servidor de aplicacións .NET. Permite a carga dinámica de XML
co que se pode operar a través de DOM ao xeito de AJAX. Proporciona extensións para Javascript.
As principais características do framework son:
o WPF. Inclúe un subconxunto de WPF que estende en gran medida elementos da
Interface de Usuario.
o XAML. Definición da Interface de Usuario a través dunha linguaxe de marcado
declarativa.
o Integración con Javascript e ASP .NET AJAX.
o Acceso a obxectos do lado do servidor .NET.
o Conexión con servizos de rede WCF, SOAP e ASP .NET AJAX, permitindo orixes
de datos JSON, XML e RSS.
o Soporta LINQ para implementar o acceso a datos

A arquitectura de Silverlight se compón de 3 partes fundamentais:

f) Framework de presentación básico. Compoñentes e servizos orientados á Interface de
usuario e a interacción co usuario, elementos multimedia e soporte XAML.
g) .NET Framework para Silverlight. Subconxunto de .NET Framework para Silverlight que
contén compoñentes e librarías, recolector de lixo, WCF e CLR.
h) Compoñente de instalación e actualización. Control de instalación e actualización da
extensión.

Mención especial merece o apartado da seguridade, como acontecía con outras tecnoloxías RIA
Silverlight incorpora políticas de seguridade específicas para seguimento do ciclo de vida, illamento
de código, acceso seguro aos recursos da rede, servizos criptográficos e firma dixital.

32.3.4 JAVA FX
Java FX é unha plataforma que se compón de elementos web, multimedia e scripting xunto con
tecnoloxías de servidor JEE para o desenvolvemento de aplicacións multiplataforma. Pode
funcionar de maneira independente do navegador sempre que teña o equipo instalada unha máquina
virtual Java compatible. Os principais compoñentes de Java FX son:
p) JavaFX Script. Linguaxe de programación declarativa, con tipos estáticos, que permite
invocar métodos de calquera API de Java da plataforma.
q) Entorno de execución JavaFX. Especializado para o dispositivo, Escritorio/Web, Mobile,
ou TV.
r) Aplicacións JavaFX. Independentes ou empaquetadas como arquivos JAR.
s) Ferramentas de desenvolvemento. Inclúe o compilador para JavaFX Script, Plug ins para
IDEs como Eclipse, e librarías especializadas para gráficos, multimedia ou Servizos web, entre
outros.

32.4 OUTRAS TECNOLOXÍAS RIA

Se ben as tecnoloxías con anterioridade representan as solucións de uso máis estendido actualmente,
existen outras multipropósito ou máis específicas que buscan facerse un oco no mundo das RIA.

32.4.1 OPENLASZLO
OpenLaszlo é un framework e plataforma de desenvolvemento para aplicacións RIA con licenza
GPL, precisando dun servidor propio para o aloxamento das aplicacións desenvolvidas. Unha
mesma aplicación definida a través dunha linguaxe de definición propia pode exportarse a
diferentes formatos: multinavegador e multiplataforma. As aplicacións OpenLaszlo poden
despregarse no servidor de aplicacións da plataforma, denominado Despregue en modo proxy, ou
ben en modo Despregue “SOLO” con independencia do servidor, por norma xeral empaquetada
nun arquivo SWF.

OpenLaszlo aporta unha linguaxe declarativa propia, o LZX deseñado para describir as interfaces
do usuario, ao estilo de XUL e XForms. Emprégase conxuntamente con Javascript/AJAX sendo
este último o encargado da interacción co usuario.

A plataforma OpenLaszlo incorpora os seguintes compoñentes:

o) Compilador. Permite que unha aplicación definida perante a linguaxe declarativa LZX
poida transformarse a Flash (SWF) ou DHTML-AJAX.
p) Servidor. Fai as funcións de aloxamento da aplicación e proxy, mantendo comunicación
bidireccional cos back-ends a través de JAVARPC ou outros protocolos de servizos web.
q) Contorno de execución ou LCF (en inglés Laszlo Foundation Class). Inclúe compoñentes
da interface de usuario, acceso a datos e servizos de rede.
r) Framework. Prove dunha extensa API para animacións, estrutura de aplicación, acceso a
datos, comunicacións co servidor e definición da interface de usuario. Estruturalmente segue
un modelo MVC, pero ampliable ás capas que sexan precisas para cada solución.
s) Servlet. Tratase dun compoñente opcional para a aplicación que permite atender e dirixir
peticións multimedia ou para servizos web como SOAP, JavaRPC ou XML-RPC.

32.4.2 ZK FRAMEWORK
Trátase doutro framework orientado a eventos que en esencia poderíase incluír cos frameworks
AJAX. Emprega unha linguaxe de marcado propia para as interfaces de usuario denominada ZUML
que pode mesturarse con outras linguaxes de marcado como XUL e XHTML. Deseñouse para
integración con aplicacións JEE incorporando as capacidades de AJAX en desenvolvementos áxiles
e reutilizables.

Prove dun framework cunha implementación de ZK Spring, adaptado do framework Spring, e

librarías con compoñentes e etiquetas JSP con soporte para AJAX. No tocante á seguridade engade
protección para ataques XSS, DoS e CSRF, ademais de reforzar a autenticación e os permisos coa
incorporación de frameworks de terceiros como Spring Security.
Tema 33. Ingeniería del software. Proceso software, modelos de proceso software. Ciclo de
vida. Modelos de ciclo de vida. Fases del ciclo de vida. Modelos de desarrollo.

33.1 Ingeniería del software

La rápida expansión de la Informática, sobre todo a partir de la segunda generación de ordenadores

en los años 60, llevó a la escritura de millones de líneas de código antes de que se empezaran a
plantear de manera seria metodologías para el diseño y la construcción de sistemas software y
métodos para resolver los problemas de mantenimiento, fiabilidad, etc. Esta expansión sin control
tuvo como consecuencia la denominada crisis del software. Los programas construidos no
respondían a las expectativas, fallaban demasiado, el coste y tiempo se disparaban, era casi
imposible el mantenimiento,…

La Ingeniería del Software se puede definir como el establecimiento y uso de principios de

ingeniería orientados a obtener, de manera económica, software que sea fiable y funcione
eficientemente. La Ingeniería del Software abarca tres elementos clave: métodos, herramientas y
procedimientos. Los métodos proporcionan la manera de construir técnicamente el software.
Abarcan las tareas de planificación y estimación de proyectos, análisis de los requerimientos del
sistema y del software, diseño de las estructuras de datos, de la arquitectura de programas y de los
procedimientos algorítmicos, y la codificación, pruebas y mantenimiento. Las herramientas
suministran el soporte automático o semiautomático para los métodos; esto es, dan soporte al
desarrollo del software. Los procedimientos definen la secuencia en la que se aplican los métodos,
los controles que ayudan a asegurar la calidad y a coordinar los cambios y las guías que facilitan a
los gestores del software. Existen tres fases genéricas:
• La fase de definición se centra sobre el qué. Tendrán lugar tres tareas principales:
ingeniería de sistemas o de información, planificación del proyecto del software y análisis
de los requisitos.
• La fase de desarrollo se centra en el cómo. Tendremos: diseño del software, generación de
código y prueba del software.
• La fase de mantenimiento se centra en el cambio que va asociado a la corrección de errores
(correctivo), a las adaptaciones requeridas a medida que evoluciona el entorno del software
(adaptativo) y a cambios debidos a las mejoras producidas por los requisitos cambiantes del
cliente (perfectivo o evolutivo). Estas fases se complementan con un número de actividades
protectoras se aplican a lo largo de todo el proceso del software. Entre las actividades
típicas de esta categoría se incluyen: seguimiento y control del proyecto de software,
 revisiones técnicas formales, garantía de calidad del software, gestión de configuración del
software, preparación y producción de documentos, gestión de reutilización, mediciones y
gestión de riesgos.

33.2 Proceso software. Modelos de proceso software

Un proceso del software es un conjunto de actividades que conducen a la creación de un producto

software. Aunque existen muchos procesos diferentes de software, algunas actividades
fundamentales son comunes para todos ellos:
24. Especificación del software donde los clientes e ingenieros definen el software a producir y
las restricciones sobre su operación.
25. Desarrollo del software donde el software se diseña y programa.
26. Validación del software donde el software se valida para asegurar que es lo que el cliente
requiere.
27. Evolución del software donde el software debe evolucionar para cubrir las necesidades
cambiantes del cliente.

Diferentes tipos de sistemas necesitan diferentes procesos de desarrollo. Los procesos del software
se pueden mejorar con la estandarización. De todos modos, la existencia de un proceso de software
no es garantía de que éste será entregado a tiempo, de que satisfará las necesidades del cliente, o de
que mostrará las características técnicas que conducirán a características de calidad a largo plazo. El
proceso de software debe evaluarse para asegurarse de que cumpla una serie de criterios básicos.
Algunos de los modelos de evaluación que se han mostrado más efectivos son CMMI (Modelo de
Capacidad de Madurez Integrado) y SPICE (ISO/IEC15504), que define un conjunto de requisitos
para la evaluación del proceso de software.

Un modelo de procesos del software es una descripción abstracta y simplificada de un proceso del
software. Puede pensarse en ellos como marcos de trabajo del proceso que pueden ser extendidos y
adaptados para crear procesos más específicos de ingeniería del software. Cada modelo describe
una sucesión de fases y un encadenamiento entre ellas. Según las fases y el modo en que se
produzca este encadenamiento, tenemos diferentes modelos de proceso. Alternativamente, a veces
se usan los términos ciclo de vida, modelo de ciclo de vida y modelo de desarrollo.

La mayor parte de los modelos de procesos del software se basan en uno de los tres modelos
generales o paradigmas de desarrollo de software:
 17. El enfoque en cascada. Considera las actividades anteriores y las representa como fases de
procesos separados, tales como la especificación de requerimientos, el diseño del software,
la implementación, las pruebas, etcétera. Después de que cada etapa queda definida «se
firma» y el desarrollo continúa con la siguiente etapa.
18. Desarrollo iterativo. Este enfoque entrelaza las actividades de especificación, desarrollo y
validación. Un sistema inicial se desarrolla rápidamente a partir de especificaciones muy
abstractas. Éste se refina basándose en las peticiones del cliente para producir un sistema
que satisfaga las necesidades de dicho cliente.
19. Ingeniería del software basada en componentes. Esta técnica supone que las partes del
sistema ya existen previamente. El proceso de desarrollo del sistema se enfoca en la
integración de estas partes más que desarrollarlas desde el principio.

Estos tres modelos no se excluyen mutuamente y a menudo se utilizan juntos, especialmente para el
desarrollo de sistemas grandes. Los subsistemas dentro de un sistema más grande pueden ser
desarrollados utilizando enfoques diferentes.

33.3 Ciclo de vida del software

Según el estándar ISO-12207 el ciclo de vida de un sistema de información es el marco de

referencia que contiene los procesos, las actividades y las tareas involucradas en el desarrollo, la
explotación y el mantenimiento de un producto de software, abarcando la vida del sistema desde la
definición de los requisitos hasta la finalización de su uso. También se podría definir el ciclo de
vida de un sistema de información como el conjunto de etapas por las que atraviesa el sistema
desde su concepción, hasta su retirada de servicio pasando por su desarrollo y explotación. No
existe un único modelo de ciclo de vida que defina los estados por los que pasa cualquier producto
software, no obstante, todo modelo de ciclo de vida debe cubrir los siguientes objetivos básicos:
• Definir las actividades a realizar y en qué orden, es decir, determinar el orden de las fases
del proceso software.
• Establecer los criterios de transición para pasar de una fase a la siguiente.
• Proporcionar puntos de control para la gestión del proyecto, es decir, calendario y
organización.

Es importante no confundir el concepto de ciclo de vida con el de metodología. Mientras que el

ciclo de vida indica qué actividades hay que realizar y en qué orden, la metodología indica cómo
avanzar en la construcción del sistema, esto es, con qué técnicas, y entre sus características está la
de determinar los recursos a utilizar o las personas implicadas en cada actividad.
33.4 Modelos de ciclo de vida del software

33.4.1 Modelo Codificar y Corregir (Code and Fix)

Este es el modelo básico utilizado en los inicios del desarrollo de software. Contiene dos pasos: 1-
Escribir código. 2- Corregir problemas en el código. Los principales problemas de este modelo son
la mala estructura de los programas después de múltiples correcciones, que los hacen casi
imposibles de probar o modificar, y que estos no se suelen ajustan a las necesidades del usuario.

33.4.2 Modelo por Etapas y Modelo en Cascada

Los problemas apuntados del modelo Code and Fix llevaron a la necesidad de realizar el desarrollo
del software siguiendo un modelo de etapas sucesivas, el modelo por etapas (Stage Wise). El
modelo en cascada introduce una serie de mejoras respecto al modelo por etapas tales como
considerar la realización de bucles de realimentación entre etapas, permitiendo que se puedan
resolver los problemas detectados en una etapa, en la etapa anterior y permitir la incorporación
inicial del prototipado a fin de captar las especificaciones durante el análisis, o para probar distintas
soluciones durante el diseño. El modelo en cascada se compone de una serie de fases que se
suceden secuencialmente, generándose en cada una de ellas unos resultados que serán necesarios
para iniciar la fase siguiente. El número de fases en este modelo es irrelevante, ya que lo que le
caracteriza es la secuencialidad de las mismas y la necesidad de completar cada una de ellas para
pasar a la siguiente. El modelo del ciclo de vida en cascada está regido por la documentación, es
decir, la decisión del paso de una fase a la siguiente se toma en función de si la documentación
asociada a dicha fase está completa o no. Posiblemente, el modelo clásico más utilizado sea el
modelo de siete fases que son:
• Planificación del sistema
• Especificación de requisitos: se trata de definir qué debe hacer el sistema.
• Diseño: trata de definir el cómo.
• Codificación.
• Pruebas e integración.
• Implantación y aceptación del sistema.
• Mantenimiento del sistema.

Las principales críticas al modelo se centran en sus características básicas, es decir secuencialidad
y utilización de los resultados de una fase para acometer la siguiente de manera que el sistema sólo
se puede validar cuando está terminado.

33.4.3 Modelos basados en prototipos

Permiten a los desarrolladores construir rápidamente versiones tempranas de los sistemas software
que pueden evaluar los usuarios. Existen varios modelos derivados del uso de prototipos:

33.4.3.1 Prototipado rápido

También se denominan de usar y tirar. El prototipo sirve para crear y validar la especificación, y
para que el usuario tenga una idea de cómo será el software antes de que comience el desarrollo. Es
importante precisar que el prototipo se construye sólo para servir como mecanismo de definición de
los requerimientos funcionales. Posteriormente ha de desecharse y debe construirse el sistema con
los criterios normales de calidad y mantenimiento. Los objetivos del prototipo son reducir el riesgo
de construir un producto que se aleje de las necesidades del usuario y reducir el coste de desarrollo
al disminuir las correcciones en etapas avanzadas del mismo.

33.4.3.2 Prototipado evolutivo

En este tipo de ciclo de vida se construye una implementación parcial del sistema que satisface los
requisitos conocidos, la cual es utilizada por el usuario para llegar a comprender mejor la totalidad
de requisitos que desea. Estos modelos consisten en implementar un producto software operativo y
hacerle evolucionar de acuerdo con la propia experiencia operacional. Está relacionado con el
concepto de RAD (Desarrollo Rápido de Aplicaciones) y los lenguajes de cuarta generación (L4G).

La diferencia fundamental entre el prototipado rápido y el evolutivo estriba en que mientras que en
el primer caso se asume que existen una serie de requisitos reales, aunque para establecer lo que el
usuario quiere realmente es necesario establecer una serie de iteraciones antes de que los requisitos
se estabilicen al final, en el caso evolutivo se asume desde el principio que los requisitos cambian
continuamente. En el prototipo rápido lo lógico es implementar sólo aquellos aspectos del sistema
que se entienden mal, mientras que en el prototipo evolutivo lo lógico es comenzar por los aspectos
que mejor se comprenden y seguir construyendo apoyados en los puntos fuertes y no en los débiles.
Como resultado de este modo de desarrollo, la solución software evoluciona acercándose cada vez
más a las necesidades del usuario.

33.4.3.3 Modelo de Desarrollo Incremental

El modelo de desarrollo incremental consiste en desarrollar un sistema que satisfaga una parte de
los requisitos especificados y posteriormente ir creando versiones que incorporen los requisitos que
faltan, hasta llegar al sistema final. La diferencia entre el modelo de desarrollo evolutivo y el
modelo de desarrollo incremental radica en dos aspectos:
 • El modelo incremental parte de la hipótesis de que se conocen todos los requisitos y éstos se
van incorporando al sistema en versiones sucesivas. En el modelo evolutivo sólo se conocen
unos pocos requisitos y los restantes se van descubriendo en sucesivas evoluciones del
prototipo.
• Cada vez que se desarrolla una nueva versión, en el modelo evolutivo es una versión de todo
el sistema, mientras que en el incremental es una versión anterior sin cambios, más un
número de nuevas funciones.

33.4.4 Modelo en Espiral

El modelo en espiral, propuesto originalmente por Boehm, es un modelo de proceso de software
evolutivo que conjuga la naturaleza iterativa de construcción de prototipos con los aspectos
controlados y sistemáticos del modelo en cascada. En el modelo en espiral hay un reconocimiento
explícito de las diferentes alternativas para alcanzar los objetivos del proyecto. Se centra en la
identificación de los riesgos asociados a cada alternativa y en la manera de resolver dichos riesgos.
En el modelo en espiral los proyectos se dividen en ciclos (ciclos de espiral), avanzándose en el
desarrollo mediante consensos al final de cada ciclo. Cada ciclo se compone de las cuatro
actividades siguientes:
• Planificación: consiste en la identificación de los objetivos de la parte del producto que está
siendo elaborada (funcionalidad, rendimiento, adaptación a los cambios, etc.), identificación
de las alternativas principales para realizar o implementar esta parte del producto, y la
identificación de las restricciones impuestas (coste, plazo de realización, interfaces, etc.).
• Análisis de riesgos: Comienza con la evaluación de cada alternativa respecto a los objetivos
y a las restricciones. Se decidirá como resolver los riesgos asociados a la alternativa elegida.
• Ingeniería. Este paso consiste en el desarrollo y verificación del producto objeto de la fase
(ciclo de espiral) en que nos encontremos. Podrá seguir las pautas de un prototipado
evolutivo, las del ciclo de vida clásico, o cualquier otro enfoque del desarrollo.
• Evaluación del cliente. Cada ciclo de espiral se completa con una revisión en la que
participan aquellos que tienen relación con el producto (desarrolladores, usuarios, etc.).

La principal ventaja del modelo en espiral es que su orientación al riesgo evita, si no elimina,
muchas de las posibles dificultades. En cuanto a los inconvenientes que plantea la utilización del
modelo en espiral, cabe citar dificultad para adaptar su aplicabilidad al software contratado y la
dependencia excesiva de la experiencia que se tenga en la identificación y evaluación de riesgos.

33.4.5 Modelos basados en Transformaciones

Estos modelos, también llamados ciclo de vida con producción automática de diseño y código. Se
basan en la posibilidad de convertir automáticamente una especificación formal de un producto
software en un programa que satisfaga las especificaciones, utilizando herramientas de cuarta
generación.

33.4.6 Desarrollo basado en componentes

El desarrollo de software basado en componentes permite reutilizar piezas de código preelaborado

que permiten realizar diversas tareas. En esencia, un componente es una pieza de código
preelaborado que encapsula alguna funcionalidad expuesta a través de interfaces estándar.

Los pasos de que consta el ciclo de desarrollo para un sistema basado en componentes son:
 Buscar componentes, tanto COTS (Comercial Off-The-Shelf) como no COTS.
 Seleccionar los componentes más adecuados para el sistema.
 Crear una solución compuesta que integre la solución previa.
 Adaptar los componentes seleccionados de forma que se ajusten al modelo de componentes
o a los requisitos de la aplicación.
 Componer y distribuir el producto.
 Reemplazar versiones anteriores o mantener las partes COTS y no COTS del sistema.

Entre las ventajas del Desarrollo basado en componentes tenemos que se reducen tiempos y costes
de desarrollo y se aumenta la fiabilidad. Entre los inconvenientes, tendremos la dificultad para
reconocer los componentes potencialmente reutilizables, dificultad de catalogación y recuperación y
los problemas de gestión de configuración.

33.4.7 Proceso Unificado de Desarrollo de software (PUDS)

En realidad es una metodología que propone un modelo de ciclo de vida. Plantea un modelo de
ciclo de vida iterativo e incremental, centrado en una arquitectura que guía el desarrollo del sistema,
cuyas actividades están dirigidas por casos de uso y soporta las técnicas orientadas a objetos.

El PUDS se compone de fases, iteraciones y ciclos. Una fase es el intervalo de tiempo entre dos
hitos importantes del proceso durante la cual se cumple un conjunto bien definido de objetivos, se
completan entregables y se toman las decisiones sobre si pasar o no a la siguiente fase. Las fases
son:
- Iniciación. En esta fase se establece la visión del negocio.
- Elaboración. Es donde el proyecto comienza a tomar forma.
 - Construcción. En esta fase el enfoque se traslada al desarrollo de componentes y otras
características del sistema que está siendo diseñado.
- Transición. El producto se implanta en la organización del usuario final. Aquí se lleva a
cabo la formación de los usuarios finales y las pruebas de aceptación del sistema para
validarlo contra las expectativas del usuario.

En cada fase hay una o varias iteraciones. Una iteración ofrece como resultado un incremento del
producto desarrollado que añade o mejora las funcionalidades del sistema en desarrollo. El paso a
través de las 4 fases constituye un ciclo de desarrollo y produce una generación de software. El
primer ciclo es el inicial y después serán ciclos de evolución del sistema.

33.4.8 Modelo de métodos formales

Un conjunto de actividades que conducen a la especificación matemática del software de

computadora. Ofrecen la promesa de un software libre de defectos. Es posible que el enfoque a
través de métodos formales tenga más partidarios entre los desarrolladores que deben construir
software de mucha seguridad y robustez.

33.4.9 Programación Extrema (eXtreme Programming)

En la programación extrema, todos los requerimientos se expresan como escenarios (llamados

historias de usuario), los cuales se implementan directamente como una serie de tareas. Los
programadores trabajan en parejas y desarrollan pruebas para cada tarea antes de escribir el código.
Todas las pruebas se deben ejecutar satisfactoriamente cuando el código nuevo se integre al sistema.
Existe un pequeño espacio de tiempo entre las entregas del sistema.

Los clientes del sistema son parte del equipo de desarrollo y discuten escenarios con otros
miembros del equipo. El equipo de desarrollo intentará entonces implementar ese escenario en una
entrega futura del software. Una vez que se han comprendido los escenarios, el equipo de desarrollo
los divide en tareas y estima el esfuerzo y recursos requeridos para su implementación. El cliente
establece entonces la prioridad de los escenarios a implementar.

Para intentar evitar la degradación de la estructura del software debido a los cambios imprevistos,
en la programación extrema se debe refactorizar constantemente el software.
35- Ingeniería de requisitos. Verificación. Validación. Especificación de requisitos. Gestión de
requisitos.

35.1 Ingeniería de requisitos

La Ingeniería de requisitos comprende todas las tareas relacionadas con la determinación de las
necesidades o de las condiciones a satisfacer para un software nuevo o modificado, tomando en
cuenta los diversos requisitos de los inversores.  Así, los requisitos se generan a partir de la
interacción entre los usuarios y los ingenieros del software, representando las características del
sistema a construir, es decir, las necesidades de los usuarios. 
Según IEEE un requisito es una condición o capacidad necesitada por un usuario para resolver un
problema o alcanzar un objetivo. Los requisitos son las características que debe cumplir el sistema
para que cubra las necesidades de los usuarios.

Aunque no todos los autores coinciden en el número y nombre de las etapas, en general se suelen
indicar las siguientes en la ingeniería de requisitos:
         Educción de Requisitos. En ella los analistas obtienen las necesidades del cliente a partir
de todas las fuentes de información que tienen disponibles (documentación, entrevistas,
estudio de los procesos de la organización, etc.). Términos equivalentes usados por los
ingenieros de software para esta actividad son Extracción de Requisitos, Identificación de
Requisitos, Determinación de Requisitos, etc.
         Análisis de Requisitos: se procede a trabajar sobre los requisitos educidos en el paso
anterior. Se estudian los requisitos en busca de conflictos e incoherencias, implicaciones,
información no obtenida y aspectos no resueltos. El objetivo final es lograr una lista de
requisitos que defina las necesidades del cliente.
         Representación de los Requisitos. Actividad en la que se representan los requisitos de una
o más formas, utilizando para ello diferentes técnicas como por ejemplo el lenguaje formal,
el lenguaje natural, representaciones gráficas, etc. Una vez que están los requisitos
representados, es necesario que se reúnan los diversos participantes en el desarrollo para
revisarlos y aprobarlos. El producto final con el que culmina esta fase es la Especificación
de Requisitos Software, en donde está descrito con exactitud todo lo que el sistema debe
hacer.
         Validación de Requisitos Se procede a definir una serie de criterios y técnicas que
permitirán, cuando el sistema esté construido, comprobar que éste cumple los requisitos.

35.1 Tipos de requisitos

La mayoría de los autores distinguen entre:
         Requisitos funcionales: Son declaraciones de los servicios que debe proporcionar el
sistema, de la manera en que éste debe reaccionar a entradas particulares y de cómo se debe
comportar en situaciones concretas.
         Requisitos no funcionales: Son restricciones de los servicios o funciones ofrecidos por el
sistema. Incluyen restricciones de tiempo, sobre el proceso de desarrollo y estándares. Como
su nombre sugiere, no se refieren directamente a las funciones específicas que proporciona
el sistema, sino a las propiedades de éste como la fiabilidad, el tiempo de respuesta y la
capacidad de almacenamiento. Pueden venir de las características requeridas del software
(requisitos del producto), de la organización que desarrolla el software (requisitos
organizacionales) o de fuentes externas (requisitos externos como legislativos, éticos, de
interoperabilidad, etc).

35.2 Identificación de los requisitos del software

La educción, identificación o determinación de requisitos es el paso durante el cual los requisitos

del software son obtenidos. Los problemas de la obtención de requisitos se pueden agrupar en tres
categorías:
1-      Problemas de alcance
2-      Problemas de comprensión
3-      Problemas de volatilidad, ya que los requisitos evolucionan con el tiempo.

La solución al primer problema pasa por determinar claramente el contexto del sistema, es decir, los
límites y objetivos del mismo. La solución del segundo es que exista una buena comunicación entre
usuarios, desarrolladores y clientes. Por último la solución al tercer problema es incorporar estos
cambios a los requisitos originales, pues si no, éstos serán incompletos e inconsistentes con la nueva
situación. Son numerosas las estrategias y técnicas que se han desarrollado para la obtención de los
requisitos. Las más importantes son:

35.2.1 Entrevista

Se entiende por entrevista el encuentro que se realiza “cara a cara” entre un usuario y la persona
responsable de obtener la información. Durante la preparación de la entrevista es conveniente
remitir al usuario un guión previo sobre los puntos a tratar, para que pueda estudiarlo con tiempo y
solicitar la información que estime conveniente para la entrevista.
Antes de finalizar la entrevista es importante que el entrevistador sintetice las conclusiones y
compruebe que todos los asistentes están de acuerdo, dejando siempre abierta la posibilidad de
volver a contactar para aclarar temas que surjan al estudiar la información recopilada.

Finalmente, el responsable depura y consolida el resultado de las entrevistas, elaborando un informe

de conclusiones. En algunos casos puede ser conveniente elaborar un acta que refleje estas
conclusiones y remitirla a los entrevistados con el objetivo de asegurar que se han comprendido
bien las especificaciones dadas.

35.2.2 JAD (JoidApplicationDesign)

Las características de una sesión de trabajo tipo JAD se pueden resumir en los siguientes puntos:
34. Se establece un equipo de trabajo cuyos componentes y responsabilidades están
perfectamente identificados y su fin es conseguir el consenso entre las necesidades de los
usuarios y los servicios del sistema en producción.
35. Se llevan a cabo pocas reuniones, de larga duración y muy bien preparadas.
36. Durante la propia sesión se elaboran los modelos empleando diagramas fáciles de entender y
mantener, directamente sobre herramientas CASE.
37. Al finalizar la sesión se obtienen un conjunto de modelos que deberán ser aprobados por los
participantes.

Es importante definir claramente el perfil y las responsabilidades de los participantes de una sesión
JAD. Se pueden distinguir los siguientes perfiles:
 Moderador (líder).
 Promotor, persona que ha impulsado el desarrollo.
 Jefe de proyecto, responsable de la implantación del proyecto.
 Especialista en modelización
 Desarrolladores, aseguran que los modelos son correctos y responden a los requisitos
especificados.
 Usuarios, responsables de definir los requisitos del sistema y validarlos.

35.2.3 Prototipado

Los prototipos son sistemas software que sólo implementan una parte del sistema. Normalmente,
los prototipos se emplean para obtener requisitos del usuario cuando éstos no están completamente
claros. El prototipo permite salvar la situación siguiente: “No se lo que quiero, pero lo sabré cuando
lo vea”. Y en efecto, será mucho más fácil para un usuario saber si lo que quiere es lo que tiene
delante y que puede interaccionar con él, que si es un montón de hojas con todos los requisitos
escritos uno a uno. La aplicación de la técnica del prototipado consta de los siguientes pasos:
1-      Estudio preliminar de los requisitos del usuario.
2-      Proceso iterativo consistente en:
a.       Construir un prototipo.
b.      Evaluarlo con los usuarios.
c.       Formular nuevos requisitos.
d.      Desechar el prototipo.

35.2.4 Análisis de factores críticos de éxito.

Esta técnica consistente en identificar y concentrarse en un pequeño conjunto de factores críticos de

los que depende el éxito y efectividad del sistema. esta técnica es bastante útil cuando el sistema es
técnicamente complejo.

35.2.5 Brainstorming

Se trata de una técnica sencilla en la que se reúnen en grupo de 4 a 10 personas para generar ideas,
sin restricciones, en un ambiente libre de críticas. Primero se proporcionan las ideas y en una
segunda vuelta se refinan. Uno de los principales puntos fuertes de la técnica es que ideas que en un
principio pueden ser descabelladas tienen cabida. El Brainstorming genera múltiples puntos de vista
de un problema ya que cada participante puede ver el problema desde una óptica distinta

35.2.6 Escenarios y  Casos de uso

Los escenarios son descripciones de ejemplos de las sesiones de interacción. Cada escenario abarca
una o más posibles interacciones. El escenario comienza con un esbozo de la interacción y, durante
la obtención se agregan detalles para crear una descripción completa de esta interacción. Los
escenarios se pueden redactar como texto, complementados por diagramas, fotografías de las
pantallas, etcétera.

Los casos de uso son una técnica que se basa en escenarios para la obtención de requisitos. En su
forma más simple, un caso de uso identifica el tipo de interacción y los actores involucrados. El
conjunto de casos de uso representa todas las posibles interacciones a representar en los requisitos
del sistema.
Los escenarios y los casos de uso son técnicas eficaces para obtener requisitos para los puntos de vista de los
interactuadores, donde cada tipo de interacción se puede representar como un caso de uso. Sin embargo, debido a que se
centran en las interacciones, no son tan eficaces para obtener restricciones y requisitos de negocio y no funcionales de
alto nivel de puntos de vista indirectos o para descubrir requisitos del dominio.

35.2.7 Observación directa e investigación contextual (Etnografía)

Un analista se sumerge por sí solo en el entorno laboral donde se utilizará el sistema. Observa el
trabajo diario y anota las tareas reales en las que los participantes están involucrados.

La etnografía es especialmente efectiva para descubrir dos tipos de requisitos:

 Los requisitos que se derivan de la forma en la que la gente trabaja realmente más que de la forma en la que las
definiciones de los procesos establecen que debería trabajar.
 Los requisitos que se derivan de la cooperación y conocimiento de las actividades de los demás.

Puesto que se centran en el usuario final, este enfoque no es apropiado para descubrir los requisitos
organizacionales o del dominio.

35.3 Verificación - Validación

La validación de requisitos trata de mostrar que éstos realmente definen el sistema que el cliente
desea. La validación de requisitos es importante debido a que los errores en los requisitos pueden
conducir a importantes costes al repetir el trabajo cuando son descubiertos durante el desarrollo o
después de que el sistema esté en uso.  Durante el proceso de validación de requisitos, se deben
llevar a cabo las siguientes verificaciones:
1-      Verificaciones de validez. En un mismo sistema suele haber diferentes usuarios, con
diferentes puntos de vista, algunas veces contrapuestos, y que éstos deben llegar a un
compromiso a la hora de definir los requisitos del sistema.
2-      Verificaciones de consistencia. Los requisitos no deben contradecirse.
3-      Verificaciones de completitud. Los requisitos deben definir todas las funciones y
restricciones propuestas por el usuario del sistema.
4-      Verificaciones de realismo. Los requisitos deben verificarse para asegurar que se pueden
implementar. Estas verificaciones también deben tener en cuenta el presupuesto y la
confección de agendas para el desarrollo del sistema.
5-      Verificabilidad. Para reducir la posibilidad de discusiones entre el cliente y el
desarrollador, los requisitos del sistema siempre deben redactarse de tal forma que sean
verificables. Esto significa que debe poder escribir un conjunto de pruebas que demuestren
que el sistema a entregar cumple cada uno de los requisitos especificados.

Pueden utilizarse, en conjunto o de forma individual, varias técnicas de validación de requisitos:

1-      Revisiones de requisitos. Los revisores deben  comprobar la:

a.       Verificabilidad. ¿Puede probarse el requisito de modo realista?
b.      Comprensibilidad. ¿Las personas que adquieren el sistema o los usuarios finales
comprenden correctamente el requisito?
 c.       Rastreabilidad. ¿Está claramente establecido el origen del requisito? Puede tener
que volver a la fuente del requisito para evaluar el impacto del cambio. La
rastreabilidad es importante ya que permite evaluar el impacto del cambio en el resto
del sistema.
d.      Adaptabilidad. ¿Es adaptable el requisito? Es decir, ¿puede cambiarse el requisito
sin causar efectos de gran escala en los otros requisitos del sistema?
2-      Construcción de prototipos En este enfoque de validación, se muestra un modelo
ejecutable del sistema a los usuarios finales y a los clientes. Éstos pueden experimentar con
este modelo para ver si cumple sus necesidades reales.
3-      Generación de casos de prueba. Los requisitos deben poder probarse. Si una prueba es
difícil o imposible de diseñar, normalmente significa que los requisitos serán difíciles de
implementar y deberían ser considerados nuevamente.

Es difícil demostrar que un conjunto de requisitos cumple las necesidades del usuario. Como
consecuencia, rara vez se encuentran todos los problemas en los requisitos durante el proceso de
validación de éstos. Es inevitable que haya cambios adicionales de requisitos para corregir las
omisiones y las malas interpretaciones después de que el documento de requisitos haya sido
aprobado.

35.4 Especificación de requisitos

El documento de requisitos del software (algunas veces denominado especificación de requisitos

del software o ERS) es la declaración oficial de qué deben implementar los desarrolladores del
sistema. El documento ERS debe incluir tanto los requisitos de comportamiento del sistema
(funcionales), que son aquellos que definen lo que hace éste y la información que maneja, como los
requisitos que no son de comportamiento, esto es, aquellos que definen los atributos del sistema
según realiza su trabajo (eficiencia, fiabilidad, seguridad, etc.). Por contra, un documento ERS no debe
incluir los elementos de gestión del proyecto (planificaciones, hitos, etc.), ni el diseño, ni los planes de control del

producto (gestión de configuración, garantía de calidad, etc.). Un documento ERS debe reunir las siguientes
características:
         Correcto. Cada requisito establecido debe representar algo requerido para el sistema.
         No Ambiguo. Cada requisito establecido tiene una sola interpretación.
         Completo. Debe incluir todo lo que el software tiene que hacer.
         Verificable. Se ha de poder comprobar, mediante un proceso efectivo y de coste limitado,
que el producto reúne cada requisito establecido.
         Consistente. Cada requisito no puede estar en conflicto con otros requisitos.
          Modificable. La estructura y estilo del documento debe hacer fáciles los cambios.

El estándar más ampliamente conocido es el IEEE/ANSI 830-1998 (IEEE, 1998).  El documento de
requisitos es fundamental cuando un desarrollador externo está construyendo el sistema software.
Sin embargo, los métodos de desarrollo ágiles sostienen que los requisitos cambian tan rápidamente
que un documento de requisitos se queda desfasado en cuanto se redacta, por lo que el esfuerzo en
gran parte se malgasta.

35. 5 Gestión de requisitos

Los requisitos para sistemas software grandes son siempre cambiantes. La gestión de requisitos es
el proceso de comprender y controlar los cambios en los requisitos del sistema. Es necesario poder
evaluar el impacto de los cambios en los requisitos. Hay que establecer un proceso formal para
implementar las propuestas de cambios.

Existen requisitos duraderos, que son requisitos relativamente estables que se derivan de la
actividad principal de la organización y que están relacionados directamente con el dominio del
sistema. Estos requisitos se pueden derivar de los modelos del dominio que muestran las entidades y
relaciones que caracterizan un dominio de aplicación. Por otro lado, existen requisitos volátiles,
que son requisitos que probablemente cambian durante el proceso de desarrollo del sistema o
después de que éste se haya puesto en funcionamiento, debido a cambios del entorno, legislación,…

35.5.1 Planificación de la gestión requisitos.

Para cada proyecto, la etapa de planificación establece el nivel de detalle necesario en la gestión de
requisitos. Habrá que decidir sobre:
1.      La identificación de requisitos.
2.      Un proceso de gestión del cambio. Éste es el conjunto de actividades que evalúan el
impacto y coste de los cambios.  
3.      Políticas de rastreo o trazabilidad. El concepto de trazabilidad hace referencia a la
posibilidad de determinar cómo se ha llegado a un cierto elemento del software a partir de
otros. Para poder llevar a cabo esta trazabilidad es especialmente importante el poder
relacionar unos requisitos con otros y también relacionar requisitos con elementos del
sistema a los que da lugar. Se habla de trazabilidad hacia delante cuando partiendo de un
requisito se llega a todos los elementos que materializan dicho requisito, o hacia atrás,
cuando partiendo de un elemento del sistema se llega al requisito que lo generó.
4.      Selección de herramientas CASE. Se precisan herramientas de ayuda para:
          Almacenar requisitos.
         Gestionar el cambio.
         Gestionar el rastreo.

35.5.2 Gestión del cambio

Todos los cambios propuestos son tratados de forma consistente y los cambios en los requisitos se
hacen de forma controlada. Existen varias etapas principales en un proceso de gestión de cambio:
         Propuesta de Cambios. El afectado por un requisito que no le satisface debe rellenar un
formulario de propuesta de cambio indicando cual es el cambio que hay que realizar. Este
cambio se remitirá al equipo de gestión de requisitos para que lo estudie.
         Análisis de Impactos. La propuesta de cambio se evalúa para determinar el impacto del
cambio en el resto de los requisitos.
         Toma de Decisiones. Dependiendo del impacto, de la necesidad u oportunidad del cambio
y de otras cuestiones específicas que puedan surgir alrededor del cambio, se debe determinar
si el cambio debe ser realizado o no.
         Comunicación. Tanto si se acepta como si no, se debe notificar los efectos de la propuesta
de cambio a todos los afectados.
         Incorporación. Se hacen las modificaciones pertinentes que se identificaron en el análisis
de impacto en los diferentes elementos afectados por el cambio.
         Medición de la Estabilidad de los Requisitos. Se evalúan los parámetros que definen la
estabilidad de los requisitos tras las modificaciones que se hayan realizado. 
Tema 36. Análisis orientado a objetos. Lenguaje Unificado de modelado (UML)

36.1 Análisis orientado a objetos.

36.1.1 Introducción a la orientación a objetos

El Análisis Orientado a Objetos "es un método de análisis que examina los requisitos desde la
perspectiva de las clases y objetos encontrados en el vocabulario del dominio del problema"(Booch
94). Debe ser comprendido por el cliente y servir de ayuda para encontrar los verdaderos
requerimientos del sistema.

El ciclo de desarrollo del software orientado a objetos comienza, en primer lugar construyendo en el
Análisis un modelo que abstrae los aspectos esenciales del dominio del problema, sin tener en
cuenta en esta etapa la implementación concreta. Este modelo conceptual contendrá objetos
encontrados en el dominio de la aplicación y describirá las propiedades y comportamiento de
aquéllos. En segundo lugar, el Diseño añadirá detalles y tomará decisiones que optimicen la
implementación. En el diseño, los objetos se describen en términos del dominio del ordenador.
Finalmente, el modelo obtenido en el diseño se implementa en un lenguaje de programación, una
base de datos y un hardware concretos.

36.1.2 Elementos de la orientación a objetos.

26. Objetos: Los objetos son módulos que contienen los datos y las instrucciones que
manipulan esos datos. Dicho de otra forma, los objetos son entidades que tienen atributos
(datos) y formas de comportamiento (procedimientos) particulares.

27. Clases: Una clase describe un conjunto de objetos diferentes con propiedades (atributos)
similares y un comportamiento común. Cada uno de los objetos individuales pertenecientes
a una clase se denomina instancia. Una clase que no tenga instancias se denomina clase
abstracta. Una clase abstracta puede servir para declarar las propiedades o comportamiento
de un conjunto determinado de clases que derivarán de ella. Las clases son un concepto
estático definido en el programa fuente, son una abstracción de la esencia de un objeto,
mientras que los objetos son entes dinámicos.

28. Atributos: son las propiedades o características de un objeto.

 29. Operaciones o métodos: representan las funciones o procesos propios de los objetos de una
clase. Se invocan exclusivamente con el mensaje adecuado. La interfaz de la clase estará
definida por el conjunto de métodos que soporta y los mensajes que es capaz de tratar.

30. Mensajes. El mensaje contiene el nombre del objeto al que va dirigido, el nombre de una
operación y, en ocasiones, un grupo de parámetros.

36.1.3 Propiedades de la orientación a objetos

Los principios del modelo orientado a objetos son:

31. Identidad: Cada objeto tiene su propia identidad inherente, es decir, dos objetos son
distintos aunque tengan todas sus propiedades iguales.

32. Clasificación. Se refiere a que los objetos que tienen la misma estructura de datos
(atributos), y el mismo comportamiento (operaciones), están agrupados en una clase.

33. Herencia. La herencia es el mecanismo mediante el cual una clase (subclase) adquiere las
propiedades de otra clase jerárquicamente superior (superclase, clase base). Cada subclase
incorpora o “hereda” todas las propiedades de su superclase y añade sus propiedades únicas,
lo que reduce en gran medida la repetición en el diseño y la programación y es una de las
principales ventajas de la Orientación a Objetos.

34. Abstracción: Consiste en la generalización conceptual del comportamiento de un

determinado grupo de objetos y de sus atributos. Se trata de abstraer los datos y métodos
comunes a un conjunto de objetos para almacenarlos en una clase.

35. Encapsulación: Es el término que se utiliza para expresar que los datos de un objeto sólo
pueden ser manipulados mediante los mensajes y métodos predefinidos. De esta forma,
quedan escondidos los detalles de implementación.

36. Polimorfismo: Es la propiedad por la cual un mismo mensaje puede originar conductas
diferentes al ser recibido por objetos diferentes. El polimorfismo es consecuencia de la
herencia. Las funciones de una clase base pueden ser sustituidas en una clase derivada
mediante la redefinición de su declaración en la clase hija. También hablamos de
polimorfismo cuando tenemos distintos métodos que tienen un comportamiento distinto en
función del número o tipo de parámetros que reciben. En este caso hablamos de métodos
polimórficos.
 37. Reusabilidad: Es la capacidad de producir componentes reutilizables para otros diseños o
aplicaciones.

38. Persistencia: Es la cualidad que se refiere a la permanencia del objeto en bases de datos,
ficheros, etc.

39. Extensibilidad: Es la capacidad de un programa para ser fácilmente alterado de forma que
pueda resolver nuevos problemas.

36.1.4 Análisis orientado a objetos

El Análisis Orientado a Objetos enfatiza la construcción de modelos basados en el mundo real,

utilizando una perspectiva del mismo basada en las clases y objetos encontrados en el dominio del
problema. El análisis del dominio es “la identificación, análisis y especificación de requisitos
comunes en un dominio de aplicación específico, normalmente para su reutilización en múltiples
proyectos dentro del mismo dominio de aplicación. El análisis orientado a objetos del dominio es
la identificación, análisis y especificación de capacidades comunes y reutilizables dentro de un
dominio de aplicación específico, en términos de objetos, clases, submontajes y marcos de trabajo
comunes”. Al igual que en los métodos estructurados tradicionales, en la etapa Análisis hay que
establecer qué es lo que debe hacerse, dejando para etapas posteriores los detalles. El resultado del
análisis debe ser una completa comprensión del problema. Las dos grandes etapas de que consta el
Análisis son las siguientes:

47. La descripción o especificación del problema. Esta descripción no debe considerarse

inmutable, sino más bien como la base para ir refinando las especificaciones reales. La
especificación del problema debe comprender el establecer el ámbito del problema,
describir las necesidades y requisitos, el contexto de la aplicación, los supuestos de que se
parte o las necesidades de rendimiento del sistema. En estas especificaciones, el usuario del
sistema debe indicar cuáles son obligadas y cuáles se pueden considerar opcionales.
Asimismo, otros puntos a tratar pueden ser los estándares de Ingeniería del Software, diseño
de las pruebas a efectuar, previsión de futuras extensiones, etc.

48. La modelización del Análisis: Las características esenciales deben abstraerse en un modelo.
Las especificaciones expresadas en lenguaje natural tienden a ser ambiguas, incompletas e
inconsistentes, sin embargo, el Modelo de Análisis es una representación precisa y concisa
del problema, que permite construir una solución. La etapa siguiente de diseño se remitirá a
este modelo, en lugar de a las vagas especificaciones iniciales. El Modelo de Análisis se
 construye identificando las clases y objetos del dominio del problema (estructura estática),
las interacciones entre los objetos y su secuenciamiento (estructura dinámica), y las acciones
a realizar por el sistema que producen un resultado observable y valioso para los usuarios
(estructura funcional).

32.1.3 Lenguaje unificado de modelado (UML).

UML (Unified Modeling Language) es un lenguaje que permite modelar, construir y documentar los
elementos que forman un sistema software orientado a objetos. Se ha convertido en el estándar de
facto de la industria, debido a que ha sido impulsado por los autores de los tres métodos más usados
de orientación a objetos: Grady Booch, Ivar Jacobson y Jim Rumbaugh. Es el estándar actual del
llamado Object Management Group (OMG).

UML sirve para especificar, modelos concretos, no ambiguos y completos. Un modelo de UML
representa a un sistema software desde una perspectiva específica. Cada modelo nos permite
fijarnos en un aspecto distinto del sistema. Debido a su estandarización, y aunque no sea un
lenguaje de programación, UML se puede conectar de manera directa a lenguajes de programación
como Java, C++ o Visual Basic.

UML se expresa a través de elementos de construcción, de relaciones y de diagramas que contienen

elementos y relaciones

Los elementos de construcción son los bloques básicos de construcción que serán de cuatro tipos:
- Elementos estructurales. Son las partes estáticas del modelo. Son siete:
o Clase: Descripción de un conjunto de objetos que comparten los mismos atributos,
operaciones, relaciones y semántica.
o Interfaz: colección de operaciones que especifican un servicio de una clase o
componente, mostrando el comportamiento visible externamente de ese elemento.
o Colaboración: define una interacción y representa un conjunto de elementos del
modelo que colaboran para proporcionar un comportamiento cooperativo mayor que
la suma de los comportamientos de sus elementos.
o Caso de uso: descripción de un conjunto de secuencias de acciones que un sistema
ejecuta y que produce un resultado observable de interés para un usuario particular.
o Clase activa: Clase cuyos objetos tienen uno o más procesos o hilos de ejecución, y
por lo tanto pueden dar origen a actividades de control.
 o Componente: Parte física y reemplazable de un sistema que representa típicamente
el empaquetamiento físico de diferentes elementos lógicos, como clases, interfaces y
colaboraciones.
o Nodo: Elemento físico que existe en tiempo de ejecución y representa un recurso
computacional que generalmente dispone de memoria y capacidad de procesamiento.
(Impresoras, PCs, …)
- Elementos de comportamiento: Partes dinámicas de los modelos. Son dos:
o Interacciones: una interacción es un comportamiento que comprende un conjunto de
mensajes intercambiados entre un conjunto de objetos, dentro de un contexto
particular para alcanzar un propósito específico. El comportamiento de una sociedad
de objetos o una operación individual puede especificarse mediante una interacción.
Una interacción incluye objetos, mensajes, secuencias de acción y enlaces.
o Máquinas de estados: una máquina de estados especifica las secuencias de estados
por las que pasa un objeto o una interacción durante su vida en respuesta a eventos.
Una máquina de estados incluye estados, transiciones, eventos y actividades.
- Elementos de agrupación: Son las partes organizativas de los modelos de UML. Solo
existe una: el paquete, que es un mecanismo para organizar los elementos en grupos.
- Elementos de anotación: Son la parte explicativa de los modelos de UML. Son
comentarios que se pueden aplicar para describir, clarificar y hacer observaciones sobre
cualquier elemento de un modelo. El principal elemento de anotación es la nota, que es
simplemente un símbolo para mostrar restricciones y comentarios junto a un elemento o una
colección de elementos.

Las relaciones entre los elementos estructurales son de cuatro tipos:

• Dependencia: es una relación semántica entre dos elementos, en la cual un cambio a un

elemento (el elemento independiente) puede afectar a la semántica del otro elemento (el
elemento dependiente).

• Asociación: Una asociación es una relación estructural que describe un conjunto de enlaces,
los cuales son conexiones entre objetos. La agregación es un tipo especial de asociación,
que representa una relación estructural entre un todo y sus partes. La composición es un tipo
de agregación en el que cada parte solo puede pertenecer a un todo y no puede existir la
parte sin el todo. Representación gráfica.
 • Generalización: Una generalización es una relación de especialización /generalización en la
cual los objetos del elemento especializado (el hijo) pueden sustituir a los objetos del
elemento general (el padre). De esta forma, el hijo comparte la estructura y el
comportamiento del padre.

• Realización: Es una relación semántica entre elementos, en donde un elemento especifica

un contrato que otro elemento garantiza que cumplirá. Pueden ser entre interfaces y las
clases y componentes que las realizan, y entre los casos de uso y las colaboraciones que los
realizan.

Por último, los diagramas son la representación gráfica de un conjunto de elementos, en general
visualizado como un grafo conexo de nodos (elementos) y arcos (relaciones). Los diagramas se
dibujan para visualizar un sistema desde diferentes perspectivas. Se pueden agrupar en dos bloques
en función de si vemos el modelo de forma estática (estructural) o de forma dinámica
(comportamiento). La primera incluye los diagramas de despliegue, componentes, clases y objetos,
mientras que la segunda incluye los diagramas de estados, actividades, secuencia, colaboración y
casos de uso.
28 Diagrama de casos de uso. Un caso de uso es una secuencia de acciones realizadas por el
sistema, que producen un resultado observable y valioso para un usuario en particular, es decir,
representa el comportamiento del sistema con el fin de dar respuestas a los usuarios. La
especificación de un caso de uso recoge una descripción general. Esta descripción reflejará uno
o varios requisitos funcionales del sistema o formará parte de un requisito. Se pueden indicar
pre y post condiciones o enumerar los diferentes escenarios del caso de uso. Los escenarios son
los distintos caminos por los que puede evolucionar un caso de uso, dependiendo de las
condiciones que se van dando en su realización. Los diagramas están formados por dos
elementos: actores, que es algo o alguien que se encuentra fuera del sistema y que interactúa
con él, y casos de uso, que representa el comportamiento que ofrece el sistema de información
desde el punto de vista del usuario. Opcionalmente se podrían incluir paquetes que agruparían
partes del sistema. Entre estos elementos se pueden dar tres tipos de relaciones: comunica (es
la relación entre un actor y un caso de uso, que denota la participación del actor en dicho caso
de uso), usa (relación de dependencia entre dos casos de uso que denota la inclusión del
comportamiento de un escenario en otro. Se usa cuando se quiere reflejar un comportamiento
común en varios casos de uso) y extiende (relación de dependencia entre dos casos de uso en el
que uno es una especialización del otro).
29 Diagrama de clases: Representa los aspectos estáticos del sistema, utilizando diversos
mecanismos de abstracción (clasificación, generalización, agregación). Recoge las clases de
objetos y sus asociaciones. En este diagrama se representa la estructura y el comportamiento de
cada uno de los objetos del sistema y sus relaciones con los demás objetos. El modelo está
formado por: clases (se representa como una caja dividida en tres zonas. En la zona superior se
pone el nombre de la clase, en el centro se colocan los atributos (características) de la clase y en
la zona inferior se incluye una lista con las operaciones que proporciona la clase), relaciones
(asociaciones, agregaciones, composiciones, dependencias o herencia. Se pueden documentar
con descripción del propósito, multiplicidad, navegabilidad o rol de cada una de las clases en la
relación), interfaces y paquetes.

30 Diagrama de objetos: Modelan las instancias de elementos contenidos en los diagramas de

clases. Muestra un conjunto de objetos y sus relaciones en un momento concreto. La
representación gráfica de un objeto en UML es igual que la de una clase pero con el nombre
subrayado. Para mostrar el estado de un objeto, se indica el valor de sus atributos y objetos
agregados.
31 Diagramas de Interacción. Se utilizan para modelar los aspectos dinámicos del sistema. La
funcionalidad de los casos de uso se resume en escenarios que se especifican mediante
diagramas de interacción. Existen dos tipos de diagramas de interacción: secuencia y
colaboración. Ambos son equivalentes. La diferencia entre ellos está en los aspectos que
resaltan. Los diagramas de secuencia destacan el orden temporal de los mensajes, mientras que
los diagramas de colaboración destacan la organización estructural de los objetos.
31.1 Diagramas de secuencia: Muestran las interacciones entre objetos ordenadas en
secuencia temporal. Muestra los objetos que se encuentran en el escenario y la secuencia de
mensajes intercambiados entre ellos para llevar a cabo la funcionalidad descrita por el
escenario.

31.2 Diagramas de colaboración: Es una forma alternativa al diagrama de secuencia para

mostrar un escenario. Muestra la misma información pero de forma diferente. En los diagramas
de colaboración no existe una secuencia temporal. Este diagrama resalta la organización
estructural de los objetos que envían y reciben los mensajes. Este tipo de diagrama muestra un
conjunto de objetos, enlaces entre ellos y los mensajes que intercambian.

32 Diagramas de estados: Representan los estados que puede tomar un componente o un sistema y
muestra los eventos que implican el cambio de un estado a otro. Los dos elementos principales
en estos diagramas son los estados (representa algún comportamiento que es observable
externamente y que perdura durante un periodo de tiempo finito. Viene dado por el valor de uno
 o varios atributos que lo caracterizan en un momento dado) y las posibles transiciones entre
ellos. Una transición es un cambio de estado producido por un evento y refleja los posibles
caminos para llegar a un estado final desde un estado inicial. Un sistema sólo puede tener un
estado inicial, que representa el punto de partida. El estado final representa que un
componente ha dejado de tener cualquier interacción o actividad. Puede haber varios estados
finales en un diagrama.

Otros dos elementos que ayudan a clarificar estos diagramas son las acciones y las actividades. Una acción es una
operación instantánea asociada a un evento, cuya duración se considera no significativa y que se puede ejecutar: dentro
de un estado, al entrar en un estado o al salir del mismo. Una actividad es una operación asociada a un estado que se
ejecuta durante un intervalo de tiempo hasta que se produce el cambio a otro estado.

33 Diagrama de actividades. Puede considerarse un caso especial del diagrama de estados en el

cual casi todos los estados son estados acción (identifican una acción que se ejecuta al entrar en
él) y casi todas las transiciones evolucionan al término de dicha acción. Se suelen utilizar para
modelar los pasos de un algoritmo. Las decisiones se representan mediante un rombo del que
salen múltiples transiciones, donde cada camino tiene una etiqueta distinta.

Establecer pedido

[pedido único]
Cargar tarjeta de crédito
[suscripción]

Cargar a la cuenta

34 Diagramas de implementación. Un diagrama de implementación muestra las dependencias

entre las partes de código del sistema (diagrama de componentes) o la estructura del sistema en
ejecución (diagrama de despliegue). Los diagramas de componentes se utilizan para modelar la
vista de implementación estática de un sistema, mientras que los diagramas de despliegue se
utilizan para modelar la vista de despliegue estática.
o Diagrama de componentes: Muestra las organizaciones y dependencias lógicas
entre componentes software, sean éstos componentes de código fuente, binarios,
documentos, archivos o ejecutables. Los diagramas de componentes pueden contener
paquetes para organizar los elementos.

o Diagrama de despliegue. Muestra las relaciones físicas entre los componentes

hardware y software en el sistema final, es decir, la configuración de los elementos de
procesamiento en tiempo de ejecución y los componentes software (proceso y objetos
que se ejecutan en ellos). Cubre principalmente la distribución, entrega e instalación de
las partes que configuran el sistema físico, y se suelen utilizar para modelar sistemas
empotrados, sistemas cliente-servidor y sistemas distribuidos.

terminal

servidor unidad
RAID

consola
Tema 37. Técnicas de programación. Programación Estructurada. Programación orientada a
objetos. Ingeniería inversa y reingeniería.

37.1 Técnicas de programación

Un lenguaje de programación es un lenguaje artificial diseñado para representar expresiones e

instrucciones de forma que las entienda un ordenador. Se llama programa al conjunto de
instrucciones escritas en un lenguaje de programación, destinadas a realizar una tarea. De forma
general tomará unos datos de entrada y devolverá unos datos de salida.

La creación de programas debe tener la flexibilidad suficiente para ser modificables en el momento
en que se requiera. Entendemos pues la programación como la planificación, proyección,
desarrollo e implementación de la resolución de un problema.

En sus inicios la programación no seguía ninguna metodología, y teníamos cientos o miles de líneas
de código, hechas por un programador, y que solo él se atrevía a tocar. Las modificaciones en el
programa suponían un coste importante ya que había que revisar el código casi línea a línea para
buscar donde hacer las modificaciones. Además, estos cambios no dejaban de ser un riesgo
importante debido a los posibles efectos colaterales. Esto acabó en lo que se denominó crisis del
software. Para tratar de dar respuesta a la crisis del software, en los años 60 surgieron técnicas de
programación como la programación modular y la programación estructurada. Ambas técnicas
parten de la idea del diseño descendente (también llamado refinamiento sucesivo), que consiste en
dividir un problema complejo en varios problemas menores, más sencillos de resolver. Inicia
planteando el problema y su solución a un nivel alto, superior, y luego se sigue descomponiendo el
problema general en otros problemas más sencillos de resolver. Este proceso continúa hasta que
llegamos a pequeños problemas, fácilmente implementables en código llamadas módulos. Un
módulo es un conjunto de acciones (un bloque del código del algoritmo total) junto a un conjunto
de especificaciones de datos para realizar una tarea específica. Cuando se utiliza esta técnica, la
solución queda dividida en varias partes: un algoritmo principal y uno o varios subalgoritmos (los
módulos). La ejecución se inicia en el algoritmo principal y desde este se invoca a los módulos.

La programación orientada a objetos no supone una ruptura radical frente al paradigma de la

programación estructurada / imperativa predominante hasta su aparición, sino que supone una
evolución. Frente a la programación estructurada, cuyos programas separan datos y estructuras de
datos de funciones y procedimientos, la programación orientada a objetos encapsula en una misma
abstracción estos dos elementos clásicos de los sistemas de información: datos y los procesos. Esto
lo hace a través de una nueva abstracción: el objeto. Los objetos tratan de abstraer características
comunes que podrán compartirse entre varias aplicaciones y reutilizarse todo lo posible. La creación
de un nuevo sistema consiste esencialmente en una labor de ensamblado de objetos preexistentes,
completada con el desarrollo de un porcentaje reducido de nuevos objetos.

El paradigma de ensamblar componentes y escribir código para hacer que estos componentes
funcionen se conoce como Desarrollo de Software Basado en Componentes. Un componente es
una pieza de código preelaborado que encapsula alguna funcionalidad expuesta a través de
interfaces estándar.

Por último, la programación orientada a aspectos surge para resolver el problema de la

"dispersión de código" existente en la programación orientada a objetos para aquellos aspectos de
un programa que no tienen que ver directamente con el dominio de negocio del problema: gestión
de conexiones, logs, trazas de mensajes, sincronización y concurrencia, manejo de errores y
excepciones, etc. Esta metodología de programación intenta separar los componentes y los aspectos
unos de otros, proporcionando mecanismos que hagan posible abstraerlos y componerlos para
formar todo el sistema.

37.1.1 Clasificación y evolución de los lenguajes de programación

Para explicar la evolución de los lenguajes de programación hablamos de generaciones:

49. Primera generación. Lenguaje máquina. Los programas están hechos de secuencias
de unos y ceros que el computador es capaz de interpretar.
50. Segunda generación. Ensamblador. Se usan nemotécnicos que sustituyen los unos y
ceros. Siguen siendo dependientes de la máquina.
51. Tercera generación. Lenguajes de alto nivel. Lenguajes estructurados con comandos
cercanos al lenguaje natural. Fueron creados para facilitar el proceso de programación.

52. Cuarta generación: Nacen los lenguajes 4G. Son lenguajes de propósito especial,
orientados a resolver problemas específicos. Se caracterizan por tener una mayor facilidad de uso
comparado con los de tercera generación, permitiendo la creación de prototipos rápidamente. Generan el
código fuente automáticamente a través de asistentes, plantillas, etc

53. Quinta generación: Lenguajes Naturales. Son lenguajes orientados a la inteligencia

artificial y los sistemas expertos. Están aún en desarrollo.

Los lenguajes de programación se pueden clasificar según muchos criterios:

• Según el nivel de abstracción:
o Lenguajes máquina y de bajo nivel: lenguajes completamente dependientes de
la máquina.
o Lenguajes de medio nivel: aquí se encontraría el lenguaje C.
 o Lenguajes de alto nivel: son independientes de la arquitectura de la máquina.
• Según la forma de ejecución
o Compilados: una vez escrito el programa, éste se traduce a partir de su código
fuente por medio de un compilador en un archivo ejecutable para una
determinada plataforma. Ejemplos: C, C++, Pascal, Kilix, Delphi, …
o Interpretados: necesitan de un intérprete para ejecutar el código escrito en los
programas. Las instrucciones se traducen o interpretan una a una en tiempo de
ejecución a un lenguaje intermedio o lenguaje máquina. En la ejecución de un
lenguaje interpretado se van leyendo las líneas del código fuente y traduciéndolas
a medida que va siendo necesario. Ejemplos: Java, JavaScript, PHP, lenguajes
de .NET,…
• Según el paradigma de programación . Con esto nos referimos al enfoque a la hora de
afrontar el problema que tratamos de programar.
o Imperativos: Aparece el concepto de algoritmo, el CÓMO conseguir el objetivo .se
fundamentan en la utilización de variables para almacenar valores y en la
realización de instrucciones para operar con los datos almacenados. Podemos
clasificarlos en:
 Procedurales o procedimentales: agrupan código en subprogramas que
pueden llamarse desde distintos puntos del programa. Ej. C, Pascal,
Fortran, Basic, etc.
 Orientados a objetos: ven el programa como una colección de objetos
que interactúan los unos con los otros a través de mensajes. Ej. Smalltalk,
C++, Java, C#, Visual Basic.NET, Eiffel, etc. Muchos autores proponen el
paradigma orientado a objetos como paradigma propio, evolución del
paradigma imperativo.
o Declarativos: se declara o se describe las propiedades o características del
problema, dejando que la solución la encuentre la máquina. Tenemos tres tipos:
 Funcional o aplicativo: Todas las construcciones son funciones
matemáticas. Ej. Haskell, LISP, CAML, etc.
 Lógico: Se basa en la definición de reglas lógicas para luego interrogar al
sistema y resolver problemas. Ej. Prolog
 Algebraicos o Relacionales: SQL, que es el lenguaje utilizado para
interrogar BBDD relacionales.
Hay que decir que algunos lenguajes son multiparadigma. Por ejemplo el C++

37.2 Programación Estructurada.

La programación estructurada es un concepto que surge como repuesta a la crisis del software de los
años 60. Fue desarrollada por Edsgar W. Dijkstra y se basa en el denominado Teorema de la
Estructura. Edsgar Dijkstra definió a la programación estructurada como aquella que utiliza
recursos abstractos, se basa en el diseño descendente y respeta un conjunto de estructuras básicas
llamadas Estructuras de Control: Estructura secuencial, estructuras selectivas y estructuras
repetitivas.

37.2.1 Recursos abstractos

Según Dijkstra, escribir un programa en términos de recursos abstractos consiste en

descomponer las acciones complejas en acciones simples, capaces de ser ejecutadas por una
máquina. Esto significa que es posible escribir programas complejos utilizando un conjunto
limitado de instrucciones muy simples.

37.2.2 Diseño Descendente

El diseño descendente consiste en comprender el problema a solucionar y luego

descomponerlo en un conjunto de problemas menores. Cuando se usa esta técnica, primero se
plantea la solución de forma general para luego pasar a los detalles particulares. Esto se realiza en
varios pasos llamados refinamientos. Pueden existir varios niveles de refinamiento hasta llegar a los
detalles de implementación de la solución (subalgoritmos independientes llamados módulos).

La programación estructurada hace pues uso de la programación modular. Un módulo es

un conjunto de acciones que realiza una tarea específica. Cuando se utiliza esta técnica, toda la
solución (el algoritmo) queda dividida en varias partes: un algoritmo principal y uno o varios
subalgoritmos (los módulos). La ejecución se inicia en el algoritmo principal y desde este se invoca
a los módulos.

37.2.3 Estructuras básicas

Bohm y Jacopini demostraron que es posible resolver problemas escribiendo programas

denominados propios. Un programa se define como propio si cumple con:

 tiene un solo punto de entrada y uno solo de salida (inicio y fin),

 todas las acciones del algoritmo son accesibles, es decir, para cada acción existe un
conjunto de datos que hará que ésta sea accesible desde el inicio y además se podrá
llegar al fin.
  no posee lazos o bucles infinitos.

Pues bien, el teorema de la estructura establece que cualquier programa propio puede ser escrito
utilizando solamente las siguientes estructuras lógicas de control:

- Estructura Secuencial: una acción se escribe y ejecuta a continuación de otra.

29. Estructura selectiva: Se caracteriza porque existen dos o más secuencias alternativas de
acciones en el programa. La selección de una u otra se realiza de acuerdo a una condición.
30. Estructura repetitiva o bucle: Se caracteriza porque existe un conjunto de acciones cuya
ejecución se debe repetir un determinado número de veces llamado bucle (o lazo). todo
bucle deberá poseer un controlador (un contador o un centinela), una decisión (una con-
dición para decidir la repetición o la salida del bucle) y un cuerpo (conjunto de acciones que
se repiten). Un contador es una variable numérica entera cuyo contenido se incrementa o
decrementa sucesivamente con un valor constante. En un proceso de introducción de datos,
el centinela es el valor cuya lectura como dato, indica la finalización del bucle.

37.3 Programación orientada a objetos

La programación orientada a objetos es lo que se conoce como un paradigma o modelo de

programación. La construcción de software orientado a objetos es el método de desarrollo de
software que basa la arquitectura de cualquier sistema software en módulos deducidos de los tipos
de objetos que manipula. Los desarrolladores analizarán los tipos de los objetos del sistema. El
diseño irá pasando por las sucesivas mejoras de su comprensión de estas clases de objetos. Así, un
sistema se concibe como un conjunto de objetos, pertenecientes a alguna clase, que se comunican
entre sí mediante mensajes.

Un objeto se describe por sus propiedades, también llamadas atributos (definen la estructura del
objeto), y por los servicios (métodos u operaciones) que puede proporcionar (comportamiento del
objeto). El estado de un objeto viene determinado por los valores que toman sus atributos. Además,
todo objeto es una instancia de alguna clase. Una clase es una abstracción de las propiedades
comunes y comportamiento de un conjunto de objetos. El conjunto de atributos y métodos de una
clase reciben también el nombre de miembros de esa clase.

El comportamiento de un objeto viene determinado por el conjunto de métodos que éste

proporciona. Nos referiremos indistintamente a ellos como métodos, servicios u operaciones. Un
método está formado por un conjunto de sentencias (acciones) que deben llevarse a cabo para hacer
efectivo un comportamiento de un objeto. Un objeto proporciona un conjunto de métodos que
pueden utilizarse desde otros objetos. Dicho conjunto de métodos constituye lo que se denomina
interfaz del objeto. Así, un mensaje se puede definir como una petición a un objeto para la
obtención de algún comportamiento deseado del mismo.

Se dice que la información acerca de un objeto está encapsulada por su comportamiento. Al

encapsular u ocultar información se separan los aspectos externos de un objeto (los accesibles para
todos) de los detalles de implementación (los accesibles para nadie).

Una de las propiedades más características de la orientación a objetos es la herencia, que es la

capacidad de crear nuevas clases (subclases) a partir de otra clase ya existente, especificando
únicamente las diferencias con la clase padre. Los interfaces especifican (no implementan)
conjuntos de métodos y atributos para que las clases los implementen. Una clase que implementa
un interfaz está obligada a tener una implementación para cada método definido en el interfaz.

Es útil introducir clases a cierto nivel que pueden no existir en realidad, pero que permiten actuar
como un depósito de métodos y atributos compartidos para las subclases de nivel inferior. Estas
clases se denominan clases abstractas, y no pueden tener ninguna instancia. Los atributos de
objeto son aquellos que almacenan un valor para cada objeto de la clase. Los atributos de clase son
aquellos que almacenan un valor accesible para todos los objetos de la clase. Los métodos de objeto
son aquellos que acceden al estado de un objeto concreto, mientras que los métodos de clases no
necesitan acceder a ningún atributo de ningún objeto. Los miembros (atributos y métodos) de clase
también son llamados estáticos o compartidos.

Un constructor es un método especial que se ejecuta automáticamente cuando se crea el objeto. Su

propósito es inicializar el objeto. Un destructor es un método especial que suele liberar la memoria
y otros recursos cuando un objeto deja de ser usado. El polimorfismo se refiere a dos aspectos
diferentes: por un lado la sobrecarga de métodos y operadores (métodos polimórficos) y por otro
lado, la ligadura dinámica. El primero es la capacidad de tener distintos métodos en la misma clase
con el mismo nombre, aunque con distinta firma (número de argumentos, tipos de los argumentos,
orden. La ligadura dinámica, se refiere a que cuando se envía un mensaje a un objeto, el código que
se llama no se determina hasta el momento de la ejecución. Está relacionada con la herencia.

37.4 Ingeniería inversa y reingeniería

La Ingeniería Inversa se ocupa de estudiar un sistema de información en el orden inverso

establecido en el ciclo de vida habitual; esto es, partiendo del código fuente, se trata de identificar
los componentes del sistema y las relaciones existentes entre ellos. Consiste principalmente en
recuperar el diseño de una aplicación a partir del código. El objetivo primordial es proporcionar una
base para el mantenimiento y futuros desarrollos. Su resultado varía fuertemente en función de los
siguientes elementos:
35 El nivel de abstracción: el proceso de ingeniería inversa deberá ser capaz de derivar sus
representaciones de diseño de procedimientos (con un bajo nivel de abstracción); y la
información de las estructuras de datos y de programas (un nivel de abstracción ligeramente
más elevado); modelos de flujo de datos y de control (un nivel de abstracción relativamente
alto); y modelos de entidades y de relaciones (un elevado nivel de abstracción). A medida que
crece el nivel de abstracción se proporciona al ingeniero del software información que le
permitirá comprender más fácilmente estos programas.
36 La completitud del proceso. La completitud de un proceso de ingeniería inversa alude al nivel
de detalle que se proporciona en un determinado nivel de abstracción. En la mayoría de los
casos, la completitud decrece a medida que aumenta el nivel de abstracción. Por ejemplo, dado
un listado del código fuente, es relativamente sencillo desarrollar una representación de diseño
de procedimientos completa, pero es mucho más difícil desarrollar un conjunto completo de
diagramas de flujo de datos o un diagrama de transición de estados.
37 La interactividad del proceso. En la mayoría de los casos, a medida que crece el nivel de
abstracción, la interactividad deberá incrementarse, o sino la completitud se verá reducida.
38 La direccionalidad del proceso. Si la direccionalidad del proceso de ingeniería inversa es
monodireccional, toda la información extraída del código fuente se proporcionará a la
ingeniería del software que podrá entonces utilizarla durante la actividad de mantenimiento. Si
la direccionalidad es bidireccional, entonces la información se suministrará a una herramienta
de reingeniería que intentará reestructurar o regenerar el viejo programa.

Tenemos las siguientes técnicas relacionadas con la ingeniería inversa:

39 Redocumentación: es la producción de una representación semántica de un sistema a cualquier
nivel de abstracción que se requiera. Las herramientas usadas parten del código fuente
existente, para producir diagramas de flujo de datos, modelos de datos, etc.
40 Reestructuración: La transformación desde una forma de representación a otra en el mismo
nivel de abstracción, preservando las características externas del sistema (funcionalidad y
semántica). La reestructuración del software modifica el código fuente y/o los datos en un
intento de adecuarlo a futuros cambios. Si el esfuerzo de la reestructuración se extiende más
allá de los límites de los módulos y abarca la arquitectura del software, la reestructuración pasa
a ser ingeniería directa (forward engineering).
41 Reingeniería: La reingeniería parte de los resultados obtenidos en la ingeniería inversa para
reconstruir el sistema mediante ingeniería hacia adelante. La Reingeniería no sólo recupera la
 información de diseño de un software existente, sino que usa ésta para alterar o reconstruir el
sistema existente, en un esfuerzo por mejorar la calidad general.

La reingeniería que requiere conocimientos a bajos niveles de abstracción (código fuente) se llama
Ingeniería Inversa o Modernización de Caja Blanca y aquella que sólo requiere el conocimiento
de las interfaces del sistema se llama Reingeniería propiamente dicha o Modernización de Caja
Negra.

En base al conocimiento del sistema, los datos, las funcionalidades y las interfases, se desarrollan nuevas técnicas de
reingeniería no basadas en el conocimiento del código sino en el examen del comportamiento de las entradas y salidas
del sistema, desarrollando nuevos patrones de reingeniería y sentando las bases de la reingeniería basada en wrapping.
Idealmente, wrapping es una reingeniería en las que sólo se analizan las interfases (las entradas y salidas) del sistema
existente ignorando los detalles internos. Esta solución no es aplicable siempre y a veces requiere el concurso de la
ingeniería inversa para el conocimiento interno del sistema.

Veremos distintos modelos de reingeniería:

37.4.1 Modelo Cíclico

El modelo cíclico, debido a Pressman, concibe la reingeniería como un proceso compuesto por seis
actividades las cuales se producen, generalmente, de forma secuencial y lineal.
42 Análisis de inventario.
43 Reestructuración de documentos. crear la documentación, o actualizar la existente o hacerla
nueva por completo.
44 Ingeniería Inversa. análisis de un programa con el fin de crear una representación de programa
con un nivel de abstracción más elevado que el código fuente.
45 Reestructuración del código.
46 Reestructuración de datos.. A diferencia de la reestructuración de código, que se produce en
un nivel relativamente bajo de abstracción, la estructuración de datos es una actividad de
reingeniería a gran escala.
47 Ingeniería directa (foward engineering). La ingeniería directa no solamente recupera la
información de diseño de un software ya existente, sino que, además, utiliza esta información
en un esfuerzo por mejorar su calidad global.

37.4.2 El modelo de herradura

El modelo de herradura se fundamenta en considerar tres niveles de abstracción en todo sistema

(representación de la estructura de código, nivel funcional y nivel conceptual) y que la reingeniería
está formada por tres procesos básicos:
48 Análisis de un sistema existente: sube el extremo izquierdo de la herradura, y recupera la
arquitectura por medio de la extracción de artefactos desde el código fuente.
49 Transformación lógica: cruza la parte superior y es la transformación de arquitectura. La
arquitectura antes construida es recuperada y se reingenieriza para hacer la nueva arquitectura
deseable
50 Desarrollo de un nuevo sistema: baja por el extremo derecho de la herradura, y construye la
nueva arquitectura deseable.

37.4.3 El modelo del IEEE

Este modelo se basa en considerar tres niveles de abstracción en todo sistema, el nivel requisitos, el
nivel diseño y el nivel implementación, y en fijar una terminología. Los conceptos que define el
IEEE son los siguientes:
51 Ingeniería Inversa (Reverse Engineering): es el proceso de analizar un sistema para
identificar los componentes y las interrelaciones entre ellos, creando representaciones del
sistema en otra forma distinta a la original o bien a un nivel superior de abstracción.
52 Reingeniería (Reegineering): es el examen y modificación de un sistema para ser reconstruido
de una forma nueva y además realizar la implantación derivada de esa nueva forma. La
Reingeniería normalmente incluye alguna forma de Ingeniería Inversa y va seguida de alguna
forma de Ingeniería «hacia adelante» o también de una Reestructuración.
53 Reestructuración (Reestructuring): es la transformación de una forma de representación del
sistema en otra distinta, pero del mismo nivel de abstracción, sin modificar el comportamiento
externo del sistema.
54 Ingeniería Hacia Adelante (Forward Engineering): es el proceso que va desde un alto nivel
de abstracción, que es independiente de la implementación concreta, hasta la propia
implementación física del sistema.

55 Reingeniería de Empresas (Business Process Reengineering): es la aplicación del concepto

de Reingeniería al campo económico.

37.4.4 El metodo Análisis de Opciones para Reingeniería ("Options Analysis for Reingeneering"
(OAR))

Es un método sistemático para la identificación y extracción de componentes dentro de grandes y

complejos sistemas de software. OAR identifica componentes de arquitectura potencialmente
relevantes y analiza los cambios requeridos para usarlos en una línea de producción de software o
nuevas arquitecturas de software. En esencia, OAR proporciona un conjunto de opciones de
extracción junto con estimación de costos, esfuerzo y riesgos asociados con estas opciones. El
método OAR consiste en cinco actividades principales:
56 Establecimiento del contexto de extracción
57 Inventario De Componentes: Esta actividad resulta en un inventario de los componentes
heredados candidatos.
58 Análisis de componentes candidatos
59 Plan de opciones de extracción: el equipo desarrollará alternativas para la extracción basada
en consideraciones de calendario, costo, esfuerzo, riesgo y recursos.
60 Selección de opciones de extracción: Finalmente, los miembros del equipo seleccionan la
mejor opción de extracción o combinación de opciones.
Tema 38: Métodos de prueba del software. Fundamentos. Caja negra y caja blanca.
Estrategias de prueba del software.

38.1 Fundamentos de las pruebas del software

La prueba del software es un elemento de un tema más amplio que, a menudo, es conocido como
verificación y validación (V&V). La verificación se refiere al conjunto de actividades que aseguran
que el software implementa correctamente una función específica. La validación se refiere a un
conjunto diferente de actividades que aseguran que el software construido se ajusta a los requisitos
del cliente.
28. Verificación: «¿Estamos construyendo el producto correctamente?>>
29. Validación: « ¿Estamos construyendo el producto correcto?»

La prueba es el proceso de ejecución de un programa con la intención de descubrir errores. El

proceso de pruebas del software tiene dos objetivos distintos:
- Para demostrar al desarrollador y al cliente que el software satisface sus requerimientos.
- Para descubrir errores en el software.

Algunos de los principios que les afectan son:

• La prueba es el proceso de ejecutar un programa con la intención de descubrir errores, por lo
que un buen caso de prueba es aquel que tiene una alta probabilidad de descubrir un error no
encontrado hasta entonces.
• Las pruebas deben planificarse antes de que se empiece a codificar.
• El 80% de los errores estarán localizados en el 20% de los módulos.
• La prueba completa es imposible.
• Para ser más eficaces, las pruebas deberían ser hechas por un equipo independiente.
• La probabilidad de la existencia de más errores en una parte del software es proporcional al
número de errores ya encontrados en dicha parte.

38.2 Pruebas de Caja Negra y Caja Blanca.

38.2.1 Pruebas de caja blanca

El enfoque de la estrategia de pruebas conocido por el nombre de método de «caja blanca» o,

también, «conducido por la lógica» o «logic driven», se centra en probar el comportamiento
interno y la estructura del programa, examinando la lógica interna del mismo y sin considerar los
aspectos de rendimiento. El objetivo de este enfoque es ejecutar, al menos una vez, todas las
sentencias y ejecutar todas las condiciones tanto en su vertiente verdadera como falsa, teniendo en
cuenta que la única información de entrada con que se cuenta es el diseño del programa y el código
fuente.

38.2.1.1. Prueba del camino básico

Fué propuesta inicialmente por Tom McCabe. Utiliza una convención de representación
denominada «grafos de flujo» para la determinación de caminos y para ello se apoya en el concepto
de «complejidad ciclomática» propuesto por Tom McCabe.

La notación de «grafo de flujo», propuesta por McCabe se utiliza para simplificar el desarrollo del
conjunto básico de caminos de ejecución. Utiliza tres elementos:
• Nodos o tareas de procesamiento (N). Representan cero, una o varias sentencias
procedimentales. Cada nodo comprende como máximo una sentencia de decisión
(bifurcación). Cada nodo que contiene una condición se denomina nodo predicado y está
caracterizado porque dos o más aristas emergen de el.
• Aristas, flujo de control o conexiones (A). Unen dos nodos, incluso aunque el nodo no
represente ninguna sentencia procedimental.
• Regiones (R). Son las áreas delimitadas por las aristas y nodos. Cuando se contabilizan las
regiones debe incluirse el área externa como una región más.

La complejidad ciclomática es una métrica del software basada en la teoría de grafos, que
proporciona una medición cuantitativa de la complejidad lógica de un programa. El valor calculado
como complejidad ciclomática define el número de caminos independientes del conjunto básico de
un programa y nos da un límite superior para el número de pruebas que se deben realizar para
asegurar que se ejecuta cada sentencia al menos una vez. Un camino independiente es cualquier
camino del programa que introduce, por lo menos, un nuevo conjunto de sentencias de proceso o
una nueva condición. En términos del grafo de flujo, un camino independiente está constituido por
lo menos por una arista que no haya sido recorrida anteriormente a la definición del camino. El
valor de la complejidad se puede obtener de tres formas:
18. El número de regiones del grafo. (R)
19. El número de aristas menos el número de nodos + 2. (A – N + 2.)
20. Número de nodos predicado + 1. (P + 1)

38.2.1.2 Pruebas de la estructura de control

38.2.1.2.1 Prueba de condición.

Es un método de diseño de casos de prueba que ejercita las condiciones lógicas contenidas en el
módulo de un programa.

38.2.1.2.2 Prueba del flujo de datos.

Selecciona caminos de prueba de un programa de acuerdo con la ubicación de las definiciones y los
usos de las variables del programa.

38.2.1.2.3. Prueba de bucles

La prueba de bucles es una técnica de prueba de caja blanca que se centra exclusivamente en la
validez de las construcciones de bucles. Se pueden definir cuatro clases diferentes de bucles:

 Bucles simples. A los bucles simples se les debe aplicar el siguiente conjunto de pruebas,
donde n es el número máximo de pasos permitidos por el bucle:
u. pasar por alto totalmente el bucle
v. pasar una sola vez por el bucle
w. pasar dos veces por el bucle
x. hacer m pasos por el bucle con m < n
y. hacer n - 1, n y n+l pasos por el bucle

 Bucles anidados. Se sugiere el siguiente enfoque:

o Comenzar por el bucle más interior. Establecer o configurar los demás bucles con sus
valores mínimos.
o Llevar a cabo las pruebas de bucles simples para el bucle más interior, mientras se
mantienen los parámetros de iteración (por ejemplo, contador del bucle) de los
bucles externos en sus valores mínimos.
o Progresar hacia fuera, llevando a cabo pruebas para el siguiente bucle, pero
manteniendo todos los bucles externos en sus valores mínimos y los demás bucles
anidados en sus valores «típicos».
o Continuar hasta que se hayan probado todos los bucles.

 Bucles concatenados. Los bucles concatenados se pueden probar mediante el enfoque

anteriormente definido para los bucles simples, mientras cada uno de los bucles sea
independiente del resto. Cuando los bucles no son independientes, se recomienda usar el
enfoque aplicado para los bucles anidados.
  Bucles no estructurados. En este caso es más práctico rediseñar el módulo a probar de
forma que se codifique mediante bucles estructurados.

38.2.2 Pruebas de caja negra.

El enfoque de la estrategia de pruebas conocido por el nombre de método de «caja negra» o,

también, «conducido por los datos» («data driven») o «conducido por la entrada/salida»
(«input-output driven»), o también pruebas de comportamiento, no considera el detalle
procedimental de los programas y se centra en buscar situaciones donde el programa no se ajusta a
su especificación, utilizando ésta como entrada para derivar los casos de prueba. Diseñaremos los
casos de prueba a partir de las especificaciones funcionales.

La atención se centra, pues, en los datos de entrada y salida ignorando intencionadamente el

conocimiento del código del programa. Dado que no se pueden probar todos los casos posibles, el
método de «caja negra» contempla una serie de técnicas encaminadas a simplificar los casos de
prueba. Éstas son:

38.2.2.1 Partición equivalente.

La partición equivalente es un método de prueba de caja negra que divide el campo de entrada de
un programa en clases de datos de los que se pueden derivar casos de prueba. El diseño de casos de
prueba para la partición equivalente se basa en una evaluación de las clases de equivalencia para
una condición de entrada. Una clase de equivalencia representa un conjunto de estados válidos o
no válidos para condiciones de entrada.

38.2.2.2 Análisis de valores límite.

El análisis de valores límite es una técnica de diseño de casos de prueba que complementa a la
partición de equivalencia y se justifica en la constatación de que para una condición de entrada que
admite un rango de valores, es más fácil que existan errores en los límites que en el centro. Por
tanto, la diferencia entre esta técnica y la partición de equivalencia estriba en que en el análisis de
valores límite no se selecciona un elemento representativo de la clase de equivalencia, sino que se
seleccionan uno o más elementos de manera que los límites de cada clase de equivalencia son
objeto de prueba. Otra diferencia es que con esta técnica también se derivan casos de prueba para
las condiciones de salida.

38.2.2.3. Valores típicos de error y valores imposibles.

Consiste en incluir en los casos de prueba ciertos valores de los datos de entrada susceptibles de
causar problemas, esto es, valores típicos de error, y valores especificados como no posibles, es
decir, valores imposibles. La prueba de valores imposibles debe realizarse siempre que dichos
valores puedan ser detectados y el programa pueda manejarlos adecuadamente sin provocar errores
irreparables.

38.2.2.4 Métodos de prueba basados en grafos.

En este método: Se crea un grafo de objetos importantes y sus relaciones. Se diseña una serie de
pruebas que cubran el grafo de manera que se ejerciten todos los objetos y sus relaciones para
descubrir errores.

f) Modelado del flujo de transacción. Los nodos representan los pasos de alguna
transacción y los enlaces representan las conexiones lógicas entre los pasos.

g) Modelado de estado finito. Los nodos representan diferentes estados del software
observables por el usuario y los enlaces representan las transiciones que ocurren para
moverse de estado a estado.

h) Modelado de flujo de datos. Los nodos son objetos de datos y los enlaces son las
transformaciones que ocurren para convertir un objeto de datos en otro.

i) Modelado de planificación. Los nodos son objetos de programa y los enlaces son las
conexiones secuenciales entre esos objetos.

j) Gráfica Causa-efecto. Un gráfico de causa-efecto es un lenguaje formal al cual se

traduce una especificación.

38.2.2.5 Prueba de la tabla ortogonal

Se usa cuando el número de parámetros de entrada es pequeño y los valores de cada uno de los
parámetros están claramente delimitados.

38.2.2.6 Prueba de comparación.

Hay situaciones en las que la fiabilidad del software es algo absolutamente crítico. Cuando se
desarrolla software redundante, varios equipos de ingeniería del software separados desarrollan
versiones independientes de una aplicación, usando las mismas especificaciones. En esas
situaciones, se deben probar todas las versiones con los mismos datos de prueba, para asegurar que
todas proporcionan una salida idéntica. Luego, se ejecutan todas las versiones en paralelo y se hace
una comparación en tiempo real de los resultados, para garantizar la consistencia. Esas versiones
independientes son la base de una técnica de prueba de caja negra denominada prueba de
comparación o prueba mano a mano.

38.3 Estrategias de prueba del software.

Una estrategia de prueba del software integra las técnicas de diseño de casos de prueba en una serie
de pasos bien planificados que dan como resultado una correcta construcción del software. Todas
las estrategias tienen las siguientes características generales:
 Las pruebas comienzan a nivel de módulo y trabajan «hacia fuera», hacia la integración de
todo el sistema.
 Según el momento, son apropiadas diferentes técnicas de prueba.
 La prueba la lleva a cabo el responsable del desarrollo del software y (para grandes
proyectos) un grupo independiente de pruebas.

Una estrategia de prueba del software debe incluir pruebas de bajo nivel que verifiquen que todos
los pequeños segmentos de código fuente se han implementado correctamente, así como pruebas de
alto nivel que validen las principales funciones del sistema frente a los requisitos del cliente.

Inicialmente, la prueba se centra en cada módulo individualmente, asegurando que funcionan

adecuadamente como una unidad. De ahí el nombre de prueba de unidad. La prueba de unidad hace
un uso intensivo de las técnicas de prueba de caja blanca, ejercitando caminos específicos de la
estructura de control del módulo para asegurar un alcance completo y una detección máxima de
errores. A continuación, se deben ensamblar o integrar los módulos para formar el paquete de
software completo. La prueba de integración se dirige a todos los aspectos asociados con el doble
problema de verificación y de construcción del programa. Durante la integración, las técnicas que
más prevalecen son las de diseño de casos de prueba de caja negra, aunque se pueden llevar a cabo
algunas pruebas de caja blanca con el fin de asegurar que se cubren los principales caminos de
control. Después de que el software se ha integrado (construido), se dirigen un conjunto de pruebas
de alto nivel. Se debe comprobar que el software, al combinarlo con otros elementos del sistema
(por ejemplo, hardware, gente, bases de datos), cada elemento encaja de forma adecuada y que se
alcanza la funcionalidad y el rendimiento exigido. Esta es la base de la prueba de sistemas.
Posteriormente se asegurará mediante la prueba de implantación el funcionamiento correcto del
sistema integrado de hardware y software en el entorno de operación, y permitir al usuario que,
desde el punto de vista de operación, realice la aceptación del sistema una vez instalado en su
entorno real y en base al cumplimiento de los requisitos no funcionales especificados. La prueba de
aceptación proporciona una seguridad final de que el software satisface todos los requisitos
funcionales, de comportamiento y de rendimiento. Durante las últimas tres pruebas (sistemas,
implantación y aceptación) se usan exclusivamente técnicas de prueba de caja negra.

38.3.1 Pruebas de Unidad

Las pruebas unitarias tienen como objetivo verificar la funcionalidad y estructura de cada
componente individualmente una vez que ha sido codificado. Centra la atención inicialmente en las
unidades más pequeñas del programa. La prueba de una unidad facilita la tarea de eliminar errores
puesto que, cuando se encuentra un error, se sabe que existe en un módulo particular. Presentándose
la oportunidad de probar los múltiples módulos simultáneamente.

Se necesita dos tipos de información al diseñar los casos de prueba para una prueba de unidad: la
especificación para el módulo y el código fuente del módulo. La especificación define típicamente
los parámetros de entrada y de salida del módulo y su función. Las pruebas de unidad son en gran
parte orientadas a caja blanca.

38.3.2 Pruebas de integración

El objetivo de las pruebas de integración es verificar el correcto ensamblaje entre los distintos
componentes una vez que han sido probados unitariamente con el fin de comprobar que interactúan
correctamente a través de sus interfaces, tanto internas como externas, cubren la funcionalidad
establecida y se ajustan a los requisitos no funcionales especificados. Los tipos fundamentales de
integración son los siguientes:

- Integración incremental: se combina el siguiente componente que se debe probar con el

conjunto de componentes que ya están probados y se va incrementando progresivamente el
número de componentes a probar.

- Integración no incremental: se prueba cada componente por separado y posteriormente se

integran todos de una vez realizando las pruebas pertinentes. Este tipo de integración se
denomina también Big-Bang.

Dentro de la integración incremental, tenemos tres tipos de estrategias:

 Estrategia Descendente (top–down): El primer componente que se prueba es el primero de

la jerarquía. Los componentes de nivel más bajo se sustituyen por componentes auxiliares
llamados resguardos para simular a los componentes invocados. Luego se van sustituyendo
los resguardos subordinados por los componentes reales.
  Estrategia Ascendente (bottom-up): En este caso se crean primero los componentes de más
bajo nivel y se crean componentes conductores o controladores para simular a los
componentes que los llaman. A continuación se sustituyen los controladores por los módulos
desarrollados de más alto nivel y se prueban.

 Estrategia combinada: Se prueban las partes principales del sistema con un enfoque top-
down, mientras que las partes de nivel más bajo se prueban siguiendo un enfoque bottom-
up.

La prueba de regresión es volver a ejecutar un subconjunto de pruebas que se han llevado a cabo
anteriormente para asegurarse de que los cambios no han propagado efectos colaterales no
deseados.

38.3.3 Pruebas de sistema

Las pruebas del sistema verifican el funcionamiento correcto de las interfaces entre los distintos
subsistemas que lo componen y con el resto de sistemas de información con los que se comunica.
Pueden distinguirse los siguientes tipos:

i) Pruebas funcionales. Dirigidas a asegurar que el sistema de información realiza

correctamente todas las funciones que se han detallado en las especificaciones dadas por el
usuario del sistema.

j) Pruebas de comunicaciones. Determinan que las interfaces entre los componentes del
sistema funcionan adecuadamente.

k) Pruebas de rendimiento. Consisten en determinar que los tiempos de respuesta están

dentro de los intervalos establecidos en las especificaciones del sistema.

l) Pruebas de volumen. Consisten en examinar el funcionamiento del sistema cuando está

trabajando con grandes volúmenes de datos.

m) Pruebas de sobrecarga. Consisten en comprobar el funcionamiento del sistema en el

umbral límite de los recursos, sometiéndole a cargas masivas.

n) Pruebas de disponibilidad de datos

o) Pruebas de facilidad de uso.

p) Pruebas de operación.
 q) Pruebas de entorno. Consisten en verificar las interacciones del sistema con otros sistemas.

r) Pruebas de seguridad. Consisten en verificar los mecanismos de control de acceso al

sistema.

s) Pruebas de configuración. Cuando el número de configuraciones posibles es demasiado

grande para probar cada uno.

t) Pruebas de instalación.

u) Pruebas de documentación.

38.3.4 Prueba de implantación

El objetivo de las pruebas de implantación es comprobar el funcionamiento correcto del sistema

integrado de hardware y software en el entorno de operación, y permitir al usuario que, desde el
punto de vista de operación, realice la aceptación del sistema una vez instalado en su entorno real y
en base al cumplimiento de los requisitos no funcionales especificados.

Una vez que hayan sido realizadas las pruebas del sistema en el entorno de desarrollo, se llevan a
cabo las verificaciones necesarias para asegurar que el sistema funcionará correctamente en el
entorno de operación. Las verificaciones de las pruebas de implantación y las pruebas del sistema
tienen muchos puntos en común al compartir algunas de las fuentes para su diseño como pueden ser
los casos para probar el rendimiento (pruebas de sobrecarga o de stress).

El responsable de implantación junto al equipo de desarrollo determina las verificaciones necesarias

para realizar las pruebas así como los criterios de aceptación del sistema. Estas pruebas las realiza el
equipo de operación, integrado por los técnicos de sistemas y de operación que han recibido
previamente la formación necesaria para llevarlas a cabo.

38.3.6 Pruebas de aceptación

El objetivo de las pruebas de aceptación es validar que un sistema cumple con el funcionamiento
esperado y permitir al usuario de dicho sistema que determine su aceptación desde el punto de vista
de su funcionalidad y rendimiento.

Las pruebas de aceptación son definidas por el usuario del sistema y preparadas por el equipo de
desarrollo, aunque la ejecución y aprobación final corresponden al usuario. Estas pruebas van
dirigidas a comprobar que el sistema cumple los requisitos de funcionamiento esperado, recogidos
en el catálogo de requisitos y en los criterios de aceptación del sistema de información, y conseguir
así la aceptación final del sistema por parte del usuario. La validación del sistema se consigue
mediante la realización de pruebas de caja negra que demuestran la conformidad con los requisitos
y que se recogen en el plan de pruebas, el cual define las verificaciones a realizar y los casos de
prueba asociados.

Si el software se desarrolla como un producto que va a ser usado por muchos clientes, no es
práctico realizar pruebas de aceptación formales para cada uno de ellos. La mayoría de los
desarrolladores de productos de software llevan a cabo un proceso denominado prueba alfa y beta
para descubrir errores que parezca que sólo el usuario final puede descubrir.

La prueba alfa se lleva a cabo, por un cliente, en el lugar de desarrollo. Se usa el software de forma
natural con el desarrollador como observador del usuario y registrando los errores y los problemas
de uso. Las pruebas alfa se llevan a cabo en un entorno controlado.

La prueba beta se lleva a cabo por los usuarios finales del software en los lugares de trabajo de los
clientes. A diferencia de la prueba alfa, el desarrollador no está presente normalmente. Así, la
prueba beta es una aplicación «en vivo» del software en un entorno que no puede ser controlado por
el desarrollador. El cliente registra todos los problemas (reales o imaginarios) que encuentra durante
la prueba beta e informa a intervalos regulares al desarrollador.
Tema 39: Modelos de calidad. Ingeniería de procesos de software: CMMI, ISO 15504, ISO
9000-3. Modelos ágiles.

1. Introducción al concepto de calidad

La interpretación del término calidad ha venido cambiando progresivamente, desde el concepto

inicial de calidad aplicado al producto hasta llegar al actual de calidad aplicado a toda la
organización. Esta evolución ha ido pasando por las siguientes etapas:
 Orientada al producto: Inspección después de la producción, auditoría sobre productos
acabados y actividades de resolución de problemas. Es la fase inicial que algunas empresas
aún hoy no han superado.
 Orientada al proceso: Control de la Calidad durante la fabricación, incluyendo el Control
Estadístico del Proceso.
 Orientada al sistema: Aseguramiento de la Calidad, involucrando a todos los
departamentos y, en cierta manera, también a los proveedores.
 Orientada hacia la gestión: Gestión de la Calidad, enfocada al cliente, considerando la
participación del personal, basada en el desarrollo de los procesos y en la mejora continua.
 Orientada hacia la excelencia empresarial o hacia las personas: Corresponde a la llamada
Calidad Total, y apunta más allá de la calidad de los productos y de la eficiencia de los
procesos para fijarse en la organización en su globalidad.
La Gestión de la Calidad aparece definida por las normas UNE-EN ISO 9000:2000 como las
actividades coordinadas para dirigir y controlar una organización en lo relativo a la calidad
La calidad total (Total Quality Management, TQM) se podría conceptualizar como un conjunto de
principios y métodos en una estrategia global, para conseguir la dinamización de la organización y
la satisfacción del cliente

1.1 Calidad del software

Podríamos definir la calidad del software como la “creación de productos software que, tanto
eficaz como eficientemente, den completa satisfacción al usuario”. Esta definición merece algunos
comentarios:
 La calidad debe supeditarse al grado en el cual un cliente o usuario percibe que el software
cumple sus expectativas. Métricas de calidad.
 En la calidad intervienen los conceptos de eficiencia y de eficacia. Eficiencia es la
capacidad para hacer las cosas bien (“do things right”). Por ejemplo, los desarrolladores
realizan sus actividades correctamente, cometiendo pocos errores. Eficacia, o efectividad, es
 la capacidad para hacer las cosas adecuadas (“do the right things”). Por ejemplo, los
desarrolladores llevan a cabo las tareas adecuadas.
 La calidad tiene un enfoque dirigido a las características del producto.

Los principales problemas a los que nos enfrentamos a la hora de hablar de la calidad de un
producto software son:
 La definición misma de la calidad del software. ¿Es realmente posible encontrar un
conjunto de propiedades en un producto software que nos den una indicación de su calidad?
Para ello se definen los factores y los criterios de calidad.
 La comprobación de la calidad. ¿Cómo medir el grado de calidad de un producto software
en función de sus propiedades? Para ello se definen las métricas de calidad.
 La mejora de la calidad del software. ¿Cómo utilizar la información disponible sobre la
calidad del producto software para mejorar su calidad a lo largo del ciclo de vida de
desarrollo? Para ello se definen las actividades constructivas de la garantía de calidad del
software.

39.2 Modelos de calidad

Podríamos definir un modelo de calidad como el conjunto de herramientas que guían a las
Organizaciones a la Mejora Continua y la Competitividad dando las especificaciones de que tipo
de requisitos deben de implementar para poder brindar productos y servicios de alto nivel.

Cuando los estándares de calidad se orientaban sobre todo al control, en las organizaciones
dedicadas al software aparecen un grupo de modelos específicos con ese fin (modelos de calidad
tradicionales), como: el Modelo FCM (Factors /Criteria /Metrics) de McCall (1.977), el Modelo
de Boehm (1.978), el Marco ISO 9126 (ISO/IEC, 1991), el Paradigma GQM (Goal-Question-
Metric) de Basili y Rombach (1.988), el Modelo de Gilb (1.988), etc.

En los últimos años en que los estándares de calidad internacionales han evolucionado hacia el
aseguramiento de la calidad, primeramente, y hacia la calidad total, definitivamente, han aparecido
en la industria del software dos importantes modelos de referencia que tienen en común la
evaluación de la capacidad de los procesos en niveles de desarrollo o madurez: el Modelo CMM -
CMMI (Capability Maturity Model - Capability Maturity Model Integration) (Paulk, 1993), y el
Modelo SPICE (Software Process Improvement and Capability determination) (Rout, 1995),
(SPICE, 1999), que veremos en apartados posteriores.

2.1 Modelo de calidad clásico de McCall

El modelo de McCall fue uno de los modelos de calidad del software de gestión más difundidos,
además de que ha servido como base para otros modelos, como el de Boehm, o el Software Quality
Management –SQM- de Murine

El modelo de calidad McCall está organizado sobre tres tipos de Características de Calidad:
 Factores (especificar): Describen la visión externa del software, como es visto por los
usuarios.
 Criterios (construir): Describen la visión interna del software, como es visto por el
desarrollador.
 Métricas (controlar): Se definen y se usan para proveer una escala y método para la medida.

El modelo nos describe 11 factores de calidad del software, para los cuales establece 23 criterios y
41 métricas.

Los factores se pueden agrupar en tres grupos:

42.4 Los factores de calidad que hacen referencia al comportamiento actual del software
(operación o explotación del producto): Corrección, Fiabilidad, Eficiencia, Integridad y
Usabilidad.
42.5 Los que hacen referencia a la facilidad de cambio del producto (revisión):
Mantenibilidad, Verificabilidad y Flexibilidad.
42.6 Los que se refieren a la facilidad de conversión del software (transición del
producto): Portabilidad, Reusabilidad e Interoperabilidad

2.2 CMM-CMMI

El Modelo de Madurez de la Capacidad del Software SW-CMM (Software Capability Maturity

Model) fue definido por Paulk, Curtis, Chrisis y Weber en 1.993 como un modelo que establece los
niveles por los cuales las organizaciones de software hacen evolucionar sus definiciones,
implementaciones, mediciones, controles y mejorías de sus procesos de software. El modelo CMM
permite definir el grado de madurez de las prácticas de gestión y reingeniería de software de dichas
organizaciones y determinar cuales son las acciones de mejora prioritarias para sus procesos de
software.

El modelo CMM se compone de cinco niveles de madurez de acuerdo con la capacidad del
proceso de software, definidos por los objetivos de los procesos que, cuando son satisfechos,
permiten evolucionar al próximo nivel, ya que uno o más componentes importantes del proceso de
software han sido estabilizados.
En cada nivel, se definen un conjunto de áreas clave del proceso que describen las funciones de
ingeniería del software que deben llevarse a cabo para el desarrollo de una buena práctica. Mediante
un amplio conjunto de métricas se determina la calidad de cada una de las áreas clave, obteniéndose
una visión precisa del rigor, la eficacia y la eficiencia de la metodología de desarrollo de una
organización productora de software.

Cada una de las áreas está organizada en cinco secciones, denominadas características comunes.
Estas son las siguientes:
 Compromiso. Es el conjunto de acciones que la organización debe realizar para poder
asegurar que el proceso es repetible y duradero. Normalmente está relacionado con las
políticas de la organización y el liderazgo de la dirección.
 Capacidad. Describe las precondiciones que deben darse en un proyecto o en la
organización para implantar de forma efectiva los procesos de software. Habitualmente
afecta a los recursos, a la estructura y a la formación.
 Actividades. Describen los roles y los procedimientos necesarios para implantar un área
clave de proceso. Habitualmente incluyen procedimientos relacionados con la planificación
y el seguimiento del trabajo, así como las acciones correctivas necesarias.
 Medidas y análisis. Describen la necesidad de realizar mediciones de los procesos y
analizan dichas medidas. Suelen incluir ejemplos de las medidas tomadas para determinar el
estado y la eficacia de las actividades realizadas.
 Verificación. Describe los pasos que deben llevarse a cabo para asegurar que las actividades
se realizan según los procesos establecidos. Habitualmente incluye revisiones y auditorías
por parte de la dirección y del grupo de aseguramiento de la calidad.

A su vez, en cada característica común se especifican unas prácticas clave, que son normas,
procedimientos y actividades cuya realización lleva a la consecución de los objetivos del área. En
algunos casos se detallan subprácticas más específicas, guías e interpretaciones de la práctica y,
cuando procede, ejemplos y referencias cruzadas a otras prácticas. Asimismo, el modelo define
indicadores clave, que son aquellas prácticas clave o componentes de prácticas clave que ofrecen
una visión mayor de la consecución de los objetivos de un área clave de proceso.

Los cinco niveles de madurez del modelo son:

 Inicial: el proceso de software es un proceso improvisado y caótico. No se han definido

procesos metodológicos, o se han definido pero no se siguen. El éxito que se pueda
obtener depende de las habilidades, conocimientos y motivaciones del personal. No
 existen calendarios ni estimados de costos y las funcionalidades y calidad del producto
son impredecibles, ni un ambiente estable para el desarrollo y mantenimiento del
software. El proceso del software es impredecible por el continuo cambio o modificación
a medida que avanza el trabajo.

 Repetible: se establecen políticas y procedimientos de administración e implantación del

proceso básico para determinar costos, calendarios y funcionalidades. La madurez
metodológica de la organización permite estimar fiablemente el tamaño funcional o
físico del sistema, así como recursos, esfuerzo, costes y calendario. Se han sentado las
bases para repetir éxitos anteriores en proyectos con aplicaciones similares. La
organización muestra problemas de calidad y carece de una adecuada estructura para
mejorarla. En este nivel, las áreas clave, cuyo estado se puede conocer mediante diversas
métricas, son las siguientes:
38. Gestión de requisitos.
39. Planificación del proyecto software.
40. Seguimiento y control del proyecto.
41. Gestión de la subcontratación del software.
42. Aseguramiento de la calidad del software.
43. Gestión de la configuración del software.

 Definido: el proceso de software para las actividades administrativas y técnicas está

documentado, homogeneizado e integrado en un proceso de software estándar dentro de
la organización, que ayudará a obtener un desempeño más efectivo. El grupo que trabaja
en el proceso enfoca y guía sus esfuerzos al mejoramiento de su desarrollo, facilita la
introducción de técnicas y métodos e informa a la administración del estado del proceso.
La capacidad del proceso está basada en una amplia comprensión común dentro de la
organización de las actividades, roles y responsabilidades definidas en el desarrollo de
software. Las áreas claves, definidas para este nivel, son las siguientes:
44. Desarrollo y mejora de los procesos de la organización.
45. Definición de los procesos de la organización.
46. Programa de formación.
47. Gestión integrada del software.
48. Ingeniería de producto software.
49. Coordinación intergrupos.
50. Revisión conjunta.
  Gestionado: se recolectan medidas detalladas del proceso de software y de la calidad del
producto. Ambos son cuantitativamente entendidos y controlados. Este nivel de
capacidad permite a la organización predecir las tendencias en la calidad del producto
dentro de los límites establecidos y tomar las acciones necesarias en caso que sean
excedidos. Se puede predecir que los productos de dicha categoría son de alta calidad.
Las áreas clave definidas para este nivel son las siguientes:
51. Gestión cuantitativa del proyecto.
52. Gestión de calidad del software.

 Optimizado: el mejoramiento continuo del proceso es garantizado por la

retroalimentación cuantitativa y desde las pruebas de técnicas y herramientas
innovadoras. La organización tiene los medios para identificar los puntos débiles y
conocer como fortalecerlos. Su actividad clave es el análisis de las causas de defectos y
su prevención. Las áreas clave definidas para este nivel son:
53. Prevención de defectos.
54. Gestión de cambios tecnológicos
55. Gestión de cambios en los procesos.

Además del Modelo de Madurez de la Capacidad del Software existen el Modelo de Madurez de la
Capacidad en la Adquisición de Software (SA-CMM), y el Modelo de Madurez de la Capacidad de
las Personas (P-CMM), etc.

CMMI basa la aplicación de todos los principios de CMM a lo largo de todo el ciclo de vida de
ingeniería, no únicamente al ciclo de vida del desarrollo del producto software. Además, el
conjunto de productos CMMI ha sido diseñado para mantener compatibilidad y correspondencia
con el modelo SPICE.

En resumen, CMMI puede ser considerado como una extensión del CMM-SW. Las diferencias
principales son:
• Se han añadido nuevas áreas de proceso.
• Se han añadido mejores y más modernas prácticas clave.
• Se ha añadido un objetivo genérico para cada área de proceso.

Si se analizan estas diferencias en función del Nivel de madurez en que se hallan, se pueden
encontrar las siguientes áreas de proceso en el modelo CMMI que no se encuentran en el modelo
CMM:
 • Nivel 2. Medición y análisis. Han sido aisladas de CMM todas las prácticas
relacionadas con este objetivo y han sido agrupadas dentro de esta nueva área de
proceso.

• Nivel 3. El área Ingeniería del producto software de CMM ha sido reemplazada en

CMMI por múltiples y más detalladas áreas de proceso:
o Desarrollo de requisitos,
o Soluciones técnicas,
o Integración del producto,
o Verificación y Validación.

En el área de Gestión integrada del proyecto de CMM se contemplaba la Gestión de riesgos,

pero ahora ha sido considerada como un área de proceso independiente. Finalmente, a este
Nivel se ha añadido una nueva área denominada Análisis de decisiones y resolución, que no
se encontraba en CMM.

• Nivel 4. Este Nivel ha sufrido una reestructuración y las áreas de Gestión cuantitativa
de procesos y Gestión de la calidad de software han sido convertidas a Gestión
cuantitativa del proyecto y Rendimiento o realización del proceso organizacional,
respectivamente.

• Nivel 5. Tampoco ha habido grandes cambios en este Nivel, simplemente una fusión
de las áreas Gestión de los cambios tecnológicos y Gestión del cambio en los
procesos en una única área de proceso: Innovación organizacional y despliegue. El
área de Prevención de defectos ha sido reestructurada y renombrada a Análisis causal
y resolución.

CMMI v1.1 tiene cuatro disciplinas disponibles:

• Ingeniería de Software: CMMI-SW (Software Engineering)
• Ingeniería de sistemas: CMMI-SE (Systems Engineering)
• Desarrollo integrado del producto y del proceso: CMMI-IPPD (Integrated Product and
Process Developement)
• Proveedores externos: CMMI-SS (Suplier Sourcing)

CMMI presenta dos representaciones del modelo:

61 Continua: capacidad de cada área de proceso. En esta representación, se enfoca la capacidad de

cada área de proceso para establecer una línea a partir de la cual se puede medir la mejora
 individual en cada área. Al igual que el modelo por etapas, el modelo continuo tiene áreas de
proceso que contienen prácticas, pero éstas se organizan de manera que soportan el crecimiento
y la mejora de un área de proceso individual. Hay seis niveles de capacidad, del 0 al 5. La
representación continua se centra en seleccionar una cierta área de procesos que mejorar y en
fijar el nivel de capacidad deseado para esa área

62 Por etapas: madurez organizacional. En esta representación se da un mapa predefinido

dividido en etapas (los niveles de madurez), para la mejora organizacional y que se basa en
procesos probados, agrupados y ordenados y sus relaciones asociadas. Cada nivel de madurez
tiene un conjunto de áreas de proceso que indican donde una organización debería enfocar la
mejora de su proceso. Cada área de proceso se describe en términos de prácticas que
contribuyen a satisfacer sus objetivos. Las prácticas describen las actividades que más
contribuyen a la implementación eficiente de un área de proceso; se aumenta el “nivel de
madurez” cuando se satisfacen los objetivos de todas las áreas de proceso de un determinado
nivel de madurez.

Ambas representaciones incluyen Metas (Genéricas y Específicas, definiciones de resultados a

obtener por la implementación efectiva de los grupos de prácticas) y Prácticas (Genéricas y
Específicas, acciones a realizar para cumplir objetivos de área de proceso).

2.3 ISO 15504

El ISO/IEC 15504, también conocido como Software Process Improvement Capability

Determination, abreviado SPICE, en español, «Determinación de la Capacidad de Mejora del
Proceso de Software» es un modelo para la mejora y evaluación de los procesos de desarrollo y
mantenimiento de sistemas de información y productos de software. Su filosofía es desarrollar un
conjunto de medidas de capacidad estructuradas para todos los procesos del ciclo de vida y para
todos los participantes.
Esta basado en las “buenas prácticas” de la industria. Define los requisitos para la realización de
evaluaciones de procesos como punto de partida para la determinación de la capacidad y mejora de
los procesos. Tiene una arquitectura basada en dos dimensiones: de proceso y de capacidad de
proceso. Hoy en día se estructura en diez partes, estando las siete primeras terminadas, y de la ocho
a la diez en fase de desarrollo

A continuación mostramos los niveles de capacidad y los atributos de los procesos del modelo ISO
15504:
 31. Incompleto: El proceso no está implementado o falla en alcanzar su propósito. No es fácil
identificar los productos o salidas de los procesos.

32. Realizado: El propósito del proceso se logra generalmente, aunque no sea rigurosamente
planificado ni llevado a cabo. Hay productos identificables que testifican el alcance del
propósito.
62.1 Realización del proceso

33. Gestionado: El proceso es gestionado y los entregables resultado de procedimientos

específicos, planificados y seguidos, con requisitos de calidad, tiempo y recursos.
62.2 Gestión de realización
62.3 Gestión de los productos del trabajo

34. Establecido: Un proceso realizado y gestionado usado un proceso definido, basado en unos
principios de buenas prácticas de ingeniería del software.
62.4 Definición del proceso
62.5 Implantación del proceso

35. Predecible: El proceso definido es puesto consistentemente en práctica dentro de límites de

control establecidos para alcanzar metas del proceso ya definidas. Entendimiento
cuantitativo de la capacidad del proceso y habilidad mejorada de predecir y gestionar el
rendimiento.
62.6 Medida del proceso
62.7 Control del proceso

36. Optimizado: Realización del proceso optimizada en la búsqueda de las necesidades actuales
y futuras del negocio. Objetivos cuantitativos de eficiencia y efectividad se establecen en
función de los objetivos de la organización. La Optimización puede llevar a estudiar y
adoptar ideas innovadoras o productos tecnológicos novedosos que incluyan y modifiquen el
proceso definido.
62.8 Innovación del proceso
62.9 Optimización del proceso

Para que una organización pueda alcanzar un nivel de madurez debe evaluarse frente a la norma
ISO/IEC 15504. Existen 3 clases de evaluaciones, clase 1, clase 2 y clase 3. Las dos últimas se
corresponden con evaluaciones internas y no ofrecen una certificación oficial, a diferencia de la
clase 1 que es una evaluación más exhaustiva y rigurosa que permite alcanzar una puntuación
oficial. En España AENOR ofrece este tipo de evaluaciones y certificaciones bajo esta norma.
Por último decir que existe equivalencia y compatibilidad con CMMI. ISO forma parte del panel
elaborador del modelo CMMI y SEI y viceversa, y se mantiene la compatibilidad y equivalencia de
ésta última con 15504.

2.4 ISO 9000-3

Las ideas básicas que se nos propone para el estándar ISO 9000-3 son las siguientes:
- El control de calidad debe ser aplicado a todas las fases de la producción de software,
incluido el mantenimiento y tareas posteriores a su implantación.
- Debe existir una estricta colaboración entre la organización que adquiere el software y el
proveedor del mismo.
- El proveedor del software debe definir su sistema de calidad y asegurarse que toda la
organización ponga en práctica este sistema.

Aparte del ciclo de vida que elijamos, el ISO 9000-3 introduce otras actividades que tienen lugar de
forma independiente a las fases del ciclo y que son las actividades referentes a la configuración y
distingue entre la verificación y validación.

Además el ISO 9000-3 puede ser utilizado en relaciones contractuales cuando comprador y
proveedor establecen que algunos elementos de calidad deben formar parte del sistema de calidad
que proporciona el proveedor y que este se compromete a seguir los principios de calidad definidos
en el estándar.
La ISO 9000-3 es una guía que está formada por una serie de cláusulas que indican como aplicar
esta guía

2.5 Modelos Ágiles

En marzo de 2001 diecisiete críticos de los modelos de mejora del desarrollo de software basados
en procesos, convocados por Kent Beck, quien había publicado un par de años antes Extreme
Programming Explained, libro en el que exponía una nueva metodología denominada Extreme
Programming (Programación Extrema), se reunieron en Salt Lake City para tratar sobre técnicas y
procesos para desarrollar software. En la reunión se acuñó el término Métodos Ágiles para definir a
los métodos que estaban surgiendo como alternativa a las metodologías formales (CMMI, SPICE) a
las que consideraban excesivamente “pesadas” y rígidas por su carácter normativo y fuerte
dependencia de planificaciones detalladas previas al desarrollo. Los integrantes de la reunión
resumieron los principios sobre los que se basan los métodos alternativos en cuatro postulados, que
quedaron acuñados como Manifiesto Ágil.
Los cuatro postulados del Manifiesto Ágil son:

- Valorar más a los individuos y su interacción que a los procesos y las herramientas.

- Valorar más el software que funciona que la documentación exhaustiva.

- Valorar más la colaboración con el cliente que la negociación contractual.

- Valorar más la respuesta al cambio que el seguimiento de un plan.

Tras los cuatro postulados descritos, los firmantes redactaron los 12 principios siguientes,
derivados de los postulados.
54. Nuestra mayor prioridad es satisfacer al cliente mediante la entrega temprana y continua de
software con valor.
55. Aceptamos que los requisitos cambien, incluso en etapas tardías del desarrollo. Los
procesos Ágiles aprovechan el cambio para proporcionar ventaja competitiva al cliente.
56. Entregamos software funcional frecuentemente, entre dos semanas y dos meses, con
preferencia al periodo de tiempo más corto posible.
57. Los responsables de negocio y los desarrolladores trabajamos juntos de forma cotidiana
durante todo el proyecto.
58. Los proyectos se desarrollan en torno a individuos motivados. Hay que darles el entorno y
el apoyo que necesitan, y confiarles la ejecución del trabajo.
59. El método más eficiente y efectivo de comunicar información al equipo de desarrollo y
entre sus miembros es la conversación cara a cara.
60. El software funcionando es la medida principal de progreso.
61. Los procesos Ágiles promueven el desarrollo sostenible. Los promotores, desarrolladores y
usuarios debemos ser capaces de mantener un ritmo constante de forma indefinida.
62. La atención continua a la excelencia técnica y al buen diseño mejora la Agilidad.
63. La simplicidad, o el arte de maximizar la cantidad de trabajo no realizado, es esencial.
64. Las mejores arquitecturas, requisitos y diseños emergen de equipos auto-organizados.
65. A intervalos regulares el equipo reflexiona sobre cómo ser más efectivo para a continuación
ajustar y perfeccionar su comportamiento en consecuencia.

Por lo tanto, podemos decir que las metodologías ágiles serían mejores que las formales cuando los
requerimientos son poco claros, se desea fomentar la mejora continua del proceso, o el cliente
entiendo el proceso y está dispuesto a implicarse para que salga adelante.
Algunos ejemplos de metodologías ágiles son SCRUM, CRYSTAL, FDD (Feature Driven
Development), o la Programación Extrema
Tema 40. Seguridad Informática: Autenticación, Integridad, Confidencialidad,
Disponibilidad, Trazabilidad. Análisis y gestión de riesgos. Metodología MAGERIT.

1. SEGURIDAD INFORMATICA: AUTENTICIDAD, INTEGRIDAD,

CONFIDENCIALIDAD, DISPONIBILIDAD, TRAZABILIDAD.
1.1. Introducción
Los tres elementos principales a proteger en cualquier sistema informático son el software, el
hardware y los datos. La seguridad en los sistemas de información debe entenderse siempre como
un trabajo colectivo de todos los miembros de la organización. Debe ser planificada, diseñada,
ejecutada y mejorada de forma continua

1.2. Plan de seguridad y plan de contingencias

Sin entrar en obligaciones legales, podemos tomar como norma base de la seguridad el hecho de
que toda organización debería contar con un plan de seguridad y un plan de contingencias que la
organización debe cumplir y hacer cumplir.
 El plan de seguridad
El Plan de Seguridad Informática establece los principios organizativos y funcionales de la
actividad de seguridad informática en una organización. Recoge claramente las políticas de
seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así
como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que
gravitan sobre el mismo.

 El plan de contingencias
Los planes de contingencias de seguridad deben especificar claramente las acciones a realizar si se
produce un incidente para minimizar las consecuencias y la repercusión en nuestros activos. Lo
ideal es contar con planes de respuesta a incidentes y planes de continuación de negocio para
garantizar una reacción eficaz durante y después de un ataque.
Se pueden establecer las condiciones en las que un plan de contingencia entra en acción en base a
desencadenadores. En términos de seguridad, un desencadenador suele ser un evento relacionado
con una fecha, con un hecho puntual o con la detección de desviaciones en elementos que pueden
medirse o contarse (por ejemplo un número consecutivo de intentos acceso denegados).

1.3. Las dimensiones de la seguridad

Las dimensiones de la seguridad, también denominadas servicios o factores de seguridad, hacen
referencia a las propiedades que la información debe cumplir para considerar un sistema como
seguro. Un sistema informático se encuentra en óptimas condiciones de seguridad para operar
cuando es capaz de garantizar la seguridad de todos sus componentes en cinco dimensiones:
 Autenticidad: consiste en garantizar que la información es genuina y que todos los
participantes en una comunicación son realmente quien dicen ser. De la autenticidad surge
una propiedad derivada conocida como imposibilidad de rechazo o ‘no repudio’. Esta
propiedad permite asegurar que cualquier entidad que envía información no puede alegar
ante terceros que no la envió. Un sistema es seguro si tiene 2 de 3 (algo tiene, sabe, o es
parte de el)
 Integridad: el objetivo de la integridad es asegurar que la información solo pueda ser
modificada por aquellos usuarios que tengan permisos para ello, y que en caso de que ocurra
una modificación fraudulenta esta pueda ser detectada y probada. La integridad puede
protegerse mediante técnicas de validación de datos como sumas de validación (checksum),
uso de bits de paridad, chequeos de redundacia cíclica (CRC), algoritmos de resumen
(SHA1, MD5, etc.)
 Confidencialidad: consiste en asegurar que la información pueda ser conocida únicamente
por los usuarios y procesos autorizados para ello. Técnicas : encriptación
 Disponibilidad: la disponibilidad se ocupa de garantizar que la información esté accesible
para todos los usuarios y procesos con permisos para ello. Técnicas : balanceo de carga entre
servidores, virtualización de servidores, uso de almacenamientos redundantes (RAID) o los
sistemas de respaldo
 Trazabilidad: la trazabilidad en un sistema de información hace referencia a su capacidad
para seguir y conservar la secuencia de todas las acciones (o al menos de aquellas que
puedan afectar a la seguridad del sistema) que ocurran en el sistema para determinar su
origen

1.4. Amenazas a la seguridad

Llamaremos amenazas a aquellos agentes externos o internos que potencialmente podrían causar un
daño a nuestros sistemas de información. Dependiendo de su origen, distinguiremos tres tipos de
amenazas:
21. Personas: Intencionadas o no
22. Amenazas lógicas: todo tipo de programas que de una forma u otra pueden dañar nuestro
sistema, ya sea intencionadamente o por error. Incluiríamos en esta categoría:
o Sofware incorrecto
o Herramientas de seguridad (doble filo):ej. sniffers o las herramientas de escaneo de
puertos
 o Puertas traseras: atajos de programadores
o Bombas lógicas: se activan si seda una condicion
o Canales de comunicación ocultos
o Virus y derivados :Gusanos, Troyanos, Programas conejo
o Técnicas Salami: robo automatizado y sistemático de pequeñas cantidades de bienes
de una gran cantidad original.
30. Catástrofes: sean naturales o artificiales. La defensa contra ellas se basa en recursos
físicos y diseño adecuado de la sede física de nuestros sistemas. Ej: Incendios, Inundaciones,
Terremotos, Tormentas eléctricas o Temperaturas extremas

1.5. Seguridad Física

La seguridad física hace referencia a la protección ante amenazas contra las instalaciones,
equipamientos tecnológicos, sistemas de comunicaciones y personal que forman parte de un sistema
de información. Consiste en la aplicación de barreras físicas y procedimientos de control ante
amenazas a los recursos del sistema
Las medidas de seguridad física permiten limitar el alcance de las amenazas citadas mediante el uso
de controles y procedimientos de seguridad. El estándar TIA-942, aprobado por la
Telecommunicatios Industry Association y por ANSI (American National Standards Institute),
proporciona una guía de recomendaciones y normas para el diseño e instalación de infraestructuras
de centros de procesamiento de datos (CPD) que contribuyen a un considerable aumento de la
seguridad física del sistema de información. Establece cuatro niveles (tiers) de disponibilidad
implementados mediante medidas de carácter arquitectónico, de telecomunicaciones, eléctricas y
mecánicas.2

1.6. Seguridad Lógica

Se puede definir la seguridad lógica como el conjunto de operaciones y técnicas destinadas a la
protección de la información contra la destrucción, la modificación, la divulgación indebida o el
retraso en su gestación. Objetivos : relacionados con las 5 dimensiones de seguridad

 Ataques contra la seguridad lógica

Dependiendo de cuál sea el objetivo del ataque, podemos clasificarlos en:

2
Dejamos para el tema 56, dedicado al diseño de centros de procesamiento de datos, el desarrollo de las medidas
seguridad física.
 v) Ataques Pasivos: el atacante no altera la información sino que únicamente la captura o
monitoriza para obtener los datos que están siendo transmitidos. Sus objetivos son la
interceptación de datos y el análisis de tráfico. Los objetivos finales de estos ataques son:

w) Ataques activos: estos ataques implican algún tipo de modificación de los datos o la
creación de datos falsos. Se trata de ataques intencionados habitualmente realizados por
personas con conocimientos y consciencia de lo que están haciendo. Se los pueden
subdividir en varias categorías:

Desde el punto de vista de las acciones que se realizan durante el ataque, se suele hablar de ataques
de:

37. Interrupción: un ataque se clasifica como interrupción si hace que un objeto del sistema
se pierda, quede inutilizable o no disponible.
38. Interceptación: un elemento no autorizado consigue un acceso a un determinado objeto
del sistema, pero este no es modificado en ningún modo. Si se trata de una
comunicación, esta llegará a su destino sin constancia de la interceptación.
39. Modificación: Si además de lograse una interceptación el ataque consigue modificar el
objeto de datos.
40. Fabricación: modificación destinada a suplantar al objeto real.
41. Destrucción: algunos autores consideran un caso especial de la modificación la
destrucción, entendiéndola como una modificación que inutiliza al objeto afectado.

Como decíamos, existe un elevado número de tipos de ataques contra la seguridad lógica. Citamos a
continuación algunos de ellos:3

20. Ingeniería Social: consiste en manipular a las personas del entorno para obtener acceso a los
sistemas o a información confidencial que facilite otros ataques técnicos.
21. Ingeniería Social Inversa: el intruso da a conocer de alguna manera que es capaz de brindar
ayuda a los usuarios, y estos le llaman ante algún imprevisto. El intruso aprovechará la
oportunidad para pedir información necesaria para solucionar el problema consiguiendo
información útil para realizar ataques.
22. Shoulder-surfing (‘mirar por encima del hombro’)

3
23. Piggybacking:. Hoy en día hace referencia al uso de redes wireless ajenas, pero su
significado original era el de ‘colarse’ en un lugar detrás de otra persona.
24. Masquerading/spoofing (Suplantación): suplantación electrónica o física de personas
autorizadas para acceder al sistema u obtener información relevante sobre el mismo.
Dependiendo del objeto de la implantación podríamos hablar de IP spoofing, DNS spoofing,
web spoofing, etc.
25. Basureo: paradójicamente, uno de los ataques más efectivos. Consiste en inspeccionar los
deshechos en papeleras, contenedores, etc. en busca de información sensible.
26. Exploits: aprovechamiento de errores conocidos (bugs) en determinadas versiones del
software instalado en el sistema de información que pueden ser usados como puerta de
entrada de ataques.
27. Escaneo de puertos: técnicas de ataque pasivas que analizan las máquinas de un sistema para
determinar cual es el estado de los puertos (abierto/cerrado)
28. Wiretapping: un tipo de ataque que intercepta y accede a información que se transmite por
un canal de comunicaciones.
29. Eavesdroping-packet sniffing: un tipo de ataque wiretapping pasivo. Es la interceptación
pasiva del tráfico de red. Esto se realiza con aplicaciones llamadas sniffers, que son
programas que capturan paquetes de datos que circulan por la red.
30. Man-in-the-middle: un tipo de ataque wiretapping activo. El atacante intercepta y modifica
selectivamente los paquetes de datos capturados para simular ser uno de los participantes en
una comunicación ajena.
31. Denegación de servicio: conocido habitualmente por sus siglas en inglés DOS (Denial of
Service), este tipo de ataques consiste en conseguir que el objetivo del ataque deje de
realizar su función de modo temporal o definitivo.. En la práctica existen múltiples
variedades de este ataque de las que podemos nombrar: Flooding, ICMP flood, Syn flood,
ping of death, land, smurf, teardrop, etc.
32. Denegación de Servicio Distribuida: un caso especial del anterior, también conocida por sus
siglas en inglés DDOS (Distributed Denial of Service). En este caso el ataque de DoS no
proviene de un único atacante, sino que proviene de muchos a la vez de forma coordinada.
El conjunto de atacantes puede no ser realmente un conjunto de personas, ya que es habitual
el uso de máquinas secuestradas (máquinas zombies) que participan en el ataque muchas
veces sin que su legítimo dueño tenga conocimiento de ello.
33. Ataques de secuestro (Hijack): se centran en el secuestro de algún elemento en una
comunicación previamente establecida por la víctima o de un recurso vital de una máquina.
 34. Tamper: ataque consistente en realizar modificaciones en la configuración de una máquina o
sistema objetivo que degraden el nivel de seguridad de la misma.
35. Phishing: es en realidad un tipo de ataque de tipo masquerading que ha crecido en
frecuencia en los últimos años. Es un ataque que intenta adquirir información sensible del
objetivo (número de cuentas bancarias, nombres de usuario y claves de acceso, etc.)
mediante una solicitud fraudulenta en un correo electrónico o página web que el atacante ha
construido para simular ser una entidad o persona de confianza del objetivo.
36. SQL injection: es un tipo de ataque por inserción de código dirigido a la base de datos en
lenguaje SQL. La técnica consiste en insertar secuencias concretas que son sintácticamente
correctas en SQL en campos de texto de aplicaciones (usualmente web) para ejecutar
consultas fraudulentas. Aunque es un ataque peligroso es fácilmente contrarrestable filtrando
adecuadamente las entradas.
37. Cross-site request forgery: abreviado habitualmente como CSRF ó XSRF y también
conocido como ‘ataque de un click’. Se basa en aprovechar la confianza que un sitio web
tiene en el navegador web de un usuario. La víctima es engañado para usar un hiperenlace
manipulado por el atacante. La manipulación consiste en la construcción de un objeto de
petición (request) que realiza directamente una acción fraudulenta e involuntaria para el
usuario que la ejecuta.
38. Cross site scripting: abreviado habitualmente como XSS. Se trata de cualquier ataque que
permita ejecutar código de scripting (VBScript, Javascript, etc.) insertado por el atacante en
el contexto un sitio web.

 La protección de la seguridad lógica

La continua aparición de nuevas tecnologías hace que el número de tipos de ataques aumente
también. Por lo tanto, los responsables de seguridad y administradores de los sistemas deben
mantenerse actualizados en cuanto a nuevos ataques y como protegerse contra ellos. Y por supuesto
es de vital importancia que mantengan actualizado el sistema operativo y todo el software usado en
las máquinas del sistema. Es aconsejable realizar auditorias de seguridad de forma periódica y
valorar la posibilidad de implantar sistemas de gestión de la seguridad de la información (SGSI) que
garanticen la calidad de nuestros sistemas y medidas de seguridad. La defensa contra ataques de
ingeniería social pasa por mantener a los usuarios del sistema informados y formados en materia de
seguridad
Los siguientes son algunas de las herramientas y técnicas de protección de la seguridad que
podemos aplicar a nuestros sistemas de información:
  Políticas de seguridad: es fundamental contar con una política de seguridad, diseñada a
medida para la organización y conocida por todos los empleados y/o usuarios
 Análisis de riesgos: el análisis de riesgos debe realizarse siempre como paso inicial en el
diseño de la seguridad de nuestros sistemas de información
• Identificación de amenazas: consiste en identificar cada una de las amenazas y
vulnerabilidades que pueden afectar a los recursos del sistema.
 Estrategia de seguridad: una estrategia adecuada debe ser concebida de modo que
abarque varios niveles de seguridad: seguridad física, seguridad lógica, el personal de la
organización y la interacción que existe entre estos factores (con planes de cont y segur)
 Equipos de respuesta a incidencias:
 Uso de sistemas operativos seguros. Existe una catalogación de los niveles de seguridad
que ofrece un sistema operativo (Common Criteria)
 Copias de respaldo (backups)
 Programas antivirus
 Firewalls
 Sistemas de Detección de Intrusos (IDS)
 Herramientas de seguridad
 Encriptación de la información

2. ANALISIS Y GESTIÓN DE RIESGOS

2.1. Introducción
El análisis de riesgos consiste en identificar cuales son esos riesgos que amenazan a nuestros
activos y estimar la magnitud de los mismos. El análisis debe realizarse para todos aquellos activos
de importancia estratégica en la continuidad del negocio, aquellos de carácter único o aquellos
necesarios para cumplir con la legislación vigente.
La gestión de los riesgos se define como la selección e implantación de medidas de seguridad para
conocer, prevenir, reducir o controlar los riesgos identificados. La gestión de los riesgos debe tener
como objetivo mantener el nivel de riesgo por debajo de un umbral determinado por la
organización.

2.2. Análisis de riesgos

El proceso del análisis de riesgos incluye las siguientes tareas:
 Identificar y valorar (económicamente) los activos y sus relaciones
 Identificar amenazas
  Identificar vulnerabilidades: todas aquellas debilidades o posibles agujeros de seguridad que
pudieran ser aprovechados para realizar ataques contra los activos.
 Evaluar el impacto: estimar probabilidad existe de que una de las amenazas se materialice
sobre un activo y qué coste tendría eso para la organización si el activo quedase dañado o
inutilizado.
 Clasificar los riesgos: según el nivel de riesgo que soporte. El nivel de riesgo será una
medida combinada del valor del activo afectado, la valoración del impacto y la probabilidad
de que este ocurra.
 Determinar el grado de aseguramiento:. Servirá como medida en la fase de gestión de
riesgos para determinar qué controles debemos aplicar en cada caso para obtener un riesgo
aceptable y conforme con el grado de aseguramiento que la organización necesita.
Aunque suele ser una tarea subjetiva, existen técnicas destinadas a realizar las evaluaciones de
modo cualitativo (sesiones de brainstorming, entrevistas y cuestionarios estructurados, técnicas
Delphi, gráficos DAFO, etc.) e incluso cuantitativo (método Montecarlo, análisis algorítmico
cuantitativo, etc.).

2.3. Gestión de riesgos

Básicamente existen cuatro acciones que podemos realizar para reducir el riesgo en la organización:
56. Aceptar: a priori es la menos costosa, ya que simplemente se conocen los riesgos y la
probabilidad de que ocurran, pero se aceptan sin realizar ninguna acción de protección
57. Anular: Prescindir de dicho activo
58. Transferir: también solo en algunos casos es posible ceder la responsabilidad sobre el
activo a un tercero. La transferencia de un riesgo de seguridad no significa que un riesgo se
haya eliminado. En general, una estrategia de transferencia generará nuevos riesgos de
seguridad relacionados con los proveedores o aseguradoras que requerirán administración
preventiva
59. Mitigar: la tercera opción es la de implementar medidas de seguridad efectivas que nos
permitan reducir los riesgos identificados. La mitigación supone tomar acciones preventivas
para evitar que un riesgo se materialice o para reducir sus consecuencias a un nivel
aceptable. Se centra en la prevención y la minimización de las amenazas hasta niveles
aceptables por la organización

La gestión de los riesgos debe realizarse de modo que constituya un proceso de mejora continua

2.4. La metodología MAGERIT

MAGERIT es una metodología para el análisis y gestión de riesgos de los sistemas de información
elaborada originalmente por el Consejo Superior de Administración Electrónica del Gobierno de
España (aunque actualmente depende del Ministerio de Política Territorial y Administración Pública
y es administrada por la Dirección General para el Impulso de la Administración Electrónica). Su
objetivo final es la minimización de los riesgos de la implantación y uso de las tecnologías de la
información en las Administraciones Públicas. Actualmente se encuentra en su versión 2.
MAGERIT persigue los siguientes objetivos:
66. Concienciar a los responsables de los sistemas de información de la existencia de riesgos y
de la necesidad de atajarlos a tiempo.
67. Ofrecer un método sistemático para analizar tales riesgos.
68. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
69. Preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso. 
 Elementos de la metodología
40. Activos: recursos del sistema de información o relacionados con éste
41. Amenazas: eventos que pueden desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos.
42. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización
de una amenaza sobre dicho activo.
43. Impacto en un activo: consecuencia sobre éste de la materialización de una amenaza.
44. Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un dominio
o en toda la organización
45. Servicio de salvaguarda: acción que reduce el riesgo.
46. Mecanismo de salvaguarda: procedimiento, dispositivo, físico o lógico, que reduce el
riesgo.

El desarrollo de la metodología MAGERIT versión 2 se estructura en tres guías:

 Método: describe los procesos, actividades y tareas para realizar un proyecto de análisis y
gestión de riesgos, y proporciona una serie de consejos y casos prácticos de ejemplo.
 Catálogo de Elementos: ofrece una serie de pautas en cuanto a tipos de activos,
dimensiones de valoración de los activos, criterios de valoración de los activos, amenazas
típicas sobre los sistemas de información y salvaguardas a considerar para proteger sistemas
de información.
  Guías de Técnicas: se trata de una guía de consulta que proporciona algunas técnicas que se
emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos: técnicas
específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles
de ataque, técnicas generales, análisis coste-beneficio, diagramas de flujo de datos,
diagramas de procesos, técnicas gráficas, planificación de proyectos, sesiones de trabajo
(entrevistas, reuniones y presentaciones) y valoración Delphi.

 Procesos de la metodología:

La guía del Método Magerit Versión 2 especifica que un proyecto de análisis y gestión de riesgos
consta de tres procesos, que a su vez se dividirán en actividades y tareas que se detallan en la guía
del Método:

63 Proceso P1: Planificación:

- Se establecen las consideraciones necesarias para arrancar el proyecto de análisis y gestión
de riesgos.
- Se investiga la oportunidad de realizarlo.
- Se definen los objetivos que ha de cumplir y el dominio (ámbito) que abarcará.
- Se planifican los medios materiales y humanos para su realización.
- Se procede al lanzamiento del proyecto.
- Se generan los siguientes documentos: Tipología de Activos, Dimensiones de Seguridad
Relevantes, Criterios de Evaluación.

- Proceso P2: Análisis de riesgos:

• Se identifican los activos a tratar, las relaciones entre ellos y la valoración que merecen.
• Se identifican las amenazas significativas sobre aquellos activos y se valoran en términos de
frecuencia de ocurrencia y degradación que causan sobre el valor del activo afectado.
• Se identifican las salvaguardas existentes y se valora la eficacia de su implantación.
• Se estima el impacto y el riesgo al que están expuestos los activos del sistema.
• Se interpreta el significado del impacto y el riesgo.
• Se generan los siguientes documentos: Modelo de Valor, Mapa de Riesgos, Evaluación de
Salvaguardas, Estado de Riesgo, Informe de Insuficiencias.

43 Proceso P3: Gestión de riesgos:

• Se elige una estrategia para mitigar impacto y riesgo.
• Se determinan las salvaguardas oportunas para el objetivo anterior.
• Se determina la calidad necesaria para dichas salvaguardas.
• Se diseña un plan de seguridad (plan de acción o plan director) para llevar el impacto y el
riesgo a niveles aceptables.
• Se lleva a cabo el plan de seguridad.
• Como producto de esta fase se genera el Plan de Seguridad.
Tema 41. Sistemas de gestión de la seguridad de la información: normas de la serie ISO 27000

- SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION

Podríamos definir un SGSI como una herramienta de gestión que permite conocer, gestionar y
minimizar los posibles riesgos que atenten contra la seguridad de la información en nuestra
organización.

Hoy en día la información es uno de los activos más importantes de toda organización. Requiere
entonces, junto a los procesos y sistemas que la manejan, ser protegida convenientemente frente a
amenazas que puedan poner en peligro los niveles de competitividad, rentabilidad y conformidad
legal necesarios para alcanzar los objetivos de la organización.

La adecuada gestión de la seguridad permite disminuir de forma significativa el impacto de los

riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran
estructura de personal. Para ello se hace necesario:

 Conocer y afrontar de manera ordenada los riesgos a los que está sometida la información.
 Contar con la participación activa de toda la organización, especialmente con el respaldo y
la implicación de la dirección.
 Establecer políticas, procedimientos y controles de seguridad adecuados.
 Planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una
medición de la eficacia de los mismos.
 Realizar un proceso de evaluación y mejora continua.

Un SGSI ayuda a una organización a establecer las políticas, procedimientos y controles en

relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo
por debajo del nivel asumible por la propia organización. Un SGSI proporciona una cobertura
completa de la gestión de la seguridad, desde el nivel estratégico más alto, donde la dirección
definirá y aprobará las políticas de seguridad, hasta el nivel más bajo, donde, entre otras acciones,
se implementarán los controles técnicos y se gestionarán las incidencias del sistema.
En definitiva, mediante el uso de un SGSI, la organización conoce los riesgos a los que está
sometida su información y los gestiona mediante un plan definido, documentado y conocido por
todos, que se revisa y mejora constantemente.

o Implementación de un SGSI
El alcance y diseño del SGSI dependerá de los objetivos de la empresa, sus características
(actividad, tamaño, dispersión geográfica, etc.), recursos económicos, etc. De hecho, es posible que
en algunos casos el SGSI no se implante en todas las áreas de la organización de un solo paso, sino
que se haga solamente en aquellas en las que la información que utiliza tenga especial relevancia y
completar el resto en una implantación por fases.
El método comúnmente aceptado es el PDCA, que son las siglas en inglés de Plan-Do-Check-Act
(Planificar-Hacer-Verificar-Actuar). Se trata de un modelo en cuatro fases en el que una vez
realizada la última y analizados los resultados, continua de nuevo en la primera fase del modelo.

xlii. Planificar (Plan):

 En la primera fase del modelo PDCA aplicado a SGSIs se realiza un estudio de la situación de
la organización desde el punto de vista de la seguridad, para determinar el alcance de las
medidas que se van a implantar en función de las necesidades detectadas. Durante esta fase se
realizan las siguientes acciones:
o Determinar el alcance del SGSI en base a la información y a los procesos de
la organización que serán incluidos en el SGSI.
o Estimación de los recursos económicos y de personal que van a ser
necesarios para la correcta implantación y mantenimiento del SGSI.
o Determinar la metodología de evaluación de riesgos apropiada además de
establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo
aceptables.
o Establecer la Política de Seguridad. Su principal objetivo es recoger las
directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la
organización y a la legislación vigente. Además, debe establecer las pautas de actuación en
el caso de incidentes y definir las responsabilidades. El documento de política de seguridad
debe estar accesible para todos los miembros de la organización
o Revisar los aspectos organizativos de la entidad y la asignación de nuevas
responsabilidades. Deben existir al menos tres roles fundamentales:
a. El Responsable de Seguridad debe ser una única persona cuya misión
es la de coordinar todas las actuaciones en materia de seguridad que se desarrollen en
la organización.
b. El Comité de Dirección estará formado por miembros de la dirección
con poder ejecutivo. Su responsabilidad es la de tomar y asumir decisiones de alto
nivel necesarias para apoyar los objetivos del SGSI.
c. El Comité de Gestión controlará y gestionará las acciones de la
implantación del sistema colaborando muy estrecha-mente con el responsable de
seguridad de la entidad.
b. Identificar y determinar las distintas opciones de gestión del riesgo y seleccionar
aquellas que se van a aplicar. Básicamente, existen tres opciones para el tratamiento del
riesgo:
a. Asumir el riesgo sin tomar ninguna medida.
b. Transferir el riesgo mediante la contratación de servicios externos o seguros.
c. Reducir el riesgo hasta los niveles aceptables mediante la implantación de
controles de seguridad.
c. Concienciación y divulgación en torno al personal de la organización.
d. Desarrollo de la formación necesaria para el personal.

xliii. Hacer (Do):

En la segunda fase del modelo PDCA se lleva a cabo la implantación de los controles técnicos
de seguridad seleccionados en la fase anterior y se desarrolla la documentación necesaria. Las
tareas que se realizan en esta fase del modelo son las siguientes:

o Definir un plan de tratamiento de riesgos.

o Implantar el plan de tratamiento de riesgos.
o Implementar los controles.
o Definir un sistema de métricas que permita obtener resultados.
o Desarrollar programas de formación y concienciación.
o Gestionar las operaciones del SGSI.
o Gestionar los recursos necesarios.
o Implantar procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad.
xliv. Verificar (Check):
En ella se evalúa la eficacia y el éxito de los controles implantados. Las tareas a realizar en esta
fase son las siguientes:
o Medir la efectividad de los controles para verificar que se cumple con los requisitos de
seguridad.
o Ejecutar procedimientos de monitorización y revisión.
o Revisar regularmente en intervalos planificados las evaluaciones de riesgo.
o Realizar periódicamente auditorías internas del SGSI.
o Revisión periódica del SGSI por parte de la dirección.
o Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos
encontrados.
o Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el
rendimiento del SGSI.

xlv. Actuar (Act):

En la última fase del modelo PDCA (a veces llamada fase de mejora) se llevarán a cabo las
labores de mantenimiento del sistema. Si durante la fase anterior de seguimiento se ha
detectado algún punto débil, este es el momento de mejorarlo o corregirlo. Al finalizar las
cuatro fases, se toman los resultados de la última y se comienza nuevamente la primera. De este
modo el sistema se retroalimenta con las soluciones a las deficiencias encontradas y entraría en
un proceso iterativo de mejora continua.

Para que el diseño y la implantación de un SGSI lleguen a buen puerto es absolutamente

fundamental la participación y el apoyo de la alta dirección de la organización. Debe involucrarse
en el proceso, asignar y proveer los recursos necesarios, y asegurarse de formar y concienciar a
toda la organización.

La mejora de la seguridad trae consigo los siguientes beneficios:

 Reducción de riesgos: es el fin último del SGSI.

 Ahorro Económico
 Calidad de la seguridad
 Cumplimiento Legal
 Competitividad en el mercado: contar con un SGSI contribuye a mejorar la gestión de la
organización y a dar a los clientes confianza suficiente al ceder su información a la
organización. Además, la norma ISO/IEC 27001 permite certificar la conformidad de un
SGSI..

2. NORMAS DE LA SERIE ISO/IEC 27000

Esta serie de normas, conocida a veces simplemente como ISO 27000 o ISO27K, proporciona
recomendaciones de buenas prácticas sobre gestión, riesgos y controles en el ámbito de la seguridad
de la información, conformando lo que se conoce como Sistemas de Gestión de la Seguridad de la
Información. Los rangos reservados de numeración por ISO para normas de esta serie van de 27000
a 27019 y de 27030 a 27044.
El conjunto de normas es aplicable a cualquier organización sin importar su tamaño, y sigue un
patrón de implantación basado en el modelo PDCA (Plan-Do-Check-Act). Las siguientes normas de
la serie ya han sido publicadas y están siendo usadas en la práctica:
47. ISO/IEC 27000: SGSI - Presentación y vocabulario.
 48. ISO/IEC 27001: SGSI - Requisitos. Se centra en la definición de un modelo para la
creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un
SGSI. Es la única norma en la que una organización se puede certificar dentro del esquema.
49. ISO/IEC 27002: Código de buenas prácticas para la gestión de la seguridad de la
información. Se trata más de un código de buenas prácticas que de una norma como tal. No
establece obligatoriedad en sus especificaciones y cabe recordar que no es una norma
certificable. En lugar de eso, presenta 39 objetivos de control y desglosa los 139 controles
presentados en el Anexo A de la ISO/IEC 27001, dando a veces varias opciones de
implementación, que podrían ser, en teoría, implantados tomando como guía las
especificaciones de la ISO/IEC 27001. Dentro de esta norma podremos encontrar apartados
como la seguridad física y ambiental, gestión de comunicaciones, control de acceso, etc.
50. ISO/IEC 27003: Guía de implantación de SGSI. Constituye la "Guía oficial de
implementación de un SGSI" en cualquier organización. Su contenido se centra en los
aspectos críticos necesarios para el exitoso diseño e implementación de un SGSI de acuerdo
con la norma ISO/IEC 27001:2005. Describe el proceso de delimitación de un SGSI, y el
diseño y puesta en marcha de diferentes planes de implementación. Define un alcance inicial
del SGSI, y proporciona una guía de cómo hacer desde la planificación inicial hasta la
implementación final de un proyecto de SGSI.
51. ISO/IEC 27004: Gestión de la seguridad de la información – Métricas.
52. ISO/IEC 27005: Gestión de riesgos de la seguridad de la información.
53. ISO/IEC 27006: Requisitos para organismos de auditoría y certificación de SGSI. Se
constituye como una guía para la acreditación de organizaciones que deseen convertirse en
certificadores de las normas de la serie ISO/IEC 27000 relativas a sistemas de gestión de la
seguridad de la información.
54. ISO 27799: Guía sectorial para la aplicación de la norma ISO/IEC 27002 en entornos
relacionados con la salud.

Los textos traducidos al castellano de algunas de las normas de esta serie pueden obtenerse (previo
pago) de la página web de AENOR (http://www.aenor.es).

63.1 El proceso de implantación

La implantación de un SGSI según la norma ISO/IEC 27001 se realiza siguiendo el ya citado
modelo PDCA. La duración del proceso de implantación depende de las características propias de la
organización, como pueden ser su tamaño, el tipo de actividades que realice y también del estado de
madurez en el que se encuentren sus procesos de gestión y control de la información. En todo caso,
es fundamental realizar un análisis inicial y una planificación del proceso completo de implantación
para obtener un resultado exitoso. La implantación no es una tarea que incumba exclusivamente a
las áreas de TI de la organización, sino que todas las áreas de negocio deben verse involucradas en
el proceso.
La implantación y mantenimiento de nuestro SGSI debe estar documentada, actualizada y
disponible para los usuarios que la requieran. ISO/IEC 27000 recoge cuatro tipos distintos de
documentación:
 Políticas: sientan las bases de la seguridad. Indican las líneas generales para conseguir
los objetivos de la organización sin entrar en detalles técnicos. Toda la organización debe
conocer estas Políticas.
 Procedimientos: desarrollan los objetivos marcados por las Políticas. En ellos aparecen
detalles más técnicos y se concreta cómo conseguir los objetivos expuestos en las
Políticas. Los Procedimientos deben ser conocidos por aquellas personas que lo
requieran para el desarrollo de sus funciones.
 Instrucciones: constituyen el desarrollo de los Procedimientos.
  Registros: Entre estos Registros se incluyen indicadores y métricas de seguridad que
permitan evaluar la consecuencia de los objetivos de seguridad establecidos.

63.2 El proceso de certificación

Una vez que nuestro SGSI esté totalmente implantado podríamos optar a certificarlo con la norma
ISO/IEC 27001. Esto es, que una entidad de certificación audite nuestro sistema y obtengamos un
documento que asegure que el SGSI de nuestra organización es acorde con la norma. Hay que tener
presente que esta certificación no prueba que los controles y medidas de seguridad implantadas sean
las correctas, sino que la seguridad de la información se gestiona en la forma que indica la norma.

En el momento de seleccionar una entidad certificadora deberemos comprobar que posee la

adecuada acreditación que la reconoce como una entidad competente para la realización de esa
actividad. La entidad de acreditación española es la Empresa Nacional de Certificación (ENAC),
aunque existen numerosas entidades de acreditación en todo el mundo.

El proceso de certificación puede dividirse en tres fases principales:

30. Gestión de la solicitud de certificación: la empresa debe solicitar una oferta a la

entidad de certificación en la que se especificarán una serie de datos sobre la
organización y la implantación del SGSI, tales como el alcance, el número de empleados
y los centros de trabajo dentro del alcance, etc.
31. Auditoría Documental: a continuación tiene lugar la auditoría documental, que es la
primera fase de la auditoría. En ella se revisa la documentación generada durante la
implantación del sistema. Incluirá, al menos, la política de seguridad, el alcance de la
certificación, el análisis de riesgos, la selección de los controles de acuerdo con la
declaración de aplicabilidad (SOA) y la revisión de la documentación, controles
seleccionados por la entidad de certificación.
32. Auditoría In-Situ: La segunda fase de la auditoría es la auditoría in-situ. En esta fase el
equipo de auditores de la entidad de certificación se desplazará a las instalaciones de la
organización. Se realiza la revisión del SGSI en funcionamiento. Durante esta fase los
auditores verifican de nuevo la documentación revisada en la fase anterior, confirman
que la organización cumple con sus políticas y procedimientos, comprueban que el
sistema desarrollado está conforme con las especificaciones de la norma y verifican que
está logrando los objetivos que la organización se ha marcado.

Como resultado de cada una de las fases de la auditoría externa, la entidad certificadora emite un
informe que puede contener los siguientes resultados:

t) Todo correcto. No existe ninguna no conformidad y se acepta la certificación del

sistema.
u) Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser
tenidas en cuenta en la siguiente fase de la auditoría.
v) No conformidades menores. Estas son incidencias encontradas en la implantación y que
son subsanables mediante la presentación de un Plan de Acciones Correctivas.
w) No conformidades mayores que deben ser subsanadas por la empresa. Sin su resolución
y, en la mayor parte de los casos, la realización de una auditoría extraordinaria por parte
de la entidad de certificación, no se obtendría el certificado ya que se trata de
incumplimientos graves de la norma.
Una vez conseguida la certificación del sistema, éste tiene una validez de tres años, aunque está
sujeto a revisiones anuales. Durante el primer año se realiza la auditoría inicial. Posteriormente cada
tres años se realiza una auditoría de renovación. En los dos años posteriores tanto a la auditoría
inicial como a las de renovación se realizarán auditorías de seguimiento.
TEMA 42 VIRUS Y OTRO SOFTWARE MALIGNO. TIPOS. MEDIOS PREVENTIVOS Y
REACTIVOS. SISTEMAS ANTIVIRUS Y DE PROTECCION.

 VIRUS Y OTRO SOFTWARE MALIGNO. TIPOS.

Los virus son en realidad un subtipo del software maligno en general, que suele denominarse como
malware. Subtipos de malware son también los troyanos y gusanos, que junto a los virus forman los
tres tipos principales de software maligno que acechan a los sistemas informáticos. El malware (de
malicious software) designa a cualquier tipo de programa o código de ordenador cuya función es
dañar una o varias partes del sistema informático o causar un mal funcionamiento del mismo. El
medio de propagación habitual del malware hoy en día es Internet, que permite maximizar el
número de usuarios afectados.

Dentro del malware encontraremos tres tipos principales perfectamente diferenciados: virus,
gusanos y troyanos. A partir de ahí existen multitud de elementos peligrosos que podrían ser
catalogados en uno u otro tipo (o en varios a la vez). Así, es común oír hablar de:
t) Adware: cualquier programa que automáticamente ejecuta, muestra o descarga publicidad al
navegador web de un usuario.
u) Spyware: recopilan información de la actividad de un usuario espiando sus comunicaciones,
accediendo a sus cookies, monitorizando sus acciones, etc. La información recogida es enviada a un
tercero.
v) Crimeware: un concepto relativamente nuevo que hace referencia a software creado
específicamente para llevar a cabo delitos en entornos financieros online.
w) Scareware: se trata de asustar a las víctimas para conseguir sus objetivos.
Un nuevo tipo de malware comienza a aparecer con fuerza asociado al crecimiento de las redes sociales. Se trata de
aplicaciones maliciosas que se mueven dentro del contexto de redes sociales destinadas a robar datos personales,
suplantar identidades, etc. Un ejemplo es el gusano Koobface, que ataca a varias redes sociales muy conocidas,
incluyendo Facebook, Twitter, y Myspace

o Virus
Un virus informático es similar a un virus biológico en el sentido de que tampoco es una entidad
independiente, capaz de sobrevivir y reproducirse de modo aislado. Se compone de una secuencia
de código. Para poder propagarse necesita infectar a un huésped, que en este caso será un programa
informático o un documento. Muchos virus se esconden dentro de archivos de programas
aparentemente limpios, y cuando el programa es ejecutado, el código del virus también es ejecutado
y se carga en la memoria principal de la máquina. Desde allí, el código del virus puede buscar otros
programas en el sistema que puedan ser infectados. Si encuentra uno, el virus inserta su código en
ese programa, que una vez infectado también puede ser usado para infectar a más programas.

La mayoría de los virus no solo se replican a sí mismos, sino que también realizan otras operaciones
que habitualmente son dañinas para sus huéspedes. Así, un virus puede por ejemplo eliminar ciertos
archivos vitales de un sistema, sobrescribir el sector de arranque de un disco duro dejando el disco
inhabilitado, mostrar mensajes en la pantalla, emitir ruidos, etc.

La mayoría de los virus están diseñados para ejecutar su código dañino en el momento de ser
ejecutados. Sin embargo, hay algunos otros que no atacan en ese momento, sino que están
diseñados para esperar a una fecha concreta o a un evento particular. Estos virus permanecen en
estado latente en el sistema hasta que actúan.

El proceso de actuación de un virus cuenta con cuatro pasos comunes: el programa huésped se
ejecuta, el código del virus se carga en memoria, el virus ejecuta su código dañino y finalmente se
replica a sí mismo intentado propagar su infección. Cualquier virus informático cuenta con tres
partes destinadas a cumplir con sus objetivos:
43.4 Sistema de reproducción: encargado de infectar otros sistemas o archivos mediante el
aprovechamiento (ilícito) de los recursos de la máquina huésped.
43.5 Sistema de ataque: en caso de existir se trata de una serie rutinas destinadas a dañar el
sistema huésped de un modo u otro. El daño puede ir desde pequeños inconvenientes como
mensajes molestos, hasta ataques desastrosos como la pérdida masiva de datos.
43.6 Sistema de defensa: destinado a ocultar la presencia del virus mientras sea posible y a
dificultar su eliminación.

Existen una serie de fases por las que un virus pasa a lo largo de su vida:
 Creación: nacimiento del virus mediante la escritura de su código.
 Reproducción: es la fase en la que cumple con su función característica de propagación,
infectando el mayor número posible de programas o archivos.
 Activación: cuando un virus con capacidad de ataque se activa (por causa de algún evento
concreto como una fecha, una acción ejecutada por un usuario, etc.) sus rutinas de ataque se
ejecutan dando como consecuencia los más variados daños.
 Descubrimiento: esta fase comienza cuando el virus es detectado, identificado y
documentado por primera vez.
 Asimilación: las compañías fabricantes de antivirus modifican sus soluciones para conseguir
detectar y eliminar las infecciones causadas por el virus.
 Erradicación: el uso exhaustivo de antivirus limita las infecciones del virus eliminando su
amenaza.

El índice de peligrosidad es una medida del impacto que produce su código malicioso y la
capacidad de propagación a otros sistemas. El nivel de daño indica el perjuicio que un virus causa al
infectar un sistema informático. El grado de propagación indica lo extendido que se encuentra el
virus. La propagación de un virus se determina mediante el ‘ratio de infección’, que mide el
porcentaje de ordenadores infectados en relación al total de equipos explorados. El grado de
propagación de un virus podría variar entonces desde ‘poco extendido’ hasta ‘epidemia’.

 Tipos de virus
8. Virus de sector de arranque: Se esconde en el código ejecutable del sector de arranque de
discos de memoria secundaria o de discos de arranque externos (diskettes, CD-ROMs, etc.).
9. Virus de archivo: se caracterizan por unirse a archivos en los que residen y que pueden usar
para propagarse entres sistemas. Suelen infectar archivos ejecutables, pero también existen
virus capaces de unirse a archivos de código fuente, librerías o módulos de objetos e incluso
archivos de datos.
10. Macrovirus o virus de macro: los virus de macro hacen uso de la capacidad que ciertas
aplicaciones, como Word y Excel, tienen para ejecutar internamente ciertos códigos
programados llamados macros.
11. Virus mixtos, bimodales o multiparte: se trata de una combinación de virus de archivo, de
macro y de sector de arranque.
12. Virus de BIOS: se alojan en la BIOS del ordenador y cada vez que esta se arranca, infectan a
los archivos del sistema.
----
13. Virus de compañía: estos virus no modifican los archivos infectados, sino que crean una
copia del archivo original y modifican esta copia. Cuando el archivo original se ejecuta, el
virus hace que se pase el control al archivo infectado.
 14. Retrovirus: se trata de virus especialmente diseñados para evitar ser detectados e infectar a
los programas antivirus.
15. Virus de sobreescritura: el código del virus se escribe encima de un fichero ejecutable
destruyéndolo.
16. Virus parásitos: los archivos huésped son modificados solo en parte, de modo que no son
destruidos y pueden incluso simular que siguen funcionando.
17. Virus mutantes: cuando infectan a un huésped, modifican su propio código para evitar que
su ‘huella’ sea detectada por programas antivirus.
18. Virus sin punto de entrada: conocidos como virus EPO (Entry Point Obscuring). Se destacan
porque la instrucción que hace pasar el control al virus se inserta en un lugar indeterminado
del archivo huésped. Esto hace que el virus no se manifieste hasta que se realiza una acción
concreta dentro del ejecutable infectado. Esto les permite permanecer en un estado latente
durante mucho tiempo.
19. Virus de enlace: se caracterizan porque la infección consiste en la inserción de un enlace a
algún otro lugar (por ejemplo el último cluster de un disco duro o un cluster marcado como
erróneo) en donde realmente se aloja el código del virus.
20. Virus OBJ, LIB y código fuente: infectan librerías o módulos usados por otros ejecutables.
21. Virus de script: se trata de virus que actúan sobre lenguajes de script habitualmente
asociados a páginas web.
22. Virus en estado salvaje: son aquellos que se encuentran en circulación en estos momentos.
23. Virus de zoológico: son virus que han perdido su capacidad para infectar.
24. Generadores de virus: son virus que al mutar generan nuevos virus.
25. Virus que crean dependencia: no es posible eliminarlos sin hacer que la máquina pierda
elementos vitales y deje de funcionar.
26. Bombas de tiempo: se ocultan en los sistemas hasta que llega una fecha concreta o pasa un
determinado periodo de tiempo.

En cuanto al modo en que el virus produce la infección del sistema, podemos enumerar los
siguientes:
- Añadidura o empalme: El código del virus se añade al final de un archivo huésped
(habitualmente un ejecutable) y se modifica la estructura de arranque del mismo, haciendo
que el virus se ejecute en primer lugar antes de pasar el control al fichero original. El
resultado es un aumento del tamaño inicial del archivo, permitiendo así una fácil detección.
- Inserción: el virus se instala en zonas de código no utilizada o en segmentos de datos para
que el tamaño del archivo no varíe.
- Reordenación: se introduce el código del virus en sectores del disco duro que quedan
marcados como defectuosos y se distribuyen enlaces a dichos sectores en el código de otros
programas ejecutables que quedan así infectados.
- Polimorfismo: realiza una compactación del código del archivo huésped o del código del
propio virus para evitar así un aumento del tamaño que lo delate. En el momento de actuar,
el virus descomprime en memoria.
- Sustitución: este método, muy poco sutil, consiste en sustituir directamente el código del
programa huésped al completo por el código del virus.

o Troyanos
Los Troyanos son códigos maliciosos que intentan mostrarse como algo útil o apetecible para que
una víctima lo ejecute. Mientras se encuentran en el sistema pueden dedicarse a enviar información
a un tercero, a preparar el sistema para un ataque posterior o la creación de puertas traseras
(backdoors). Además, a diferencia de los virus, no tienen la capacidad para replicarse e infectar
otros sistemas por sí solos. Podríamos tener los siguientes tipos:
 - Troyanos de control remoto: su objetivo es proporcionar al atacante el control de la máquina
donde reside el troyano. Back_orifice o Netbus
- Troyanos que envían datos: su objetivo es enviar al atacante datos confidenciales tomados
de la máquina atacada y de la información que cualquier usuario almacene en ella. El
objetivo suele ser obtener usuarios y claves de acceso, número de tarjetas de crédito, cuentas
bancarias, etc.
- Troyanos destructivos: su objetivo es causar daños mediante la destrucción de información.
- Troyanos de ataque de denegación de servicio: el objetivo de estos troyanos es convertir a
las víctimas en participantes involuntarios en ataques de denegación de servicio distribuidos
(DDoS). La máquina infectada se denomina comúnmente botnet o máquina zombie.
- Troyanos Proxy: se trata de troyanos que permiten convertir la máquina infectada en un
Proxy a disposición del atacante. Este podrá utilizarlo como punto intermedio para otros ataques,
dificultando así que el ataque pueda ser rastreado hasta la máquina original
- Troyanos FTP: se caracterizan por infectar el sistema a través del puerto del protocolo FTP
(el 21) y permitir al atacante usar dicho protocolo libremente contra la máquina infectada.
- Deshabilitadores de software de seguridad: incluyen herramientas para evitar o incluso
eliminar software de protección como antivirus o firewalls.

Existen fundamentalmente dos modos mediante los cuales un troyano puede acceder e instalarse en
un equipo huésped: mediante adjuntos en correos electrónicos o mensajería instantánea y mediante
la instalación voluntaria de software: suele tratarse de software de dudosa procedencia, shareware,
freeware, versiones de prueba, etc. Contra esto, cabe destacar el uso cada vez más habitual de certificados
digitales que permiten identificar tanto el servidor al que nos conectamos como el propio software que podemos
descargar firmado. De este modo nos aseguraríamos que lo estamos descargando realmente de donde pretendemos y
que no ha sido modificado durante la comunicación.
La infección por troyanos suele tener un indispensable componente de ingeniería social

o Gusanos
Un gusano es un programa que una vez ejecutado se replica sin necesidad de la intervención humana y es capaz de
enviar copias de sí mismo a través de redes de comunicaciones, sin la necesidad de que un usuario envíe un correo
electrónico infectado ni establezca ninguna comunicación explícita. Se propagará de anfitrión en anfitrión haciendo un
uso indebido de servicios desprotegidos: correo electrónico, herramientas de mensajería instantánea, etc. Aunque la
propagación en sí no tiene por qué ser dañina, sucede lo mismo que con los virus: es habitual que los gusanos incluyan
código malicioso destinado a dañar los sistemas infectados. De hecho, algunas de las infecciones más dañinas y
conocidas han sido provocadas por gusanos: ILoveYou, Kournikova. Algunos gusanos no incluyen código malicioso,
pero su ataque consiste en el reenvío de sí mimos hasta conseguir agotar los recursos de la máquina atacada.
Sin embargo, al contrario que los virus, los gusanos son programas completos. No solo en el sentido de que son capaces
de enviarse copias de sí mismos a través de Internet, sino porque no necesitan de ningún programa huésped para
hacerlo. No necesitan corromper otros programas e insertar su código allí. Su funcionamiento se basa en errores en
sistemas operativos, aplicaciones o protocolos que son aprovechadas por los gusanos para ejecutarse
Tenemos los siguientes tipos:

x) Gusanos de redes de área local: se propagan a través de los recursos compartidos de una red
local.
y) Gusanos de redes P2P (Peer to Peer): incluyen archivos en estas redes que al ser
descargados traen consigo el gusano.
z) Gusanos de correo electrónico: El gusano accede a las direcciones de correo de la agenda de
un usuario y se reenvía usando la propia cuenta del usuario. Sircam, Nimda
aa) Gusanos de mensajería instantánea (IRC, MSN Messenger)
bb) Gusanos que se propagan directamente por Internet: los gusanos más avanzados no dependen de
ninguna aplicación en particular para propagarse. Su estrategia de infección puede basarse en encontrar puertos
abiertos en las máquinas objetivo y conseguir introducirse en la máquina sin que los usuarios se percaten de
ello. Otros gusanos infectan los servidores de información, haciendo que la simple petición de una página web
 haga que el gusano pueda pasar al cliente, como es también el caso de gusano Nimda en otro de sus modos de
contagio

 MEDIOS PREVENTIVOS Y REACTIVOS

Entre todas estas medidas destinadas a la prevención de infecciones y la reacción en caso de que
llegase a producirse, podríamos citar:

 Contar con programas antivirus perfectamente configurados y actualizados. Es la

herramienta principal en la lucha contra infecciones. Permiten detectar y en muchos casos
eliminar los virus.
 Mantenerse siempre actualizados los sistemas operativos y demás software, especialmente
con las actualizaciones específicas de seguridad.
 Controlar el software ya instalado en las máquinas y de todo aquel que se vaya a instalar.
 Los servicios activos en el sistema se mantendrán en el mínimo número necesario. Solo
aquellos realmente necesarios para los objetivos de la organización deberían permanecer
activos.
 Mantener copias de seguridad de los datos, de los programas y de los sistemas operativos.
 Gestionar adecuadamente las cuotas de uso de disco y memoria de cada usuario. Esto evitará
que si un usuario provoca una infección, no se consuman todos los recursos de la máquina
afectada, solo los asignados a dicho usuario.
 Tanto los administradores como los usuarios deben asumir buenas prácticas de prevención:
No abrir nunca archivos adjuntos de dudosa procedencia, desactivar las opciones de
visualización de imágenes y vista previa de gestores de correo, no aceptar descargas ni
instalaciones de software no iniciadas voluntariamente, etc.

 SISTEMAS ANTIVIRUS Y DE PROTECCIÓN

o Antivirus

Los antivirus constituyen la piedra angular sobre la que se basa la mayor parte de la defensa contra
virus, troyanos, gusanos y malware en general. Su objetivo es el de detectar, bloquear, eliminar y
prevenir infecciones provocadas por virus informáticos. Cuando un antivirus detecta una infección,
podrá actuar en dos modos distintos. Si tiene capacidad para ello, podría eliminar la infección sin
dañar los recursos afectados. Si no es así, propondrá la puesta en cuarentena de los recursos
afectados (habitualmente archivos), que quedarán aislados del resto del sistema y se impedirá que
sean ejecutados. Esto último no elimina la infección, pero la bloquea impidiendo que el virus
ejecute su código malicioso y evita que el virus pueda propagarse.

Los antivirus pueden detectar las infecciones siguiendo una de estas dos estrategias:
 Detección de patrones: cada virus tiene un patrón de identificación, que suele ser una
secuencia de código que le identifica. Los antivirus poseen una base de datos de patrones
de virus y las comparan con los archivos del sistema para ver si existe alguna infección.
Detectan un gran número de virus, pero para ello necesitan que sus bases de datos de
patrones estén actualizadas. Todo aquel virus que no figure en la base de datos será
simplemente indetectable.
  Heurísticas: usan técnicas de inteligencia artificial para lograr reconocer secuencias de
acciones o comportamientos asociados a virus. Se trata de reconocer acciones que
usualmente los virus realizan (borrado de ficheros, conexiones a Internet, modificar
archivos ejecutables, etc) Las técnicas heurísticas permiten detectar virus nuevos sin
necesidad de actualizaciones. Pero, por otro lado, pueden generar muchos falsos
positivos sobre programas que en realidad no son virus.

A la hora de seleccionar el antivirus más apropiado para nuestros sistemas, deberíamos tener en
cuenta las siguientes características:

 Frecuencia de actualización
 Protección en tiempo real
 Capacidad de centralización: Permiten ser controlados y gestionados desde una única
máquina.
 Programación de tareas: los escaneos puedan ser programados para que se ejecuten en
horas de poca actividad (durante la noche, por ejemplo).
 Protección del correo
 Generación de informes

Todos los equipos del sistema deberían tener su propio antivirus instalado.

o Otras medidas de protección

Para proteger nuestros sistemas contra infecciones sería conveniente disponer de algunos otros
elementos:

Cortafuegos (firewalls): Los gusanos se propagan por la red conectándose a servicios con agujeros
de seguridad, alojados en diferentes sistemas a lo largo de la red. El administrador debe verificar
que el firewall no permita conexiones a estos servicios. Muchos firewalls modernos son capaces de
filtrar en el tráfico de la red aquellos paquetes en los que se detecten ciertas firmas asociadas a virus
o gusanos.

NIDS (Sistemas de detección de intrusos de red): Buscan en el tráfico de red firmas o patrones de
comportamiento relacionados con virus o gusanos.

HIDS (Sistemas de detección de intrusos de host): mediante el control de las características de un

fichero, tales como tamaño, fecha de creación y control de integridad, pueden detectar
inmediatamente si ha ocurrido algo irregular que apunte a una infección.

Sandboxes: El concepto de sandbox se basa en que una aplicación o programa tiene su propio
entorno para ejecutarse y no puede afectar al resto del sistema. Esto quiere decir que los recursos y
los privilegios que la aplicación tiene mientras es ejecutada, son limitados.

Honeypot: Se denomina honeypot a un sistema especialmente preparado para ser o parecer

vulnerable, de modo que sea fácil de infectar por malware. Este sistema está estrictamente
monitorizado, de modo que el administrador puede obtener información sobre las amenazas que se
ciernen sobre el sistema real con antelación.
Tema 43: Certificados digitales. Tarjetas criptográficas. Firma digital. Técnicas de cifrado.
Infraestructura de clave pública (PKI).

1. TECNICAS DE CIFRADO
La criptografía ha sido usada a través de los años para enviar mensajes confidenciales y su
propósito es que sólo la persona “autorizada” pueda acceder a la información contenida en el
mensaje. Para conseguirlo se aplica una transformación al mensaje conocida como cifrado. La rama
del conocimiento que estudia las técnicas para descubrir el sentido de los mensajes cifrados,
desconociendo el algoritmo o clave secreta empleada en el cifrado, es el criptoanálisis. Si se
intenta “romper” el cifrado probando uno a uno todos los posibles valores de la clave de descifrado,
lo que se hace, es lo que se conoce como un ataque de fuerza bruta. El conjunto formado por las
disciplinas criptografía y criptoanálisis se conoce como criptología.
Las técnicas criptográficas clásicas, básicamente realizan el cifrado en base a la sustitución y
transposición de los caracteres del mensaje. Como ejemplos podemos citar la sustitución
monoalfabeto (algoritmo de César), sustitución polialfabeto, trasposición, etc.
Por otro lado, las técnicas criptográficas modernas, realizan el cifrado en base a claves de cifrado.
Una premisa fundamental de la criptografía moderna es que, los algoritmos deben ser conocidos
públicamente y su seguridad solo debe depender de la clave de cifrado. En lugar de mantener oculto
el funcionamiento de los algoritmos, es mucho más seguro y efectivo mantener en secreto las
claves. En función de si se usa la misma clave para el cifrado y descifrado o no, se pueden agrupar
en:
- Sistemas de cifrado simétrico o de clave privada: DES, 3DES, AES, IDEA, RC5, etc.
- Sistemas de cifrado asimétrico o de clave pública: RSA, DSA, Diffie-Hellman, ElGamal,
etc.
Si se sigue un criterio de clasificación de las técnicas criptográficas basado en como procesan la
información, pueden ser:
- Técnicas criptográficas de cifrado en modo flujo (stream cipher): estos algoritmos de
cifrado se basan en la combinación de un texto en claro con un texto de cifrado obtenido a
partir de una clave. La característica fundamental es que se va cifrando un flujo de datos bit
a bit. Ejemplos: RC4, SEAL.
- Técnicas criptográficas de cifrado en modo bloque (block cipher): se caracterizan porque el
algoritmo de cifrado o descifrado se aplica separadamente a bloques de longitud l, y para
cada uno de ellos el resultado es un bloque de la misma longitud: Ejemplos: DES, 3DES,
AES.
 - Técnicas criptográficas basadas en funciones resumen (hash functions): la característica
principal de estos algoritmos es que permiten obtener una cadena de bits de longitud fija a
partir de un mensaje de longitud arbitraria: Ejemplos: MD5, familia SHA.

1.1. Criptografía de clave privada o simétrica

La criptografía de clave simétrica, se caracteriza porque la clave de descifrado k, es idéntica a la

clave de cifrado o se puede obtener a partir de esta. La seguridad del sistema recae pues en
mantener en secreto la clave k. El principal inconveniente de la criptografía simétrica, es el
intercambio de claves.
Sustitución monoalfabeto. Un ejemplo de algoritmo de cifrado por sustitución monoalfabeto es el
cifrado César. El algoritmo consiste en sustituir cada letra del mensaje por la que hay X posiciones
más adelante en el alfabeto (volviendo a empezar en la letra A si se llega a la Z). Para un alfabeto de
longitud n: C = (M+X) mod n. El descifrado de un mensaje consistiría en sustituir cada letra del
texto por la que hay X posiciones atrás en el alfabeto.
Sustitución polialfabeto. Corresponde a una aplicación cíclica de n cifrados de sustitución
monoalfabeto. Un ejemplo típico de cifrado polialfabético es el Cifrado de Vigenére.
Cifrado en flujo. El funcionamiento de un cifrado en flujo consiste en la combinación de un texto
claro M con un texto de cifrado S que se obtiene a partir la clave simétrica k. Para descifrar, sólo se
requiere realizar la operación inversa con el texto cifrado y el mismo texto de cifrado S. En los
esquemas de cifrado en flujo, el texto claro M tiene una longitud variable y el texto de cifrado S ha
de ser como mínimo igual de largo. Existen varias formas de obtener el texto cifrado S en función
de la clave k:
 Si se escoge una secuencia k más corta que el mensaje M, una posibilidad sería repetirla
cíclicamente tantas veces como sea necesario para ir sumándola al texto en claro.
 En el otro extremo, se podría tomar directamente S(k) = k. Esto quiere decir que la propia
clave debe ser tan larga como el mensaje que hay que cifrar. Este es el principio del
conocido cifrado de Vernam. Si k es una secuencia totalmente aleatoria que no se repite
cíclicamente, estamos ante un ejemplo de cifrado incondicionalmente seguro.
 Lo que en la práctica se utiliza son funciones que generan secuencias pseudoaleatorias a
partir de una semilla (un número que actúa como parámetro del generador), y lo que se
intercambia como clave secreta k es solamente esta semilla.
Un ejemplo clásico de cifrado en flujo es RC4, conocido por ser el algoritmo de cifrado empleado
en el sistema de seguridad WEP (Wired Equivalent Privacy) reconocido en el estándar IEEE
802.11.

Cifrado en bloque. Un algoritmo de cifrado en bloque, se aplica a bloques de longitud fija,

obteniendo como resultado para cada bloque, un nuevo bloque de la misma
longitud. Muchos de los algoritmos de cifrado en bloque se basan en la combinación
de dos operaciones básicas: sustitución y transposición.
 La sustitución consiste en traducir cada bloque de bits que llegan como entrada a otro de
salida siguiendo una permutación determinada.
 La transposición consiste en reordenar la información del texto en claro según un patrón
determinado. Un ejemplo podría ser la formación de grupos de cinco letras, incluidos los
espacios en blanco, y rescribir cada grupo (1, 2, 3, 4, 5) en el orden (3, 1, 5, 4, 2).
Dos propiedades deseables en un algoritmo criptográfico son la confusión y la difusión. La
confusión consiste en esconder la relación entre la clave y las propiedades estadísticas del texto
cifrado. La difusión propaga la redundancia del texto en claro a lo largo del texto cifrado para que
no sea fácilmente reconocible. La confusión consigue que, cambiando un solo bit de la clave,
cambien muchos bits del texto cifrado, y la difusión implica que el cambio de un solo bit del texto
en claro afecte también a muchos bits del texto cifrado. El cifrado bloque opera en varios modos:
 El modo ECB (Electronic Codebook): consiste en dividir el texto en bloques y cifrar cada
uno de ellos de forma separada. El inconveniente de este método es que bloques idénticos
de mensaje sin cifrar producirán idénticos textos cifrados.
 En el modo CBC (Cipher Block Chaining), antes de ser cifrado, a cada bloque de texto se le
aplica una operación XOR bit a bit, con el previo bloque ya cifrado. De este modo, cada
bloque es dependiente de todos los bloques de texto previos hasta ese punto. Además, para
hacer cada mensaje único se puede usar un vector de inicialización. CBC es el modo usado
más a menudo. Su principal contrapartida es que es secuencial y no puede funcionar en
paralelo.
 En el modo CFB (Cipher Feedback), el algoritmo de cifrado no se aplica directamente al
texto en claro sino a un vector auxiliar (inicialmente igual al IV). Del resultado del
cifrado se toman n bits que se suman a n bits del texto en claro para obtener n bits de
texto cifrado. Estos bits cifrados se utilizan también para actualizar el vector auxiliar. El
número n de bits generados en cada iteración puede ser menor o igual que la longitud de
bloque b.
  El modo OFB (Output Feedback) opera como el CFB pero en lugar de actualizar el
vector auxiliar con el texto cifrado, se actualiza con el resultado obtenido del algoritmo
de cifrado.

Ejemplos de algoritmos de cifrado en bloque:

 DES: Es el prototipo de algoritmo de cifrado por bloques: toma un texto en claro de una
longitud fija de bits y lo transforma mediante una serie de operaciones básicas en otro texto
cifrado de la misma longitud, dividiendo para ello el mensaje, en bloques de 64 bits.. La
longitud de la clave es de 64 bits, aunque en realidad, sólo 56 de ellos son empleados por el
algoritmo. Los ocho bits restantes se utilizan únicamente para comprobar la paridad, y
después son descartados. El cifrado y el descifrado son procesos muy similares. La única
diferencia es que las subclaves se aplican en orden inverso cuando desciframos. La parte
central del algoritmo consiste en dividir el mensaje de entrada en grupos de bits, hacer una sustitución distinta
sobre cada grupo y, a continuación una transposición de todos los bits. Esta transformación se repite dieciséis
veces: en cada iteración, la entrada es una transposición distinta de los bits de la clave sumada bit a bit (XOR)
con la salida de la iteración anterior. Este entrecruzamiento se conoce como esquema Feistel. (muy simple de
implementar - se aplican en orden inverso al cifrar-descifrar)
 3DES: El principal problema del DES es la vulnerabilidad a los ataques de fuerza bruta,
a causa de la longitud de la clave, de sólo 56 bits. El Triple DES, como su nombre
indica, consiste en aplicar el DES tres veces consecutivas. Esto se puede realizar con tres
claves (k1, k2, k3), o bien con sólo dos (k1, k2, y otra vez k1). La longitud total de la
clave con la segunda opción es de 112 bits (dos claves de 56 bits). La primera opción
proporciona más seguridad, pero a costa de utilizar una clave total de 168 bits (3 claves
de 56 bits), que puede ser un poco más difícil de gestionar e intercambiar. Para conseguir
que el sistema sea adaptable al estándar antiguo, en el Triple DES se aplica una
secuencia cifrado-descifrado-cifrado (E-D-E) en lugar de tres cifrados
 AES: Dado que el estándar DES empezaba a quedarse anticuado, a causa de la longitud tan corta de sus
claves, y el Triple DES no es excesivamente eficiente cuando se implementa en software, en 1997 el NIST
convocó a la comunidad criptográfica a presentar propuestas para un nuevo estándar que sustituyera al

DES.: el algoritmo Rijndael. Puede trabajar en bloques de 128, 192 o 256 bits, y la longitud
de la clave también puede ser de 128, 192 o 256 bits. Dependiendo de esta última longitud, el
número de iteraciones del algoritmo es 10, 12 ó 14, respectivamente. Cada iteración incluye una
sustitución fija byte a byte, una transposición, una transformación consistente en desplazamientos de bits y
XORs, y una suma binaria (XOR) con bits obtenidos a partir de la clave

1.2. Cifrado en base a funciones resumen (hash functions)

Son utilizados para garantizar la autenticidad de los datos. En general, podemos decir que una función hash nos permite
obtener una cadena de bits de longitud fija, relativamente corta, a partir de un mensaje de longitud arbitraria. Para que
una función h se pueda aplicar en sistemas de autenticación, debe cumplir una serie de condiciones que le permitan ser
considerada una función hash segura. Entre ellas destacan la unidireccionalidad y la resistencia a colisiones.
Para dificultar los ataques contra las funciones de resumen, por un lado los algoritmos tienen que definir una relación
compleja entre los bits de entrada y cada bit de salida. Por otro lado, los ataques por fuerza bruta se contrarrestan
alargando lo suficiente la longitud del resumen.
.Ejemplos son el MD5 (Message Digest 5), que obtiene un resumen de sólo 128 bits. Actualmente
se recomienda utilizar algoritmos más seguros, como el SHA-1 (Secure Hash Algorithm-1), que
obtiene resúmenes de 160 bits. Se publicaron variantes de este algoritmo que generan resúmenes de
256, 384 y 512 bits.

1.3. Criptografía de clave pública o asimétrica

En un algoritmo criptográfico de clave pública se utilizan claves distintas para el cifrado y el

descifrado. Una de ellas, la clave pública, se puede obtener fácilmente a partir de la otra, la clave
privada, pero por el contrario es prácticamente imposible. En la práctica, los algoritmos utilizados
permiten cifrar y descifrar fácilmente, pero todos ellos son considerablemente más lentos que los
equivalentes con criptografía simétrica. Por eso, la criptografía de clave pública se suele utilizar
solo en los problemas que la criptografía simétrica no puede resolver: el intercambio de claves y la
autenticación con no repudio (firmas digitales).
La autenticación basada en clave pública se puede utilizar si el algoritmo permite utilizar las claves
a la inversa: la clave privada para cifrar y la clave pública para descifrar. Si A envía un mensaje
cifrado con su clave privada, todo el mundo podrá descifrarlo con la clave pública de A, y al mismo
tiempo todo el mundo sabrá que el mensaje sólo lo puede haber generado quien conozca la clave
privada asociada (que debería ser A). Ésta es la base de las firmas digitales.
x) Diffie-Hellman: Es un mecanismo que permite que dos partes se pongan de acuerdo de
forma segura sobre una clave secreta utilizando un canal inseguro. El algoritmo se basa en la
dificultad de calcular logaritmos discretos y se usa generalmente como medio para acordar
claves simétricas que serán empleadas para el cifrado de una sesión.
y) RSA: Es el algoritmo más utilizado en la historia de la criptografía de clave pública. Su nombre procede de
las iniciales de quienes lo diseñaron en 1977: Ronald Rivest, Adi Shamir y Leonard Adleman. La clave pública
está formada por un número n, calculado como producto de dos factores primos muy grandes (n = p · q) y un
exponente e. La clave privada es otro exponente d calculado a partir de p, q y e, de tal forma que el cifrado y el
descifrado se puede realizar de la siguiente forma:
Cifrado: C = Me mod n
Descifrado: M = Cd mod n
Como se puede ver, la clave pública y la privada son intercambiables: si se usa cualquiera de
ellas para cifrar, se deberá utilizar la otra para descifrar. La fortaleza del algoritmo RSA se basa, por
un lado, en la dificultad de obtener M a partir de C sin conocer d (problema del logaritmo discreto),
y por otro lado, en la dificultad de obtener p y q (y, por tanto, d) a partir de n (problema de la
factorización de números grandes, que es otro de los problemas considerados difíciles).

FIRMA DIGITAL
Una firma digital es, básicamente, un mensaje cifrado con la clave privada del firmante. Pero, por
cuestiones de eficiencia, lo que se cifra no es directamente el mensaje a firmar, sino solamente su
resumen calculado con una función hash segura.
La firma digital está basada en algoritmos criptográficos asimétricos. El proceso para realizar una
firma digital se resume a continuación:
i) El emisor obtiene un resumen del mensaje a través de una función resumen (Hash). La
propiedad más importante de ese resumen o hash es que dos documentos diferentes siempre
deben producir resúmenes diferentes.
j) El resumen obtenido se cifra con la clave privada del firmante y se obtiene la firma digital
del documento.
k) El receptor del mensaje firmado utiliza la clave pública para descifrar la firma, obtiene el
resumen del documento recibido y comprueba que es igual que el resumen que le ha llegado
cifrado en la firma digital. De esta forma se garantiza que el contenido del mensaje no ha
sido manipulado.
La firma digital, por si misma, no aporta confidencialidad al mensaje pero es habitual que los
mensajes firmados electrónicamente se suelan enviar cifrados con la misma clave privada utilizada
para mayor seguridad. La firma digital aporta:
l) Identificación del firmante: la firma identifica al firmante de forma única igual que su firma
manuscrita.
m) Integridad del contenido firmado: es posible verificar que los documentos firmados no
hayan sido alterados por terceras partes.
n) No repudio del firmante: un documento firmado electrónicamente no puede repudiarse por
parte de su firmante.

2. INFRAESTRUCTURA DE CLAVE PUBLICA (PKI)

Como se ha visto hasta ahora, la criptografía de clave pública permite resolver el problema del intercambio de claves,
utilizando las claves públicas de los participantes. Pero se plantea otro problema: si alguien afirma ser A y su clave
pública es kpub, ¿cómo podemos saber que realmente kpub es la clave pública de A? Porque es perfectamente posible que
un atacante Z genere su par de claves (k’pr, k’pub) y afirme “yo soy A, y mi clave pública es k’pub”.
Una posible solución a este problema es que exista una entidad de confianza que nos asegure que, efectivamente, las
claves públicas pertenecen a sus supuestos propietarios. Esta entidad puede firmar un documento que afirme “la clave
pública de A es kpub”, y publicarlo para que todos los usuarios lo sepan. Este tipo de documento se llama certificado de
clave pública o certificado digital, y es la base de lo que se conoce como infraestructura de clave pública o PKI.
Una PKI está formada entre otros por los siguientes elementos: Certificados digitales, Autoridades
de certificación (AC), Autoridades de registro (RA), Autoridades de validación (VA), Autoridades
de sellado de tiempos (TSA), Directorios de certificados, Hardware criptográfico (HSM), Tarjetas
criptográficas (TI).

2.1. Certificados Digitales

Un certificado digital es un documento firmado electrónicamente que autentica la relación de una
clave pública con un participante. El certificado garantiza que la clave pública pertenece al
participante identificado y que el participante posee la correspondiente clave privada. Los
certificados digitales sólo son útiles si existe una Autoridad de Certificación (CA) que los valide, ya
que si uno se certifica a sí mismo no hay ninguna garantía. Para ello la CA después de comprobar la
identidad de un participante firma electrónicamente el certificado.
El formato estándar de los certificados es el X.509v3, que incluye entre sus datos: versión, número
de serie del certificado, identificador del algoritmo de firmado, nombre de emisor, período de
validez, nombre del sujeto, clave pública del sujeto, identificador del emisor, identificador del
sujeto, extensiones y firma de la autoridad de certificación.
Los certificados digitales se diferencian según la finalidad para la que son solicitados. Así
podemos tener certificados para personas físicas, certificados de servidor, certificados para la
firma de código, certificados de entidad, etc.

2.2. Autoridad de Certificación

Una Autoridad de Certificación, es una entidad fiable, encargada de garantizar de forma unívoca y
segura la identidad asociada a una clave pública. La Autoridad de Certificación, por sí misma o
mediante la intervención de una Autoridad de Registro, verifica la identidad del solicitante de un
certificado antes de su expedición o, en caso de certificados expedidos con la condición de
revocados, elimina la revocación de los certificados al comprobar dicha identidad. La Autoridad de
Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los
terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave
pública.
Las CA disponen de sus propios certificados públicos, cuyas claves privadas asociadas son empleadas por las CA para

firmar los certificados que emiten. Un certificado de CA puede estar auto-firmado cuando no hay ninguna
CA de rango superior que lo firme. Este es el caso de los certificados de CA raíz, el elemento
inicial de cualquier jerarquía de certificación. Una jerarquía de certificación consiste en una
estructura jerárquica de CAs en la que se parte de una CA auto-firmada, y en cada nivel, existe una
o más CAs que pueden firmar certificados de entidad final (servidor web, persona, aplicación de
software) o bien certificados de otras CA subordinadas plenamente identificadas y cuya Política de
Certificación sea compatible con las CAs de rango superior.
Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su período
de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia puede
restablecerse en determinadas condiciones. Para comprobar si un certificado está revocado
generalmente se utilizan las CRL (Certificate Revocation List). Las causas por las que se añaden
certificados a las CRL suelen ser la sustracción, errores, cambios de derechos, ruptura de la CA, etc.
Otro método alternativo de comprobación es el protocolo de estado de certificado en línea OCSP
(Online Certificate Status Protocol). Este método permite a los clientes desprenderse de la gestión
del estado de los certificados y obtener una confirmación online del estado. Para ello la CA debe
poner a disposición de todos los usuarios potenciales un servicio seguro online de alta
disponibilidad.

2.3. Autoridad de Registro

La Autoridad de Registro gestiona el registro de usuarios y sus peticiones de

certificación/revocación, así como los certificados respuesta a dichas peticiones. Indica a la CA si
debe emitir un certificado. La Autoridad de Registro es la que autoriza la asociación entre una clave
pública y el titular de un certificado. Es la que se encarga de la revocación, expiración, renovación,
reemisión del par de claves del usuario y actualización de datos del certificado.

2.4. Autoridad de Validación

La Autoridad de Validación suministra información de forma online acerca del estado de un

certificado. La Autoridad de Validación suele proporcionar dos servicios de validación: el
tradicional, permitiendo la descarga de CRLs para que el usuario las interprete él mismo, o a través
del protocolo OCSP (Online Certification Status Protocol).

2.5. Autoridad de Sellado de Tiempos

La Autoridad de Sellado de Tiempos (TSA) permite firmar documentos con sellos de tiempo, de
manera que permite obtener una prueba de que un determinado dato existía en una fecha concreta.
Una autoridad de sellado de tiempo actúa como tercera parte de confianza testificando la existencia
de dichos datos electrónicos en una fecha y hora concretas.

2.6. Directorio de Certificados

Los directorios proporcionan almacenamiento y distribución de certificados y listas de revocación

(CRLs). Generalmente se utiliza LDAP para acceder a los directorios.

2.7. Hardware Criptográfico

Los Módulos de Seguridad Hardware (HSM) son dispositivos especializados en realizar labores
criptográficas. Proporcionan almacenamiento seguro de claves y/o realización de funciones
criptográficas básicas como cifrado, firma, generación de claves, etc. Son mucho más rápidos que
las tecnologías basadas en software. Además, este tipo de dispositivos aumentan significativamente
la seguridad en comparación con los certificados basados en disco por:
k) La clave privada y las firmas digitales se generan dentro del HSM.
l) La clave privada se almacena cifrada dentro del HSM.

2.8. Tarjetas y chip criptográficos

Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), es cualquier tarjeta de
tipo bolsillo con circuitos integrados que permiten la ejecución de cierta lógica programada. Las
tarjetas con chip criptográfico son tarjetas micro procesadoras avanzadas en las que hay módulos
hardware para la ejecución de algoritmos usados en cifrado y firmas digitales. Una tarjeta
inteligente con un chip criptográfico se puede definir como una llave muy segura, no duplicable e
inviolable, que contiene las claves y certificados necesarios para la firma electrónica grabados en la
tarjeta y que además está protegida por un PIN secreto y/o biometría. El chip criptográfico
contiene un microprocesador que realiza las operaciones criptográficas con la clave privada, con la
característica adicional de que no es posible el acceso a la clave desde el exterior. Tienen doble
seguridad (posesión de la tarjeta y PIN de acceso (o mecanismos biométricos)) y se precisa de un
middleware (CSP) específico para utilizar la tarjeta, así como de un lector.
Tema 44. Seguridad en entornos de red privados. Mecanismos de protección de la
confidencialidad. Servicios de directorio. Gestión de identidades. Single sign-on. Tipos de
conectividad. Acceso remoto. VPN.

1 SEGURIDAD EN ENTORNOS DE RED PRIVADOS. MECANISMOD DE

PROTECCIÓN DE LA CONFIDEN-CIALIDAD
En las organizaciones, cuando se habla de la seguridad de la red, los conceptos más empleados
suelen ser: Control de accesos, Virus,Virtual Private Networks (VPNs), Confidencialidad,
privacidad, cifrado, Firewalls, Acceso remoto de usuarios, Formación para mantenerse al día,
Comercio electrónico, Diseño pobre de software y sistemas, Email y SPAM.

La seguridad de la red de una organización se refiere a todas las medidas hardware y

software, personal, documentación, y procesos dentro de la infraestructura de red, que en
conjunto protegen la integridad y privacidad de de las aplicaciones, datos y flujos de
información
Una vez identificados los cinco servicios básicos de la seguridad en la red (confidencialidad,
autenticación, integridad, autorización y no repudio), se pueden examinar las tecnologías que se han
definido y desarrollado para implementar esos servicios para necesidades específicas de seguridad y
bajo diferentes entornos operativos. Una forma de clasificar estas tecnologías es en base a la manera
en que implementan los servicios de seguridad:
• Tecnologías básicas: se definen como tecnologías básicas las que sólo implementan
un único servicio de seguridad específico. Ejemplos de estas tecnologías son el
cifrado, el uso de circuitos permanentes virtuales (PVCs) en Frame Relay para hacer
VPNs de capa 2, o las listas de control de acceso de los routers (ACLs).

• Tecnologías avanzadas: este tipo de tecnologías también son diseñadas para

implementar un único servicio de seguridad, pero son relativamente más complejas y
con frecuencia necesitan del uso de varias tecnologías básicas para conseguir sus
objetivos. Un ejemplo es la firma digital para conseguir no repudio en origen.

• Tecnologías integradas: este tipo de tecnologías son definidas utilizando otras

tecnologías básicas, pero son diseñadas para dar soporte a más de un servicio de
seguridad. Ejemplos de estas tecnologías son SSL e IPSEC.

• Arquitecturas de seguridad: son tecnologías de arquitectura de seguridad en red,

que se definen en base a las tecnologías básicas, avanzadas e integradas.
Proporcionan guías para implementar sistemas de seguridad dentro de la arquitectura
 definida. El mejor ejemplo para esta categoría es el uso de una infraestructura de
clave pública (PKI).

SERVICIOS DE DIRECTORIO
La herramienta que se utiliza normalmente para almacenar información acerca de usuarios,
aplicaciones, archivos, impresoras y otros recursos accesibles dentro de la red se conoce como
servicio de directorio. Diferencias B.D. tradicional:
- Una característica especial es que se accede con mucha frecuencia mediante operaciones de
lectura, búsquedas y navegación, mientras que las operaciones de escritura son mucho
menos frecuentes.

- Debido a la característica anterior, estos sistemas están diseñados para soportar gran número
de solicitudes de lectura y el acceso mediante operaciones de escritura puede estar limitado a
ciertos administradores.

- Otra diferencia con las BBDD de propósito general es que la mayoría de implementaciones
de los servicios de directorio no son compatibles entre sí.

- Las consultas a las BBDD de propósito general se hacen en base a una herramienta
estandarizada de consulta llamada SQL mientras que los directorios suelen utilizar un
protocolo de acceso simplificado y optimizado.

Existen numerosas implementaciones de los servicios de directorio de diferentes compañías.

Algunos ejemplos son:
 NIS: Network Information Service es una implementación de Sun Microsistems para redes
en el entorno UNIX.

 Active Directory: es el servicio de directorio de Microsoft.

 ApacheDS: Apache Directory Studio es el servidor de directorio de Apache.

 eDirectory: es un servicio de directorio desarrollado por Novell que soportado por múltiples
plataformas incluyendo Windows, NetWare, Linux.

 OpenLDAP: derivado de la implementación original de referencia LDAP de la Universidad

de Michigan, pero significativamente evolucionado. Es compatible con prácticamente todas
las plataformas actuales: UNIX, Linux, Windows, etc.
En la década de los 80 la UIT y la ISO crearon el conjunto de estándares X.500 sobre el modelo de
referencia OSI para servicios de directorio. X.500 Consta de los siguientes protocolos: protocolo de
acceso al directorio (DAP), protocolo de sistema de directorio, protocolo de ocultación de
información y protocolo de gestión de enlaces de directorio.

2.1 LDAP

LDAP
LDAP (Lightweight Directory Access Protocol) surge como una alternativa a DAP. Se trata de una
serie de estándares del IETF (Internet Engineering Task Force) definidos en varios RFC. La versión
más reciente es la v3 y está publicada como el RFC 4510. Las claves del éxito de LDAP en
comparación con DAP de X.500 son:
44 LDAP utiliza TCP/IP en lugar de los protocolos OSI. TCP/IP requiere menos recursos y está
más disponible.

45 El modelo funcional de LDAP es más simple y ha eliminado opciones raramente utilizadas en

X.500, por lo que es más fácil de comprender e implementar.

46 LDAP representa la información mediante cadenas de caracteres en lugar de complicadas

estructuras ASN.1.

Cliente-Servidor. Puerto-binding-usuario/contraseña-operaciones Unbinding

LDAP organiza el directorio basándose en cuatro modelos: El modelo de información, el modelo de

nombrado, el modelo funcional y el modelo de seguridad.

El modelo de información
El modelo de información describe la estructura de la información almacenada en un directorio
LDAP. El directorio organiza la información en estructuras de datos denominadas entradas. Las
entradas se componen de un conjunto de atributos que son de un tipo concreto y almacenan uno o
varios valores. Además los atributos tienen un identificador de objeto (OID) y una sintaxis que
indica que valores puede contener y como se hacen las comparaciones.
• Ejemplo de atributos: cn: Manuel Rodríguez, ou: VENTAS.

El elemento que define a que clase pertenecen cada uno de los objetos se conoce como Schema. El
Schema define que clases de objetos se pueden almacenar en el directorio, que atributos deben
contener, que atributos son opcionales y el formato de los atributos.
El modelo de nombrado
El modelo de nombrado define como son organizadas e identificadas las entradas. Las entradas son
organizadas en una estructura de árbol conocida como Directory Information Tree (DIT). Las
entradas en el directorio describen objetos (una impresora, un usuario, etc.) y tienen asociado un
identificador llamado Distinguished Name (DN) que los identifica unívocamente. A su vez un DN
consiste en una secuencia de trozos de información más pequeños conocidos como Relative
Distinguished Name (RDN). En la estructura de árbol el RDN se correspondería con una rama y el
DN se obtendría al seguir todo el árbol desde la raíz a una hoja. Generalmente el DN se representa
mediante una secuencia de RDNs separados por comas. Ejemplo:
• cn=Pedro Pérez, ou=VENTAS, o=empresa, c=es”.

El modelo funcional
El modelo funcional describe que operaciones se pueden llevar a cabo sobre la información
almacenada en el directorio LDAP. Estas operaciones se pueden agrupar en tres categorías
principales:
• Autenticación: bind, unbind son operaciones utilizadas para conectar y desconectar con el
servidor LDAP, establecer derechos de acceso y proteger la información. Se puede securizar
una sesión a varios niveles utilizando mecanismos SASL (Simple Authentication and
Security Layer).

• Consultas: es la operación más utilizada. Se pueden hacer búsquedas y comparar

información por diversos criterios especificados por el usuario. Los filtros de búsqueda
tienen una sintaxis propia que se debe seguir: Ejemplo de filtro: (|(sn=León)(sn=Castilla))
obtendría las entradas en las que el apellido sea Castilla o León.

• Actualización: permite las operaciones de añadir, modificar y borrar las entradas (add,
delete, modify).

El modelo de seguridad
El modelo de seguridad describe como la información del directorio puede ser protegida contra
accesos no autorizados. El modelo de seguridad se centra en la operación de bind. Hay varias
formas de inicio de sesión por parte de un usuario:
z) Puede iniciar una sesión de forma anónima con los permisos por defecto.

aa) Puede iniciar una sesión con un nombre de usuario y contraseña en claro.
 bb) Puede hacer uso del mecanismo SASL (Simple Authentication and Security Layer), que es
un Framework de autenticación de carácter general que se puede valer de varios métodos:
por ejemplo Kerberos.

cc) Se puede iniciar una sesión haciendo uso de la extensión TLS (Trasnport Level Security)
para LDAPv3. Esto permite cifrar la sesión LDAP, garantizando la confidencialidad y
protegiendo contra la suplantación de identidad.

GESTION DE INDENTIDADE Y SINGLE SIGN-ON

El SSO habilita a un usuario para acceder a todos los recursos de la red después de una única
autenticación. Los principales elementos de un sistema de gestión de la identidad son los siguientes:
 Autenticación

 Autorización

 Trazabilidad

 Aprovisionamiento: inscripción de usuarios en el sistema

 Automatización de flujos de trabajo: movimiento de datos en procesos de negocio.

 Administración delegada: el uso de control de accesos basado en roles para proporcionar

acceso a recursos.

 Sincronización de contraseñas. Single sing-on habilita a un usuario para acceder a todos

los recursos del sistema después de una autenticación sencilla.

 Servicio de reseteo de contraseñas: capacidad que permite a un usuario cambiar su

contraseña.

 Federación: proceso por el cual la autenticación y permisos son pasados de un sistema a

otro, generalmente a través de diferentes organizaciones, reduciendo así el número de
autenticaciones necesarias para el usuario.

En la Figura 1, se pueden ver los elementos que conforman una arquitectura genérica de gestión de
la identidad:
60. Principales: un principal es un contenedor de identidad.. Los principals se autentican
contra un proveedor de identidad.
 61. Proveedor de identidad: asocia información de autenticación con un principal, así como
atributos y uno o más identificadores.

62. Servicio de atributos: las identidades digitales incorporan más atributos que un
identificador e información de autenticación. El servicio de atributos gestiona la creación y
mantenimiento de estos atributos.

63. Consumidores de datos: son entidades que obtienen y emplean datos gestionados y
proporcionados por los proveedores de atributos, y generalmente son utilizados para llevar a
cabo decisiones de autorización y auditoria.

Administrators
Principals provide attributes Administrat
provide attributes or
Administrat
Attribute Service
or
Princip Attribute Service
al
Princip Attribute Service Data consumers apply
al references to obtain attribute
Princip data
al
Data consumer
Data consumer
Identity provider
Principals
authenticat Identity control Attribute
e, manage interface locator
their Data consumers
identity obtain
elements identifiers,
Principal Identifier attribute
authentication transaltion references

3.1 Gestión federada de identidades

La federación de identidades es en esencia, la extensión de la gestión de la identidad a múltiples

dominios de seguridad. El objetivo es proporcionar el intercambio de identidades digitales para que
un usuario pueda ser autenticado una sola vez y después pueda acceder a recursos a través de
múltiples dominios. Debido a que estos dominios son relativamente autónomos o independientes,
no es posible un control centralizado. Sin embargo, las organizaciones colaboradoras deben formar
una federación, basada en estándares y niveles de confianza mutua para compartir de forma segura
las identidades digitales.
Existe un amplio número de soluciones en el campo de la gestión federada de identidades. Hay
estándares abiertos desarrollados por grandes consorcios, soluciones propietarias desarrolladas por
compañías privadas y proyectos opensource de menor escala. Algunos ejemplos son:
 SAML: Security Assertion Markup Language es un estándar basado en XML desarrollado
por OASIS (Organisation for the Advancement of Structured Information Standards).

 OpenID: es un estándar abierto desarrollado por la OpenId Foundation.

 Shibboleth: Es un proyecto del consorcio Internet2, que proporciona una arquitectura y una
implementación opensource de un sistema de gestión de la identidad federado basado en
SAML.

 WS-Federation: Es un Framework desarrollado por varios fabricantes entre los que

destacan IBM y Microsoft.

 Liberty Identity Federation Framework (ID-FF): Es un Framework de gestión federada

de la identidad, desarrollado por un consorcio formado por más de 150 empresas y
organizaciones y conocida con el nombre de Liberty Alliance.

TIPOS DE CONECTIVIDAD. ACCESO REMOTO. VPN.

Para acceder remotamente de una forma segura a la red de la organización, son necesarias algunas
capacidades básicas relacionadas con la seguridad en los sistemas de acceso remoto:
 Control de acceso a la red: se define una política de seguridad que describe como se puede
acceder de forma segura a la red. Ejemplos de esto son los portales cautivos, el uso del
protocolo 802.1X, etc.

 Autenticación de usuarios y autorización: es la segunda línea de defensa y asegura que la

autenticidad de un usuario mediante el uso de protocolos de autenticación.

 Protección de la conexión e integridad del tráfico: una vez que se establece una sesión, es
necesario asegurar la confidencialidad e integridad del tráfico intercambiado entre las partes.

No hay estándares formales definidos específicamente para explicar como debe ser una arquitectura
de acceso remoto. Sin embargo, hay componentes funcionales que se convierten en estándares de
facto en un despliegue típico de acceso remoto. Los componentes clave que deberían ser tenidos en
cuenta en una arquitectura de acceso remoto típica son los siguientes:
70. Firewall: es un conjunto de tecnologías hardware y software instaladas estratégicamente
entre las redes privadas de la compañía y una o más redes no seguras (incluida Internet).
 71. Zona desmilitarizada (DMZ): es un elemento común en la mayoría de despliegues de
cortafuegos. Es utilizada para proporcionar una zona diferenciada entre los equipos de la red
privada que no tienen acceso desde el exterior y los servidores que si tienen conexión
exterior. En esta red hay servidores bastión que actúan como intermediarios entre los
accesos remotos y la organización. Ejemplos de este tipo de servidores son los proxies y los
servidores de autenticación.

72. Servidor de acceso remoto (RAS): es un servidor que actúa de puerta de enlace entre el
cliente remoto y la red, en arquitecturas de conexión mediante enlaces conmutados
analógicos y/o digitales (p.ej: RDSI). Una vez que un usuario remoto establece la conexión
por medio de una llamada, la línea telefónica es transparente para el usuario, y puede
acceder a los recursos de la red interna.

73. Servidor Proxy: es un servidor, que actúa como intermediario entre un usuario remoto y las
aplicaciones y servicios internos de la organización a los que desea acceder. De esta manera
la empresa puede garantizar la seguridad de las aplicaciones internas, el control
administrativo y tener capacidades de caché (por ejemplo en accesos vía Web). La
autenticación del usuario puede ser hecha por el propio Servidor Proxy o por un servidor de
autenticación.

74. Servidor de autenticación: es el encargado de verificar la identidad de los usuarios que

intentan acceder a la red privada de la organización.

4.1 Virtual Private Networks (VPN)

Las redes privadas virtuales (VPN), proporcionan una forma segura de conectarse desde una
ubicación remota con una red de área local privada (LAN) a través de Internet o cualquier otra red
pública no segura. Una VPN es una conexión que tiene la apariencia y muchas de las ventajas de un
enlace dedicado pero trabajando sobre una red pública. Para esto se utiliza una técnica llamada
tunneling que permite enrutar los paquetes de datos por la red pública en un túnel privado que
simula una conexión punto a punto. Una red privada virtual puede proporcionar los siguientes
beneficios para la organización: Seguridad mejorada, Rendimiento predecible, Independencia
en la elección de las tecnologías de transporte para las redes de usuarios, Espacio de
direcciones IP independiente.
A la hora de crear una VPN para proporcionar acceso remoto, hay que escoger la tecnología que
mejor se adapte al escenario en cuestión. Esta elección de tecnología implica técnicas de tunneling,
autenticación, control de acceso y seguridad de datos. Generalmente se definen tres arquitecturas
principales de VPN:
  Intranet VPN (LAN-to-LAN VPN): en este escenario las redes remotas de la
organización son conectadas entre sí utilizando la red pública, convirtiéndose de esta
manera en una única red LAN corporativa global.

 VPN de acceso remoto: en este tipo de VPNs se ubicarían los usuarios que desde un
host remoto crean un túnel para conectarse a la red privada de la organización.

 Extranet VPN: este tipo de arquitecturas permiten que ciertos recursos de la red privada
de la organización sean accedidos por redes de otras compañías, tales como clientes o
proveedores. En este escenario es fundamental el control de acceso.

La Figura 3 muestra los principales protocolos utilizados para el establecimiento de conexiones

VPN y su ubicación en el modelo de referencia OSI.

Modelo de
referencia OSI Soluciones VPN

APLICACION SOCKSv5, SSL (Secure Socket Layer), TLS (Transport Layer

Security), SSH (Secure SHell)
PRESENTACION

SESION

TRANSPORTE

RED IPSec, GRE

ENLACE Conexión ATM, Frame Relay, PPTP, L2TP, L2F, MPLS

FISICO

Figura 1: Ubicación de las soluciones VPN en el modelo de referencia OSI

A la hora de implementar una arquitectura de red basada en VPN hay dos posibles opciones. Hacer
una implementación por hardware o por software.
Las implementaciones por Hardware realizan el proceso de encriptación y desencriptación del
tráfico a nivel físico entre los extremos de la línea de comunicación. Los dispositivos utilizados
normalmente son routers con capacidades de VPN incorporadas. Como ventajas de esta solución se
puede decir que la instalación y configuración son relativamente sencillas, no se necesita personal
especializado y su mantenimiento es mínimo. Por el contrario presentan el inconveniente de que el
sistema de encriptación viene impuesto por el fabricante y se depende del mismo para las
actualizaciones.
Por otro lado las implementaciones basadas Software se están imponiendo cada día más. La
explicación radica en que, la necesidad de los usuarios pequeños y medianos de implantar sistemas
de seguridad en el acceso a sus máquinas va en aumento. Las implementaciones software son
mucho más baratas que comprar hardware preparado para VPNs y existe un gran número de VPNs
desarrolladas por software. Como inconvenientes de esta aproximación se puede decir que es
necesaria una máquina para dar soporte a la solución, el sistema de claves y certificados reside en
máquinas potencialmente inseguras y en los casos que se utilice software de libre distribución puede
ser que tenga puertas traseras u otras deficiencias de seguridad.

4.2 SSL/TLS
SSL/TLS son los acrónimos de Secure Sockets Layer/Transport Layer Security. El protocolo SSL es
desarrollado en 1995 por Netscape. Se basa en una arquitectura cliente/servidor y fue diseñado
originalmente para permitir el intercambio de información seguro entre un servidor Web y un
navegador. Hoy en día el IETF mantiene el desarrollo de TLS como un protocolo estándar de
Internet. La versión más reciente TLS 1.2 está definida en el RFC 5246 y fue publicada en 2008.
SSL es un protocolo que proporciona autenticación y confidencialidad entre los extremos de la
comunicación mediante el uso de criptografía. Cuando se establece una comunicación por SSL,
habitualmente sólo el servidor es autenticado, aunque es posible la identificación mutua mediante el
despliegue de una infraestructura de claves públicas (PKI). SSL implica una serie fases básicas:
- Negociar entre las partes el algoritmo que se empleará en la comunicación.

- Intercambio de claves públicas y autenticación basada en claves públicas.

- Encriptación del tráfico por medio del uso de cifrado simétrico.

Durante la primera fase, se negocian los algoritmos criptográficos que se van a usar entre el cliente
y el servidor:
 Protocolos de clave pública: RSA, DSA, Diffie-Hellman, etc.

 Protocolos de cifrado simétrico: DES, 3DES, IDEA, AES, RC2, etc.

 Funciones resumen: MD5 o famila SHA.

SSL/TLS proporcionan un abanico amplio de medidas de seguridad:

46. Se numeran todos los registros usando el número de secuencia en el MAC (Message
Authentication Code).

47. Se usa un resumen de mensaje mejorado con una clave (sólo se puede comprobar el MAC
con dicha clave).

48. Proporcionan protección contra varios ataques conocidos (por ejemplo: man-in-the-middle-
attack).
 49. Al finalizar la conexión se envía en el mensaje un hash de todos los datos intercambiados y
vistos por ambas partes.

SSL se ejecuta en una capa entre los protocolos de aplicación como HTTP, SMTP, NNTP y sobre la
capa de transporte TCP del protocolo TCP/IP. Aunque puede proporcionar seguridad a cualquier
protocolo que utilice conexiones de confianza (tal como TCP), se usa en la mayoría de los casos
junto a HTTP para formar HTTPS. Otra aplicación en la que se puede utilizar SSL es en el
tunneling de una red completa y poder crear así una VPN, como se hace por ejemplo con OpenVPN.

4.3 Secure Shell: SSH

Secure Shell o SSH es un protocolo de red que permite el intercambio de datos entre dos
dispositivos conectados a la red utilizando un canal seguro. Las dos principales versiones del
protocolo son conocidas como SSH1 y SSH2. Se usa principalmente en entornos UNIX y Linux
para acceder a consolas remotas. En el año 2006 se convierte en un estándar del IETF descrito en el
RFC 4253. La definición de su arquitectura incluye tres protocolos apilados en las capas de
transporte y aplicación:
- SSH Connection Protocol: en este protocolo se define el concepto de canales, peticiones de
canal y peticiones globales que los servicios SSH proporcionan.

- SSH User Authentication Protocol: en este protocolo se maneja la autenticación de clientes y

se proporcionan varios métodos de autenticación.

- SSH Transport Layer Protocol: este protocolo maneja el intercambio inicial de claves, así
como la autenticación del servidor, el establecimiento del tipo de cifrado, compresión y
verificación de integridad.

El uso de SSH se extendió y puede ser utilizado por un amplio número de aplicaciones sobre
múltiples plataformas incluidas UNIX, Windows, MAC OS y Linux:
38. Transferencia segura de ficheros utilizando las aplicaciones SCP y SFTP.

39. Sistemas de ficheros en red: SSHFS. Es una alternativa a NFS, en la que el cliente no
necesita que el servidor exporte un directorio por NFS, le basta tener acceso por SSH.

40. Port forwarding: Permite una comunicación segura sobre red una insegura, muy similar a
una VPN, pero trabajando con un único puerto.

41. OpenSSH desde la versión 4.3 permite hacer verdaderas VPN (todos los puertos), tanto en
nivel de enlace como nivel de red.
En el mercado existen diversas implementaciones:
64 ssh original con licencia freeware.

65 OpenSSH, desarrollada originalmente para OpenBSD, portada a muchos otros SO, es la versión
más empleada.

66 Dropbear, es una versión reducida, habitual en sistemas empotrados como OpenWRT.

67 En Microsoft Windows se puede utilizar el servidor CopSSH y el cliente Putty.

Tema 45. Seguridad en redes WAN e Internet: criptografía y autenticación. Arquitectura de
seguridad en redes. Sistemas de autenticación para seguridad en redes. Elementos de
seguridad para Internet.

1 Arquitectura de seguridad en redes

o El modelo OSI de arquitectura de la Seguridad (X800)
El modelo OSI de arquitectura de la seguridad se centra en los siguientes conceptos: ataques
contra la seguridad, servicios de seguridad y mecanismos de seguridad. Se pueden definir de
manera resumida:
- Ataques contra la seguridad: cualquier acción que compromete la seguridad de la
información poseída por la organización.
- Servicios de seguridad: un servicio de comunicación o procesado que intentan prevenir los
ataques contra la seguridad haciendo uso de uno o varios mecanismos de seguridad.
- Mecanismos de seguridad: un proceso (o un dispositivo que proporciona dicho proceso)
que es diseñado para detectar, prevenir, o recuperarse frente a un ataque contra la seguridad.

Ataques contra la seguridad

Una forma útil de clasificar los ataques contra la seguridad, utilizada tanto en X.800 como en la
RFC 49494, es por medio de los términos ataque activo y ataque pasivo. Un ataque pasivo intenta
conocer o hacer uso de la información del sistema pero sin afectar a los recursos del sistema (mejor
prevenir). Un ataque activo intenta cambiar los recursos del sistema o alterar su modo de
funcionamiento (mejor recuperar)

Servicios de Seguridad
X.800 divide estos servicios en cinco categorías:
 Servicio de autenticación: este servicio se centra en asegurar que la comunicación es
auténtica. En el caso concreto de una conexión de un terminal a un host, hay dos
aspectos involucrados: Primero, al iniciar la conexión, el servicio asegura que los dos
participantes son auténticos. En segundo lugar, el servicio garantiza que la comunicación
no es interceptada y enmascarada por un tercero. Hay dos servicios específicos de
autenticación definidos en X.800: autenticación de entidad y autenticación de origen de
datos

4
  Control de accesos: es la capacidad de controlar y limitar el acceso a través de la red a
los sistemas y aplicaciones.

 Confidencialidad: la confidencialidad es la protección de los datos transmitidos contra

los ataques pasivos.

 Integridad: Un servicio de integridad orientado a conexión trabaja con flujos de

mensajes y garantiza que los mensajes son recibidos tal y como son enviados, sin ser
duplicados, modificados, reordenados o repetidos.

 No repudio: el no repudio evita que el emisor o receptor de un mensaje puedan negar la

transmisión..

Ambos X.800 y RFC 4949 definen la disponibilidad como la propiedad de un sistema o recurso de
ser usado y disponible bajo un sistema de autorización de entidad, de acuerdo con las
especificaciones de rendimiento para el sistema.

Mecanismos de seguridad
Los mecanismos de seguridad en X.800 se dividen en los que se aplican a una capa de protocolo
específico (por ejemplo TCP) y los que no son específicos de una capa de protocolo o servicio de
seguridad (conocidos también como mecanismos de seguridad persistentes).
Mecanismos específicos de seguridad: pueden ser incorporados en una de las capas del protocolo
con el fin de proporcionar alguno de los servicios de seguridad OSI:
39. Cifrado

40. Firma digital

41. Control de accesos

42. Integridad

43. Autenticación

44. Tráfico de relleno: inserción de bits de relleno en un flujo de datos con el fin de evitar el
análisis de tráfico.

45. Control de enrutado: permite la selección, para ciertos datos, de rutas físicas seguras y la
variación de las mismas, especialmente cuando se sospecha de una violación de la
seguridad.
 46. Notarización: el uso de un tercero de confianza para asegurar ciertas propiedades en un
intercambio de datos.

Dentro de los mecanismos de seguridad persistentes tenemos:

16. Funcionalidad de confianza: lo que se debe percibir como correcto con respecto a algún
criterio (por ejemplo: según lo establecido por una política de seguridad).

17. Etiquetas de seguridad: los atributos o propiedades de seguridad asociadas a un recurso o

unidad de datos.

18. Detección de eventos: detección de eventos relevantes de seguridad.

19. Registro de auditoría de seguridad: datos recogidos y potencialmente usables para realizar
una auditoría de seguridad.

20. Recuperación de la seguridad: se ocupa de las peticiones de los mecanismos, tales como
manejo de eventos y gestión de funciones, y lleva a cabo tareas de recuperación.

La Tabla 1 indica la relación entre los servicios de seguridad y los mecanismos de seguridad.

Servicio \ Cifra Firma Control Integri Autentica Tráfic Contro Notarizació

Mecanismo do Digital Accesos dad ción o l n
Relle Enruta
no do
Autenticación X X X
entidad
Autenticación X X
origen datos
Control de X
accesos
Confidencialidad X X
Confidencialidad X X X
flujo tráfico
Integridad X X X

No repudio X X X
Disponibilidad X X

Seguridad en redes WAN e Internet: criptografía y autenticación

La autenticación es el mecanismo que permite confirmar la identidad de una entidad
Se puede establecer la siguiente clasificación:
50. Sistemas basados en algo conocido: típicamente claves, PIN, o cualquier otro secreto.
 51. Sistemas basados en algo que se posee: habitualmente un dispositivo físico, como una
tarjeta o un generador de claves de un solo uso (claves OTP). Ejemplos: tarjetas de
identidad, dispositivo USB OTP Token, smartcard, etc.

52. Sistemas basados en una característica física del usuario: incluyen todos los rasgos
utilizados por los sistemas biométricos. Ejemplos: huellas dactilares, firmas manuscritas,
patrones retinales o geometría de manos.

o Funciones criptográficas de autenticación

Proporciona seguridad contra ataques activos tales como la falsificación de datos y transacciones.
Los dos aspectos más importantes a verificar son que el contenido del mensaje no ha sido alterado y
que el origen es auténtico. Existen los siguientes mecanismos de autenticación de mensajes: cifrado
de mensajes, checksum criptográfico y funciones resumen o hash

Autenticación de mensajes utilizando cifrado

Debería ser posible realizar autenticación simplemente con el uso de cifrado simétrico. Si se asume
que sólo el emisor y receptor de un mensaje tienen una clave compartida (que es como debería ser)
entonces, solamente el remitente genuino debería ser capaz de cifrar el mensaje. Además, si el
mensaje contiene código de detección de errores y un número de secuencia, el receptor puede
asegurar que no se ha alterado el contenido del mensaje y que sigue la secuencia correcta.
Finalmente, para asegurarse de que el mensaje no se ha retrasado durante su tránsito por la red, se
suelen incluir marcas de tiempo.

Autenticación de mensajes utilizando checksum criptográfico

En esta técnica no se cifra el mensaje, por lo que se puede leer en destino independientemente de
la función de autenticación. En su lugar se genera una etiqueta de autenticación que se incorpora al
mensaje para su transmisión.
Este mecanismo implica la utilización de una clave secreta con la que se genera un pequeño bloque
de datos de longitud fija, conocido como código de autenticación de mensaje (MAC), que se
incorpora al mensaje. En un entorno formado por dos entidades que se quieren comunicar,
denominadas A y B, cuando A quiere enviar un mensaje a B, A calcula el código MAC en base al
mensaje y a la clave compartida. El mensaje y el código son transmitidos al destinatario B. El
destinatario, realiza la misma operación sobre el mensaje recibido, utilizando la misma clave. Si se
asume que solo A y B conocen la clave se puede decir que:
 El receptor puede asegurar que el mensaje que ha recibido no ha sido alterado.

 El mensaje ha sido enviado por el supuesto emisor.

  Si el mensaje contiene un número de secuencia, entonces el receptor puede estar seguro de
que la secuencia es la correcta.

Autenticación de mensajes utilizando funciones resumen

Al igual que con la técnica de los checksum criptográficos, el uso de funciones hash no conlleva
un cifrado del mensaje enviado y admite mensajes de longitud variable.
La función hash acepta un mensaje de longitud variable M como entrada y produce como salida una
cadena de tamaño fijo H(M), normalmente conocida como resumen del mensaje. El resumen se
envía junto al mensaje de tal forma que puede ser utilizado por parte del receptor para realizar la
autenticación. Además de la autenticación, el resumen proporciona un mecanismo de comprobación
de la integridad de los datos. Si en el tránsito del mensaje por la red, se altera algún bit, el resumen
calculado por parte del destinatario será diferente del que viene desde el origen, por lo que el
mensaje será erróneo.
A la hora de enviar el mensaje y resumen de una forma autenticada, las funciones hash se pueden
utilizar de tres maneras diferentes:
 Utilización de criptografía simétrica para cifrar el resumen: se cifra el resumen en
origen con ayuda de un algoritmo basado en criptografía simétrica. Si solamente el emisor y
receptor conocen la clave se puede garantizar que el resumen es auténtico.

 Utilización de criptografía de clave pública para cifrar el resumen: proporciona una

firma digital del mensaje y autenticación; además no se requiere la distribución de claves a
los participantes en la comunicación.

 Autenticación de mensajes sin utilizar cifrado: las dos partes comunicantes comparten un
secreto común. El emisor, antes de enviar el mensaje, calcula el resumen del mensaje
concatenado con el secreto. A continuación procede al envío del mensaje y resumen. En
destino se repite la operación: se concatena el secreto con el mensaje y se calcula el
resumen. Si coincide con el resumen que llegó desde el origen se concluye que el mensaje es
auténtico. Ya que el secreto no se envía, no es posible que un atacante modifique el mensaje
interceptado. La seguridad de este sistema reside en que no sea revelado el secreto
compartido.

Las funciones hash son importantes además de para autenticación de mensajes para la realización
de firmas digitales. El propósito de una función hash es producir una “huella” del mensaje. Para
que una función hash (H) se considere segura debe verificar las siguientes propiedades:
- H debe poder ser aplicada a mensajes de cualquier tamaño.
 - H produce una salida de longitud fija.

- H(x) es relativamente fácil de calcular para un x dado, haciendo práctica la implementación

en hardware y software.

- Para un código dado m, es imposible computacionalmente encontrar un x tal que H(x)=m.

- Para un bloque dado x, es imposible computacionalmente encontrar un y ≠ x con H(y)=

H(x).

- Es imposible computacionalmente encontrar una pareja (x, y) tal que H(x)=H(y).

Las tres primeras propiedades son requisitos para la aplicación práctica de una función resumen a la
autenticación de mensajes. La cuarta propiedad garantiza la unidireccionalidad del resumen: es fácil
generar el resumen, pero imposible obtener el mensaje a partir del resumen. La quinta y sexta
propiedad tienen que ver con la protección contra las “colisiones”, garantizando que no es
computacionalmente posible encontrar dos mensajes diferentes con el mismo resumen. Los
ejemplos más conocidos de funciones resumen son MD5 y la familia SHA.

Sistemas de autenticación para seguridad en redes

Incluye las siguientes tareas: Generación de claves, Registro (vinculación clave-identidad),

Distribución, Protección y Mecanismos de revocación (retirar una clave cuando ha sido
comprometida).
o Distribución de claves utilizando criptografía simétrica

Tomando como ejemplo un par de entidades A y B, habría las siguientes estrategias de intercambio
claves:
 A puede enviar físicamente su clave a B.

 Una tercera parte de confianza puede escoger una clave y enviarla físicamente a A y B.

 Si A y B han usado recientemente una clave, una parte puede transmitir a la otra la nueva
clave utilizando la clave previamente establecida.

 Si A y B tienen una conexión cifrada con una tercera parte en común C, C podría utilizar los
canales que tiene con A y B para transmitir la clave entre ellos.
1 y 2 : problemas cuando un cliente remoto tiene que acceder a múltiples servicios en diversas
organizaciones. 3 : si sacan la clave las siguiente tb. Para proporcionar claves en cifrados extremo a
extremo la opción preferida es la 4. En esta opción, se utilizan dos tipos de claves:
26. Claves de sesión todos los datos de usuario son cifrados con una clave de sesión de un
solo uso. Al final de la sesión esta clave es destruida.

27. Claves maestras: una clave maestra es una clave utilizada entre entidades para el
propósito de distribución de claves de sesión.

Un elemento necesario para la opción 4 es el centro de distribución de claves (KDC5). El KDC

determina que sistemas tienen permitido comunicarse entre sí. Cuando se concede permiso a dos
sistemas para comunicarse entre sí, el KDC proporciona una clave de sesión de un solo uso.

o Distribución de claves utilizando criptografía asimétrica

La distribución de claves públicas: un punto importante a tener en cuenta en la criptografía de

clave pública es que, la clave pública puede ser accedida por todo el mundo.. Aunque esta
aproximación es deseable tiene un gran inconveniente: cualquier persona puede lanzar un
anuncio público de que es una entidad A. Así, hasta que se descubriera que el usuario es un
impostor, este podría leer todos los mensajes cifrados que son enviados al auténtico usuario A.
La solución a este problema viene de la mano de los certificados digitales. Un certificado
digital es un conjunto de información acerca de una entidad, con su clave pública y todo ello
firmado por una tercera entidad de confianza.

o Protocolos de autenticación en red

Una clasificación amplia de los métodos de autenticación incluiría mecanismos basados en técnicas
biométricas, tarjetas inteligentes y los métodos clásicos basados en contraseñas. Los métodos de
autenticación basados en contraseñas, pueden hacer la comprobación de la identidad en local (p.ej.:
ficheros /etc/passwd y /etc/shadow en sistemas UNIX) o utilizar protocolos de validación
distribuidos o en red.
Hay una amplia variedad de protocolos de autenticación en red:
- TACACS, RADIUS: métodos basados en servidores con registro de todos los usuarios.

- Kerberos: método basado en centro de distribución de claves.

- X.500, LDAP: métodos basados en servicios de directorio.

5
 - Certificados: métodos basados en certificados digitales.

- NIS, NIS+: métodos basados en Network Information Service.

- EAP-TLS, EAP-TTLS, EAP-MD5, etc: métodos basados en el framework de

autenticación EAP.

o Protocolos de seguridad en Internet

Kerberos
Kerberos es un servicio de distribución de claves y autenticación de usuarios desarrollado por el
MIT.
Kerberos proporciona un servidor centralizado de autenticación basado en criptografía de clave
simétrica. Para un usuario, la clave es un hash de su contraseña, guardada normalmente en el KDC
(Key Distribution Center). Para un servicio, la clave es una secuencia generada aleatoriamente, que
actúa como una contraseña y se almacena también en el KDC.
Para que el esquema de autenticación funcione clientes y servidores tienen que confiar en una
tercera parte (el servidor Kerberos) que solicita las claves necesarias bajo demanda. La
comunicación en Kerberos está basada en el uso de Tickets. Los Tickets son un tipo de datos cifrado
que se almacenan del lado del cliente
El KDC es la parte principal de una red Kerberos. Consta de los siguiente elementos:
64. Un servidor de autenticación, que responde a las peticiones de autenticación lanzadas por los
clientes. Aquí es donde el cliente consigue un TGT (Ticket Granting Ticket) que sirve
después de la autenticación para acceder a los servicios.

65. Un servidor de concesión de accesos (Ticket Granting Server), que se encarga gestionar el
acceso de los clientes a los servicios. En esta etapa, el cliente recibe un TGS (Ticket
Granting Service) que le permite autenticarse ante un servicio que está disponible en la red.

66. Una base de datos que guarda todas las claves secretas (de clientes y servicios), así como
información relacionada con las cuentas Kerberos: fecha de creación, políticas, etc.
Figura 2: Mecanismo de negociación de Tickets KerberosV5 (fuente MIT Kerberos
consortium)

PGP

El correo electrónico es un servicio que requiere servicios para permitir la autenticación de los
usuarios y garantizar la confidencialidad de los mensajes que intercambian. PGP (Pretty Good
Privacy) es un protocolo que proporciona confidencialidad de los mensajes que son enviados y
almacenados. Además proporciona un mecanismo de autenticación que se basa en la firma de los
correos enviados.
PGP es un sistema híbrido, combinando características del cifrado simétrico y del cifrado
asimétrico. Cuando un usuario A, quiere enviar un mensaje cifrado a B utilizando PGP, se llevan a
cabo los siguientes pasos:
cc) Se crea una clave de sesión aleatoria de que es utilizada para cifrar el mensaje.

dd) La clave de sesión se cifra con la clave pública de B y se añade al mensaje. El mensaje es
enviado a B.

ee) B descifra el mensaje con su clave privada. De esta manera lo que obtiene es la clave de
sesión en claro y el mensaje cifrado. Para obtener el mensaje en claro debe usar la clave de
sesión y aplicar el algoritmo de descifrado basado en criptografía simétrica.
Figura 3: Cifrado con PGP (Fuente: International PGP Home Page)

Figura 4: Descifrado con PGP (Fuente: International PGP Home Page)

Para proporcionar autenticación, PGP hace uso de firmas digitales. Para ello los integrantes de una
conversación deben intercambiar sus claves públicas. La certificación en este sistema se basa en la
idea de que la confianza es un concepto social: cada persona confía en sus amigos. Así se pueden
establecer cadenas de confianza si la clave de un tercero desconocido, viene firmada con la clave
pública de un amigo en el que se confía. Esta forma de proceder, tiene el inconveniente de que no
siempre se puede verificar la identidad de un tercero a no ser que se tenga un amigo en común.

4 Elementos de seguridad para Internet

Firewalls
El firewall es un elemento que proporciona una barrera de protección entre la red interna y los
potenciales intrusos externos. Normalmente se establece entre la red local e Internet, haciendo así
de muro de protección exterior de la red local. El firewall puede ser un software en un equipo o
puede ser un conjunto formado por varios sistemas específicos destinados a controlar el acceso a la
red interna de la organización. Las siguientes características están en el ámbito de un firewall:
d) Un firewall define un punto único de control, que permite alejar a los usuarios no
autorizados de la red protegida, y proporciona protección contra ataques de spoofing y
 enrutado. Esto simplifica la gestión, porque las características de seguridad están
centralizadas en un único sistema o conjunto de sistemas.

e) Un firewall proporciona una localización para monitorizar eventos relacionados con la

seguridad. En un sistema firewall se pueden implementar auditorías de seguridad y alarmas.

f) Un firewall proporciona una plataforma para otras funciones de Internet que no están
relacionadas con la seguridad: traducción de direcciones, funciones de gestión para auditoría
y registros de log para medir el uso de Internet.

g) Un firewall puede ser utilizado para implementar redes privadas virtuales (VPN).

Hay varios tipos de firewalls:

x) Firewall de filtrado de paquetes.

y) Firewall de inspección de estados: Además de hacer el filtrado en base a paquetes guarda

información de las sesiones y conexiones abiertas..

z) Proxy de aplicaciones: Actúa como intermediario en el tráfico de la capa de aplicación

permitiendo acceder a ciertas características de las aplicaciones y reenviando la información.

Localizaciones del Firewall y configuraciones

. Un administrador de seguridad debe decidir la localización y el número de firewalls que necesita:
 Redes DMZ: consiste en separar en una o varias subredes (conocidas como “zonas
desmilitarizadas”) los principales servicios de la organización que tienen que ser
accedidos desde el exterior (Web, correo, DNS). A este segmento se le aplican unas
reglas de filtrado para garantizar una conectividad controlada desde el exterior. Al resto
de la red interna se le cierra el acceso desde el exterior.

 Redes privada virtuales (VPN)

 Firewalls Distribuidos: consiste en agrupar bajo un mismo mecanismo de control

centralizado la gestión de dispositivos firewall y la gestión de firewalls basados en host.
Con estas herramientas, el administrador puede establecer políticas de seguridad y
aplicarlas a equipos firewall, servidores y estaciones de trabajo tanto locales como
remotas. Además proporcionan capacidades de monitorización y alertas de seguridad.

Sistemas de detección de intrusiones (IDS/IPS)

Se puede definir un IDS como un sistema que se encarga de vigilar la red, absorbiendo todo el
tráfico e inspeccionándolo en busca de patrones de ataque. Las características principales de los IDS
son las siguientes:
 Añade un alto nivel de integridad al resto de la red, ya que, en cierta forma, sabemos que el
resto de sistemas están bien porque el IDS no avisa de lo contrario.

 Puede monitorizar la actividad de un atacante

 Alerta ante patrones de ataque comunes conocidos.

 Automatiza la búsqueda de nuevos patrones de ataque, ya que proporcionan herramientas

estadísticas de búsqueda y monitorización de tráfico anómalo.

 Puede detectar ataques en tiempo real.

 Puede detectar errores de configuración en los equipos.

Los sistemas IDS constan de un equipo con una consola central de administración y una o varias
“sondas” que se encargan de capturar el tráfico que se debe analizar. Dependiendo de la arquitectura
de red de la organización se pueden seguir diversos criterios para ubicar las sondas: en la DMZ,
detrás del firewall, en los accesos de usuario, entre la Extranet e Internet, etc.
Una variante de los sistemas de detección de intrusiones son los IPS (Intrusion Prevention System).
La diferencia con respecto a los IDS estriba en que los IPS además de detectar un ataque y generar
la correspondiente alerta son capaces de actuar e intentar neutralizar el ataque. Un ejemplo claro
sería cuando el IPS detecta actividad maliciosa por parte de un usuario conectado a un servidor a
través de una conexión remota. Una de las acciones drásticas que podría tomar el IPS es cortar la
conexión.
Los sistemas IPS/IDS se pueden instalar como un software en un servidor (ej. Snort) o puede ser un
equipo hardware con su software completo e independiente proporcionado por un fabricante de
dispositivos de seguridad.
Tema 46. Modelo OSI. Redes LAN, MAN e WAN. Estrutura de redes: troncal, distribución
acceso. Redes públicas de transmisión de datos. Protocolos de rede.

El modelo de referencia OSI (Open System Interconnection) surge como solución al problema de
interconexión de máquinas de diferentes redes, basadas en sistemas propietarios.

OSI, como su propio nombre indica, se ocupa de la conexión de sistemas abiertos con otros
sistemas. No es una arquitectura de red en sí, ya que no especifica los servicios y protocolos
exactos que se han de usar en cada una de las siete capas de las que consta, sino que sólo dice lo
que debe hacer cada una.

En el entorno de OSI se manejan tres conceptos fundamentales, que son:

□ Servicio.- Dice lo que hace cada capa. Cada capa utiliza los servicios ofrecidos por la
capa inferior y ofrece sus propios servicios a la capa que tiene por encima, a través de los
puntos de acceso al servicio (SAP), intercambiando primitivas de servicio.
□ Interfaz.- Dice a los procesos de la capa superior cómo acceder a ella.
□ Protocolo.- Conjunto de reglas que determinan el comportamiento de comunicación
horizontal entre entidades pares, entendiendo por éstas los sistemas funcionales en capas
del mismo nivel jerárquico.

Las entidades de un nivel N mantienen una comunicación vertical con las entidades de los niveles
N+1 y N-1, intercambiando primitivas de servicio. Existen cuatro tipos de primitivas.
□ De petición (REQUEST). Empleada para invocar un servicio y pasarle los parámetros
necesarios para su ejecución.
□ De indicación (INDICATION). Usada para indicar que un procedimiento ha sido
invocado por el usuario par del servicio en la conexión y pasar los parámetros asociados o
para indicar al usuario del servicio el inicio de una acción por parte del proveedor.
□ De respuesta (RESPONSE). Empleada por el usuario del servicio para reconocer o
completar algún procedimiento previamente iniciado por una indicación del proveedor.
□ De confirmación (CONFIRM). Usada por el proveedor del servicio para reconocer o
completar algún procedimiento previamente iniciado por una petición del usuario.

De igual forma, las entidades pares mantienen una comunicación lógica horizontal, regulada por el
protocolo de pares, intercambiando Unidades de Datos de Protocolo (PDUs). Las PDUs pueden
ser de dos tipos:
□ De datos, que contiene, entre otras informaciones, el mensaje de usuario o parte de él.
 □ De control, que sirven para gobernar el comportamiento completo del protocolo en
sus funciones de establecimiento y ruptura de la conexión, control de flujo, control
de errores, etc. No contienen información alguna proveniente del nivel superior.

Los datos de usuario contenidos en la PDU (N) de datos corresponden exactamente a la PDU
(N+1). Para el nivel N son una ristra de bits, cuya semántica desconoce. La PDU (N) de datos se
forma con los UD (N) y con la PCI (N), que los “envuelve” antes de entregarlos al nivel inferior.

Cuando las unidades de datos de los niveles limítrofes no tienen tamaños compatibles, se recurre a
alguna de las siguientes funciones:
□ Segmentación de la SDU. Una SDU se reparte en más de una PDU. La función simétrica
en el extremo receptor es el reensamblado, que consiste en identificar varias PDUs con una
sola SDU.
□ Bloqueo de la SDU. Permite agrupar varias SDUs en una sola PDU. La función inversa
del bloqueo es el desbloqueo, que consiste en descomponer una PDU en varias SDUs. El
caso de segmentación se da con más frecuencia que el de bloqueo.
□ Segmentación de la PDU. Reparto de una PDU grande en más de una IDU del nivel
inferior. En el extremo receptor se realiza el reensamblado.

□ Concatenación de PDU. Agrupación de varias PDUs sobre una sola SDU. La función
inversa a ésta, que se realiza en el extremo receptor, es la separación. La concatenación-
separación es el caso contrario de la segmentación-reensamblado de la PDU, siendo éste
último más frecuente que el primero.

El modelo de referencia OSI es orientado a la conexión. Por eso, hay que establecer previamente
una conexión para que pueda existir intercambio de datos. En el establecimiento, se requiere que
ambas entidades estén conformes. Para establecer una conexión N es necesario que exista
una conexión N-1 por debajo. Por el contrario, la liberación de una conexión N-1 no implica la
liberación de la conexión N. La liberación de una conexión de nivel N puede iniciarse por una
entidad del mismo nivel o del nivel superior y puede ser de dos tipos:
□ Abrupta. Se libera de inmediato y los datos pendientes de envío se pierden.
□ Suave o diferida. Antes de romper la conexión, se espera a no tener datos pendientes.

Para aprovechar los recursos de la forma más eficiente, a menudo se produce alguna de
estas situaciones:
 □ Multiplexación, que es la función que permite utilizar una sola conexión N-1 para
soportar varias conexiones de nivel N. La función inversa realizada en el receptor se
denomina demultiplexación. No debe confundirse el concepto de multiplexación con el de
concatenación.
□ División, que es la función que permite la utilización de más de una conexión N-1 por
una sola conexión de nivel N. La función inversa se denomina recombinación. No debe
confundirse el concepto de división con el de segmentación.

Una capa de una máquina no puede transferir los datos de forma directa a su capa par de otra
máquina, sino que necesita los servicios de todas las capas por debajo de ella, pasándose la
información hacia abajo hasta llegar al nivel físico, donde son transmitidos realmente a la máquina
receptora. Cada capa utiliza el encapsulamiento para colocar la PDU de la capa superior en su
campo de datos y agregar la información adicional que la capa necesite para realizar su función.
De esta forma, a medida que los datos se desplazan hacia abajo a través de las capas del modelo
OSI, el tamaño del mensaje va creciendo. En la máquina receptora se realiza el proceso inverso,
retirando los distintos encabezados, uno por uno, conforme el mensaje se propaga hacia arriba por
las capas.

OSI consta de 7 capas. Las tres capas inferiores, física, enlace y red, engloban lo que se conoce
como bloque de transmisión y tratan los protocolos asociados con la red de conmutación de
paquetes utilizada para la conexión. El nivel 4 enmascara a los niveles superiores los detalles de
trabajo de los niveles inferiores, dependientes de la red, y junto con ellos forma lo que se conoce
como bloque de transporte. Este bloque es común para todas las aplicaciones y se encarga del
transporte fiable de los datos sin intervenir en el significado de los mismos. Los niveles de
aplicación, presentación y sesión son los usuarios del bloque de transporte, están relacionados con
las aplicaciones de usuario y aíslan la comunicación de las características específicas del sistema
informático.

Algo más en detalle, cada capa:

□ Física. Relacionada con la transmisión de bits por un canal de comunicación, de forma que
sólo reconoce bits individuales, sin estructura alguna. Las consideraciones de diseño tienen
que ver con las interfaces mecánica, eléctrica y de procedimiento, y con el medio de
transmisión que está bajo la capa física.
□ Enlace de datos. Toma el medio de transmisión en bruto y lo transforma en una línea que
parezca libre de errores a los ojos de la capa de red. Estructura los datos en tramas,
añadiendo una secuencia especial de bits al principio y al final de la misma.
□ Red. Capa compleja, responsable de la conmutación y enrutamiento de la información.
La unidades de datos de este nivel se llaman paquetes, a los que se les asignan direcciones
lógicas.
□ Transporte. Se trata de una verdadera capa extremo a extremo, del origen al destino. La
comunicación en los niveles inferiores es entre máquinas adyacentes. Su función más
importante es la aceptación de datos de la capa de sesión, división en unidades más
pequeñas, si es preciso, denominadas segmentos, y envío de esta información a la capa
de red, asegurando que todos los pedazos lleguen correctamente al otro extremo de forma
eficiente, donde son reensamblados. El control de flujo es clave en esta capa.

□ Sesión. La función principal de la capa de sesión es el establecimiento, administración

y finalización ordenada de sesiones entre dos máquinas. Ofrece manejo del control del
diálogo (quién habla, cuándo, cuánto tiempo, half duplex o full duplex). En las
comunicaciones half duplex, la capa de sesión ayuda a llevar el control de los turnos,
mediante el manejo de testigos o token. También ofrece sincronización del diálogo,
mediante la inserción de puntos de verificación en la corriente de datos. La capa de sesión
no es un nivel autónomo que tenga capacidad para tomar decisiones sobre quién habla y
quién escucha. Estas decisiones se reservan para las entidades de la capa de aplicación. El
nivel 5 sólo proporciona los mecanismos para que las entidades de aplicación puedan
regular el diálogo entre sí.
□ Presentación. Se encarga de la sintaxis y la semántica de la información que se
transmite, aislando a dichas capas inferiores del formato de los datos de las aplicaciones
específicas.
□ Aplicación. Es la capa más cercana al usuario. Difiere de las demás en que no
proporciona servicios a ninguna otra capa OSI, sino a aplicaciones que se encuentran fuera
del modelo. A cada una de las partes de una aplicación que se encarga de una tarea
específica se denomina Elemento de Servicio de Aplicación (ASE). El conjunto de
todos los ASEs que forman una aplicación concreta y la relación entre ellos forman el
contexto de aplicación. Hay ASEs comunes, válidos para varias aplicaciones:
à ACSE (Association Control Service Element). Establecimiento, manejo y
liberación ordenada o abrupta de conexiones.
 à RTSE (Reliable Transfer Service Element). Garantiza fiabilidad en la
transferencia de datos, solucionando los problemas producidos de nivel 4 hacia
arriba. Maneja las funciones de nivel 5.
à ROSE (Remote Operation Service Element). Facilita el trabajo de petición de
operaciones remotas y devolución de los resultados.

El modelo de referencia OSI ha recibido abundantes críticas, algunas de las cuales se detallan a
continuación:
□ OSI es muy completo, pero los estándares son difíciles de implementar e ineficientes
en su operación.
□ La capa de sesión tiene poco uso en la mayor parte de las aplicaciones.
□ La capa de presentación está prácticamente vacía.
□ Por el contrario, las capas de red y enlace de datos están muy llenas, hasta tal punto que
han llegado a dividirse en múltiples subcapas, cada una con funciones distintas.
□ Algunas funciones, como el direccionamiento, el control de flujo y el control de errores,
reaparecen una y otra vez en cada capa.

46.2 REDES LAN, MAN E WAN

Unha das formas clásicas de clasificar as redes é pola súa extensión física (ou alcance) da que se
obteñen os seguintes tipos:
 Personal Area Network (PAN): rede que conecta elementos próximos a unha persoa.
 Local Area Network (LAN): conecta elementos en unha área xeográfica limitada, como son
unha casa, un edifico, etc.
 Metropolitan Area Network (MAN): algunhas veces referida como Medium Area Network
conecta elementos ao largo dunha cidade ou espacios de similar tamaño.
 Wide Area Network (WAN): son redes de gran extensión cubrindo cidades, unha provincia
ou incluso varios países.

46.2.1 PAN
Una PAN é unha rede usada para a comunicación de ordenadores e diferentes dispositivos
informáticos próximos a unha persoa. Algúns exemplos destes dispositivos usados en unha PAN son
PCs, impresoras, teléfonos, PDAs ou consolas de videoxogos. Unha PAN pode incluír dispositivos
conectados por cable e dispositivos sen fíos alcanzando un máximo de 10 metros de distancia. As
típicas tecnoloxías nas que se basean as PAN son USB e FireWire para as cableadas e BlueTooth e
ZigBee para as sen fíos.
46.2.2 LAN
Unha LAN conecta ordenadores e outros dispositivos nun espacio limitado como pode ser unha
casa, un edificio, unha oficina ou un conxunto de edificios próximos entre si. Tipicamente a
distancia que abarca unha LAN non supera os 100 metros. O exemplo máis común de LAN dáse no
ámbito doméstico e das pequenas empresas onde varios equipos están conectados a un concentrador
(switch), posiblemente varios servidores están conectados a outro e eses concentradores están
conectados a un encamiñador (router) para a conexión a Internet.
As tecnoloxías dominantes usadas nas LAN son Ethernet (hoxe en día gigabit ethernet) e WiFi
(habitualmente 802.11g) aínda que existen moitas outras tecnoloxías que se empezan (ou continúan)
a empregar, como poden ser as baseadas en PLC, por exemplo HomePlug.
46.2.3 MAN
Unha MAN é unha rede optimizada para unha area xeográfica maior que unha LAN, que vai dende
varios bloques de edificios ata una cidade. A súa utilidade típica e proporcionar conectividade entre
varias LAN. A distancia típica que cubre unha MAN é de 10 km.
Tipicamente estas redes están baseada sen tecnoloxías como MetroEthernet, en redes cableadas, ou
Wimax, en redes sen fíos.
46.2.4 WAN
As WAN son redes de ordenadores que cobren grandes. De forma análoga ás MAN a función típica
das WAN é conectar varias redes de menor extensión como varías MAN ou varias LAN ademais de
conectarse con outras redes WAN. En contraste cos outros tipos de redes, as WAN non están
limitadas a un tamaño máximo.
ATM ou MPLS son algunha das tecnoloxías usadas para despregar redes WAM.
46.3 ESTRUTURA DE REDES: TRONCAL, DISTRIBUCIÓN E ACCESO
As redes estructúranse de forma xerárquica. Esta estructura apórtalles modularidade, permite
aumentar os elemento dun nivel para expandir a redes sen afectar o resto da mesma (escalabilidade)
e facilita a identificación e resolución de problemas.
Normalmente esta xerarquía divídese en 3 niveis (aínda que, dependendo da rede concreta, pode
haber máis como, por exemplo, nas redes de cable):
 Troncal (en inglés backbone ou core): é a espiña dorsal da rede conectando os distintos
elementos do nivel de distribución. Normalmente a capacidade de transferencia de datos da
rede troncal é maior que a das subredes que conecta e posúe camiños redundantes.
 Distribución: conecta varios elementos do nivel inferior co nivel superior e soe estar
limitada a unha das zonas físicas (por exemplo unha cidade) nas que a rede está presente. Os
elementos deste nivel tamén soen estar redundados pero en menor medida que no nivel
superior.
  Acceso: os elementos do nivel de acceso permite conectar os equipos finais.

46.4 REDES PÚBLICAS DE TRANSMISIÓN DE DATOS

Dende o momento que naceu a necesidade de conectar dúas localizacións pasando polo dominio
público, naceu a necesidade das redes públicas. Unha rede pública é aquela a que calquera entidade
pode conectarse (normalmente baixo pago dunha cuota) en orde a comunicarse con outra entidade
conectada á mesma rede pero en distinta localización xeográfica.
Esta dispoñibilidade de conectar calquera dúas entidades leva a que haxa varias entidades
(individuos, compañías, gobernos, ...) conectadas a esta rede, como oposición a unha rede privada
onde só hai unha entidades aproveitando os recursos da rede. Esto da como resultado que en moitas
ocasións as entidades queiran usala rede pública como unha rede privada dando lugar ás Redes
Privadas Virtuais (VPN polas súas siglas en inglés).
O bucle de abonado (bucle local ou lazo local) é o cableado que se estende dende os nodos de
acceso (centrais de teléfonos, ...) ata o domicilio ou local do usuario.

46.5 PROTOCOLOS DE REDE

46.5.1 REDES DE CONMUTACIÓN DE CIRCUÍTOS
A conmutación de circuítos é un tipo de conexión que realizan os diferentes nodos dunha rede para
lograr un camiño apropiado para conectar dous usuarios. Neste tipo de conmutación establecese un
canal de comunicacións dedicado entre as dúas estacións. Resérvanse recursos de transmisión e de
conmutación da rede para o seu uso exclusivo no circuíto durante a conexión.
Neste tipo de redes a comunicación ten tres fases:
1. Establecemento do circuíto
2. Transmisión dos datos
3. Liberación do circuíto

Este tipo de redes usa TDM, o que permite dispor dun retardo fixo e predicible. Dende o punto de
vista do usuario o enlace é punto a punto. Un exemplo deste tipo de rede é a Rede Telefónica
Conmutada (RTC).
46.5.2 REDES DE CONMUTACIÓN DE PAQUETES
A conmutación de paquetes é o sistema más usado para o envío de datos nunha rede de ordenadores.
Un paquete é un grupo de información que consta de dúas partes: os datos propiamente ditos, e
unha información de control, que especifica a ruta a seguir ó longo da rede ata o destino do
paquete..
Existen dúas técnicas para a transmisión de paquetes nas redes de conmutación de paquetes:
  A baseada en circuítos virtuais: Moi similar á conmutación de circuítos, a diferencia radica
en que cos circuítos virtuais a ruta non é dedicada, se non que un único enlace entre dous
nodos pódese compartir dinamicamente no tempo por varios paquetes (TDM asíncrono).
Require as mesmas 3 fases que a conmutación de circuítos (Establecemento do circuíto,
transmisión de datos e liberación do circuíto).
 A baseada en datagramas: Non debemos establecer o circuíto de forma previa á transferencia
de información. Cada paquete debe levar a dirección de destino e tratase de forma
individualizada, sen establecer ningún vínculo cos demais paquetes que levan datos de A a
B, sexan ou non da mesma aplicación.

Os usuarios comparten os medios de transmisión por TDM estatístico. Os retardos son agora
variables, dependentes da carga instantánea na rede. Cando se establece o circuíto virtual ou cada
vez que se transmite un datagrama conmutador debe seleccionar por que enlace encamiña os datos
usando un algoritmo de encamiñamento. Esta decisión ten que ser tomada por cada nodo da rede
implicado. Esta decisión debe tomarse minimizando o custo (tempo, recursos, ...) e, con este fin,
cada nodo constrúe unha táboa (usando o mencionado algoritmo), chamada táboa de
encamiñamento que indica por que enlace debe transmitir os datos para chegar o destino.
No caso dos circuítos virtuais (ademais da táboa de encamiñamento que se usará para seleccionar a
ruta do circuíto virtual), o nodo debe construír una táboa cos circuítos virtuais, onde se asigna o
identificador dun circuíto virtual dun enlace (entrada) a outro enlace (saída).
Un exemplo de rede que usa circuítos virtuais é X.25 e un de conmutación de paquetes é IP.
Tema 52 Equipamiento Hardware. Servidores. Puesto de Trabajo. Dispositivos Personales

52.1.- EQUIPAMIENTO HARDWARE

52.1.1 Arquitecturas hardware

El ordenador se puede ver como un dispositivo electrónico destinado al tratamiento automatizado
de la información. Una arquitectura de ordenador especifica las interrelaciones que deben existir
entre los componentes y elementos físicos y lógicos.
Arquitectura Von Newman: Consiste en una unidad central de proceso que se comunica a través
de un solo bus con un banco de memoria en donde se almacenan tanto las instrucciones del
programa, como los datos que serán procesados por éste. Esta arquitectura es la más empleada en la
actualidad. En esta arquitectura se asigna un código numérico a cada instrucción.
Arquitectura Harvard: Al igual que en la arquitectura Von Newman, el programa se almacena
como un código numérico en la memoria, pero no en el mismo espacio de memoria ni en el mismo
formato que los datos. Por ejemplo, se pueden almacenar las instrucciones en doce bits en la
memoria de programa, mientras los datos de almacenan en 8 bits en una memoria aparte. El hecho
de tener un bus separado para el programa y otro para los datos permite que se lea el código de
operación de una instrucción, al mismo tiempo que se lee de la memoria de datos los operandos de
la instrucción previa. Procesadores de señal (DSP)
Arquitecturas segmentadas: Buscan mejorar el rendimiento realizando paralelamente varias
etapas del ciclo de instrucción al mismo tiempo. El procesador se divide en varias unidades
funcionales independientes y se dividen entre ellas el procesamiento de las instrucciones. La mejora
en el rendimiento no es proporcional al número de segmentos debido a que cada etapa no toma el
mismo tiempo en realizarse, además de que se puede presentar competencia por el uso de algunos
recursos como la memoria principal. Otra razón por la que las ventajas de este esquema se pierden
es cuando se encuentra un salto en el programa y todas las instrucciones que ya se buscaron y se
encuentran en la cola, deben descartarse y comenzar a buscar las instrucciones desde cero a partir
de la dirección a la que se saltó.
Arquitectura multiprocesamiento: Cuando se desea incrementar el rendimiento es necesario
utilizar más de un procesador para la ejecución del programa. Para hacer una clasificación de este
tipo de arquitecturas se utiliza la taxonomía de Flynn que se basa en el número de instrucciones
concurrentes y en los flujos de datos sobre los que operar:
t) SISD (Simple Instruction Simple Data).Computador secuencial que no explota el
paralelismo ni en las instrucciones ni en los flujos de datos, por ejemplo, las máquinas con
monoprocesador.
u) MISD (Multiple Instruction Simple Data).Poco común. Se utilizan en situaciones de paralelismo
redundante, como por ejemplo en navegación aérea
v) SIMD (Simple Instruction Multiple Data).Un computador que explota varios flujos de datos
dentro de un único flujo de instrucciones para realizar operaciones que pueden ser
paralelizadas de forma natural. En esta clasificación entrarían los Procesadores matriciales y
los Procesadores vectoriales (aplican un mismo algoritmo numérico a una serie de datos
matriciales).
w) MIMD (Multiple Instruction Multiple Data).Se tienen múltiples procesadores que de forma
sincronizada ejecutan instrucciones sobre diferentes datos. El tipo de memoria que estos
sistemas utilizan es distribuida. En esta arquitectura se engloban los sistemas distribuidos,
distinguiendo aquellos que explotan un único espacio compartido de memoria (Procesadores
superescalares, Multiprocesador simétrico (SMP) y Acceso no uniforme a memoria
(NUMA)) de aquellos que trabajan con espacios de memoria distribuida, como los Clusters.
 x. En los sistemas SMP (Simetric Multiprocesesors), varios procesadores comparten la
misma memoria principal y periféricos de E/S, normalmente conectados por un bus
común.
y. Los Clusters son conjuntos de computadoras independientes conectadas en una red
de área local o por un bus de interconexión y que trabajan cooperativamente para
resolver un problema.

52.1.2 Componentes básicos hardware de un equipo.

Las partes físicas (hardware) que componen un ordenador se pueden esquematizar en las siguientes:
 PROCESADOR también conocido como CPU (Central Process Unit). Se encarga de
interpretar y ejecutar las instrucciones de los programas, realizando cálculos aritméticos
y lógicos con los datos. La CPU está compuesta por la unidad aritmética lógica, la
unidad de control y los registros del sistema:
o Unidad de Control (UC):La función de la unidad de control consiste en leer las
instrucciones que residen en la memoria principal, interpretarlas y ejecutarlas
dando las oportunas órdenes a la unidad aritmético-lógica y a los restantes
elementos del sistema.
o Unidad Aritmética Lógica (ALU): Ejecuta las operaciones aritméticas lógicas que
le señala la instrucción residente en la unidad de control.
o Registros del sistema: Son circuitos que sirven como área interna de trabajo.
Almacenan una palabra de bits. Estos circuitos son muy rápidos y forman parte
del propio procesador.
Los microprocesadores multinúcleo que combinan dos o más procesadores independientes
en un solo circuito integrado. Permiten que un dispositivo computacional exhiba una cierta
forma del paralelismo a nivel de subproceso, también llamado hilo o thread (thread-level
parallelism–TLP)
 MEMORIA PRINCIPAL. Lugar donde se almacenan los datos y las instrucciones de
los programas en ejecución, donde se pueden recuperar y grabar en ella datos a través de
las dos operaciones básicas definidas sobre ella: lectura o escritura. Está constituida por
celdas o elementos capaces de almacenar 1 bit de información. La memoria se organiza
en conjuntos de elementos de un tamaño determinado llamados palabras de memoria. A
cada palabra le corresponde una dirección única. Cada palabra es una unidad
direccionable en la memoria. El espacio de memoria direccionable viene determinado
por el tamaño de las direcciones.
 BUSES. Para funcionar el hardware necesita unas conexiones que permitan a los
componentes comunicarse entre sí e interaccionar. Estas conexiones se denominan buses
o canales. Un bus transporta información entre las partes del ordenador.
Un bus se caracteriza por dos propiedades:
k) La cantidad de información que puede manipular simultáneamente, llamada “ancho de
bus”.
l) La rapidez con que puede transferir dichos datos.
Existen tres tipos de buses en función del tipo de datos que transporten:
 Bus de Control: Se encarga de transmitir datos que serán utilizados como órdenes de control.
 Bus de Direcciones: Se encarga de transmitir datos que serán utilizados como direcciones de
memoria.
 Bus de Datos: Se encarga de transportar datos como tales.
El conjunto de estos tres buses forma el Bus del Sistema.
 PERIFÉRICOS.Son los encargados de la comunicación de la CPU con el exterior.
Tenemos:
 - Dispositivos periféricos de entrada. Introducen datos e instrucciones en la CPU, por
ejemplo: un ratón, un teclado.
- Dispositivos periféricos de salida. Permiten ver los resultados, por ejemplo: un monitor, una
impresora.
- Dispositivos periféricos de ENTRADA/SALIDA (E/S). Tienen comunicación bidireccional
con la CPU, por ejemplo, un dispositivo de almacenamiento.

52.1.3 Clases de ordenadores.

A raíz de la evolución de la tecnología, se puede hacer una clasificación no rígida, de los diferentes tipos de ordenadores
existentes
dd) Superordenadores: diseñados especialmente para cálculos que precisen una gran velocidad
de proceso. Generalmente están constituidos por un gran número de procesadores que
trabajan en paralelo.
ee) Mainframe: están diseñados principalmente para dar servicio a grandes organizaciones. Su
potencia de cálculo es inferior a los anteriores. Se caracterizan por soportar la conexión de
un gran número de terminales y realización de múltiples operaciones de E/S.
ff) Miniordenadores: son máquinas de tipo medio.
gg) Microordenadores: su funcionamiento se basa en el uso de un microprocesador. Podemos
identificar dos grupos importantes: los ordenadores personales (Personal Computer PC) y
las estaciones de trabajo (Workstation).

52.2.- SERVIDORES
Un servidor en el ámbito profesional es un ordenador específicamente diseñado para optimizar la
ejecución de un determinado programa servidor o un conjunto de ellos. El término “Servidor” se
utiliza tanto para referirse al ordenador (hardware) donde está instalado el programa como al
programa servidor.
Las máquinas que se diseñan con el propósito de albergar programas servidores tienen una serie de
características particulares que hace necesario emplear hardware especializado, orientado a una alta
fiabilidad y rendimiento.
 Tienen que procesar numerosas peticiones de clientes en un tiempo corto, por eso necesitan
CPUs con velocidades altas de procesamiento.
 Es necesario que cuente con una cantidad de memoria principal o RAM elevada que le
permita abrir threads y atender de forma adecuada a los clientes.
 Los servidores están preparados para ofrecer servicios con un grado de disponibilidad de
más del 99%. Esto implica que está encendido las 24 horas del día, con lo que es necesario
un sistema de refrigeración adecuado. Tienen que contar con Sistemas de Alimentación
Ininterrumpida para evitar que un corte eléctrico los deje indisponibles. Es necesario utilizar
componentes hot swap que se pueden sustituir “en caliente sin parar el servidor”. Los
componentes hot swap más comunes son los discos duros configurados en RAID y las
fuentes de alimentación
 Los buses por los que circula la información dentro del servidor tienen que ser de alto rendimiento para no
provocar cuellos de botella.
 Algunos tipos de servidores (ficheros y bases de datos sobre todo) necesitan una tecnología de almacenamiento
altamente eficiente siendo normal encontrar dos tipos de tecnologías distintas: SAN (Storage Area Network) y
NAS (Network Attached Storage).

52.2.1 Cluster
Un clúster es un sistema distribuido o paralelo que consiste en un grupo de computadoras
interconectadas que trabajan conjuntamente en la solución de un problema. Los clústeres ofrecen las
siguientes características:
 Alto rendimiento: diseñados para dar altas prestaciones en cuanto a capacidad de cálculo
y velocidad de proceso.
 Alta disponibilidad: diseñados para garantizar la total y absoluta disponibilidad del
servicio Si se produce un fallo en alguna de las máquinas del clúster, se detecta dicho
fallo automáticamente y las otras máquinas asumen las funciones y siguen funcionando
manteniendo así la disponibilidad del sistema el software. Son tolerantes a fallos.
 Balanceo de carga: Un clúster estará compuesto por uno o más nodos que actúan como
frontend del clúster, y que se ocupan de repartir las peticiones de servicio que reciba el
clúster a otros ordenadores.
 Escalabilidad: Es relativamente asequible aumentar un nodo en un sistema cluster.

Un clúster de servidores permite aprovechar al 100% la capacidad de los nodos introducidos (no
hay nodos en stand-by).
Clases de cluster. por la función que éste deberá desempeñar Tenemos los siguientes tipos:
55. Clúster de Alto Rendimiento: diseñado para dar altas prestaciones en cuanto a capacidad de
cálculo.
56. Clúster de Alta Disponibilidad: están diseñados para garantizar el funcionamiento
ininterrumpido de ciertas aplicaciones.
57. Clúster de Alta Eficiencia: Son clústeres cuyo objetivo de diseño es el ejecutar la mayor
cantidad de tareas en el menor tiempo posible. Existe independencia de datos entre las tareas
individuales.
Componentes de un Cluster
Para que un clúster funcione como tal, no basta sólo con conectar entre sí los ordenadores, sino que
es necesario proveerlos de un sistema de manejo del clúster, el cual se encargue de interactuar con
el usuario y los procesos que corren en él para optimizar el funcionamiento. Está formado por los
siguientes componentes:
28. Nodos. Son los ordenadores en sí mismos. Pueden ser:
cc. Dedicados: su uso está exclusivamente dedicado a realizar tareas relacionadas
con el clúster.
dd. No dedicados.
31. Almacenamiento. Puede consistir en una NAS, una SAN, o almacenamiento interno en
el servidor. El protocolo más comúnmente utilizado es NFS (Network File System), sistema de ficheros
compartido entre servidor y los nodos. Sin embargo existen sistemas de ficheros específicos para clústeres
como Lustre (CFS) y PVFS2.
32. Red de interconexión. Se utilizan Redes de Alta Velocidad como solución de alto
rendimiento para que las comunicaciones no sean el cuello de botella del rendimiento del
sistema.
33. Sistema Operativo. Tiene que ser multiproceso y multiusuario.
34. Middleware. Actúa entre el sistema operativo y las aplicaciones, recibiendo los trabajos
entrantes al clúster y redistribuyéndolos de manera que el proceso se ejecute más rápido
y el sistema no sufra sobrecargas en un servidor determinado. Está compuesto de dos
subniveles de software:
ii. SSI (Single System Image): ofrece a los usuarios un acceso unificado a todos los
recursos del sistema.
jj. Disponibilidad del sistema: que permite servicios como puntos de chequeo,
recuperación de fallos, soporte para tolerancia a fallos.

52.2.3 Servidores Blade

Cada servidor blade es una tarjeta (llamada blades) que contiene la memoria RAM, el disco duro y
la CPU. Los servidores blade en tarjetas se insertan en un chasis que se coloca en un rack estándar
permitiendo albergar un máximo de 16 servidores blade en un chasis. Este chasis, a su vez integra y
permite compartir los elementos comunes como son:
21. La ventilación y la refrigeración.
22. Los switches de red redundante con el cableado.
23. Las fuente de alimentación y el SAI tipo hot swap.
24. Interfaces de almacenamiento.
Al estar todo integrado en el chasis se consigue reducir el consumo eléctrico, cableado, sistemas de
enfriamiento y el espacio dentro del rack.
Ventajas
- Permite intercambio en caliente (Hot-Swap):si un blade falla puede ser reemplazado sin
ningún impacto en los otros blades.
- Escalabilidad horizontal: porque nos ofrece ampliar el número de servidores fácilmente a
medida que va creciendo la demanda.
- Alta disponibilidad, pues la mayoría de los equipos poseen elementos redundantes que
garantizan el funcionamiento continuado de los servidores sin interrupciones.

52.3.- PUESTO DE TRABAJO

Lo más habitual en cualquier empresa es que en el puesto de trabajo exista un microcomputador, es
decir, o bien un PC o una estación de trabajo (en inglés workstation).Una Workstation es un
microordenador de altas prestaciones especialmente diseñado para niveles de alto rendimiento en
ciertas tareas, como pueden ser, diseño gráfico, edición de video, etc. Estos potentes ordenadores
han encontrado su sitio en la ingeniería y desarrollo de software entre otras cosas, debido a su
habilidad multitarea.
Las principales aplicaciones de una Workstation son el Diseño Asistido por Ordenador destinadas
al diseño y análisis de sistemas de ingeniería y arquitectura, edición de planos de construcción,
sistemas GIS, sistemas expertos, simulación ,etc..

52.4.- DISPOSITIVOS PERSONALES

52.4.1 PDA
Una PDA (Personal Digital Assistant) es un ordenador de bolsillo diseñado como una agenda
electrónica, pero que actualmente poseen una potencia razonable y son capaces de realizar
numerosas funciones más allá de las de mera agenda electrónica constituyéndose como una
extensión misma del ordenador personal, que podremos sincronizar con éste. Otros términos
asociados son palmtop y handhelds. Los términos PDA, palmtop y handhelds surgieron para cubrir
necesidades diferentes. Actualmente la división entre ambas es muy difusa; ambos términos se
utilizan indistintamente.
Características:
47. Tienen un tamaño físico muy reducido para que quepa en la mano.
48. Son bastantes ligeros para que sea fácil su trasporte en un bolsillo.
49. La pantalla es táctil ocupando gran parte del dispositivo y dejando poco espacio para ubicar
botones hardware. No suelen disponer de un teclado con botones (salvo algunos
dispositivos) por lo que para agregar texto se utiliza un teclado virtual o se le añade un
teclado externo por USB.
50. Tienen capacidad multimedia, ya que integran altavoz, micrófono y grabadora de voz.
51. Disponen de conexión de periféricos: para dispositivos de almacenamiento externo y para
módulos de expansión.
 52. Amplio soporte de conexiones inalámbricas: Bluetooth, infrarrojos, Wi-fi.
53. Funcionamiento con baterías de Litio-ion.
54. La sincronización con los ordenadores personales permite la actualización del directorio, haciendo que la
información del computador y de la PDA sea la misma
55. Utilizan sistemas operativos específicos como son Windows Mobile, HP webOS, Linux.
Limitaciones:
 Potencia de computación reducida.
 Baja duración de las baterías.

52.4.2 TABLET
El Tablet es un ordenador portátil de tamaño reducido. Combina la potencia de un ordenador portátil con la
comodidad de un PDA.
En función de si disponen o no de teclado se distinguen:
 Tablet “Slate”: no dispone de teclado y es necesario utilizar un lápiz o los dedos para manipularlo.
 Tablet “Convertible”: posee un teclado. Puede ser deslizable para poder deslizarse debajo de la pantalla o de
modo que la pantalla pueda girar.
Características:
 Los microprocesadores empleados en estos dispositivos están basados en soluciones para móvil.
 Para el almacenamiento se suelen utilizar discos EIDE convencionales pero de 2,5” (más finos).
 La memoria que suelen utilizar es SODIMM (small online DIMM), especiales para laptop e impresoras.
 Pantalla táctil.
 Nuevas formas de control mediante voz y escritura manual.

52.4.3 Smartphones
Estos dispositivos hacen las funciones de un teléfono móvil convencional, pero están dotados de
una mayor versatilidad, ya que también incluyen algunas de las funciones de un ordenador personal.
En la actualidad todos ellos tienen en común un conjunto amplio de características, como una
pantalla táctil de gran formato, conectividad WiFi, Bluetooth, 3G... Las pantallas táctiles de los
smartphones son la interfaz directa de comunicación entre el usuario y el propio dispositivo. Existen
dos tecnologías aplicables a estas superficies táctiles:
 Las capacitivas: es la más adecuada para facilitar la interacción directa con el dedo en lugar
de los habituales stylus.
 Las resistivas: están formadas por varias capas, por lo que cuando las presionamos entran en
contacto. Esto produce un cambio de corriente, facilitando, de este modo, la detección de la
pulsación.
Actualmente el S.O. que se implanta en un Smartphone ha adoptado tanta trascendencia como el
equipo mismo. Estos S.O. también se utilizan en los tablets, por ejemplo el iOS de Apple se
encuentra en su smartphone iPhone y en su tablet iPad, el HP webOS se implanta en los
smartphones Palmpre y en su tablet TouchPad, etc. A continuación se exponen los S.O. más
relevantes en el mercado son HP webOS ,Android, Windows Phonee iOS (es el sistema operativo
móvil de Apple).
Tema 53. Concepto, evolución y tendencias de los sistemas operativos. Sistema operativo
UNIX-LINUX. Sistema operativo Windows

53.1.- SISTEMA OPERATIVO.

Se puede definir un sistema operativo (S.O.) como un conjunto de programas que controlan
directamente los recursos hardware (HW) o físicos de un ordenador (CPU, memoria principal y
periféricos) proporcionando una máquina virtual que oculta los detalles físicos de la máquina y
ofrece al usuario un entorno más amigable. El sistema operativo tiene 3 funciones:
1. Inicializar la máquina. Prepara la máquina para el funcionamiento. Hay 2 formas de
inicialización:
33. TOTAL: Inicialización de todas las funciones y servicios que la máquina puede ofrecer.
34. PARCIALMENTE: Se va a ser selectivo con los tipos de servicios que se inicializan. La
principal ventaja/utilidad de la inicialización parcial es la recuperación de la máquina ante
fallos ya que si falla un servicio de la máquina sólo hay que lanzar de nuevo el servicio.
2. Servir de máquina virtual. Se ocultan detalles de hardware proporcionando un entorno más
amigable. Esto tiene 2 objetivos:
 La SEGURIDAD: En lugar de que el usuario acceda directamente a un recurso HW, lo hace
el S.O. El SO tiene dos formas de actuar: modo supervisor y modo usuario. Todos los
programas actuarán en modo usuario hasta el momento en que haya que acceder al HW;
Entonces se produce una interrupción y el SO cambia a modo supervisor para evitar las
operaciones que puedan causar problemas. Al conjunto de interrupciones se le llama
interface interna del sistema operativo.

 ABSTRACCIÓN: Se abstraen las características físicas y reales de la máquina. Esto

constituye la interface externa del S.O., el lenguaje con el que nos vamos a comunicar con
él. Se denomina SHELL.
3. Administrar los recursos para su funcionamiento. Esta administración tiene que cumplir 3
características: debe ser correcta, justa y eficiente

53.1.2 Evolución de los Sistemas Operativos

La evolución de S.O. puede organizarse en generaciones con algunas características comunes:
Primera Generación :Se caracteriza porque no existía un sistema operativo.
Segunda Generación: Se distinguen 2 tipos de sistema operativo:
56. Monitor Residente: el S.O. se limitaba a cargar los programas a memoria, leyéndolos de
tarjetas perforadas, y ejecutarlos.
57. Trabajo por lotes: Para optimizar el tiempo de montaje surgió la idea de agrupar los trabajos
en lotes, en una misma cinta o conjunto de tarjetas, de forma que se ejecutaran uno a
continuación de otro sin perder apenas tiempo en la transición. En la memoria del ordenador
existen dos ítems: a) el monitor de lotes: indicando qué trabajo se está ejecutando y b) el
trabajo actual.
Tercera Generación:
o S.O. Multiprogramación. En memoria principal va a haber más de un programa.
La CPU ejecuta instrucciones de un programa, cuando el que se encuentra en
ejecución realiza una operación de E/S, en lugar de esperar a que termine la
operación de E/S, se pasa a ejecutar otro programa. Se va a definir el grado de
multiprogramación como el número de programas que hay actualmente en
memoria
o S.O. Multiproceso. Tiene varios procesos en memoria principal.
o S.O. Multiprocesador. Se utilizan donde hay 2 CPU's o más.
 o S.O. Interactivos. Sistemas que de alguna forma mantienen un diálogo con el
usuario; mediante el SHELL (lenguaje de comandos).
o S.O.Multiusuario. Aquellos sistemas operativos en los cuales varios usuarios
pueden acceder al mismo ordenador simultáneamente.
o S.O.de Tiempo Compartido.Pretenden dotar a cada persona de una parte de la
CPU. El usuario ve el ordenador como suyo propio, aunque no lo es.
o S.O. de Tiempo real. Sistemas con unas restricciones de tiempo muy estrictas en
las que las operaciones deben entregar su resultado a tiempo, o se dice que ha
fallado.
Cuarta Generación
o Sistema Operativo de Red. El usuario es consciente de que existen otras
máquinas. El usuario ya no quiere trabajar solo; quiere trabajar con otros
usuarios. Tiene que acceder de forma explícita a esas máquinas.
o Sistema Operativo Distribuido.El parámetro clave es la transparencia: el usuario
no es consciente de que existen otras máquinas; no sabe en qué máquina está.

53.1.3 Clasificaciones de los Sistemas Operativos

47 Según el número de usuarios:
 S.O. monousuarios: sólo aceptan un usuario en un momento determinado.
 S.O. multiusuarios: aceptan simultáneamente a más de un usuario.
z) Según el hardware:
h) Según el número de CPU'S:
 S.O. monoprocesador: sólo controla una CPU.
 S.O. multiprocesador: varios procesadores.
hh) Según la organización de la memoria principal:
ff) S.O. centralizados: una memoria principal y los procesadores van a estar intentando acceder
a esta memoria principal.
gg) S.O. distribuidos: cada procesador tiene su propia memoria principal.
aa) Según el modo de trabajo con los sistemas operativos:
- Interactivo (on-line): el usuario dialoga con la máquina.
- Batch (off-line): no hay comunicación con la máquina cuando está realizando el trabajo.
bb) Según el objetivo para el que fueron diseñados:
75. S.O. de propósito general: capaces de realizar cualquier tarea.
76. S.O. de propósito específico: controlan el funcionamiento de electrodomésticos, vehículos,
equipos de electrónica consumo, etc.
77. S.O. de Tiempo Real: ofrecen una respuesta en un intervalo de tiempo bien definido.
78. S.O. Virtuales: corren sobre HW de un ordenador ofreciendo a los niveles superiores copias
exactas de la máquina real, de forma que en cada copia se puede ejecutar un sistema
operativo distinto.
79. S.O. de dispositivos móviles:

53.1.4 Estructura de los Sistemas Operativos

Sistemas operativos monolíticos: Estos S.O. no tienen una estructura definida. El S.O. se escribe
como una colección de procedimientos entrelazados de tal forma que cada uno puede llamar a
cualquier otro. Carece de protección al entrar a procedimientos que gestionan diferentes aspectos de
los recursos del ordenador, como almacenamiento, E/S, etc. Son hechos a medida lo que tiene como ventaja
que son eficientes y rápidos y como desventaja que carecen de flexibilidad para crecer
Sistemas operativos con capas: El SO se organiza en una jerarquía de estratos, estando construido
cada uno de ellos sobre el otro que tiene menor jerarquía que él.
Sistemas operativos Cliente-Servidor: Minimizan el kernel (núcleo) del S.O., desplazando el código
de todos sus servicios a estratos lo más superiores posibles. Para ello, la mayoría de sus funciones
se implementan como procesos de usuario, denominados procesos servidores.

53.1.5 Funciones de un Sistema Operativo

Las principales funciones que tienen los S.O. son:
Gestión de procesos: El S.O. ha de cargar los distintos procesos, iniciarlos, supervisar su ejecución
llevando a cabo los cambios de contexto necesarios y detectar su terminación normal o anormal. En
los entornos multiusuario es fundamental la activación de mecanismos de protección que limiten las
posibilidades de acceso de cada proceso a una serie de recursos para los que cuente con la debida
autorización.
Gestión de memoria principal: varios procesos tienen que compartir la memoria principal sin que
unos puedan acceder a los recursos de otros .Para ello hay que dividir la memoria en bloques y éstos
se les asignaran a distintos procesos. Para hacer la división se utiliza la segmentación, la paginación
o la segmentación paginada.
Gestión de los sistemas de archivos: el S.O. tiene que hacerse cargo de: la gestión del espacio
libre/ocupado, de los cachés de lectura y escritura, del vínculo entre nombres y archivos, de las
asociaciones entre los bloques físicos de los dispositivos y los bloques lógicos, de los permisos para
el acceso y modificación a los distintos elementos.
Gestión de entrada/salida (E/S): El sistema operativo debe gestionar el almacenamiento temporal
de E/S y servir las interrupciones de los dispositivos de E/S.

53.1.6 Tendencias
Actualmente, la movilidad es lo primordial en nuestra sociedad, y asociado a esta movilidad está la
seguridad. Se empieza a hablar de sistemas operativos en la nube (cloud computing) y se consolidan
los sistemas operativos de los dispositivos móviles. Otro aspecto a destacar derivado del momento
económico es el ahorro de costes. Fruto de esto se puede ver una tendencia más que clara en la
virtualización.

53.2.- SISTEMA OPERATIVO UNIX-LINUX

UNIX es un sistema operativo creado en los laboratorios Bell de AT&T como una versión reducida
del proyecto MULTICS; primero fue escrito en ensamblador, pero ello impedía la portabilidad a
diferentes ordenadores. Despues se reescribe UNIX totalmente en C, haciendo por tanto el código
casi totalmente independiente del tipo de máquina, permitiendo la instalación de UNIX en
diferentes plataformas.
Debido a las múltiples versiones en el mercado de UNIX, el IEEE especifica una familia de
estándares para definir una interfaz de programación de aplicaciones (API) para que todas las
versiones fuesen 'compatibles'. A esta familia se le conoce como POSIX.
Linux, se creó en 1991 por Linus Torvalds basándose en otros dos sistemas operativos:
 El sistema abierto UNIX.
 El sistema educativo Minix creado en 1987 por Andrew S. Tanenbaum.
Torvalds crea sólo el Kernel, el núcleo del sistema sin la capa de servicios, gestores, aplicaciones
graficas, etc. que serán creadas posteriormente por otros autores. A todo el sistema se le da el
nombre de GNU/Linux (distribución completa del sistema operativo con Linux), que contiene el
núcleo más las otras capas del sistema operativo y utilidades. Si bien muchas veces se denomina a
todo el sistema simplemente LINUX.

53.2.2 Arquitectura de Unix-Linux

La arquitectura está basada en capas o niveles de forma que cada capa únicamente puede
comunicarse con las capas que se hallan en los niveles inmediatamente inferior y superior. En la
capa inferior tenemos toda la parte del Hardware que el sistema operativo debe gestionar. Por
encima de éste se sitúa el kernel de Unix que es el encargado de la administración de procesos,
gestión del sistema de archivos, entradas / salidas, etc. A los procesos que trabajan a ese nivel se les
llama procesos en modo kernel. La biblioteca estándar se ubica por encima del kernel, se encarga,
por ejemplo de las operaciones de apertura, cierre, etc. A este nivel se trabaja en modo usuario. La
interface entre las dos capas, o el acceso de la capa de biblioteca estándar a la del kernel se realiza a
través de la interfaz de llamadas al sistema.
A un nivel superior tenemos los programas y utilidades como el shell, compiladores, etc., que sirven
de ayuda a desarrolladores y usuarios que interactúan con el sistema operativo. La interface entre
esta capa y la inmediatamente inferior es a través de la interfaz de biblioteca Por último, se
ubicarían los usuarios que por medio de la interfaz de usuario se comunican con el shell, u otras
utilidades del sistema Unix.
El núcleo de UNIX (kernel) es de tipo monolítico, diferenciándose dos partes principales: el núcleo
dependiente de la máquina y el núcleo independiente. El núcleo dependiente se encarga de las
interrupciones, los dispositivos de bajo nivel y parte de la administración de la memoria. El núcleo
independiente es igual en todas las plataformas e incluye la gestión de llamadas del sistema, la
planificación de procesos, la paginación e intercambio, la gestión de discos y del sistema de
archivos

53.2.3 Gestión de procesos.

La gestión de procesos en UNIX es por prioridad y round robin. En algunas versiones se gestiona
también un ajuste dinámico de la prioridad. Los procesos trabajan en modo usuario y en modo
kernel. El paso de modo usuario a kernel o viceversa se realiza a través de traps que crean una
interrupción para acceder a la interfase de llamadas al sistema y al resto de los componentes de
nivel kernel.
LINUX combina multiprogramación y tiempo compartido.
Utilizando una política predefinida, el programador de procesos selecciona un proceso de la cola de
procesos listos y comienza su ejecución durante un pedazo de tiempo ya dado. El algoritmo de
programación de procesos selecciona el proceso con la mayor prioridad para ser ejecutado primero.
Si varios procesos tienen la misma prioridad, se aplica el algoritmo round-robin.

53.2.4 Gestión de memoria.

Los sistemas UNIX utilizan el manejo de memoria virtual siendo el esquema más usado la
paginación por demanda y combinación de segmentos paginados, en ambos casos con páginas de
tamaño fijo. En todos los sistemas UNIX se usa una partición de disco duro para el área de
intercambio (swap). Si no caben todos los programas en memoria principal se hace uso de la
partición de intercambio (swapping)
Linux comparte muchas de las características de los esquemas de gestión de memoria de otras
implementaciones UNIX, pero tiene sus características propias. En lo que respecta a memoria
virtual, el direccionamiento de memoria virtual de Linux, hace uso de una estructura de tabla de
páginas con tres niveles.

53.2.5 Gestión de E/S

Los dispositivos de entrada y salida son considerados ficheros especiales: Toda entrada/salida está
basada en el principio de que todos los dispositivos se pueden tratar como ficheros simples que se
acceden mediante descriptores de archivos cuyos nombres se encuentran generalmente en el
directorio «/dev». Cada proceso en UNIX mantiene una tabla de archivos abiertos. Las llamadas al
gestor de entrada/salida se hacen de dos formas: síncrona y asíncrona. El modo síncrono es el modo
normal de trabajo y consiste en hacer peticiones de lectura o escritura y el proceso espera a que el
sistema le responda. Existen dos tipos de dispositivos:
Dispositivos de bloques:
 Usan secuencias de bytes (bloques)
 Utilizan buffer-cache
 Están estructurados en bloques de tamaño fijo (512 bytes)
 Permiten optimizar el rendimiento
Dispositivos de carácter:
 Son dispositivos sin estructura (terminales, impresoras, etc)
 No usan buffer
 La operaciones se realizan carácter a carácter
UNIX permite interrumpir la CPU asíncronamente. Al recibir la interrupción, el kernel almacena el
contexto actual, determina la causa y responde a la interrupción. Tras responder a ésta, devuelve el
contexto interrumpido y sigue ejecutando. El HW asigna las prioridades a los dispositivos de
acuerdo con el orden de actuación en las interrupciones.

53.2.6 Gestión de archivos

El sistema de archivos UNIX se caracteriza porque posee una estructura jerárquica, realiza un
tratamiento consistente de los datos de los archivos, protege los datos de los archivos y trata a los
dispositivos y periféricos (terminales, unidades de disco, cinta, etc.) como si fuesen archivos.
El sistema de archivos está organizado, a nivel lógico, en forma de árbol invertido, con un nodo
principal conocido como nodo raíz (“/”). Cada nodo dentro del árbol es un directorio y puede
contener a su vez otros nodos (subdirectorios), archivos normales o archivos de dispositivo.
Una partición de disco clásica en UNIX contiene la siguiente estructura:
m) Bloque de arranque: contiene el código para arrancar el ordenador con esa partición.
n) Superbloque: Contiene información crucial acerca de la organización del sistema de
archivos, incluido el número de nodos-i (i-nodes), el número de bloques de disco y el
principio de la lista de bloques de disco libres. La destrucción del superbloque hace que el
sistema de archivos ya no pueda leerse.
o) Nodos-i: contiene la representación interna de un fichero que permite entre otras cosas
localizar todos los bloques de disco que contienen los datos del archivo
p) Bloques de Datos: almacenan la información. Lo normal es que un archivo ocupe más de un
bloque de datos no siendo necesario que estén contiguos.
LINUX comenzó empleando el sistema de archivos de MINIX, pero estaba limitado a nombres de
14 caracteres y a archivos de 64 MB de tamaño. Luego continuaron el sistema de archivos Ext y
Ext2, con nombres de archivo largos, archivos grandes y mejor rendimiento. Ext2 evoluciono a
Ext3 que trajo principalmente las transacciones (journaling) a Ext2.

53.3.- SISTEMA OPERATIVO WINDOWS

53.3.1 Características
Básicamente existen dos versiones distintas de S.O. Windows: aquellos enfocados al mundo
empresarial y aquellos enfocados al consumidor final o usuario doméstico. Dentro de esta simple
clasificación podríamos hacer otras clasificaciones. Orientado al usuario domestico existen S.O.
para equipos de sobremesa, portátiles, tablets, y dispositivos móviles. Y orientado al mundo
empresarial podemos distinguir S.O. para servidores y S.O. para estaciones de trabajo.
53.3.2 Arquitectura de Windows
La estructura modular de Windows 2008 le permite ejecutarse en una gran variedad de plataformas
hardware. En esta estructura modular se distinguen dos capas principales:
58. Modo usuario: Cuyos programas y subsistemas están limitados a los recursos del sistema
a los que tienen acceso.
59. Modo núcleo o kernel: Tiene acceso total al hardware de la máquina, impidiendo a los
servicios del modo usuario y a las aplicaciones acceder a al hardware que queda totalmente
protegido por el sistema operativo. La arquitectura dentro del modo núcleo se compone de lo
siguiente:
hhh. El micronúcleo: situado entre la capa de abstracción de hardware y el Executive,
proporciona la gestión multiprocesador: gestión de procesos, hilos y tratamiento de
interrupciones, y de excepciones.
iii. Una capa de abstracción de hardware (en inglés Hardware Abstraction Layer o HAL),
se encarga de ocultar las diferencias de hardware y por tanto proporciona una plataforma única
donde pueda ejecutarse el S.O. independientemente del HW.
jjj. Controladores o también llamados drivers: utilizados para interactuar con los
dispositivos hardware.
kkk. Executive: sobre el cual son implementados todos los servicios de alto nivel. Se
relaciona con todos los subsistemas del modo usuario. Se ocupa de la entrada/salida, la gestión
de memoria, Plug&Play, la seguridad y la gestión de procesos.
Todas las versiones de Windows manejan bibliotecas compartidas, llamadas bibliotecas de vínculos
dinámicos (DLLs; Dinamic Link Libraries).

53.3.3 Gestión de procesos.

Los procesos se crean como objetos, y un proceso puede tener varios hilos. El algoritmo de
planificación está basado en colas de retroalimentación de múltiples niveles con prioridades. Cada
cola se gestiona con una política Round Robin. La planificación se aplica sobre los hilos, no a los
procesos, y está basada en prioridades, es decir, siempre se ejecutará el hilo de mayor prioridad de
la cola de hilos preparados.
Cuando se selecciona un hilo para su ejecución, se le concede un quantum, o intervalo de tiempo
durante el cual se permite al hilo ejecutarse antes de que lo haga otro hilo del mismo nivel de
prioridad.
Cada proceso recibe una prioridad base para todos sus hilos. El sistema se basa en 32 prioridades,
del 0 (menor prioridad) al 31 (mayor prioridad):
- La prioridad 0 está reservada para el hilo de sistema responsable de poner a cero las páginas
libres cuando no las necesiten ningún hilo.
- Las prioridades 1 a 15 son las reservadas para los procesos de usuario (prioridades
variables).
- Las prioridades 16 a 31 están reservadas al sistema operativo (prioridades en tiempo real).
En ciertas condiciones un subproceso puede ver incrementada su prioridad base, pero nunca por
encima de la prioridad 15 y nunca para subprocesos de prioridad mayor de 15. Si una operación de
E/S libera un subproceso, éste ve incrementada su prioridad base de modo que pueda ejecutarse
pronto.

53.3.4 Gestión de memoria.

La gestión de memoria en Windows es de memoria virtual con paginación. Windows utiliza un
algoritmo de paginación por demanda anticipada, es decir, cada vez que se produce un fallo de
página, el sistema copiará en memoria la página correspondiente a la referencia a memoria que ha
causado el fallo de página y además un conjunto de páginas próximas a ella, tanto anteriores como
posteriores. El mecanismo de paginación se apoya mucho en el concepto de Conjunto de Trabajo
(Working Set)que asegura una cierta cantidad de memoria física para cada proceso. Si se produce
un fallo de página y es necesario sustituir algún marco de página que está en memoria, Windows
emplea el algoritmo LRU (aunque algunas versiones utilizan también FIFO).

53.3.5 Gestión de E/S

Las entradas y salidas en Windows pueden ser síncronas (el proceso esperará hasta que se haya
completado la operación en el dispositivo hardware) o asíncronas (el proceso lanza la operación y
sigue con su ejecución y cuando la operación E/S finaliza el S.O. lo avisa).En Windows se cargan y
descargan los drivers en cualquier momento, evitando que consuman recursos si no se van a utilizar.
Esto se hace gracias al Plug and Play (PnP) que permite detectar cualquier dispositivo que se
conecte al sistema y cargar el driver correspondiente. El sistema de E/S se compone de los
siguientes módulos:
• El gestor de E/S: define la infraestructura que soporta los drivers de dispositivos.
• El driver de dispositivo: proporciona un interface de E/S para un determinado tipo de dispositivo.
Estos módulos los desarrollan los fabricantes.
• El gestor de PnP: detecta los dispositivos hardware al conectarse o desconectarse.

53.3.6 Gestión de archivos

La asignación del espacio la realiza el subsistema de ficheros en unidades “cluster”, cuyo tamaño
depende de la capacidad del disco. Windows gestiona los discos y la información que contienen en
base a particiones y volúmenes.
 Particiones. Cada disco se puede dividir en particiones primarias y extendidas. Las particiones
primarias serán aquellas que puedan contener un S.O. y, por lo tanto, permitan el arranque del
S.O. desde las mismas. En Windows, las particiones las gestiona el gestor de particiones.
 Volumen. Un volumen desde el punto de vista del usuario es una partición formateada. Las
particiones primarias sólo podrán contener un volumen, mientras que las extendidas podrán
albergar varios.
En Windows Server podemos trabajar con dos tipos de discos:
 Discos básicos. Son los que se basan exclusivamente en tablas de particiones.
 Discos dinámicos. Se basan en volúmenes dinámicos, que permiten la creación de
volúmenes de particiones múltiples tales como simples, distribuidos, espejos, stripes y
RAID-5. Los discos dinámicos se particionan con el Administrador de discos lógicos
(LDM – Logical Disk Manager).
Sistemas de ficheros
NTFS(New Technology File System)es el formato nativo de Windows Server para los sistemas de
ficheros. NTFS añade características de seguridad de ficheros y directorios, cuotas de disco,
compresión de ficheros, enlaces simbólicos basados en directorios, y cifrado. Una de sus
características más significativas es el journaling: registra los cambios que se realizan en los
metadatos como si fueran transacciones con la finalidad de que se puedan recuperar en el caso de la
pérdida de ficheros o de sus datos.
La estructura central de NTFS es la tabla maestra de archivos MFT (Master File Table), que es una
sucesión lineal de registros de tamaño fijo (1 KB). Cada registro de MFT describe un archivo o un
directorio, contiene los atributos del archivo, como su nombre y marcas de tiempo, y la lista de
direcciones de disco donde están sus bloques. Si un archivo es demasiado grande puede ser
necesario emplear más de un registro MFT para contener la lista de todos los bloques.
53.3.7 Seguridad
Cada objeto tiene asociado un descriptor de seguridad que indica quién puede realizar qué
operaciones con él. En un sistema autónomo la validación corre por cuenta del proceso winlogon y
la configuración de seguridad almacenada en la propia máquina en las claves del registro:
SECURITY y SAM. Donde la primera establece las políticas globales de seguridad y la segunda la
seguridad específica de cada usuario.
En un sistema en red, la autenticación de los usuarios está centralizada en ciertos servidores
denominados controladores del dominio. Los equipos se organizan dentro de Dominios, pudiendo
éstes estar gestionados mediante el empleo del Active Directory.
Tema 54. Servidores de Mensajería. Servidores de Correo

SERVIDORES DE MENSAJERÍA

Un servidor de mensajería es una aplicación que posee la capacidad para manejar mensajes entre
dos o más entidades, ya sean aplicaciones de usuario u otros sistemas de gestión de mensajes. Otra
de las características de los servidores de mensajería es la capacidad de almacenaje de los mensajes,
este almacenamiento se produce generalmente en una cola hasta que es posible el envío del mismo
hacia su destinatario. El middleware analiza mensaje a mensaje determinando el destino de cada
uno. Una vez en el servidor, un mensaje sólo tiene dos posibilidades de entrega, o ser enviado de
manera local, o que éste tenga que ser redirigido a otro servidor de mensajería para que sea él el que
realice la entrega. Si el mensaje ha de ser entregado a un destino local, entonces es enviado
inmediatamente al buzón local. Por el contrario, si el mensaje es determinado como remoto, el
servidor de mensajería debe enviar el mensaje a otro servidor de mensajería dentro de su entorno
para que sea éste el que realice la entrega del mensaje.
Por lo general, si existen problemas de conexión entre los servidores o no es posible determinar la
localización del servidor de mensajería remoto, el usuario el cual realizó el envío del mensaje es
informado a través de un mensaje enviado por el servidor de mensajería, informando de la
situación. Los modelos de los servidores de mensajería suelen adaptarse a una arquitectura
centralizada o seguir una solución distribuida.
25. Sistema de mensajería Centralizada: Todos los datos y la información se encuentra
albergada y se gestiona desde el núcleo, incluso cuando los usuarios establecen una
conexión remota para su utilización. Esta centralización facilita en gran medida la
administración de los servicios, puesto que provoca que ésta sea más sencilla. Las
actualizaciones se han de realizar únicamente en el núcleo central, en donde se encuentra
todo el sistema.
26. Sistema de mensajería Distribuido: Un sistema de mensajería distribuido está formado por
una serie de sucursales repartidas en distintas ubicaciones conectadas entre sí. Cada sucursal
posee un servidor o servidores de mensajería con todos sus servicios de manera
independiente del resto de sucursales. Cada uno de los servidores de mensajería realiza el
envío de sus mensajes locales y redirige a los otros servidores aquellos mensajes que no son
de dominio local y que sí son capaces de resolver alguno de los otros servidores. La
información se encuentra también distribuida entre cada una de las sucursales y cada una de
ellas gestiona y administra esta información y sus servicios, lo que provoca un aumento en
la complejidad de estas tareas. Cada vez que se lleva a cabo una tarea de actualización ésta
ha de realizarse en cada una de las sucursales, para que tenga efecto en todo el sistema.

SERVIDORES DE CORREO

Un servidor de correo es una aplicación que nos permite enviar mensajes (correos) de unos usuarios
a otros, con independencia de la red que dichos usuarios estén utilizando. Para lograrlo se definen
una serie de protocolos, cada uno con una finalidad concreta:
hh) SMTP, Simple Mail Transfer Protocol: Es el protocolo que se utiliza para que dos servidores
de correo intercambien mensajes.
ii) POP, Post Office Protocol: Se utiliza para obtener los mensajes guardados en el servidor y
pasárselos al usuario.

jj) IMAP, Internet Message Access Protocol: Su finalidad es la misma que la de POP, pero el
funcionamiento y las funcionalidades que ofrecen son diferentes.
Así pues, un servidor de correo consta en realidad de dos servidores: un servidor SMTP que será el
encargado de enviar y recibir mensajes, y un servidor POP/IMAP que será el que permita a los
usuarios obtener sus mensajes. Podemos discriminar dos tipos de agentes que están involucrados en
la transferencia de correo, MUA y MTA:
80. Agente de usuario (MUA), interfaz para leer y escribir los mensajes, son los clientes finales.
81. Agente de transporte (MTA o estafeta), encargado del transporte de los mensajes (SMTP).A
la primera MTA a la que el cliente entrega su correo se la llama MSA (S de sending) y a la
última que lo recibe y lo entrega al cliente destinatario se le llama MDA (D de delivering)
82. Cuando un MTA no es el destinatario de un correo, se lo debe de entregar a otro y así hasta
llegar a su destino. Este comportamiento es conocido como Relay.

Sistemas de correo electrónico: arquitectura

Los sistemas de correo electrónico se configuran para que trabajen de forma asíncrona en la
comunicación, de forma que el cliente envía un mensaje y no tiene que esperar respuesta. De esta
forma los buzones de correo y las funciones de transmisión y recepción de mensajes se ubican en un
servidor de correo. El servidor de correo permanece a la “escucha” de conexiones de otros
servidores de correo para la recepción de mensajes con destino a sus usuarios, almacena los
mensajes de correo recibidos en los buzones y realiza la transmisión de mensajes de los usuarios a
otros servidores remotos, es decir, el servidor de correo actúa como un MTA.
Los usuarios de un servidor, interactuarán con él a través de un cliente de correo. Para la
recuperación de mensajes se utiliza POP3 o IMAP4. El envío de mensajes no se realizará
directamente a los servidores remotos, sino que en primer lugar se enviará el mensaje al servidor de
correo que le da servicio, mediante SMTP y será este servidor el que realice la transmisión
definitiva del mensaje al servidor de correo remoto que albergue el buzón destino. Teniendo en
cuenta esto, la arquitectura de un sistema de correo incluye:
48 Servidores de correo para el envío, recepción y almacenamiento de la información de los
usuarios. Deberán ser correctamente configurados para poder ser alcanzables en el DNS.
Actualmente, se tiende a proporcionar una solución unificada de mensajería para una
organización que integre mensajería móvil, mensajería instantánea, groupware, etc. con lo que
la frontera entre servidores puros de correo electrónico y servidores generales de mensajería está
poco clara. Los más extendidos son Microsoft Exchange Server, Lotus Notes y SendMail.
49 Clientes de correo utilizados por los usuarios para, básicamente, componer y leer correos
electrónicos.
50 Soporte para plataformas de acceso: hoy en día se puede acceder desde el puesto de trabajo en la
intranet de la empresa, desde un equipo portátil en la extranet, hasta smartphones y PDA’s.
51 Sistema de almacenamiento de los mensajes en los respectivos buzones.
52 Sistema de Directorio (Active Directory o LDAP) útiles para acceder a la información de los
usuarios de la empresa (nombre, cargo, etc).

SMTP (Simple Mail Transfer Protocol)

El significado de las siglas de SMTP es Protocolo Simple de Transmisión de Correo. Este protocolo
es el estándar de Internet para el intercambio de correo electrónico. SMTP necesita que el sistema
de transmisión ponga a su disposición un canal de comunicación fiable y con entrega ordenada de
paquetes, con lo cual, el uso del protocolo TCP en la capa de transporte, es lo adecuado.
Realmente son tres los estándares que se aplican a un envío de correo de esta clase. Los tres estándares son:
 Un estándar para el intercambio de correo entre dos computadores, el cual especifica el protocolo usado para
enviar correo entre "host" TCP/IP.
 o Un estándar del formato del mensaje de correo (CABECERA Y CUERPO)

 Un estándar para el encaminamiento de correo usando el DNS (sistema de nombres de dominio). El nombre
oficial del protocolo para este estándar es DNS-MX.

El protocolo SMTP es un protocolo cliente/servidor, por lo que siempre es el usuario SMTP el que
inicia la sesión y el servidor de correo el que responde. El protocolo SMTP se basa en la entrega de
mensajes extremo a extremo. Cuando un servidor de SMTP, requiere transmitir un mensaje a otro
servidor SMTP, el emisor (servidor que inicia la sesión SMTP) establece una conexión con el
receptor (servidor que recibe petición de establecer sesión SMTP). Esta conexión es unidireccional,
es decir, el emisor puede enviar correo al receptor, pero durante esa conexión, el receptor no puede
enviar correo al emisor. Si el receptor tiene que enviar correo al emisor, tiene que esperar a que
finalice la conexión establecida y establecer otra en sentido contrario, cambiando los papeles de
emisor y receptor.
Si se requiere autenticación TLS/SSL la conexión se realiza a los puertos 465 o 587, en vez del
puerto 25.

POP (Post Office Protocol)

El protocolo de oficina de correo, POP, es un protocolo cuya misión es la de entrega final del correo
al destinatario. Su objetivo principal es poder gestionar los correos sin tener que estar conectado a
Internet, es decir, permite a los usuarios descargar el correo electrónico mientras tienen conexión y
revisarlo posteriormente incluso estando desconectados.
La última versión del POP es la 3, por eso se suele referir a este protocolo como POP3. El
protocolo POP3 es un protocolo cliente/servidor, por lo que siempre es el usuario POP3 el que
inicia la sesión y el servidor de correo el que responde.
El cliente POP se conecta con el servidor a través del puerto TCP, 110. Para conectarse al servidor,
es necesario una cuenta de identificación en dicha máquina (lo que le permite tener un espacio
reservado para sus correos). A continuación es necesario verificar que es dueño de la cuenta a través
de una clave. Una vez conectado al sistema, el cliente POP puede dialogar con el servidor para
saber, entre otros, si existen mensajes en la casilla, cuántos mensajes son o para solicitar la descarga
de alguno de ellos.
Cuando la conexión TCP está establecida, POP3 continúa con tres fases:
 Autorización: Se envía el login y password para identificar al usuario que quiere leer el
correo. Cuando se verifica que el nombre y la clave son correctos, el servidor pasa a un
estado de transacción. Antes de pasar a este estado, el servidor POP bloquea el buzón
para impedir que los usuarios modifiquen o borren el correo antes de pasar al estado
siguiente.
 Transacción:Se produce la manipulación del contenido del buzón del usuario.

 Actualización: Todas las modificaciones se realizan cuando el cliente finaliza el servicio

(con el comando QUIT).Hasta que no se invoca a la orden QUIT los mensajes marcados
no son borrados del buzón

Si se requiere autenticación TLS/SSL la conexión se realiza al puerto 995, no al puerto 110.

IMAP - Internet Message Access Protocol

El protocolo IMAP (Protocolo de acceso a mensajes de Internet) es un método utilizado por las
aplicaciones cliente de correo electrónico para obtener acceso a los mensajes almacenados
remotamente. En este caso, los mensajes no son recuperados por el gestor de correo, sino que se
trabaja con ellos directamente sobre el servidor.
Es un protocolo más complejo que POP3. Algunas ventajas sobre el anterior son que se puede
conectar más de un cliente al mismo buzón, posee buscadores que se ejecutan en el servidor y es
totalmente compatible con diferentes estándares de mensajes de Internet, como MIME. Como
desventaja es más complejo y necesita más recursos hardware.
El protocolo IMAP es un protocolo cliente/servidor, por lo que siempre es el usuario IMAP el que
inicia la sesión y el servidor de correo el que responde. Actualmente la versión operativa es la 4 por
eso a este protocolo también se le conoce como IMAP4. Los clientes IMAP pueden acceder
siguiendo uno de estos tres modos de conexión:
 Modo offline. Periódicamente se conecta al servidor para descargar mensajes nuevos y
sincronizar cualquier cambio que haya podido suceder en las diferentes carpetas.
 Modo online. Se accede directamente a la copia de los mensajes del servidor exactamente
cuando hace falta, sincronizando los cambios prácticamente al vuelo.

 Modo desconectado. En este caso el cliente trabaja con una copia local mientras que no
tiene acceso a internet, creando/borrando/leyendo sus emails. La próxima vez que se conecte
a Internet estos cambios se sincronizarán con la copia maestra del servidor.

En la RFC 2060 (actualmente la RFC 3501) se definen las instrucciones para poder interactuar con
el servidor de correo y sus buzones. Al igual que en el POP3, en una sesión IMAP existen las
siguientes fases:
37. Non-authenticated state: En este estado el Cliente aún no se ha autenticado con el
Servidor.
38. Authenticated state: El Cliente ha sido autenticado por el Servidor y debe seleccionar un
buzón para interactuar.
39. Selected state: El cliente ha seleccionado un buzón y se pueden realizar acciones sobre
los correos contenidos en él.

40. Logout state: La conexión ha sido finalizada.

Si se requiere autenticación TLS/SSL la conexión se realiza al puerto 993, no al puerto 143.

Formato de mensajes en internet

El correo electrónico se divide en dos partes separadas por una línea en blanco.
53. La cabecera del mensaje.
54. El cuerpo del mensaje: Contiene la información que se intercambian el emisor y el receptor.

Encabezados del mensaje. Es la metainformación colocada antes del cuerpo del mensaje. Las
cabeceras más importantes son:
ii) From: Dirección del emisor del mensaje.
jj) Reply-to: Cuenta de correo a donde se dirigirán las respuestas al correo. En ausencia de este
campo las respuestas se dirigirán a la/s dirección/es indicadas en el campo From.
kk) To: Este campo contiene la/s direcciones del/de los principal/es destinatario/s del mensaje.
ll) Cc: Copia a destinatarios. Campo que indica la/s dirección/es a las que se les hará llegar una
copia del correo, aunque el contenido del mensaje puede que no vaya dirigido expresamente
a ellos.
 mm) Bcc: Copia oculta. Se manda una copia a los destinatarios aquí indicados sin que el
resto de destinatarios tengan conocimiento de ello.
nn) Message-ID: Es un identificador único de cada mensaje. Este código es asignado por el
servidor de donde sale el mensaje. Este identificador no se puede cambiar ni modificar.
oo) Reference: Contiene todos los Message-ID de los mensajes a los que éste hace referencia.
Este campo es generado por la aplicación cliente.
pp) KeyWords: Palabras clave que identifican el contenido del mensaje.
qq) Return-Path: Contiene la trayectoria de regreso al remitente.
rr) Received: Es la información que se utiliza para comprobar los problemas que hayan
aparecido en el reparto de un mensaje. En ella se muestran las direcciones de las máquinas
por las que pasó el mensaje en dirección a su destino, junto con la fecha y hora en que lo
hizo.
ss) Date: Fecha y hora en la que el mensaje es entregado a la cola del servidor SMTP para su
envío. Este campo lo establece el servidor origen.
tt) Subject: Este campo contiene un pequeño texto con la descripción del asunto del mensaje.
uu) X- : Son campos definidos por el usuario.

Las cabeceras que son obligatorias son from, to, message-id, return-path, received y date.

Extensiones de SMTP
ESMTP. El protocolo ESMTP es una extensión del protocolo SMTP. Se trata de un
mecanismo para autenticar la identidad del cliente que se conecta al servidor, y
además permite la negociación de una capa de seguridad para hacer más segura la
comunicación.
MIME. El protocolo SMTP impone determinadas restricciones sobre el contenido de los
mensajes:

68 El contenido sólo debe estar compuesto de caracteres ASCII, no se puede enviar ficheros
binarios como audio, video, documentos, etc.
69 Las líneas no pueden exceder los 100 caracteres.
70 El tamaño total del contenido no puede exceder una determinada dimensión.
71 Además, también existen problemas a la hora de enviar mensajes en lenguajes distintos del
inglés (occidentales, ruso, árabe, acentos,…)

Para solventar estas limitaciones se han definido las especificaciones MIME (Multipurpose
Internet Mail Extensions) que son unas extensiones del correo electrónico utilizadas también
en otros protocolos como el HTTP que permiten la transmisión de datos no ASCII, a través
de e-mail, en el cuerpo del mensaje. MIME no cambia a SMTP ni lo reemplaza, por lo que
los mensajes a enviar con MIME también cumplirán este protocolo. El camino seguido para
transmitir cualquier fichero es transformar (codificar) el fichero no ASCII en ASCII de 7 bits
(haciéndolo compatible con SMTP), transmitirlo en este formato y reconvertirlo en destino
al formato original (decodificarlo). MIME incorpora las siguientes características al servicio
de correo electrónico:
42. Capacidad de enviar múltiples adjuntos en un solo mensaje.
43. Longitud ilimitada del mensaje.
44. Uso de conjuntos de caracteres no pertenecientes al código ASCII.
45. Uso de texto enriquecido.
46. Adjuntos binarios.

Para ello MIME añade unas cabeceras que describen el tipo de contenido del mensaje como
Content-Transfer-Encoding, que señala como ha sido codificado el mensaje para su
transmisión por e-mail, de forma que pueda viajar sin problemas de que sea corrompido
desde el destinatario al receptor a través de los agentes de correo (MUAs) y Content-Type,
que indica que tipos de datos contiene el mensaje. Estos pueden ser text, image, video, audio
y multipart, que indica que un mensaje puede tener varias partes con varios contenidos
separados o tipos diferentes.
TEMA 55: Servidores Web y Servidores de Aplicaciones

SERVIDORES WEB
Un servidor http o servidor web es un programa que permite procesar las peticiones de los distintos
navegadores, sirviendo los recursos que estos soliciten mediante los protocolos HTTP o HTTPS.
De forma general, un servidor web funciona de manera muy simple, ejecutando constantemente las
siguientes acciones:
53 Esperar peticiones en el puerto TCP indicado. Por defecto se empleará el puerto 80.
54 Recibir una petición.
55 Procesar la solicitud.
56 Enviar al cliente la respuesta obtenida, empleando la misma conexión por la que se recibión la
petición.
57 Volver a esperar nuevas peticiones.

Entre las características de un servidor web tenemos:

aa) Servir ficheros estáticos: un servidor web debe ser capaz de servir ficheros estáticos que se
localicen en algún lugar del disco
bb) Seguridad: un servidor web debe poder especificar directivas de seguridad, esto es,
establecer quién puede acceder a qué recursos.
cc) Contenido dinámico: es una de las características fundamentales. Indica la capacidad del
servidor para ofrecer contenido dinámico.
dd) Soporte para distintos lenguajes: la mayor parte de los servidores ofrece soporte para
algunos lenguajes de programación como:
a) PHP
b) JSP: para que un servidor atienda peticiones JSP requerirá algún tipo de software para
funcionar, como un contenedor de Servlets.
c) ASP
d) CGI (sistema más antiguo y sencillo para generar contenido dinámico.)

La arquitectura de un servidor web se divide en:

 Capa servidor: contiene 5 subsistemas, cuya función es la de implementar las
funcionalidades del servidor.
58. Subsistema de recepción: es el encargado de esperar las peticiones del cliente a través de la
red. Tiene la capacidad de manejar peticiones simultáneas, pudiendo analizarlas para
determinar si son o no compatibles con el navegador.
59. Analizador de peticiones: asocia al recurso de red un archivo local.
60. Control de acceso: se encarga de validar y permitir el acceso.
61. Controlador de recursos: fija el tipo de recurso que se ha solicitado, lo ejecuta y obtiene la
respuesta.
62. Registro de transacción: su función es registrar las peticiones junto con sus respuestas.
  Capa soporte: conforma la interfaz entre el servidor web y el sistema operativo.

Un servidor web se ejecuta esperando peticiones por parte de un navegador web (cliente) y
atendiendo a dichas peticiones de forma adecuada, respondiendo mediante un mensaje de error o
una página web con la respuesta a la petición formulada.

Es el cliente el encargado de interpretar el código HTML, mostrar los textos y objetos de la página,
sus colores, fuentes, etc. El servidor por su parte se limita a transmitir el código de la página sin
realizar ningún tipo de interpretación de dicha página. Es necesario distinguir entre:
67. Aplicaciones en el lado del cliente: es el navegador web el encargado de ejecutar estas
aplicaciones en el equipo del usuario (scripts). En esta categoría encontramos aplicaciones
como Applets de Java o Javascript.
68. Aplicaciones en el lado del servidor: es el servidor el encargado de ejecutar la aplicación, la
cual, una vez ejecutada genera un código HTML que el servidor toma y lo envía al
navegador del cliente mediante HTTP.

Algunos de los servidores web más conocidos son:

kk) Apache: Es un servidor web de código abierto que puede ser instalado en plataformas
Windows, Unix, Mac y otras. Este servidor viene instalado en la mayoría de distribuciones
de Linux y en Mac OS X. Se trata del servidor web más empleado, y si bien presenta
algunas vulnerabilidades de seguridad, la gran mayoría de estas sólo podrían ser explotadas
de forma local y no remotamente.
ll) Microsoft IIS: IIS (Internet Information Services) es un servidor web específico para el
sistema operativo Microsoft Windows. IIS se basa en diversos módulos que le proporcionan
la capacidad de servir varios tipos de páginas, como ASP (Active Server Pages), ASP.NET,
PHP o Perl.
mm) Lighttpd: Lighttpd es un servidor web libre, distribuido bajo la licencia BSD,
diseñado para ser rápido, seguro, flexible, y respetuoso con los estándares. Está diseñado
para entornos donde la velocidad es muy importante y se requieren respuestas rápidas y de
alta escalabilidad. Consume menos memoria y procesador que otros servidores. Lighttpd
puede usarse solo o combinado con otros, de hecho, es habitual emplearlo para liberar de
carga a otros servidores más lentos, especialmente cuando hay que realizar el envío de
ficheros grandes que suele ser mucho más rápido que en el resto de servidores.

SERVIDORES DE APLICACIONES
Por servidor de aplicaciones entendemos a aquel que permite la ejecución de una serie de
aplicaciones. Habitualmente se trata de un programa software que gestiona casi por completo las
funciones de lógica de negocio y de acceso a los datos de la aplicación. Su propósito es gestionar
centralizadamente la forma en que los clientes se conectan a la base de datos o a los servicios con
los que éstos deben interactuar.

Los Servicios proporcionados por un servidor de aplicaciones son:

72 Gestión de la sesión: el servidor debe conservar la información entre peticiones de un usuario

mientras dure dicha sesión. El protocolo http es un protocolo sin sesión, por lo que no permite
mantener una conexión abierta entre cliente y servidor más allá de lo que dura la transferencia
de información. Por ello son los servidores de aplicaciones los que se encargan de todo lo
relacionado con la gestión de la sesión.
73 Balanceo de carga: un servidor de aplicaciones debe proporcionar técnicas para equilibrar su
propia carga, es decir, debe ser capaz de repartir el procesamiento entre diversos servidores, lo
cual es fundamental para su escalabilidad. Las peticiones que realizan los clientes se transmiten
 a la máquina que esté menos ocupada en cada momento, lo cual mejorará el rendimiento global
de la aplicación.
74 Acceso a los datos: un servidor de aplicaciones proporciona un acceso sencillo para realizar la
administración de las conexiones a bases de datos relacionales. Es habitual que también
permitan realizar acceso a otros tipos de fuentes de datos como:
74.1.1 ERP
74.1.2 Repositorios XML
74.1.3 Sistemas heredados
75 Pooling de conexiones: es habitual que los servidores de aplicaciones mantengan de forma
permanente conexiones con las bases de datos. Estas conexiones se distribuyen entre los
procesos de forma transparente, ya que sería muy costoso, además de influir negativamente en
el rendimiento de la aplicación, el abrir una conexión por cada consulta que se quiera realizar.
76 Gestión de transacciones: las transacciones son fundamentales en cualquier software y más
aun en los de tipo comercial, puesto que evitan la aparición de información inconsistente.
76.1 Los servidores de aplicaciones suelen contar con esta característica, de forma que con
indicar en qué momento se inicia una transacción y en cual se finaliza, el propio sistema se
encargaría de deshacer los pasos intermedios en caso de que se produzca un error en la
aplicación.

Las plataformas más comunes en las que se asientan los servidores de aplicaciones son JEE y .NET.
JEE está más extendida. El estándar JEE permite desarrollar aplicaciones empresariales de forma
eficiente y sencilla. El hecho de desarrollar una aplicación con tecnologías JEE permite que esta sea
desplegada en cualquier servidor de aplicaciones que cumpla con dicho estándar. Algunas de las
implementaciones de JEE más destacadas son:
 BEA WebLogic
 IBM WebSphere
 Sun One
 Jboss

Un servidor de aplicaciones se asienta en una estructura en 3 capas que permite realizar una
estructuración más eficiente del sistema.
83. Capa Cliente: contiene los programas que ejecutan los usuarios, como navegadores Web.
84. Capa Media: contiene el servidor de aplicaciones y otros que pueden ser direccionados por
los clientes, como servidores proxy o servidores web existentes.
• Capa Datos: contiene los recursos, como sistemas de bases de datos, ERP, etc.
 Figura 5 Arquitectura de 2 y 3 capas

Servidores de Aplicaciones y Servidores Web

La diferencia básica entre el servidor web y servidor de aplicaciones es que el
servidor web sirve para ver las páginas en un navegador web, mientras que un servidor de
aplicaciones proporciona los métodos necesarios, que pueden ser llamados por las aplicaciones
cliente. En otras palabras, las peticiones HTTP son manejados por los servidores web y la lógica de
negocio se sirve a los programas de aplicación, a través de una serie de protocolos en el servidor de
aplicaciones. En un servidor de aplicaciones, un cliente puede utilizar la GUI y los servidores web,
mientras que en los servidores web el cliente puede usar HTML y HTTP.

Un servidor web gestiona conexiones http mientras que un servidor de aplicaciones expone la lógica
del negocio al cliente mediante una serie de protocolos, pero no exclusivamente http.
Un servidor Web no añade funcionalidad simplemente recibe una petición y envía la respuesta al
cliente, mientras que el servidor de aplicaciones añade funcionalidad, puesto que implementa una
lógica de negocio intermedia.
Un servidor web solo sirve aplicaciones basadas en web, mientras que el servidor de aplicaciones
puede servir aplicaciones basadas en web, además de otras basadas en otros protocolos. Los clientes
del servidor web son navegadores, y los del servidor de aplicaciones pueden ser navegadores,
clientes pesados, clientes de noticias, etc.
Tema 56: Diseño de centros de procesos de datos. Instalaciones (electricidad, control de acceso,
control de presencia, sistema anti-incendios, climatización, sistemas de alimentación
ininterrumpida).

56.1 CENTRO DE PROCESO DE DATOS

Un Centro de proceso de datos es el conjunto de recursos físicos, lógicos y humanos necesarios para
la organización y control de las actividades informáticas de una empresa u organización.

56.2 DISEÑO DE CENTRO DE PROCESOS DE DATOS

Para llevar a cabo el diseño de un CPD se deben tener en cuenta muchas consideraciones que van
desde la ubicación geográfica, análisis de riesgos, las infraestructuras interiores… hasta las medidas
de seguridad, tanto físicas como lógicas

56.2.1 Requisitos a cumplir por el Centro de proceso de datos

En primer lugar se deben establecer los requisitos a intentar cumplir por el CPD:
 Instalación de alto riesgo. Una instalación de alto riesgo es aquella que tiene las siguientes
características:
 Datos o programas que contienen información confidencial de interés nacional o que poseen
un valor competitivo alto en el mercado.
 Pérdida potencial considerable para la institución y, en consecuencia, una amenaza potencial
alta para su subsistencia.
 Disponibilidad y monitorización “24x 7x 365”.
 Fiabilidad Infalible (5 ‘nueves’). Es decir, con un 99,999% de disponibilidad, lo que traduce
en una única hora de no disponibilidad al año.
 Seguridad, Redundancia y Diversificación.
 Control ambiental / Prevención de Incendios.
 Acceso Internet y conectividad WAN.
 Rápido despliegue y reconfiguración.
 Gestión continúa del negocio.
 Cableado flexible, robusto y de altas prestaciones.

56.2.2. Análisis de riesgos y planes de contingencia

Para realizar un buen diseño también debemos establecer un compromiso entre la necesaria
operatividad del sistema frente a los diversos riesgos potenciales, los mecanismos y técnicas que
permiten minimizar sus efectos y costes directos e indirectos del empleo de dichas técnicas.
Primeramente deberemos determinar cuantitativa y cualitativamente los riesgos a que esté sometida
la organización. Una vez tipificados procederemos a estimar la probabilidad de ocurrencia de cada
uno. Se debe establecer un listado priorizado de elementos críticos (aplicaciones, bases de datos,
software de base, equipos centrales, periféricos, comunicaciones) según el impacto que su carencia
o malfuncionamiento causaría en la operatividad del sistema. Seguidamente deberíamos seleccionar
las medidas de seguridad que permitan prevenir los daños en lo posible y corregirlos o minimizarlos
una vez acaecidos, determinando los recursos necesarios para su implantación.
Las medidas de corrección se plasman en un plan (Plan de Contingencia) que debe recoger, en
forma de planes unitarios, las respuestas a los diferentes problemas que puedan surgir, y se desglosa
en:
58 Plan de emergencia: Guía de actuación "paso a paso" en cada fallo o daño.
59 Plan de Recuperación: Desarrolla las normas de actuación para reiniciar todas las actividades
normales de la organización, bien en el propio CPD, bien en otro centro de respaldo.
60 Plan de Respaldo: Especifica todos los elementos y procedimientos necesarios para operar en
el centro de respaldo (si existe) y mantener en el mismo información sobre todo los SI

56.2.3 Ubicación geográfica

Se deberán analizar de forma integral las características dominantes de los distintos entornos,
evaluando las ventajas y los riesgos potenciales que pudieran afectar al buen funcionamiento del
CPD. Se tendrán en cuenta el entorno natural (Climatología, Geotecnia, Hidrología), el entorno
artificial (medios de emergencia, redes de telec., centrales y plantas etc) y el entorno urbanístico
(transportes, zonas urbamas). Actualmente se ha acuñado el término "AMENITIES" para abarcar
todos los servicios complementarios (Áreas de descanso, ocio y servicios terciarios. Guardería.
Aparcamiento. Clubes, Gimnasios e instalaciones deportivas ETC)

Infraestructuras interiores
Una vez seleccionada la ubicación física del edificio que albergará el CPD, habrá que analizar las
características especificas de las instalaciones: no facilitar indicaciones de su propósito, incluir
zonas destinadas a carga y descarga de suministros, cumplir el máximo nivel de protección exigido
por la Norma Básica de Edificación , disponer de canalizaciones protegidas de cableado de
comunicaciones y de electricidad etc.
El diseño arquitectónico de un CPD debe estar lo más cercano posible a la arquitectura inteligente.
Este hecho ha dado cabida a la domótica. Habitabilidad en horizontal, es el edificio informático
óptimo (pocas plantas, amplio espacio)
Se aplicarán las normas generales de obligado cumplimiento: Norma Básica y tecnológicas de la
Edificación., Ordenanzas Municipales., Reglamentos electrotécnicos etc. Se tendrán en cuenta :
Acceso a almacenes, muelles de carga/descarga, acceso a la Sala de Informática, salidas de
emergencia, Falso techo y suelo tenológico etc

56.2.5 Seguridad física

La seguridad física consiste en el conjunto de mecanismos y normas encaminados a proteger las
personas, instalaciones, equipos centrales y periféricos y los elementos de comunicaciones contra
daños eventuales.
Se instalará un sistema informatizado para la gestión y el control integral de todas las alarmas
procedentes del equipamiento informático, de las infraestructuras y de las instalaciones específicas
de seguridad del CPD.
Dicho sistema, recibirá las señales de alarma, dispondrá de la gestión de las mismas y de la
posibilidad de realizar desde el mismo la modificación de ciertos parámetros u operaciones de
parada, arranque o maniobra del equipamiento de las salas de informática o del recinto del CPD:
Red de incendios , Arranque, paro o maniobra del entorno industrial del CPD, Control de accesos y
movimientos, Control de los stocks de almacenes. Estado de las baterías de los SAIs y control de
los grupos electrógenos, Control de climatización, sobrepresión y renovación ambiental. Red de
detección de humedad.
Todos los medios de detección deben integrarse en el Sistema de Gestión de la Seguridad para que
los gestione y avise de la anomalía y su gravedad, inicie acciones de corrección automáticas y
controle las actuaciones (qué, quién, cómo, dónde y cuándo).
Hay que subrayar que los sistemas de detección deben funcionar incluso con el suministro eléctrico
de emergencia.

Control de acceso y movimientos

Se refiere a las medidas que podemos establecer para evitar un acceso indebido al conjunto del
CPD. Por ello se deben adoptar todas las medidas cuyo coste esté justificado. Entre ellas:
nn) Servicio de seguridad
oo) Barreras, puertas de seguridad, ausencia de ventanas.
pp) Vídeo vigilancia y alarmas volumétricas: controladas por una centralita en la cabina de
seguridad.
Planificación del acceso
Los responsables de las áreas controladas deben mantener unos controles de acceso efectivos y
proporcionales al valor de los activos a proteger para que puedan cumplir con unos requisitos de
auditabilidad mínimos. Los objetivos son:
69. Permitir el acceso únicamente a las personas autorizadas por el responsable del área.
70. Registrar las entradas y/o salidas (quién, por dónde y cuándo).
La entrada en las Áreas de Acceso Limitado (AAL) tiene que efectuarse desde un área interna,
nunca desde un área pública. Cada área de acceso limitado debe tener identificado formalmente un
responsable o propietario cuyas responsabilidades son:
- Aprobar y mantener actualizada la relación de personas con autorización de acceso
permanente.
- Aprobar accesos temporales a estas áreas.
Las Áreas de Acceso Restringido (AAR) no deben tener ventanas al exterior y la entrada en las
mismas tiene que efectuarse desde un área interna o un Área de acceso limitado, nunca desde un
Área pública. Tienen que tener barreras de aislamiento de suelo y techo, incluyendo el falso suelo y
el falso techo, o bien detectores volumétricos de intrusos.
Cada área de acceso restringido debe tener identificado formalmente un responsable o propietario
cuyas responsabilidades son:
64. Aprobar y mantener actualizada la relación de las personas con autorización de acceso
permanente, generalmente, porque el trabajo a realizar requiere su presencia dentro del área.
La lista de acceso debe ser actualizada siempre que haya cambios que así lo aconsejen y
revisada formalmente, al menos, cada seis meses.
65. Aprobar los accesos temporales a estas áreas, incluyendo los accesos del personal que,
estando destinado en el área, accede fuera de su jornada laboral. Las autorizaciones
temporales deben contener (Nombre de quien autoriza si no es el propietario, nombre de la
persona autorizada, Razón social o motivo, Fecha y hora de acceso y la firma, fecha y hora
de salida y la firma.)

56.2.6 Seguridad lógica

La seguridad lógica consiste en el conjunto de operaciones y técnicas orientadas a la protección de
la información contra la destrucción, modificación indebida, divulgación no autorizada o retraso en
su gestación.
La infraestructura del CPD debe incluir medidas de seguridad que protejan frente a ataques a través
de las redes a las que ésta esté conectado.
Es común que el acceso a internet sea un recurso crítico para la Organización, por lo que se
recomienda contratar dos proveedores de acceso distintos y establecer una configuración en alta
disponibilidad de todos los elementos de red que se encuentren en la ruta hacia Internet
(cortafuegos, routers, switches, etc.). Esto es especialmente crítico si la organización proporciona
servicios on-line, tales como comercio electrónico o hosting web.
Si es necesario implementar medidas adicionales de seguridad perimetral como IDS/IPS, filtrado de
contenidos o antivirus de correo electrónico y/o navegación web, así como mecanismos de acceso
remoto (VPN), el cortafuegos corporativo –o incluso el proxy, si se dispone de él– es el lugar
idóneo para ello. De este modo se centraliza la administración de estas medidas y se reducen los
posibles puntos de fallo.

Es muy conveniente realizar una segregación de redes. Es decir, conviene realizar una división de la
red interna de la Organización en distintas subredes, interconectadas entre sí por cortafuegos que
establezcan los flujos de información permitidos entre cada una.

INSTALACIONES
Instalaciones eléctricas
Los cuadros de mandos se instalarán en lugares fácilmente accesibles, con espacio holgado
(previendo las posibles ampliaciones), correcta y claramente etiquetados.
Se evitará la electricidad estática empleando los revestimientos más adecuados, instalando las tomas
de tierra convenientes y manteniendo la humedad en el rango adecuado.
Los recursos informáticos son sensibles a las variaciones de tensión y de frecuencia de la corriente
eléctrica. Los requerimientos básicos para el suministro de energía eléctrica son dos: Calidad y
Continuidad.
Relacionado con la Calidad se puede destacar que:
63. Las variaciones de frecuencia deben corregirse con equipos estabilizadores
64. Las variaciones de tensión deben ser manejadas por un Sistema de Alimentación
Ininterrumpida (SAI en inglés UPS)
En relación con la continuidad del suministro eléctrico debe tenerse en cuenta que las caídas de
tensión pueden ser manejadas por un SAI (UPS), pero sólo por tiempo limitado, ya que el desgaste
de sus acumuladores es muy rápido y su recarga muy lenta para utilizarlo en cortes sucesivos y
nunca como única alternativa.
Las soluciones habituales se basan en una de las siguientes o en la combinación de varias de ellas:
77 Conexión conmutada a dos compañías suministradoras.
78 Conexión conmutada a dos estaciones transformadoras de la misma compañía pero situadas en
rutas de suministro diferentes.
79 Capacidad de transformación de corriente asegurada mediante equipos redundantes.
80 Equipos electrógenos de combustión.
Control de acceso
Este control se basa en medidas de identificación unívoca de las personas que acceden al CPD. El
servicio de seguridad debe llevar un registro de las entradas y salidas al centro. Las visitas
autorizadas deben llevar obligatoriamente una tarjeta identificativa o etiqueta en lugar visible que
indique claramente que es una visita a las áreas a las que puede acceder y el tiempo de validez.
El personal propio debe portar una tarjeta identificativa con fotografía.
En centros de alta seguridad pueden requerirse medidas auxiliares de identificación ( Huellas
dactilares, Fondo de ojo (retina) o Introducción de códigos de acceso)

Niveles de seguridad de acceso

Las instalaciones de la empresa deben clasificarse en varias áreas o zonas que, dependiendo de su
utilización y los bienes contenidos, estarán sometidas a unos u otros controles de acceso. Las
instalaciones pueden clasificarse de acuerdo con los criterios y denominaciones siguientes:
- Áreas Públicas: espacios en los que no hay ningún tipo de restricción de acceso a empleados
o personas ajenas a la empresa.
- Áreas Privadas: espacios reservados habitualmente a los empleados y personas ajenas a la
empresa con autorización por motivos de negocio. En ellos puede haber recursos
informáticos con un valor bajo.
- Áreas de Acceso Limitado (AAL): espacios cuyo acceso está reservado a un grupo reducido
de empleados y personas ajenas a la empresa autorizadas por un acuerdo escrito. Pueden
concentrarse en ellos recursos informáticos que, en su conjunto, tiene un valor medio.
 - Áreas de Acceso Restringido (AAR): espacios cuyo acceso está reservado a un grupo muy
reducido de empleados y personas ajenas de la empresa autorizadas por un acuerdo escrito,
que tengan necesidad de acceder por razones de negocio. En ellos se encuentran recursos
informáticos que, en conjunto, tienen un alto valor o contienen activos de información
críticos para las actividades del negocio.
A las dos últimas se les denomina Áreas Controladas. Tienen que permanecer cerradas, incluso
cuando estén atendidas, y sus accesos controlados. En las áreas controladas, todos los empleados y
las personas ajenas a la empresa con autorización para acceder por razones de negocio tienen que
llevar permanentemente y en lugar visible un identificador:
Todo identificador, especialmente los que permiten el acceso a áreas controladas, es personal y debe
ser considerado como una contraseña de acceso físico y no compartirlo con nadie, para evitar verse
envuelto en algún incidente de seguridad no deseado.

Sistemas anti-incendios
El fuego causa el mayor número de accidentes en los CPDs. Por ello es imprescindible controlar
puntos zonales y además realizar un estudio en función de los agentes extintores.
Se procederá a estudiar como medidas:
55. El acceso de los bomberos a cualquier zona del edificio previendo las tomas de agua a
presión convenientes.
56. La resistencia al fuego de los materiales de construcción
 El mecanismo más adecuado para cortar la alimentación eléctrica en caso de incendio.
 Los mecanismos idóneos para evitar que los conductos de refrigeración y ventilación
actúen como chimeneas y contribuyan a propagar el incendio, parándose
automáticamente el aire acondicionado en caso de incendio.
 La compartimentación del edificio, aislando aquellas zonas que contengan materiales
fácilmente combustibles, que se limitarán al máximo.
 La instalación de puertas ignífugas dotadas de los mecanismos que aseguren su cierre de
forma automática.
 La prohibición de fumar, colocando carteles claramente visibles, en las zonas de mayor
riesgo.
 El mobiliario, fabricado con materiales resistentes al fuego.
 Los contenedores de papel, materiales plásticos, etc., deberán tener una tapa metálica,
que permanecerá cerrada de forma automática.
 La construcción de recintos de protección combinada o la disposición de armarios
ignífugos.
 La instalación de un sistema de alarmas cruzadas y centralizadas en el Sistema lntegral
de Gestión de la Seguridad, para la detección o extinción de incendios en el CPD.
En caso de incendio, su extinción puede realizarse con medios manuales o automáticos. Los medios
manuales se basan en extintores portátiles, mangueras, etc. Los medios automáticos se basan en la
inundación del área mediante agua, CO2 u otros agentes extintores. El más recomendable es el
basado en agua, por su bajo coste y su nulo impacto en el entorno. Los sistemas automáticos
basados en el agua deben tener un mecanismo de preacción que, en caso de llegar a un estado de
alerta o alarma, sustituye el aire de la conducción por agua.
La actuación de estos sistemas de extinción debe ser combinada con la previa desconexión del
suministro de energía eléctrica del área afectada.
 Climatización
Con la evolución tecnológica ya existen en el mercado recursos informáticos que reducen
(prácticamente eliminan) los tradicionales requerimientos de aire acondicionado. Sin embargo,
debido al parque existente en España y a su antigüedad media, se deben tener en cuenta las
siguientes consideraciones: Se recomiendan equipos de climatización específicos para salas
informáticas con control microprocesador de temperatura y humedad. Estos equipos deben ser del
tipo servicios total y capaz de producir frío, calor y humectar o deshumectar de forma automática.
Las unidades de climatización se deberán calcular para un funcionamiento continuo 24h/día y los
365 días del año
Sistemas de alimentación ininterrumpida
También denominados SAI (UPS, “Uninterruptible Power Supply”), es un dispositivo que gracias a
sus baterías, puede proporcionar energía eléctrica tras un apagón a todos los dispositivos que tenga
conectados. Otra de las funciones de los SAI es la de mejorar la calidad de la energía eléctrica que
llega a las cargas, filtrando subidas y bajadas de tensión y eliminando armónicos de la red en el caso
de usar corriente alterna.
Existen dos tipos de de SAI:
85. SAI de corriente continua (activo). Las cargas conectadas a los SAI requieren una
alimentación de corriente continua, por lo tanto éstos transformarán la corriente alterna de la
red comercial a corriente continua y la usarán para alimentar a la carga y almacenarla en sus
baterías. Por lo tanto no necesitan convertidores entre las baterías y las cargas.
86. SAI de corriente alterna (pasivo). Estos SAI generan como salida una señal alterna, por lo
que necesitan un inversor para transformar la señal continua obtenida de las baterías en una
señal alterna.
Otras características a tener en cuenta
Recinto de protección combinada
Son recintos de protección combinada aquellos compartimentos dentro de los CPD capaces de
garantizar una custodia segura de los soportes magnéticos de respaldo ante los agentes más
peligrosos que puedan atacarlos.
Instalaciones de agua
Se evitará, en lo posible las canalizaciones de agua en la sala de ordenadores (sobre todo por falso
techo, falso suelo o visibles).
El cableado debe estar impermeabilizado cuando discurra por zonas con riesgo de humedad o
inundación. Si no es posible separar los conductos de agua del resto de instalaciones, se preverá
dotar al techo, por donde discurran las tuberías, de la inclinación oportuna para evacuar el agua
hacia los puntos de drenaje establecidos, evitando su acumulación.
Si existen en el edificio o adosados a él depósitos de agua u otro tipo de líquido, se asegurará la
estanqueidad de los mismos.
En el caso de salas de informática situadas en sótanos se reforzará la estanqueidad de paredes, pisos,
techos, puertas y ventanas. Se preverá la instalación de bombas automáticas para evacuar eventuales
inundaciones, que deben alimentarse con un sistema eléctrico aislado del resto de la sala para
permitir su funcionamiento independiente.
CLASIFICACIÓN DE LOS CPD
El estándar TIA-942 describe los requisitos que debe cumplir la infraestructura de un centro de
proceso de datos. Se establecen cuatro niveles de disponibilidad:
 Tier I: Centro de proceso de datos (CPD) Básico. La tasa de disponibilidad máxima del
CPD es del 99.671% del tiempo, es decir, el nivel Tier I del estándar TIA-942 consigue
reducir el tiempo de parada del CPD a lo largo de un año a 29 horas como máximo.
Un CPD Tier I puede admitir interrupciones tanto planeadas como no planeadas. Cuenta con
sistemas de aire acondicionado y distribución de energía, pero puede no tener piso técnico,
SAI o generador eléctrico. Si los posee pueden tener varios puntos únicos de fallo. La carga
máxima de los sistemas en situaciones críticas es del 100%. La infraestructura del CPD
deberá estar fuera de servicio al menos una vez al año por razones de mantenimiento y/o
reparaciones. Los errores de operación o fallas en los componentes de su infraestructura
causarán la interrupción del CPD.
 Tier II: Componentes Redundantes. La tasa de disponibilidad máxima del CPD es del
99.749% del tiempo, es decir, el nivel Tier II del estándar TIA - 942 consigue reducir el
tiempo de parada del CPD a lo largo de un año a 22 horas como máximo. Un CPD con
componentes redundantes son ligeramente menos susceptibles a interrupciones, tanto
planeadas como las no planeadas. Estos CPD cuentan con suelo técnico, SAI y generadores
eléctricos, pero está conectado a una sola línea de distribución eléctrica. Su diseño es (N+1),
lo que significa que existe al menos un duplicado de cada componente de la infraestructura.
La carga máxima de los sistemas en situaciones críticas es del 100%. El mantenimiento en la
línea de distribución eléctrica o en otros componentes de la infraestructura, pueden causar
una interrupción del servicio.
 Tier III: Mantenimiento Concurrente. La tasa de disponibilidad máxima del CPD es del
99.982% del tiempo, es decir, el nivel Tier III del estándar TIA -942 consigue reducir el
tiempo de parada del CPD a lo largo de un año a 1,5 horas como máximo. Las capacidades
de un CPD de este nivel le permiten realizar cualquier actividad planeada sobre cualquier
componente de la infraestructura sin interrupciones en la operación. Las actividades
planeadas incluyen mantenimiento preventivo, reparaciones o reemplazo de componentes,
agregar o eliminar componentes, realizar pruebas de sistemas o subsistemas, entre otros.
Para infraestructuras que utilizan sistemas de enfriamiento por agua, significa doble
conjunto de tuberías. Debe existir suficiente capacidad y doble línea de distribución de los
componentes, de forma tal que sea posible realizar mantenimiento o pruebas en una línea y
mientras que la otra atienda la totalidad de la carga. En este nivel, actividades no planeadas
como errores de operación o fallos espontáneas en la infraestructura pueden todavía causar
una interrupción del CPD. La carga máxima en los sistemas en situaciones críticas es de
90%.
Muchos CPD Tier III son diseñados para actualizarse a Tier IV, cuando los requerimientos
del negocio justifiquen el costo.
 Tier IV: Tolerante a Fallos. La tasa de disponibilidad máxima del CPD es del 99.995% del
tiempo, es decir, el nivel Tier IV del estándar TIA- 942 consigue reducir el tiempo de parada
del CPD a lo largo de un año a 26 minutos como máximo.
Un CPD de este nivel provee capacidad para realizar cualquier actividad planeada sin
interrupciones en el servicio, pero además la funcionalidad tolerante a fallos le permite a la
infraestructura continuar operando aún ante un evento crítico no planeado. Esto requiere dos
líneas de distribución simultáneamente activas, típico en una configuración System+System.
Eléctricamente esto significa dos sistemas de SAI independientes, cada sistema con un nivel
de redundancia N+1. La carga máxima de los sistemas en situaciones críticas es de 90%.
Persiste un nivel de exposición a fallos, por el inicio una alarma de incendio o porque una
persona inicie un procedimiento de apagado de emergencia (EPO), los cuales deben existir
para cumplir con los códigos de seguridad contra incendios o eléctricos.
Tema 57: Virtualización de servidores. Virtualización del almacenamiento. Virtualización del
puesto cliente. Computación basada en servidor (SBC). Grid Computing. Cloud computing.
Green IT y eficiencia energética.

VIRTUALIZACIÓN DE SERVIDORES
Podemos definir virtualización como la técnica que consiste básicamente en agrupar diferentes
aplicaciones y servicios de sistemas heterogéneos dentro de un mismo hardware, de forma que los
usuarios y el propio sistema los vean como máquinas independientes dedicadas. El administrador
del sistema virtual utilizará un software para la división del servidor físico en entornos virtuales
aislados. Estos entornos son lo que se conoce técnicamente como servidores privados virtuales.
Cada servidor virtual puede ejecutar su propio sistema operativo y ser reiniciado de modo
independiente.
El servidor físico realiza una abstracción de los recursos que se denomina Hypervisor o VMM
(Virtual Machine Monitor), elemento software que se instala en la máquina donde se va a llevar a
cabo la virtualización y sobre la que se configuran las máquinas virtuales que es donde van a residir
las aplicaciones. Es el encargado de gestionar los recursos de los sistemas operativos “alojados”
(guest) o máquinas virtuales.
Desde un punto de vista lógico, el usuario percibe que son máquinas independientes y aisladas entre
sí, pero desde una perspectiva física, todas las máquinas virtuales residen en un único servidor. A
estas máquinas virtuales se les asigna un porcentaje de los recursos del servidor físico, que serán los
únicos que el cliente conozca.
Se pueden encontrar tres modelos de virtualización:
 Virtualización completa: Este modelo permite que el sistema operativo cliente funcione sin
modificaciones. La ventaja principal de este modelo radica en el desconocimiento por parte
de los sistemas huésped del sistema hardware real sobre el que está instalado. Sin embargo,
realmente todos los sistemas virtuales hacen uso de recursos hardware físicos. Estos
recursos son administrados por un el hypervisor que coordina las instrucciones CPU,
convirtiendo las peticiones del sistema invitado en las solicitudes de recursos apropiados en
el host, lo que implica una sobrecarga considerable. Casi todos los sistemas pueden ser
virtualizados utilizando este método, ya que no requiere ninguna modificación del sistema
operativo. Ejemplos son VMware Workstation, VMware Server, VirtualBox.
 Paravirtualización. El modelo de máquina paravirtual (PVM) o virtualización parcial se
basa, como el modelo anterior, en la arquitectura cliente/servidor, incluyendo también la
necesidad de contar con un sistema monitor. Sin embargo, en este caso, el VMM accede y
modifica el código del sistema operativo del sistema huésped. Esta modificación se conoce
como porting. El porting sirve de soporte al VMM para que pueda realizar llamadas al
sistema directamente. Al igual que las máquinas virtuales, los sistemas paravirtuales son
capaces de soportar diferentes sistemas operativos instalados en el hardware real. UML,
Xen, Virtuozzo son modelos de máquinas paravirtuales.
 Virtualización por S.O.En este modelo el sistema principal exporta la funcionalidad del
sistema operativo desde su propio núcleo. Por esta razón, los sistemas virtuales usan el
mismo sistema operativo que el nativo. La Virtualización de SO mejora el rendimiento,
gestión y eficiencia. Podemos entenderlo como un sistema en capas. En la base reside un
sistema operativo huésped estándar. A continuación encontramos la capa de virtualización,
con un sistema de archivos propietario y una capa de abstracción de servicio de kernel que
garantiza el aislamiento y seguridad de los recursos entre distintos contenedores. La capa de
virtualización hace que cada uno de los contenedores aparezca como servidor autónomo.
Ejemplos de sistemas que usan virtualización a nivel de sistema operativo son Virtuozzo y
Solaris.
VIRTUALIZACIÓN DEL ALMACENAMIENTO
Consiste en abstraer el almacenamiento lógico del almacenamiento físico y suele usarse en SANs
(Strorage Area Network, Red de área de almacenamiento).
Este sistema de almacenamiento también se conoce como “storage pool”, matriz de
almacenamiento, matriz de disco o servidor de archivos. Estos sistemas suelen usar hardware y
software especializado, junto con unidades de disco con el fin de proporcionar un almacenamiento
muy rápido y fiable para el acceso a datos. Los sistemas de almacenamiento pueden ser de acceso a
nivel de bloque, o acceso a nivel de ficheros. El acceso por bloques suele llevarse a cabo por medio
de Fibre Channel , iSCSI , SAS , FICON u otros protocolos. Para el acceso a nivel de archivo se
usan los protocolos NFS o CIFS.
Dentro de este contexto nos podemos encontrar con dos tipos principales de virtualización: la
virtualización por bloques y la virtualización por archivos.
 Virtualización por bloques:
Este tipo de virtualización se basa en la abstracción (diferenciación) entre el almacenamiento lógico
y el almacenamiento físico, consiguiendo que el acceso no tenga en cuenta el almacenamiento
físico. Existen tres tipos de virtualización por bloques: basada en host, basada en dispositivos de
almacenamiento, basada en red.
 Virtualización basada en host. Esta virtualización requiere software adicional que se
ejecuta en el host. En algunos casos la administración de volúmenes está integrada en el
sistema operativo, y en otros casos se ofrece como un producto separado. Los sistemas
operativos más modernos tienen algún tipo de gestor de volúmenes lógicos integrado (MVI
en UNIX / Linux, o Administrador de discos lógicos o LDM en Windows), que realiza
tareas de virtualización. Existen varias tecnologías que implementan este tipo de
virtualización, como pueden ser la gestión de volúmenes lógicos (Logical Volume
Management, LVM), los sistemas de archivos (CIFS, NFS) o el montaje automático
(autofs).
 Virtualización basada en dispositivos de almacenamiento. Utiliza un controlador de
almacenamiento primario que proporcione los servicios de virtualización y permita conexión
directa de los controladores de almacenamiento. El controlador primario proporcionará la
puesta en común y los meta-datos de servicio de gestión. Los sistemas RAID pueden ser un
ejemplo de esta técnica. Estos sistemas combinan varios discos en una sola matriz.
 Virtualización basada en red. Esta es una virtualización de almacenamiento operando en
un dispositivo basado en red (por lo general un servidor estándar o un smart switch) y el uso
de redes iSCSI o FC de Fibre Channel para conectar como SAN (Storage Area Network).
Este es el tipo de virtualización de almacenamiento más común. El dispositivo de
virtualización se encuentra en la SAN y proporciona la capa de abstracción entre los host,
que permiten la entrada/salida, y los controladores de almacenamiento, que proporcionan
capacidad de almacenamiento. Hoy en día existen dos implementaciones distintas, la basada
en el dispositivo y la basada en conmutación. La basada en dispositivos consiste en
establecer el hardware especializado entre los hosts y la parte de almacenamiento. Las
solicitudes de entrada/salida se redirigen al dispositivo, que realiza la asignación de meta-
datos, mediante el envío de sus propias órdenes de E/S a la solicitud de almacenamiento
subyacente. El hardware usado también puede proporcionar almacenamiento de datos en
caché. Este tipo de almacenamiento también puede clasificarse en in-band (simétrica) o out-
of-band (asimétrica).
o In-Band (simétrica)En este caso los dispositivos de virtualización se asientan entre
el host y el almacenamiento. Todas las peticiones de E/S y datos pasan a través del
dispositivo. Los host nunca interactúan con el dispositivo de almacenamiento sino
con el dispositivo de virtualización.
o Out-of-band (asimétrica)Los dispositivos usados en este tipo de virtualización
también son llamados servidores de meta-datos. La única finalidad de estos
dispositivos es proporcionar la asignación de meta-datos. Esto implica el uso de
 software adicional en el host, que es conocedor de la ubicación real de los datos. De
este modo, se intercepta la petición antes de que salga del host, se solicita una
búsqueda de meta-datos en el servidor (puede ser a través de una interfaz que no sea
SAN) y se devuelve la ubicación real de los datos solicitados por el host. Finalmente
se recupera la información a través de una solicitud de E/S común al dispositivo de
almacenamiento. No se puede dar un almacenamiento en caché ya que los datos
nunca pasan a través del dispositivo de virtualización.

 Virtualización a nivel de archivo

Esta técnica, conocida como NAS (Network-Attached Storage) o almacenamiento conectado a red,
suele ser un equipo especializado pensado exclusivamente para almacenar y servir ficheros. Los
equipos que funcionan como dispositivo NAS suelen incluir un sistema operativo específico para el
propósito, como puede ser FreeNAS o FreeBSD. Estos sistemas pueden contener uno o más discos
duros, dispuestos a menudo en contenedores lógicos redundantes o arrays RAID.
NAS utiliza protocolos basados en archivos como NFS (sistemas UNIX), SMB / CIFS (Server
Message Block/Common Internet File System) (sistemas MS Windows), o AFP (Apple Filing
Protocol, sistemas Apple Macintosh). Las unidades NAS no suelen limitar a los clientes a un único
protocolo. FTP, SFTP, HTTP, UPnP, rsync y AFS (Andrew File System) también lo soportan.
 Diferencias entre NAS y SAN
NAS proporciona almacenamiento y un sistema de archivos, lo que suele contrastar con SAN, que
solamente proporciona almacenamiento basado en bloques y deja del lado del cliente la gestión del
sistema de archivos.
NAS aparece en el sistema cliente como un servidor de archivos (se pueden asignar unidades de red
a las acciones del servidor) mientras que un disco a través de una SAN se presenta al cliente como
un disco más del sistema operativo, que podemos montar, desmontar, formatear…

VIRTUALIZACIÓN DEL PUESTO CLIENTE

Esta técnica consiste en la separación del entorno de usuario de un ordenador personal de la
máquina física con el modelo cliente-servidor. El modelo que sigue un servidor para implementar
dicha característica se denomina VDI (Virtual Desktop Infrastructure, Infraestructura de Escritorio
Virtual), también llamada Interfaz de Escritorio Virtual.
La mayoría de implementaciones comerciales de esta tecnología usan un servidor central remoto
para llevar a cabo la “virtualización” del escritorio del cliente, en lugar de usar el almacenamiento
local del cliente remoto. Esto implica que todas las aplicaciones, procesos, configuraciones y datos
del cliente están almacenadas en el servidor y se ejecutan de forma centralizada.
Básicamente existen cuatro modelos de operación VDI:
47. Alojado (como servicio). Suelen contratarse a proveedores comerciales y normalmente
proporciona una configuración del sistema operativo del puesto cliente administrado. Los
principales suministradores son CITRIX, VMware y Microsoft.
48. Centralizado. En este caso todas las instancias VDI están alojadas en uno o más servidores
centralizados, los datos están en sistemas de almacenamiento conectados a estos. Este
modelo a su vez puede distinguir dos tipos:
o VDI estático o persistente. Existe una única imagen de escritorio asignado por
cliente y estos deben ser gestionados y mantenidos.
o VDI dinámico o no persistente. Existe una imagen maestra común para todos los
clientes que se clona y personaliza en el momento de la petición con los datos y
aplicaciones particulares de cada cliente.
51. Remoto (o sin ataduras). Tiene como base el concepto de VDI centralizado pero permite
trabajar sin la conexión a un servidor central o a Internet. Se copia una imagen al sistema
local y se ejecuta sin necesidad de más conexión. Las imágenes tienen un cierto periodo de
vida y se actualizan periódicamente. Esta imagen se ejecuta en el sistema local que necesita
 un sistema operativo y un hipervisor (que ejecuta la instancia VDI). Esto implica que el
dispositivo cliente tenga mayores necesidades de memoria, espacio en disco, CPU… La
ventaja es la menor dependencia de conexión.

COMPUTACIÓN BASADA EN SERVIDOR

También conocida como SBC del inglés Server Based Computing, consiste en la separación del
procesamiento de ciertas tareas como la gestión de datos que será realizado en un servidor central y
otras tareas de procesamiento, como la presentación de aplicaciones de usuario e impresión de datos
en el cliente. Lo único transmitido entre servidor y cliente son las pantallas de información. Esta
arquitectura puede dar solución a los principales problemas que aparecen cuando se ejecutan
aplicaciones en los clientes. Además simplifica procesos como pueden ser los entornos hardware,
actualizaciones de software, despliegue de aplicaciones, soporte técnico, almacenamiento y
respaldo de datos. Los clientes que actúan en esta arquitectura suelen llamarse thin clients. El thin
client proporciona pantalla, teclado, ratón y un procesador básico que interactúa con el servidor. Los
thin client no almacenan ningún dato localmente y requiere de pocos recursos de procesamiento.
Esta tecnología está compuesta por tres componentes principales:
• Sistemas operativos multi-usuario que permiten el acceso y ejecución de modo
concurrente, usando aplicaciones diferentes y con sesiones de usuario protegidas.
Ejemplos de algunas terminales de servicio son: Terminal Server para Linux,
Microsoft Windows Terminal Server (Windows NT/2000), Microsoft Windows
Terminal Services (Windows 2003), Citrix Presentation Server.
• El thin client se puede ejecutar con una cantidad mínima de software pero necesita al
menos un programa de conexión a servicios de terminal.
• Un protocolo que permita al programa de servicios de terminal y al thin client
comunicarse y enviar las pulsaciones de teclado, de ratón y las actualizaciones de
pantalla a través de la red. Los protocolos más populares son RDP3 (Remote Desktop
protocol), ICA y NX.
Entre las ventajas se puede nombrar la reducción de los costes, seguridad, que puede ser controlada
centralmente, reducción de la carga de red (sólo es el de los movimientos del ratón, teclado e
información de pantalla desde / hacia el usuario. Como inconvenientes tenemos que necesitamos
altos requerimientos de servidor y tendremos un pobre rendimiento multimedia.

GRID COMPUTING
Se basa en la compartición, selección y agregación de forma dinámica y en tiempo de ejecución de
recursos autónomos, distribuidos geográficamente, dependiendo de criterios como la disponibilidad
del hardware, la capacidad transaccional, el rendimiento que se pueda aportar a la solución final, el
coste y los criterios de calidad del servicio que el demandante pueda proporcionar y exigir.
La red está formada por un conjunto de ordenadores independientes e interconectados que ponen a
disposición del grid los excedentes de su procesamiento individual, es decir, los ciclos de reloj de
sus CPUs no aprovechados por ellos mismos, sin poder superar un determinado porcentaje de
dedicación configurado individualmente en cada nodo. A partir del porcentaje proporcionado por
cada nodo. En estos sistemas se garantiza la escalabilidad como un criterio parametrizable.
Características:
• Podemos conseguir un máximo aprovechamiento de los nodos (100% de utilización de la
CPU).
• Los nodos no tienen que estar dedicados. Además, al contrario que en el caso del cluster, nos
aseguramos que la aportación al Grid no va a sobrepasar un determinado porcentaje de
tiempo de procesamiento en cada nodo.
• Son sistemas heterogéneos, en los que podemos encontrar diversos HW y SW.

Arquitectura Grid
Habitualmente se describe la arquitectura del Grid en términos de "capas", ejecutando cada una de
ellas una determinada función. Como es habitual en este tipo de enfoque, las capas más altas están
más cerca del usuario, en tanto que las capas inferiores lo están de las redes de comunicación.
Empezando por los cimientos, nos encontramos con la capa de red, responsable de asegurar la
conexión entre los recursos que forman el Grid.
En la parte más alta está la capa de recursos, constituida por los dispositivos que forman parte del
Grid: ordenadores, sistemas de almacenamiento, catálogos electrónicos de datos e incluso sensores
que se conecten directamente a la red.
En la zona intermedia está la capa "middleware", encargada de proporcionar las herramientas que
permiten que los distintos elementos (servidores, almacenes de datos, redes, etc.) participen de
forma coordinada en un entorno Grid unificado. Esta capa es la encargada de las siguientes
funciones:
• Encontrar el lugar conveniente para ejecutar la tarea solicitada por el usuario.
• Optimiza el uso de recursos, que pueden estar muy dispersos.
• Organiza el acceso eficiente a los datos.
• Se encarga de la autenticación de los diferentes elementos.
• Se ocupa de las políticas de asignación de recursos.
• Ejecuta las tareas.
• Monitoriza el progreso de los trabajos en ejecución.
• Gestiona la recuperación frente a fallos.
• Avisa cuando se haya terminado la tarea y devuelve los resultados.
El middleware está formado por muchos programas software. Algunos de esos programas actúan
como agentes y otros como intermediarios, negociando entre sí, de forma automática, en
representación de los usuarios del Grid y de los proveedores de recursos. En la capa superior de este
esquema está la capa de aplicación donde se incluyen todas las aplicaciones de los usuarios, portales
y herramientas de desarrollo que soportan esas aplicaciones. Esta es la capa que ve el usuario.

CLOUD COMPUTING
Este término se refiere a la utilización y el acceso de múltiples recursos basados en servidores a
través de una red. Los usuarios de la “nube” pueden acceder a los recursos del servidor utilizando
un ordenador, netbook, pad computer, smart phone u otro dispositivo. En el cloud computing, el
servidor presenta y gestiona las aplicaciones; los datos también se almacenan de forma remota en la
configuración de la nube. Los usuarios no descargan ni instalan aplicaciones en su sistema, todo el
procesamiento y almacenamiento se mantiene por el servidor.
Los dos componentes más significativos de la arquitectura cloud computing se conocen como el
front-end y el back-end. El front-end es la parte vista por el cliente, es decir, el usuario del PC. Esto
incluye la red del cliente y las aplicaciones utilizadas para acceder a la nube a través de una interfaz
de usuario, como un navegador web. El back-end de la arquitectura es la propia nube, que
comprende varios ordenadores, servidores y dispositivos de almacenamiento de datos.
Dentro de esta arquitectura se pueden distinguir las siguientes capas:
87. Proveedor: Empresa responsable de proporcionar el servicio en la “nube”.
88. Cliente: Serán el hardware y software diseñados para cloud computing, que permiten
interactuar con los servicios remotos.
89. Aplicación: Son los servicios en la “nube” o “Software as a Service” (SaaS). Se evita la
necesidad de instalar y ejecutar en el equipo del cliente la aplicación.
90. Plataforma: Son los servicios de plataforma en la “nube”, también conocidos como
“Platform as Service” (PaaS), proporcionan una plataforma de procesamiento y una pila de
soluciones como un servicio, constituyen la base e infraestructura de las aplicaciones de la
nube.
91. Infraestructura. Servicios de infraestructura, también conocidos como “Infrastructure as a
Service” (IaaS), proporciona la infraestructura como un servicio, suele ser una plataforma
virtualizada.
A la hora de implementarla podremos hacerlo de las siguientes formas:
 Nube pública o external cloud: Es el concepto tradicional donde los recursos se presentan a
través de internet en función de la demanda, a través de aplicaciones o servicios web.
 Nube de la comunidad: Se da cuando varias organizaciones con las mismas necesidades
comparten recursos.
 Nube híbrida. Es común que una empresa use tanto la nube pública como desarrollos
privados para satisfacer sus necesidades con respecto a las TI.
 Nube combinada. Se denomina al conjunto formado varios servicios cloud de distintos
proveedores.
 Nube privada. Es trasladar el concepto de nube pública a una red de uso privado. Es decir, el
uso de la nube única y exclusivamente dentro de la red de una empresa.

GREEN IT E EFICIENCIA ENERGÉTICA

La resolución efectiva del impacto ambiental de las tecnologías TI requiere un enfoque holístico del
problema que englobe las cuatro vías:
 Utilización ecológica: principalmente a través de la reducción del consumo energético.
 Diseño ecológico o eco-diseño: incluye diseño de equipos más eficientes energéticamente y
respetuosos con el medio ambiente.
 Fabricación ecológica: eliminando completamente o minimizando el impacto del proceso de
fabricación en el medio ambiente (emisiones, materiales de desecho, etc.).
 Eliminación ecológica: una vez finalizado el período de utilización de un equipo se deben
poner en marcha las estrategias denominadas tres R: reutilización y renovación de equipos y,
si no son aprovechables, reciclado.
Hoy en día existen distintos enfoques tecnológicos que se acercan a un desarrollo sostenible de las
TI, como son los monitores LCD (Un monitor CRT medio requiere 85W si está activo, frente a los
15W de uno LCD), discos duros de bajo consumo, cpds estandarizados, virtualización de servidores
(si tenemos varios servidores en un único servidor físico, será menor el consumo de energía), cloud
computing (los recursos están en la red y no necesitaremos infraestructura propia) o el teletrabajo.
Actividades relacionadas con Green IT
Existen varias actividades/iniciativas que promocionan e intentan solventar las cuestiones
relacionadas con Green IT:
vv) The Green Grid es un consorcio global dedicado a avanzar en la eficiencia energética de los
centros de procesamiento de datos y en ecosistemas de computación de negocio.
ww) SNIA (Storage Networking Industry Association) está llevando a cabo una iniciativa
para avanzar en el desarrollo de soluciones energéticamente eficientes para el
almacenamiento en red.
xx) Energy Star. En 1992 la Agencia de Protección Medioambiental de lanzó el programa
Energy Star, que se planificó para promocionar y reconocer eficiencia energética en
monitores, equipos de climatización y otras tecnologías.
yy) Directiva Europea de Eco-Diseño. Siguiendo la misma línea que la iniciativa Energy Star de
EEUU, la Unión Europea aprobó la directiva 2005/32/EC para el eco-diseño, nuevo
concepto creado para reducir el consumo de energía de productos que la requieren, tales
como los dispositivos eléctricos y electrónicos o electrodomésticos.
zz) El Código de Conducta de la Unión Europea para Centros de Datos está siendo creado como
respuesta al creciente consumo de energía en centros de datos y a la necesidad de reducir el
impacto ambiental, económico y de seguridad de abastecimiento energético relacionado.
Tema 58: Redes SAN e elementos dun SAN. Redes de
almacenamento: topoloxías, protocolos, elementos de conexión.
Sistemas de almacenamento: arquitecturas e compoñentes.
Servidores: HBA e Software MultiPath.

58.1. REDES DE ALMACENAMENTO: TOPOLOXÍAS, PROTOCOLOS, ELEMENTOS DE

CONEXIÓN.
Como resumo unha SAN e unha rede donde se realiza o almacenamento e se xestiona a seguridade
dos datos. As SAN ( Storate Area Network, Redes de Almacenamento) son redes nas que se
conectan servidores de almacenamento (especialmente arrays de discos). Tamén hai que considerar
como parte das SANas librerías necesarias para o uso dos arrais e os accesos ás redes. De forma
contraria ás redes tradicionais, nas SAN empréganse protocolos orientados á recuperación da
información dos arrays de disco e inspirados nos propios estándares de comunicación con discos
tradicionais (SCSI e SATA).

Normalmente o equipamento deseñado para participar nestas redes soe ser especialmente caroaínda
que o seu prezo depende, nunha grande medida, ás tecnoloxías e protocolos empregados para a
transmisión dos datos. Entre as tecnologías disponibles na actualidade atópanse: iSCSI (Internet
Small Computer Storage Interconnect), Fibre Channel e AOE (ATA Over Ethernet, Advanced
Technology Attachment Over Ethernet).

Entre as vantaxes da interconexión de redes de almacenamento resáltanse as seguintes:

 Elimina os límites de distancia de discos introducidos por SCSI ou ATA
 Consigue maior caudal de datos xa que os protocolos están específicamente deseñados para
a trasferencia de datos de dispositivos de almacenamento.
 Permite un aproveitamente maior dos discos permitindo que máis dun servidor acceda ao
mesmo disco.
 Capacidade para o uso de múltiples discos de forma trasparente dende un ou varios
servidores.
 Adquisición de discos diferida debido ao maior aproveitamento
 Capacidades de recuperación ante desastres. Os arrays de discos empregados nas SAN soen
dispor de discos de reserva (para fallos doutros discos) e permitir distintos esquemas de
RAID.
 Recuperación en quente ante desastres
 Mellor capacidade de administrador. A administración é máis sinxela e está máis
centralizada.
 Reducción dos custos de administración e de almacenamento de datos
 Mellora de dispoñibilidade global xa que as SAN teñen menos fallos ca os discos internos
dos equipos.
 Reducción de servidores eliminando servidores de arquitos antigos (NFS, SMB, etc).
 Reducción do caudal das redes convencionais pois as copias de seguridade podense facer
dende as SAN
 Incremento da rapidez das operacións de Entrada/Saída
 Reducción dos custos de administración de backups
 Protección de datos críticos
 Incremento da capacidade de forma trasparente
 Desenvolvemento e proba de aplicacíons de forma máis eficiente mediante o uso de copias
dos datos de producción realizadas na SAN.
  Facilita o emprego de clusters de servidores que teñen que dispor dun almacenamento
común.
 Permiten o almacenamento baixo demanda de forma que calqueira servidor pode solicitar
espacio de almacenamento segundo as súas necesidades.

Dentro dunha organización, deberíase incluir nunha nunha SAN a seguinte información:
 A información almacenada por SGBDs (Sistemas Xestores de Bases de Datos).
 A información almacenada por servidores de arquivos.
 Servidores de backup. Se os servidores de backup están conectados a unha SAN
conseguirase reducir os tempos de copia de seguridade con respecto a facelos nunha LAN e
reducir o tráfico da LAN.
 Arquivos de servidores de voz evideo para streamming.
 Buzóns de usuario (mailboxes) de servidores de correo.
 Servidores de aplicacións de alto rendemento. As SAN poden mellorar o rendemento de
calqueira aplicación incluíndo xestores docuentales, aplicaciónns científicas, aplicacións de
datawarehouse e cadros de mando integrais, aplicacións para xestionar as relacións cos
clientes (CRM), etc.
 Solucións de Virtualización.

Asimesmo non é convinte usar unha SAN para:

71. Servidores web que non requiran grandes nesidades de almacenamento (a maioría)
72. Servidores con servizos de rede básicos como DNS, DHCP, WINS e controladores de
dominio de Windows (DC).
73. Servidores que necesitan menos de 10Gb de almacenamento
74. Servidores que non comparten arquivos

58.1.1 Estructura das SAN

Habitualmente as SAN concíbense e estruturanse en tres capas:
92. A capa de hosts: Constituída na súa maioría polos servidores, os drivers e software
necesarios para a conexión á rede e os HBAs (Host Bus Adapters) que son dispositivos
(tarxetas) que se conectan a cada servidor para acceder áo almacenamento (nalgunhas
solucións concretas son adaptadores Ethernet simples e no caso Fibre Channel levan un
conector GBIC-Gigabit Interface Connector).
93. A capa de estrutura (fabric layer): Constituída por HUBs, Switches, Gateways e Routers se
fose necesario. Se se emprega a tecnoloxía Fibre Channel, todos estes dispositivos empreñan
GBICs (Gigabit Interface Conectors) para a interconexión dos dipositivos das capas
superiores e inferiores.
94. A capa de almacenamento (storage layer): Constítuída por todo tipo de dispositivos de
almacenamento.

Un conxunto de discos situados no mesmo sitio e sen funcionalidades adicionais coñécese como
JBOD (Just a Bunch Of Disks). Dentro da capa de almacenamento, os arrays non son simplemente
JBODs, senón que inclúen certas funcionalidades interesantes implementadas no firmware da
controladora como o RAID.

58.1.2 Protocolos
Na actualidade existen distintos protocolos que permiten as comunicacións na capa de
infraestructura entre os distintos equipos que participan nunha SAN:
  AoE permite facer dipoñíble discos SATA a través dunha rede Ethernet interconectada con
fíos de par trenzado (Gigabit Ethernet) ou fibra óptica (10 Gigabit Ethernet). Este tipo de
solucións é moi popular polo seu baixo custe e alto rendemento.
 FCP é a solución máis destacada e permite mapear o protocolo SCSI sobre Fibre Channel.
Fibre Channel é unha tecnoloxía Gigabit e deseñado específicametne para redes SAN.
inspirado no modelo OSI e deseñado en 5 capas. Pode ser empregado sobre cables de fibra
ou pares trenzados.
 FcoE é unha encapsulación do protocolo Fibre Channel sobre redes Ethernet. Deste xeito as
capas FC0 e FC1 son reemplazadas polas capas física e de Enlace empregadas no protocolo
Ethernet. Empregando esta tecnoloxía pódense combinar na SAN tecnoloxías baseadas no
uso do protocolo IP con Fibre Channel ou empregar o mesmo hardware para a rede LAN e a
SAN reducindo o custo do hardware.
 ESCONsobre Fibre Channel (FICON) é un protocolo empregado para interconectar
mainframes de IBM con dispositivos de almacenamento ESCON
 HyperSCSI permite o mapeo de SCSI sobre redes Ethernet. É unha solución de baixo custo
semellante a AoE que usa directamente o protocolo Ethernet para transmitir comandos
SCSI.
 iFCP ou SANoIP: Son solucións para mapear FCP sobre o protocolo IP.
 iSCSI (Internet Small Computer Interface) é un protocolo da capa de aplicación deTCP/IP
para o almacenamento de datos que se usa para transmitir comandos SCSI.Este tipo de
solucións pode ser empregada para almacenamento empregando redes de área extensa
(incluso Internet)..
 iSCSI Extensions for RDMA (iSER). É unha tecnoloxía que permite estender o protocolo
iSCSI implementanto o Acceso Directo a Memoria..

Os protocolos máis empresadas para desenvolvemento de SAN son FCP, iSCSI e AoE.A Tecnoloxía
AOE e moito máis sinxela cas tecnoloxías iSCSI ou FibreChannel. De ahí deriva o seu baixo custo
e a súa rapidez.

58.1.3 Topoloxías

58.1.3.1 Topoloxías en AoE

AoE depende exclusivamente do protocolo Ethernet (capa física e de enlace do modelo TCP-IP)
obviando a estrutura e funcionamento das capas superiores (IP, TCP, UDP). AoE non permite o
routing (por funcionar sobre a capa de enlace) e representa unha alternativa de baixo custo contra
iSCSI y Fibre Channel. Dado a súa particular concepción, as topoloxías típicas de AoE son
equivalentes ás distintas posibilidades de interconexión que ofrece Ethernet a nivel de capa 2. Polo
tanto, AOE permite dúas topoloxías básicas:
• Punto a punto na que o equipo host interconéctase directamente co dispositivo de
almacenamento mediante un cable par trenzado.
• Infraestructura conmutada. Todos os dispositivos interconéctanse cun switch
Ethernet..
58.1.3.2 Topoloxías en Fibre Channel
Un enlace Fibre Chanel está constituído por dúas fibras ópticas empregadas para transmitir TX e
recibir RX. Con esta tecnoloxía pódense despregar tres tipos de topoloxías:
• Punto a punto: implica que sólo existen dous dispositivos participando na SAN que son o
servidor e o array de disco. Estos dispositivos interconectanse directamente.
• Anel arbitrado: implica que os dispositivos están nunha disposición en forma de anel (Token
Ring). No anel participan tanto servidores como arrays de disco. O principal problema desta
 topoloxía consiste en que cando falla unha conexión interrúmpese o funcionamento do anillo
enteiro. Este é o método máis barato para crear unha SAN.
• Infraestructura conmutada: Todos os dispositivos se conectan a conmutadores (switches) de
FC. Cando un servidor quere realizar unha operación de almacenamento nun array, realízase
unha interconexión das bocas do switch onde está o servidor e o array.

No caso de contar con aneis arbitrados, soense usar hubs (concentradores) que realizan
internamente as conexións que implementan o anel. Dado o funcionamento interno dun hub, o
despregue de topoloxías en anel resulta moi sinxelo. Ademáis, este tipo de topoloxías admite
infinidade de arquitecturas de rede entre as que se inclúen a colocación de hubs en cascada ou en
bucle.
58.1.3.3 Topoloxías en iSCSI
iSCSI é un protocolo que aproveita por completo toda a arquitectura de capas de TCP/IP e
permitindo o salto entre distintas redes (routing).Dado que iSCSI e FCP son protocolos moi
extendidos, é posible mercar arrays que teñen soportan conexións iSCSI de forma nativa e
implementan ao mesmo tempo un gateway para FCP. A topoloxía en iSCSI pode ser calqueira
empregada nunha rede TCP/IP convencional despregada sobre unha capa de enlace calqueira
(Ethernet, 802.11x, Token Ring, etc).

58.2. SISTEMAS DE ALMACENAMENTO: ARQUITECTURAS E COMPOÑENTES

Os sistemas de almacenamento que se poden conectar a unha SAN son arrays de discos e sistemas
de backup. Nos seguintes subapartados farase unha descripción detallada de estas tecnoloxías.

58.2.1 Arrays de discos

Un array de discos é un sistema de almacenamento que contén múltiples discos. A principal
diferencia con un JBOD é que dispón de memoria caché e funcionalidades avanzadas como o RAID
e a virtualización. Un array de discos componse de:
81 Unha controladora de disco
82 Memoria cache
83 Carcasa dos discos
84 Fonte de alimentación

Dentro dos arrays de discos é común empregar distintos esquemas de RAID (Redundant Array of
Independent Disks) para xestionar o espazo nos discos. A nivel lóxico, a tecnología RAID permite
combinar varios discos físicos nunha soa unidade de disco lóxica á que se lle asigna un identificador
único chamado LUN (Logical Unit Number). Outra característica habitual dos arrays de disco é a
existencia de discos de reserva (spare disks) que serven para o reemplazo automático de discos que
fallan nun volume RAID.

58.2.2.1 Estratexias (Niveis) de RAID

Un RAID 0 (ou volumen dividido) distribúe os datos equitativamente entre dous ou máis discos sen
información de paridade nin redundancia algunha. RAID 0 permite aumentar o rendemento e crear
grandes volúmenes virtuais mediante a combinación de discos de pequena capacidade. Un RAID 0
creado a partir de discos de distinto tamaño terá unha capacidade igual ao número de discos
multiplicado polo tamaño do dísco con menor capacidade.

Un RAID L distribue os datos en dous ou máis discos de forma non equitativa e sen paridade nin
redundancia algunha. Os discos funcionan como extensións permitindo aumentar o espazo
dispoñible pero sen sacar proveito do feito de existir varios discos. Cando existen discos de distintos
tamaños, unha unidade lóxica RAID L permite que a capacidade global sexa igual á suma das
capacidades dos discos que o conforman.

Un RAID 1 (ou espello) crea unha copia exacta dos datos almacenados en dous ou máis discos. Un
volume lóxico RAID 1 terá tanto espazo como o máis pequeno dos discos que o conforman.O
tempo de acceso ao disco pode reducirse xa que é posible emplear as distintas copias para ler máis
rápido. No caso de escritura os discos escríbense ao mesmo tempo sen empeorar nin mellorar o
rendemento. Cando un disco falla neste esquema de RAID, é posible a súa sustitución automática
por un disco de reserva (spare disk).

Un RAID 2 divide os datos a nivel de bits (en lugar de a nivel de bloques como se fai nos anteriores
esquemas) e usa un código de Hamming para a corrección de erros. Ademáis, os discos
sincronízanse coa controladora para funcionar cunha alta tasa de trasferencia.

Un RAID 3 usa unha división a nivel de bytes cun disco de paridade dedicado.

Un RAID 4 dispón de acceso independente aos discos e discos de paridade. Usa unha división a
nivel de bloques con un disco de paridade adicado. Necesita un mínimo de 3 discos físicos
permitindo que funcionen de forma independente cando se pide un único bloque. Ademáis, este
esquema permite resolver peticións de escritura e lectura de forma simultanea sendo o único cuello
de botella o disco que almacena as paridades.

Un RAID 5 usa unha división dos datos a nivel de bloques distribuíndo a información de paridade
entre todos os membros do conxunto. Na práctica o calculo da paridade soe ser implementado por
hardware. Funciona dun modo parecido á RAID 4 pero evitando que o disco de paridade sexa un
cuello de botella mediante a distribución de toda a información de paridade por todos os discos.
Ademáis permite a lectura e escritura de datos de forma simultánea sempre e cando os bloques que
hai que ler simultaneamente estén en distintos discos.

Unha unidade lóxica RAID 6 amplia as funcionalidades dun volume RAID 5 engadindo un bloque
de paridade adicional calculado a partir doutro polinomio diferente. O RAID 6 é inefciente cando se
emprega un número reducido de discos pero aumenta a eficiencia a medida que se incrementa o
número de discos. Neste sentido, as operacións de lectura non se ven penalizadas en exceso mentres
que as operacións de escritura requiren dun maior tempo para o almacenamento dos dous códigos
de paridade.

RAID 5E e 6E fai referencia ao uso de discos de reserva cos esquemas de RAID correspondentes.
Hai que ter en conta non obstante, que os discos de reserva non pertencen nas solucións SAN a
unha unidade lóxica concreta senón que están dispoñibles para os posibles fallos que poidan
producirse en todas as unidades lóxicas do array de discos. Existen outras aproximacións
combinadas como son RAID 0+1 (dous RAID 0 facendo un RAID 1) ou RAID 1+0 (dous RAID 1
facendo un RAID 0). É tamén popular o RAID 30 que está deseñado para obter unha tasa de
trasferencia alta con gran fiabilidade. O principal problema que plantexa é o seu custo de
implantación debido á necesidade de empregar gran cantidade de discos. Existen moitas outras
combinacións posibles combinando as anteriores.

2.2 Copias de seguridade

As copias de seguridade poden facerse sobre a rede LAN ou sobre a SAN. Sen embargo, o principal
obxetivo das SAN é eliminar tráfico de almacenamento das redes LAN. Neste sentido resulta máis
adecuado facer o backup dentro da propia SAN.Existen dúas opcións para facer copias de
seguridade sobre unha LAN: (i) Usar unha unidade de cinta en cada computador ou (ii) usar
software de backup nun servidor para volcar a información sobre a LAN e facer o backup no
servidor. A primeira das opcións é unha opción cara porque hai que mercar unha unidade de cinta e
as cintas correspondentes para cada servidor, mentres que a segunda opción resulta máis lenta e
ocupa a meirande parte do ancho de banda da rede LAN. A opción de facer o bakup na SAN resulta
máis atractiva porque combina a vantaxe de realizar o backup na LAN coa posibilidade de eliminar
o tráfico na rede LAN.

A xanela de backup é simplemente un espacio de tempo no que se pode realizar a copia de

seguridade e no cal, normalmente, as aplicacións non se están executando ou están en modo de
offline. A ventana de backup é cada vez máis pequena por necesidades propias das empresas e por
iso cada vez é máis importante reducir o tempo de backup. Por iso é necesario conta cunha solución
que sea realmente rápida sendo capaz de mover os datos dun xeito realmente eficiente. O backup na
SAN resulta moito máis rápido reducindo asía xanela de backup necesaria.

Para realizar o backup pódense usar unidades de cinta colocadas nos propios servidores aínda que
realizando as comunicacións únicamente sobre a SAN. Outra posibilidade para realizar o backup
nunha SAN consiste en empregar bibliotecas de cintas (a menudo coñecidos informalmente como
robots de backup). As bibliotecas de cintas son conxuntos de cintas colocados en determinadas
disposicións xunto cun brazo robotizado que permite o intercambio de forma automática da cinta
que se está a grabar.

Ademáis dos backups sobre cintas, resulta interesante mencionar a posibilidade de facer imaxes e
instantáneas (snapshots) dos contidos dos discos. Mentres que as imaxes son copias bit a bit dos
discos, as instantáneas son soamente copias dos metadatos dos discos (punteiros que apuntan a onde
está almacenada a información nos discos físicos).

58.3. SERVIDORES: HBA E SOFTWARE MULTIPATH

Para que os servidores da capa Host se poidan conectar á SAN necesitan empregar un HBA (Host
Bus Adapter). Trátase dun dispositivo (tarxeta) que permite o acceso á SAN. Dependendo da
tecnoloxía, o HBA pode ser diferente.
Doutra banda, ademáis do hardware é necesario dispor dun software a modo de controlador de
dispositivo que implemente o acceso aos arrays que se encontran na SAN. Este software pode
implementar multitude de características interesantes:
57. Target: Permite que o equipo que ten instalado o software poida funcionar como dispositivo
de almacenamento na rede SAN
58. Multipath: Permite que o equipo poida acceder a un dispositivo da SAN empregando
distintas rutas físicas (fios). Este acceso multiruta pode ser aproveitado para incrementar o
ancho de banda, facer balanceos de carga sobre os paths ou ben para implementar
redundancia de conexións ante fallos.
59. iSCSI initiator: Combina unha rede SAN iSCSI co soporte nativo SCSI de forma que os
discos remotos dos arrays actúan como discos locais SCSI.

58.3.1 Protocolos de SAN e HBAs

Debido á existencia de gran variedade de protocolos para implementar ás SAN, existe unha ampla
variedade de HBAs.
- Para concectar os hosts coas SAN que empreguen Fibre Channel é necesario contar con una
tarxeta adaptadora. No caso deste protocolo, os HBA dispoñen de conectores GBICs
(GigaBit Interface Conectors) para interconectar todos os elementos que conforman a SAN.
 Cada HBA dispón dun único WWN (World Wide Name) así como cada dispositivo Ethernet
ten unha dirección MAC. Existen distintos modelos de HBA para FC con distintas
velocidades: 1Gbps, 2Gbps, 4 Gbps, 8 Gbps, 10 Gbps e 20 Gbps.
- Os HBA iSCSI ademáis de incluir unha interfaz 10GB Ethernet ou GB Ethernet, implementa
normalmente un iniciador hardware de iSCSI. Este iniciador é hardware dedicado que
permite rebaixar a sobrecarga introducida polo procesamento necesario para os protocolos
TCP e iSCSI e as interrupcións Ethernet e mellorar polo tanto, o rendemento do servidor.
- Coa tecnoloxía de Infiniband (iSER) HBA é abreviatura de Host Channel Adapter.
- Coa tecnoloxía AoE, o HBA é unha tarxeta Ethernet que permita a interconexión con fíos de
par trenzado (en Gigabit Ethernet) ou fibra óptica (en 10 Gigabit Ethernet). Unha das
vantaxes de AoE radica en que os HBA son excepcionalmente baratos.

58.3.2 Software multipath

Unha característica importante das redes SAN son as súas capacidades multipath. Un path ou ruta é
un camiño posible entre un HBAdun host ata á controladora dun array de discos. Un software
multipath sería capaz de aproveitar as distintas rutas para balancear a carga coa finalidade de
maximizar a velocidade de acceso ou conseguir unha maior tolerancia a fallos.
Neste sentido, as veces os arrays de disco dispoñen de duas conexións coa intención de facer
dispoñibles múltiples paths entre un HBA dun host e unha unidade lóxica (LU) que poden ser
aproveitados para unha maior velocidade de acceso. Esta característica é moi empregada en AoE,
iSCSI e FC.
Tema 59.- Sistemas de backup: hardware y software de backup. Estrategias de backup a disco.
Disponibilidad de la información RPO, RTO. Replicación local y remota, estrategias de
recuperación.

59.1Sistemas de Backup: hardware y software de backup

Un factor importante en todo sistema de backup es la elección de los sistemas hardware y software
que lo componen.

59.1.1 Hardware de Backup

59.1.1.1 Cintas
. La cinta magnética, o de una forma más abreviada, la cinta, es un componente basado en
cartuchos que se hace típicamente de algún tipo de plástico rígido. Contiene uno o más bobinas de
plástico flexible que se han impregnado con un material con comportamiento magnético.
Los cartuchos de cinta están fabricados en varios formatos. Cada formato tiene unas
características diferentes que responden a las diferentes necesidades de almacenamiento físico y de
tiempo de preservación de la copia de seguridad, tanto en términos de la cantidad de datos
almacenados, como de vida útil de los medios de almacenamiento o su coste. 
. El mercado está renovando continuamente este tipo de dispositivos con el fin de mejorar ambos
aspectos. Sin embargo, existen tres formatos que podemos considerar de los más comunes y tienen
características particulares que se describen aquí como ejemplos de elementos arquitectónicos
de diseño: DLT,  LTO, T10000 y STK. 

59.1.1.1.1 Digital Linear Tape (DLT)

Digital Linear Tape (DLT) es el formato de cinta más antiguo y por lo tanto uno de los productos
más maduros del mercado. Originalmente fue diseñado e implementado por DEC en 1984, para
posteriormente ser adquirida por Quantum y redistribuido en 1994.
DLT es el primer cartucho de cinta compacta para copias de seguridad de sistemas abiertos en la
empresa. La conectividad de DLT, se limita a los tradicionales de SCSI, y está limitado a 300 GB de
capacidad nativa de almacenamiento y 160 MB /seg velocidad de transferencia  (SDLT600).
Existían otras variantes disponibles, pero nunca llegaron a popularizarse con carácter general. Hoy
en día, DLT se encuentra normalmente como copia de seguridad de larga duración en entornos
pequeños que no requieren mayor capacidad.

59.1.1.1.2 Linear Tape Open (LTO)

Linear Tape Open (LTO) fue diseñado y concebido como una evolución y alternativa a los formatos 
DLT y otros ya existentes, y estaba destinado a proporcionar una plataforma común para los
backups en cinta. 
Seagate, HP e IBM fueron los iniciadores originales del consorcio LTO, encargado de realizar el
desarrollo inicial y el cuál mantiene la licencia de la tecnología y la certificación del proceso. Sin
embargo, entre el original LTO-1 y los formatos de LTO-2 hubo problemas de compatibilidad. Estos
problemas abarcaban desde bloqueos en las cintas cuando se utilizan medios adquiridos a dos
proveedores distintos hasta la incapacidad de una unidad LTO de un fabricante a leer los datos
escritos en un cartucho de otra. 
El LTO-1 inicial proporcionaba 100 GB de almacenamiento nativo y 15 MB /seg; con los
actuales sistemas de LTO-4 se proporcionan 400 GB de almacenamiento nativo de 160 MB / seg.
Por su parte, el LTO-5 proporciona 800 GB de capacidad de almacenamiento nativo a 160 MB /
seg.

59.1.1.1.3 Sun  StorageTek T10000 (T10k)

El T10000 / StorageTek (T10k) de Sun representa uno de las tecnologías de almacenamiento en
cinta que mejor se ha comportado en términos de capacidad. El T10k es un formato
propietario producido únicamente por StorageTek y se encuentra normalmente en entornos en los
que se empleaban las tecnologías anteriores de Sun como el STK (9840/9940). También se han
utilizado en sistemas abiertos de servidores o mainframe. El T10k está diseñado para 500 GB de
almacenamiento nativo de 120 MB / seg.

59.1.1.1.4 Características de almacenamiento en cinta

Todas las unidades de cinta son entornos serie. A diferencia de los dispositivos de disco, los
dispositivos de cinta escriben los bloques de datos de forma lineal, uno tras otro. Las unidades de
cinta sólo tienen una cabeza de escritura que escribe un bloque de datos de cada vez en la cinta, a
medida que ésta se mueve por ella. Los dispositivos de disco tienen una serie de dispositivos de
escritura, o cabezas, que se mueven a varios puntos del disco giratorio para situar los datos de una
manera óptima. Esto permite que los dispositivos de disco puedan leer cualquier trozo de
información  solicitada. Dado que los discos tienen varias cabezas para obtener bloques de datos  en
paralelo, varios sistemas pueden acceder al disco al mismo tiempo
La lectura de los datos de una cinta, se realiza mediante el proceso inverso: La cinta debe
rebobinarse hasta el principio, hacia adelante hasta bloque que se necesita, y leer así el bloque de
datos. Al poder devolverse únicamente un segmento de datos con cada lectura, los dispositivos de
cinta no se pueden compartir de forma paralela entre sistemas sin un mecanismo para transferir el
control entre los sistemas que usan dicho dispositivo.
El tipo de conectividad también tiene influencia sobre la utilización de dispositivos de cinta. Las
unidades de cinta dependen de una conexión directa con el host para el transporte de los datos. Una
vez más, esto se debe al hecho de que las unidades de cinta son dispositivos de serie que sólo
aceptan una sola conexión a la vez. 

59.1.1.2 Disco
Con todos los problemas con la cinta, los administradores buscaban un medio que permitiera un
rápido acceso a las copias de seguridad y que proporcionase una forma de tener un
almacenamiento rápido y fiable: el disco. 
Los backup a disco son simples sistemas de archivos que han sido situados aparte para que el
software de backup los use. Aunque esto parece sencillo, la implementación y gestión de las
soluciones basadas en disco pueden ser muy complejas.
El almacenamiento en disco supera algunas de las desventajas propias de las cintas. Por la
capacidad de recibir datos de forma rápida, tiene múltiples flujos para almacenar copias de
seguridad al mismo tiempo, y tiene la capacidad de presentar el almacenamiento de un número de
maneras diferentes, dependiendo de la necesidad del sistema, por eso, el disco es muy empleado
como un medio de almacenamiento de copia de seguridad primario. 
Pero el disco también tiene sus debilidades, el coste de los medios de comunicación, la falta
de portabilidad, y la dificultad de asegurar la plena utilización de los medios de comunicación hacen
que el disco no sea tan satisfactorio como parece a priori.

59.1.1.3 Medios Virtuales

Los medios virtuales emulan el hardware físico de cinta con el objetivo de reducir o eliminar los
problemas de gestión asociados a los medios físicos. Mediante la eliminación del hardware con una
alta complejidad mecánica y de gestión y la eliminación de sus sistemas asociados y
reemplazándolos por unidades de disco, los medios virtuales también tiene la ventaja de aumentar la
fiabilidad general del entorno de backup. Los medios virtuales ofrecen estas ventajas sin
cambiar los procedimientos operativos o exigir modificaciones del software de copia de
seguridad. Además, en algunos casos, el rendimiento puede aumentarse a través de un mejor uso del
ancho de banda en los medios de comunicación utilizados para conectar los medios virtualizados
con los servidores de backup.
Los Medios virtuales de copia de seguridad se asocian tradicionalmente de forma exclusiva con 
bibliotecas de cintas virtuales (VTL) pero recientemente se han realizado nuevas implementaciones
a través de protocolos que permiten la virtualización de otros tipos de sistemas de almacenamiento.

59.1.1.4 Medios Ópticos

Los medios ópticos se sitúan entre las ventajas de las cintas y las del disco. Sobresalen en las áreas
de fiabilidad, flexibilidad, ciclo de trabajo e inamovilidad, mientras que sus retos los encontramos
en las áreas de rendimiento, capacidad y coste.

59.1.1.4.1 CD
El CD ha servido y sigue sirviendo como medio de almacenamiento de copias de seguridad gracias
a su fiabilidad e inamovilidad. Proporciona en comparación con otro medios como la cinta
magnética, mayor seguridad y protección de los datos, dado que el propio medio es mucho más
robusto frente a interacciones físicas externas (por ejemplo los campos magnéticos).
Las capacidades habituales de los CD estándar abarcan desde los 650MB hasta los 900MB.

59.1.1.4.2 DVD
Los DVDs vienen a ser la evolución de la tecnología digital óptica de los CDs.
Al igual que los CDs, existen dos tipos de dispositivos para el uso de los DVDs que son las
grabadoras y los lectores. Existen diferentes tipos de DVDs y diferentes categorizaciones, siendo la
más importante la relativa al número de capas, factor que determina la capacidad final del
dispositivo.
Las capacidades actuales abarcan desde los 4,3Gb hasta los 17Gb. Los DVD utilizan dos tipos de
sistemas de ficheros que reemplazas el antiguo ISO 9660 de los CDs, y que son el UDF y el Joliet.

59.1.2 Software de Backup

59.1.2.1 Herramientas de código abierto – AMANDA
Amanda (Advanced Maryland Automated Network Disk Archiver), es el software de código abierto
de copia de seguridad más conocido. Amanda se incluye con la mayor parte de las distribuciones
Linux.
En un principio, Amanda fue utilizado mayoritariamente en las universidades, laboratorios técnicos,
y departamentos de investigación. Hoy, con la amplia adopción de Linux en los departamentos de
informática, Amanda se encuentra en muchos otros lugares, sobre todo cuando la atención se centra
en aplicaciones LAMP (Linux+Apache+MySQL+PHP). Con los años, Amanda ha recibido
múltiples premios de los usuarios.
Amanda permite configurar un único servidor backup maestro para realizar múltiples copias de
seguridad de equipos Linux, Unix, Mac OS X, y Windows en una amplia variedad de dispositivos:
cintas, discos, dispositivos ópticos, bibliotecas de cintas, sistemas RAID, dispositivos NAS, y
muchos otros.

Las principales razones para la adopción generalizada de Amanda son:

 Se puede configurar un único servidor de copia de seguridad de varios clientes en red con
cualquier dispositivo de almacenamiento: una cinta, disco o sistema de almacenamiento
óptico.
 Está optimizado para el backup en disco y cinta, permitiendo escribir simultáneamente
backup a cinta y disco.

 No utiliza drivers propietarios, cualquier dispositivo soportado por un sistema operativo

también podrá funcionar en Amanda.

 Utiliza herramientas estándar, como dump y tar. Puesto que no son formatos propietarios,
los datos se pueden recuperar con esas mismas herramientas.

 Se utiliza un planificador que optimiza niveles de seguridad para los diferentes clientes, de
tal manera que el tiempo total del backup es aproximadamente el mismo para cada
ejecución.

 Existe una amplia y activa comunidad de usuarios que crece día a día.

 El coste total de propiedad (TCO) de una solución de backup basada en Amanda es

significativamente menor que el TCO de cualquier solución que utilice software privativo.

59.1.2.2 Herramientas de código abierto – BackupPC

BackupPC es un sistema de alto rendimiento que permite realizar copias de seguridad de sistemas
Unix, Linux, Windows y MacOS en un disco. Es por tanto una herramienta basada totalmente en
disco.
Funcionamiento de BackupPC
El modelo de BackupPC tiene un usuario por cliente.
BackupPC envía mensajes de correo electrónico al propietario si no puede realizar la copia de
seguridad después de un tiempo configurable; el propietario puede gestionar las restauraciones de
las copias a través de una interfaz web.
En los siguientes puntos se describen algunas de las características proporcionadas por BackupPC:
Directo al disco. Los archivos idénticos en cualquier directorio o cliente se guardan sólo una vez.
Proceso que ahora espacio automatico

Sistema operativo del servidor La parte del servidor de BackupPC está diseñada para ejecutarse en
un sistema tipo Unix con Perl y mod_perl.Se puede ejecutar en cualquier servidor web que soporte
Perl (se requiere mod_perl o Perl setuid.) El servidor debe tener un disco con gran capacidad o
RAID para almacenar los backups.
Sistema operativo del cliente. Soporta cualquier SO.

Soporte para herramientas nativas. Perl tar, rsync comprime, gzip, bzip2, zip, apache y samba.
BackupPC no utiliza una base de datos o catálogo para almacenar la información de respaldo. En su
lugar, utiliza el árbol de directorios para almacenar esta información.

Control de los backups y restauraciones a través de interfaz web.La interfaz permite a los
usuarios identificarse, acceder y controlar los respaldos y las restauraciones.El usuario tiene control
absoluto sobre qué archivos o directorios se restauran y donde hay que restaurarlos. Un histórico
muestra que archivos se han modificado durante cada copia de seguridad en cada directorio.

Soporte para clientes DHCP. Los clientes BackupPC se referencian por nombre de host. Si no
estçá en línea avisa por mail. Esto significa que se puede hacer backup de los clientes conectados a
través de una red privada virtual (VPN).

Pool de Backups. BackupPC almacena un árbol de directorios por cliente respaldado, pero
comprueba si los archivos se han almacenado antes. Si es así, BackupPC utiliza un enlace que
apunta al fichero existente en el conjunto de discos común, ahorrando una gran cantidad de espacio.
Además, BackupPC puede comprimir opcionalmente para ahorrar más espacio.

Fácil configuración por cliente..Permite una gran flexibilidad sobre qué, cuándo, y cómo hacer
copia de seguridad de un cliente. No hay clases de clientes por sí mismo.

59.1.2.3 Herramientas de código abierto – Bacula

Bacula es un sistema de backups Open Source, orientado a la red y listo para la empresa.
Es capaz de realizar copias de seguridad en disco, cinta o medios ópticos.
Bacula está disponible bajo licencia AGPL versión 3
Bacula Arquitectura
Bacula es una solución distribuida de backups. Esto significa que Bacula está compuesto por varios
elementos, que pueden o no residir en el mismo host. Por ejemplo, se puede tener un host con el
catálogo y en otro el storage.
Se basa en una arquitectura Cliente-servidor y modular
Se puede utilizar TLS (Transport Layer Security) para proteger los datos durante la transmisión.
Los componentes principales de esta arquitectura son:
• Director (DIR) es el encargado de gestionar de forma centralizada la lógica de los procesos de
backup y los demás servicios. Trabaja en base a una unidad básica denominada JOB (un cliente,
un conjunto de archivos, …) de tal forma que el Director planifica, inicia y supervisa todos los
jobs.También es el encargado de mantener el catálogo, por lo que el servidor de la base de datos
debe estar accesible desde la máquina que ejecuta el Director.
• Storage es el encargado de gestionar los dispositivos de almacenamiento; esto exige que esté
instalado en la máquina que posea la conexión física a los dispositivos de almacenamiento, tales
 como: discos locales, grabadoras, unidades de cinta, volúmenes NAS o SAN, autocargadores o
librerías de cinta.
• File Daemon es el agente que corre del lado del cliente, es decir, en la máquina cuyos datos se
van a respaldar, y que tiene como objetivo empaquetar los datos y enviarlos al Storage, donde
serán almacenados.
• Consola es la herramienta que permite al usuario o administrador controlar Bacula. Se comunica
con el director vía red, iniciando los jobs, revisando la salida del job, haciendo consultas y
modificaciones en el catálogo.Existen consolas en modo texto, modo GUI para Windows y
Linux/UNIX e interfaces web.
• Catálogo es una base de datos donde se guarda información sobre los jobs y sobre los datos
respaldados. El catalogo permite dos cosas:
o Por un lado, como guarda información de los jobs, pools y volúmenes, Bacula lo usa para
saber si hay un backup completo para un job, y si no lo hay, realizará para ese backup una
copia completa.
o Por otro lado, el catálogo tiene todos los nombres de archivo (y sus atributos, como fecha de
última modificación, etc.) que se respaldaron, y eso es lo que permite hacer una recuperación
selectiva, es decir, seleccionar (marcar, en la jerga de Bacula) individualmente qué archivos
y/o directorios restaurar.

59.1.2.4 Software Propietario CommVault Simpana

Simpania es un software de backup que realiza copias de seguridad de entornos Unix, Windows,
Linux, servidores de correo Exchange, Lotus Notes, bases de datos Oracle, MySQL, SQLServer y
máquinas virtuales VMware. Además permite funciones avanzadas como puede ser el archivado, la
deduplicación y la replicación de ficheros.
El funcionamiento de la aplicación se basa en el uso de los bloques de disco, por lo que todos los
módulos no utilizan la información del archivo, si no que trabaja a más bajo nivel. Con ello
consigue mejores ratios de compresión y una importante reducción de la ventana de backup, al
utilizar únicamente los bloques modificados y no el fichero entero para realizar estas operativas.
Otra característica que incide en el uso de almacenamiento de bajo coste es la capacidad de generar
políticas como las de archivado, mediante las que automáticamente permite mover ficheros de un
almacenamiento a otro con mayor capacidad a menor coste. De esta forma, por ejemplo se podrían
pasar los datos de una cabina de fibra a otra con discos SATA, pudiendo llegar a un tercer nivel a
cinta, en base a unos requisitos (fecha del archivo, último acceso al archivo, etc.). Todos los
movimientos se realizan de forma transparente para el usuario, tanto en el archivado como en su
recuperación (si fuese necesario).
A estas funcionalidades hay que sumar la capacidad de deduplicación, que realiza una compresión
de los datos aprovechando las duplicidades de los datos a nivel de bloque, consiguiendo alcanzar
ratios de hasta el 50% de ahorro en el uso de almacenamientos en datos de segundo nivel y hasta el
90% en los de tercer nivel.
Para terminar el repaso a las principales funcionalidades, la replicación, permite la utilización de
snapshots a nivel de cabina permitiendo volver el almacenamiento replicado a un estado anterior o
montar la imagen snapshot como un recurso compartido.
Todo se administra desde una única consola centralizada, que simplifica toda la administración de la
plataforma. Adicionalmente el motor de búsqueda ofrece la opción de buscar rápidamente y
recuperar datos sin necesidad de saber donde se ubican.

59.1.2.5 Software Propietario Symantec NetBackup

Netbackup 7 es la nueva versión de la solución de copia de seguridad y recuperación de datos
orientada a grandes corporaciones. Esta herramienta trata de simplificar la gestión de la información
reduciendo el volumen de almacenamiento de datos con técnicas de deduplicación en los
ordenadores cliente de la red además del propio servidor, ofreciendo protección para entornos
virtualizados. La nueva herramienta incluye eliminación de datos duplicados nativos dentro del
cliente NetBackup y permite a los clientes multiplicar por diez la velocidad de las copias de
seguridad en oficinas remotas, el propio centro de datos y los entornos virtuales. Esta eliminación
de datos duplicados en el cliente y en el destino ofrece una mayor cobertura con menos
herramientas.
El proceso de deduplicación se contempla para todos los sistemas físicos y virtuales,
independientemente del método de copia de seguridad. De este modo se integra una mayor
protección para los cada vez más extendidos entornos virtualizados bajo las plataformas Hyper-V y
VMware. Es en el caso de esta última en la que se ha podido observar un incremento de velocidad
de hasta el 50% a la vez que disminuye el volumen de almacenamiento necesario en un 40%.
Otro de los aspectos notablemente mejorados en Netbackup 7 es la velocidad de recuperación de
datos ante desastres. Permitiendo la restauración de grandes volúmenes de información en pocos
segundos desde cualquier lugar y punto en el tiempo. Esta gestión se facilita al administrador de TI
mediante un sistema centralizado de supervisión y alerta, que integra la administración de varios
dominios de archivos con sus respectivas políticas de salvaguarda de datos.
La tecnología incluida en NetBackup acelerará la transición a un entorno virtual para las
organizaciones empresariales que instalen un gran número de máquinas virtuales o que decidan
crear una infraestructura de nube privada.
La solución NetBackup también ofrece una elaboración de informes simplificada y un mayor
soporte a las aplicaciones de bases de datos de Oracle y MySQL.
59.2Estrategias de Backup a Disco
Las estrategias de backup definen el plan que se ha de seguir para garantizar la integridad de la
información. Partiendo de unas características comunes, algunas de las propiedades básicas de una
estrategia backup son:
Tiempo de almacenamiento Define el tiempo máximo que una copia permanece almacenada en un
dispositivo.
Almacenamiento alternativo. Posibilita realizar una o varias copias de seguridad en una ubicación
externa al sistema y a la localización geográfica del mismo
Protección ante fallo de los dispositivos. Establece el número de medios que se emplean.

Tiempo de restauración.

El coste.

Las estrategias para la realización de copias de seguridad pueden ser muy distintas, dependiendo del
sistema en cuestión sobre el cual se realizan.
En algunos casos, solamente se efectúa un backup de todo el contenido. Esto se produce cuando por
algún motivo especial y muy específico o por algún motivo técnico, cuestiones de tiempo o por que
existe un elevado riesgo para los datos.
Por otro lado, cuando realmente se ha de diseñar un plan estratégico para la realización de las copias
de seguridad de un sistema propio o de una organización externa, se deben tener en cuenta una serie
de pautas que ayudan a que el plan estratégico de backups sea el más conveniente y conseguir la
mejor relación coste/beneficio posible.
Al intentar definir un plan de backups, surgen una serie de dudas:
¿Qué datos se deberían resguardar en cada backup? Datos a resguardar.
¿Cada cuánto se debería efectuar un backup de los datos? Frecuencia del backup.
Se tienen en cuenta factores como: Tiempo empleado en la creación de la información. Coste
invertido en la creación de la información. Posibles consecuencias derivadas de su pérdida.
¿Cuánto tiempo deberían permanecer guardadas las copias de seguridad? Tiempo de
Almacenamiento.
Otra de las decisiones importantes a tomar durante la elaboración de una estrategia para la
realización de copias de seguridad es la de seleccionar y planificar los distintos tipos de copias de
seguridad.. Se pueden crear múltiples niveles de backups, siendo los principales:
Copias de seguridad completas (Full backups): representan una copia exacta en un momento dado,
de los datos que se pretende proteger.
Copia de seguridad diferencial, también conocida como la copia de seguridad incremental
acumulativa, captura copias de seguridad que se han producido desde el último backup completo y
suele utilizarse en entornos en los que no se produce un elevado número de cambios.
Copia de seguridad incremental, es capaz de capturar los cambios que se han producido desde la
última copia de seguridad realizada, independientemente del tipo que sea. Este tipo de copia de
seguridad contiene la menor cantidad de datos necesarios durante cada ciclo de backup, reduciendo
la cantidad de datos que se transfieren y el tiempo que se necesita para la creación de una copia de
seguridad.

59.3Disponibilidad de la información RPO, RTO

Para establecer un criterio de selección entre toda esta gran cantidad de soluciones de restauración,
existen un conjunto de indicadores técnicos:
75. Objetivo de Punto de Recuperación o RPO: Es la cantidad máxima de información que
puede ser perdida cuando el Servicio es restaurado tras una interrupción.

76. Objetivo de Tiempo de Recuperación o RTO: Es el tiempo máximo permitido para la

recuperación de un servicio de TI tras una interrupción.

59.3.1.1 Objetivo de Punto de Recuperación

El indicador RPO es una manera objetiva para comparar diferentes productos, sistemas o
metodologías de recuperación de información cuando lo que interesa controlar es la cantidad de
información que podría llegar a perderse en caso de contingencia. Como se ha definido con
anterioridad, RPO establece un indicador que evalúa la cantidad de información que puede llegar a
perderse sin graves consecuencias, es decir, es un indicador de riesgo.
Este indicador debe tomarse con cautela dado que es altamente dependiente del contexto en el que
se encuentre la organización, así como de su volumen de generación de datos.

59.3.1.2 Objetivo Tiempo de Recuperación

El RTO determina el tiempo de recuperación frente a una contingencia, es decir, el tiempo que se
puede estar sin el servicio operativo. Para ello es necesario identificar al inicio todas las funciones
críticas del negocio y su apoyo a los componentes de Tecnologías de la información. Una vez
identificadas, podemos establecer el tiempo necesario en caso de fallo para poder reanudar las
operaciones normales.
El RTO es un indicador íntimamente relacionado con el BIA (Business Impact Analysis) y se suele
expresar en términos de tiempo (horas, minutos,…). RTO y RPO están también enteramente
vinculados. A la hora de diseñar un plan de contingencia, es necesario saber qué estrategia RPO se
implantará dado que el volumen de datos a recuperar en caso de fallo, que está ligado a la estrategia
RPO, influye directamente en el indicador RTO, es decir, en el tiempo que se tardará en recuperar el
sistema.

59.4Replicación local y remota, estrategias de recuperación

La replicación es el proceso de creación de una copia exacta de los datos. La creación de una o
varias réplicas de los datos de producción es una de las maneras de proporcionar continuidad al del
negocio (BC).
Una réplica ha de proporcionar: capacidad de recuperación y capacidad de reinicio
La capacidad de recuperación: permite la restauración de los datos de los volúmenes de producción
en caso de que se produzca una pérdida de los datos. Se ha de proporcionar un mínimo de RTO y un
RPO concreto que nos garanticen la reanudación de las operaciones comerciales en los
volúmenes de producción.
La capacidad de reinicio: garantiza la coherencia de los datos de la réplica, posibilitando la
reanudación de las operaciones de negocio utilizando para ello la información contenida en las
réplicas.

59.4.1 Replicación Local

59.4.1.1 Tecnologías de replicación local
Las replicaciones Host-based (basadas en replicación en host local) y Storage-based (basadas en
almacenamiento) son las dos principales tecnologías adoptadas para la replicación local

59.4.1.1.1 Basada en replicación en host local

En este tipo de replicación, los administradores del sistema llevan a cabo el proceso de copia y
restauración en la propia máquina, pudiendo basarse la recuperación en una replicación integral del
volumen mediante LVM (Logical Volume Manager), o bien mediante instantáneas del sistema de
ficheros.
Replicación del volumen mediante LVM: El LVM se encarga de crear y controlar el
volumen de host a nivel lógico y está formado por tres componentes: los discos físicos,
 los volúmenes lógicos y los grupos de volúmenes. En la replicación de volúmenes
basado en LVM, cada partición lógica en un volumen se asigna a dos particiones físicas
en dos discos diferentes. De esa forma se consigue un espejo que permite redundancia y
recuperación directa en caso de necesitar replicar.

Instantánea de archivos del sistema: Consiste en crear una réplica a base de instantáneas del
sistema de ficheros mediante la utilización de metadatos almacenados en un mapa de
bits. Estos metadatos van reflejando el cambio que se va produciendo en el sistema de
ficheros y van almacenando un registro de las direcciones accedidas mediante
operaciones de lectura/escritura. Este sistema requiere de una fracción del espacio
utilizado por el sistema de ficheros original.

59.4.1.1.2 Basada en arrays de discos

En este tipo de replicación se hace uso de matrices de discos que pueden estar distribuidas dentro
del CPD. El entorno operativo es el que lleva a cabo el proceso de replicación de un determinado
sistema de ficheros, sin necesidad de que los recursos de acogida (CPU y memoria) del anfitrión
intervengan en el proceso de replicación.

59.4.2 La replicación remota

La replicación remota consiste en el proceso de creación de replicas del conjunto de datos en
lugares con otra ubicación física. Las réplicas remotas ayudan a las organizaciones a mitigar los
riesgos asociados a las interrupciones regionales del servicio, que pueden estar provocadas por
diferentes causas, por ejemplo, desastres naturales. La infraestructura en la que los datos se
almacenan inicialmente se llama fuente. La réplica, o infraestructura remota en la que se almacena
la copia se le llama blanco.

59.4.2.1 Tecnologías de replicación remota

La más habitual es la tecnología de replicación basada en host remoto, que utiliza uno o más
componentes de la máquina para realizar y gestionar la operación de replicación. Existen dos
enfoques fundamentales para la replicación basada en host remoto: Replicación remota basada en
LVM y replicación de bases de datos a través de trasvase de registros.

59.4.2.1.1 Replicación remota basada en LVM

En este modelo, la replicación se efectúa y gestiona a nivel de grupo de volúmenes. El LVM de la
máquina origen es el encargado de gestionar y transmitir la información del volumen al LVM de la
máquina remota. El LVM de la máquina remota se encarga de recibir los datos y realiza la
operación de réplica del volumen.
Antes del inicio de la replicación, se deben configurar los sistemas fuente y remoto para que los
sistemas de archivos, los volúmenes y la agrupación de volúmenes sea idéntica en ambos. El punto
de partida, o sincronización inicial, se puede realizar de diferentes formas, siendo la más frecuente
la restauración en el punto remoto de una copia de seguridad de los datos de origen.
En la replicación remota basada en LVM se soportan dos modos de transferencia de datos, que son
el sincrónico y el asincrónico. En el modo asíncrono, las operaciones de escritura se van
almacenando en una cola de registros gestionada por el LVM y se van enviando al host remoto en el
orden en el que son recibidas. En caso de fallo de la red, las operaciones siguen acumulándose en la
cola de registros.
En la replicación síncrona, las operaciones de escritura deben estar comprometidas tanto en origen
como en destino. Las operaciones de escritura consecutivas no pueden ocurrir en fuente ni destino
hasta que las operaciones previas hayan finalizado. Esto garantiza que los datos de la fuente y
destino son exactamente los mismos en todo momento. Esto hace posible que el RPO en caso de
fallo sea cero o cercano a cero. Sin embargo, como contraprestación al nivel de seguridad, el tiempo
de respuesta es mucho mayor. El grado de impacto en el tiempo de respuesta depende de la
distancia entre ambos sitios (fuente y destino), del ancho de banda disponible y de la infraestructura
de conectividad de red.

59.4.2.1.2 Basada en trasvase de registros

La replicación de bases de datos a través de trasvase de registros consiste en la captura de las
transacciones realizadas en la base de datos fuente, que son almacenadas en registros que se
transmiten periódicamente de un host fuente a un host destino. El host destino recibe el conjunto de
registros y realiza las operaciones oportunas en la base de datos replicada. El proceso inicial de
producción y reproducción requiere que todos los componentes importantes de la base de datos se
repliquen en el sitio remoto.
Los sistemas gestores de bases de datos permiten definir un intervalo de tiempo para el envío de los
ficheros de registro, o bien configurar un tamaño predeterminado de los mismos. Cuando un
registro supera el intervalo de tiempo establecido o alcanza su tamaño máximo, se cierra, y se abre
un nuevo fichero para registrar las transacciones. Los registros cerrados van siendo enviados desde
la fuente al destino garantizando que la base de datos replicada en destino sea consecuente con la
fuente hasta el último registro cerrado. El RPO en el sitio remoto dependerá del tamaño del fichero
de registro y de la frecuencia de cambio de registro en la fuente.
Tema 60.- Administración e xestión de redes e sistemas de
almacenamento. Virtualización do almacenamento. Xestión do ciclo
de vida da información (ILM).

ADMINISTRACIÓN Y GESTIÓN DE REDES Y SISTEMAS DE ALMACENAMIENTO.

Administrador de red
Un administrador de red como su nombre indica "administra" una red, es decir, se encarga de:
Instalación y configuración de la red.
Hardware de red, conexiones físicas, hubs, switches, routers, servidores y clientes.
Software de red, como los sistemas operativos de red, servidores de correo electrónico,
software para la realización de copias de seguridad, base de datos servidores y software
de aplicación.
Lo más importante, el administrador tiene cuidado de los usuarios de la red, respondiendo a sus
preguntas, escuchar sus problemas, y resolver sus problemas.Cuando las tareas de administración se
realizan en una red grande y compleja, este conjunto de tareas han de abarcarse de manera dedicada,
es decir, poseer una o varias personas realizando únicamente las tareas de administración de la red.
Esto debe ser así debido a que las redes tiende a ser volátiles en el sentido de:
Los usuarios de la red cambian constantemente.
Los equipos fallan.
Se producen conflictos entre las distintas aplicaciones.
Independientemente del tamaño de una red, un administrador debe cubrir las siguientes tareas que
son comunes a cualquier tipo de red:
Involucrarse y formar parte en la toma de decisiones para la adquisición de nuevo
equipamiento, servidores, equipos, impresoras, etc.
Establecer las acciones necesarias para el correcto funcionamiento cada vez que se añada un
nuevo equipo.
Estar al corriente de las actualizaciones de software que publiquen los proveedores y
considerar si sus nuevas características son suficientes para justificar una posible
actualización. En la mayoría de los casos, la parte más difícil de un proceso de
actualización de software es como afectar lo menos posible al funcionamiento de los
usuarios.Dentro de este procesos de actualización también intervienen afectando en
menor medida a la estabilidad del sistema los parches y Service Packs que publican los
proveedores para actualizar sus soluciones y que solventan problemas menores.
Recopilar, organizar y controlar el inventariado de toda la red, para poder solventar en el
menor tiempo posible cualquier imprevisto.

Administración y gestión de redes

Desde un enfoque software, la gestión de redes hace referencia al conjunto de actividades, métodos,
procedimientos y herramientas que intervienen en las operaciones de administración,
mantenimiento y aprovisionamiento de los sistemas existentes dentro de la red. Supone mantener la
red en marcha y funcionando sin problemas. Para conseguir esto se hace imprescindible la
utilización de herramientas para la monitorización de la red, que ofrezcan la detección de problemas
tan pronto como sea posible, incluso antes de que algún usuario se vea afectado.
El proceso de mantenimiento, que se ocupa de realizar las operaciones de reparación y mejora, ha
de llevar a cabo tareas como el reemplazo de una tarjeta de red, actualización del sistema operativo
de un router, añadir un nuevo switch al entramado de red. El mantenimiento también implica
medidas para la corrección y prevención, como por ejemplo, el ajuste de los parámetros necesarios
de un dispositivo en función de las necesidades que se soliciten o intervenir cuando sea necesario
para mejorar el rendimiento de la red en momentos puntuales.
Otro aspecto de la administración de una red es el aprovisionamiento, tarea que concierne a la
configuración y adaptación de los recursos de red para dar soporte a los servicios ofertados.

Tareas de la gestión de red

Las tareas de gestión de una red se pueden caracterizar de la siguiente manera:
QoS y Gestión del Rendimiento: un administrador de red debe supervisar y analizar
periódicamente los routers, hosts y el funcionamiento de los enlaces y luego en función
de los resultados obtenidos realizar una redirección del flujo de datos para evitar la
sobrecarga de ciertos puntos de la red. Para realizar esta tarea de seguimiento de la red,
existen herramientas que detectan rápidamente los cambios que se producen en el tráfico
de una red.
Gestión de fallos por la red: cualquier fallo en la red, enlaces, nodos, routers, fallos de
hardware o software, debe ser detectado, localizado y respondido por la propia red, es
decir, la propia red debe poseer mecanismos para intentar solventar por sí sola el mayor
número de contingencias que se puedan producir.
Gestión de la configuración: esta tares implica el seguimiento de todos los dispositivos bajo
gestión y la confirmación de que todos los dispositivos están conectados y funcionan
correctamente. Si se produce un cambio inesperado en las tablas de enrutamiento, el
administrador ha de descubrir el problema de configuración y solucionarlo lo antes
posible para que ningún servicio ni usuario se vea afectado.
Gestión de la seguridad: el administrador de red es el responsable de la seguridad de la red y
debe monitorizar y controlar los puntos de acceso a la red informando sobre cualquier
intento de intrusión.
Gestión de facturación y contabilidad: el administrador especifica a los usuarios de la red los
accesos o restricciones sobre los recursos y se encarga de la facturación y de los cargos a
los usuarios por el uso de los mismos.

Elementos de la gestión de red

La gestión de red está compuesta por tres componentes principales:
Centro de gestión: compuesto por el administrador de red y sus oficinas o centros de
trabajo. Normalmente el centro de gestión está compuesto por un grupo humano
importante.
Dispositivos a gestionar: conformado por el equipamiento de la red, incluido su software,
que es controlado mediante el centro de gestión. Cualquier hub, bridge, router, servidor,
impresora o módem es considerado un dispositivo que ha de ser gestionado.
Protocolo de gestión de la red: es el conjunto de políticas que adopta el centro de gestión
para controlar y manejar todos los dispositivos que conforman la red. El protocolo de
gestión de red permite al centro de gestión conocer el estado de los dispositivos.
 Estructura de Gestión de la Información (SMI, Structure of Management
Information):
Define las reglas para nombrar los objetos y para codificarlos en un centro de gestión de una red.
Trabaja bajo el protocolo SNMP (Simple Network Management Protocol) definiendo los conjuntos
de objetos dentro la gestión de información base (MIB).
La Gestión de la Información Base (MIB, Management Information Base)
Es un medio de almacenamiento de información que contiene los objetos que muestran el estado
actual de una red. Debido a que los objetos tienen asociado información que se almacena en el MIB,
este forma colecciones de objeto, en las que incluye las relaciones entre ellos, en el centro de
gestión. Los objetos se organizan de una forma jerárquica y se identifican por la notación abstracta
ASN.1.
Protocolo SNMP (Simple Network Management Protocol)
El Simple Network Management Protocol (SNMP) está diseñado para monitorear el rendimiento de
los protocolos de red y de los dispositivos. Las unidades de datos del protocolo SNMP (PDUs)
pueden ser transportadas en un datagrama UDP, por lo que su entrega en destino no está
garantizada. Los dispositivos que se administran como los routers o hosts, son objetos y cada uno
tiene una definición formal y MIB adapta una base de datos de información que describe sus
características. Con este protocolo un gestor de red puede encontrar donde se localizan los
problemas.
Utiliza una configuración cliente-servidor. Sus comandos definen como realizar las consultas sobre
la información de un servidor o como enviar esta hacia un cliente o hacia otro servidor.La tarea
principal del protocolo SNMP es la de transportar información entre los centro de gestión y los
agentes que se ejecutan en representación de los centros de gestión. Para cada objeto MIB que se
gestiona se utiliza una petición SNMP para obtener su valor o para modificarla. Si un agente recibe
un mensaje no solicitado o si una interfaz o dispositivo deja de funcionar, entonces el protocolo
puede informar al centro de gestión del fallo que se está produciendo.
La segunda versión de este protocolo, SNMPv2, corre por encima de varios protocolos y tiene más
opciones de mensajería, lo que resulta en una gestión más eficaz de la red. Tiene siete unidades de
PDU, o mensajes:
 GetRequest. Se utiliza para obtener un valor de objeto MIB.
 GetNextRequest. Se utiliza para obtener el siguiente valor de un objeto MIB.
 GetBulkRequest. Recibe múltiples valores, lo que equivale a GetRequests múltiples,
pero sin necesidad de utilizar múltiples peticiones.
 InformRequest. Es un mensaje de director a director de comunicación que se envían
entre sí dos centros de gestión a distancia el uno del otro.
 SetRequest. Es utilizado por un centro de gestión para inicializar el valor de un objeto
MIB.
 Response. Es un mensaje de respuesta a una petición de tipo PDU.
 Trap. Notifica a un centro de gestión de un evento inesperado.
Si las solicitudes o respuestas se pierden, el protocolo no realiza un reenvío.

VIRTUALIZACIÓN DEL ALMACENAMIENTO

La tendencia general en las grandes empresas e instituciones hoy en día se orienta a la disposición
de tecnologías de almacenamiento en red, que permitan mantenerla accesible, a la par que
protegida.
Aproximadamente desde los años 90, los sistemas de almacenamiento han ido sufriendo un proceso
evolutivo constante. Cada uno de estos avances técnicos ha ido acompañado por una ruptura en las
prácticas anteriores, dado que la operativa para sustituir y trabajar con nuevos modelos de
almacenamiento, a menudo implicaba un cambio operacional importante.
Actualmente las nuevas soluciones tratan de simplificar este tipo de situaciones aplicando técnicas
de abstracción que permiten acceder de forma transparente a los recursos de almacenamiento. Aquí
es donde la virtualización adquiere un papel importante. La virtualización pretende abstraer de
forma lógica los sistemas de almacenamiento físico, y por lo tanto, cuando está bien empleado,
oculta la complejidad de los dispositivos y simplificando la gestión de los sistemas de
almacenamiento, lo que ayuda a reducir los costes de gestión.

Concepto de virtualización de almacenamiento

El concepto de virtualización de almacenamiento se refiere a las herramientas que se utilizan para
disponer de un entorno de almacenamiento con múltiples dispositivos y multilocalización de
recursos, pero presentado de forma totalmente transparente al usuario.
La virtualización de almacenamiento a menudo se apoya en servidores de discos o servidores de
almacenamiento que combinen diferentes tipos de tecnologías de almacenamiento. Según la
taxonomía de la SNIA (Storage Networking Industry Association) referente a la virtualización del
almacenamiento, existen tres conceptos básicos que se deben destacar en el sistema de este tipo:
Qué es lo que se está virtualizando: La virtualización se puede aplicar a una gran variedad de
dispositivos de almacenamiento. Los discos físicos se virtualizan conformando un disco
virtual. Los sistemas de cinta, formados por una o muchas unidades de cinta, puedes ser
agrupados en una única unidad. Otro ejemplo pueden ser los sistemas de archivo que
mediante virtualización pueden hacer de forma transparente el acceso a puntos del
sistema de ficheros que se encuentren en máquinas remotas.
Dónde se realiza la virtualización: Se refiere a la localización espacial en la cual se realiza
la implementación ya que esta puede realizarse mediante matrices de almacenamiento, o
en red a través de switches inteligentes o dispositivos conectados a SAN.
Cómo se implementa: Hace referencia a cómo proporcionar los medios para construir
servicios de alto nivel que oculten la complejidad de los componentes subyacentes y se
permitan la automatización de las operaciones de almacenamiento de datos.

La idea es que ni clientes ni servidores necesiten saber donde están los archivos que se están
procesando escondiendo la red física que existe entre ellos. Esto proporciona las siguientes
funcionalidades:
Permite sistemas de archivos distribuidos.
Los dispositivos de almacenamiento remoto aparecen como si estuviesen conectados
directamente al sistema.
El sistema local no conoce dónde se encuentran o qué tipo de almacenamiento son.

Un ejemplo de virtualización de almacenamiento basado en host es la administración de volúmenes.

La gestión de volúmenes permite presentar una única vista lógica de un recurso de almacenamiento
que puede estar formado por distintos dispositivos físicos.
Las principales ventajas de la virtualización del almacenamiento incluyen la optimización y
reaprovechamiento de la capacidad de almacenamiento, la posibilidad de añadir o eliminar
almacenamiento sin afectar a la disponibilidad de las aplicaciones, y la migración de datos sin
interrupción.

Tipos de virtualización de almacenamiento

La virtualización del almacenamiento trata de proporcionar los mecanismos necesarios para asignar
unidades de almacenamiento lógicas a usuarios y aplicaciones, independientemente de la ubicación
de los dispositivos físicos, realizando las operaciones de forma transparente. Las virtualización
puede realizarse siguiente la filosofía SAN o NAS. La principal diferencia es que en los entornos de
virtualización SAN, la virtualización se aplica a nivel de bloque, mientras que en NAS se aplica a
nivel de archivo.
Virtualización a nivel de archivo (NAS): a este nivel, la virtualización se basa en la eliminación de
las dependencias entre los datos de acceso a nivel de archivo y la ubicación donde se almacenan
físicamente. Esto permite optimizar la utilización del almacenamiento y la consolidación de
servidores para realizar migraciones con seguridad.
Virtualización a nivel de bloque (SAN): en este nivel, se proporciona una capa de traducción en la
SAN entre los usuarios y las matrices de almacenamiento que albergan los dispositivos físicos de
almacenamiento. Cuando se accede a las unidades de almacenamiento, en lugar de redirigirse a la
matriz de almacenamiento física identificada por un LUN (Logical unit number), se redirige hacia
un LUN virtual, que reorganiza las matrices de almacenamiento físicas (identificadas por los LUN
físicos), en función de las necesidades organizacionales. El dispositivo de virtualización es el que se
encarga de realizar la traducción entre los LUN virtuales y LUN físicos.

GESTIÓN DEL CICLO DE VIDA DE LA INFORMACIÓN (ILM)

Gestión del Ciclo de Vida de los Datos

La gestión del ciclo de vida de los datos o DLM (Data Lifecyle Management) es un enfoque de la
gestión de la información desde el punto de vista del manejo del flujo de los datos de un sistema de
información durante todo su ciclo de vida, desde que se crean y se produce su primer
almacenamiento, hasta que son declarados obsoletos y eliminados del sistema. Los productos para
la gestión del ciclo de vida de los datos tratan de automatizar los procesos que forman parte de este
ciclo de vida. Organizan los datos en distintos niveles siguiendo unas políticas especificadas, y
automatizan la migración o intercambio de los datos entre unos niveles y otros basándose para ello
en los criterios especificados de cada uno.
Como norma general, los datos más recientes y aquellos a los que se accede con más frecuencia se
tienden a almacenar en medios de almacenamiento más rápidos, pero también más caros, mientras
que los datos de un nivel menos critico se almacenan en los dispositivos más baratos y más lentos.
Las arquitecturas que gestionan el ciclo de vida crea copias de respaldo y las almacena en
ubicaciones seguras para evitar manipulaciones pero que puedan ser accesibles de una manera
segura y confiable. Estas arquitecturas también se encargan de las posibles duplicaciones de datos y
de la comprensión de los mismos para garantizar un correcto y eficiente uso del espacio de
almacenamiento disponible.
El criterio más sencillo para realizar una migración de la información a un sistema de
almacenamiento más económico es el temporal, es decir, los datos más antiguos en los sistemas más
lentos y baratos. Sin embargo, las empresas quieren ir más lejos, estableciendo la clasificación de
los datos en función de la rapidez con la que se precisen, o la frecuencia con la que se accede a
ellos, o en base a quien los ha enviado o recibido, o en base a un conjunto de palabras clave o
cadenas numéricas, etc.

Gestión del Ciclo de Vida de la Información

La gestión del ciclo de vida de la información o ILM (Information Lifecycle Management) es un
enfoque integral para el manejo del flujo de los datos de un sistema de información y los metadatos
asociados desde su creación y almacenamiento inicial hasta el momento en que estos se vuelven
obsoletos y son borrados.
A diferencia de anteriores enfoques para la gestión de almacenamiento de datos, ILM abarca todos
los aspectos en los que se tratan los datos, partiendo de las prácticas de los usuarios, en lugar de la
automatización de los procedimientos de almacenamiento y en contraste con los sistemas más
antiguos, ILM permite criterios mucho más complejos para la realización de la gestión del
almacenamiento que la antigüedad de los datos o la frecuencia de acceso a ellos.
Aunque los términos gestión del ciclo de vida de los datos (DLM) y gestión del ciclo de vida de la
información (ILM) a veces se utilizan indistintamente, ILM a se considera un proceso más
complejo.
ILM reconoce que la importancia de los datos no se basa únicamente en su antigüedad o en su
frecuencia de acceso, sino que ILM espera que sean los usuarios y los administradores los que
especifiquen distintas directivas para que los datos vayan variando de una manera decreciente su
relevancia o grado de importancia para la organización, o que puedan conservar su importancia
durante todo su ciclo de vida, etc.
Los usuarios de los datos, tanto los individuos como las aplicaciones, deben de ser identificados y
categorizados en función de las necesidades asociadas con sus tareas.

Alguna soluciones para la gestión

Microsoft
Microsoft Identity Lifecycle Manager ofrece una solución integrada y completa para la gestión del
ciclo de vida de las identidades de usuario y sus credenciales asociadas. Esta solución aporta la
sincronización de identidades, los certificados y administración de contraseñas y suministro de
usuarios. La solución funciona bajo plataformas Windows y otros sistemas organizacionales.

IBM
Las soluciones de IBM para la gestión del ciclo de vida de la información se han agrupado en cinco
categorías:
Archivo de correo electrónico
Aplicación y base de datos de archivo,
Gestión del ciclo de vida de los datos
Gestión de contenidos
Gestión de registros

Oracle
Oracle ILM Assistant es una herramienta que se basa en una interfaz gráfica de usuario para la
gestión de entorno de ILM. Ofrece la posibilidad de crear definiciones de ciclo de vida, que se
asignan a las tablas en la base de datos. Posteriormente basándose en las políticas establecidas sobre
el ciclo de vida, ILM Assistant informa cuando es el momento para mover, archivar o suprimir los
datos. También muestra las necesidades de almacenamiento y el ahorro de costes asociados con el
cambio de ubicación de los datos.
Tema 61: Redundancia hardware. Alta disponibilidad a nivel de sistema
operativo. Sistemas de clúster y balanceo de carga. Alta disponibilidad en
servidores de aplicaciones y servidores de bases de datos. Alta
disponibilidad a nivel de aplicación. Disponibilidad en entornos virtualizados.
Centros de protección geográficos. Planes de contingencia.

61.1Redundancia Hardware
La redundancia de hardware consiste en la replicación de elementos hardware de reserva en la
configuración de un determinado sistema para proporcionar tolerancia a fallos, de forma que a en un
caso de contingencia por fallo de alguno de los componentes principales, alguna de las réplicas se
active para seguir proporcionando servicio sin que el sistema se caiga.
Dentro de los sistemas de protección contra fallos basados en la redundancia de hardware, existen
un cierto tipo de componentes determinados como críticos que suelen ser los que se replican:
Fuentes de alimentación

Núcleos de proceso

Dispositivos de conexión a la red

Dispositivos de almacenamiento

61.1.1 Redundancia en Disco RAID

Los modelos de RAID estándar son los Niveles 0 a 6, y sus combinaciones o anidaciones que dan
lugar a los niveles 0+1 y 1+0 o RAID10. Existen más niveles de RAID por combinación o
anidación de los estándares existentes, así como soluciones o modelos propietarios. Dentro de todo
el abanico de posibilidades que existen, los más habituales son los niveles RAID0, RAID1 y
RAID5.

61.1.1.1 RAID 0
El nivel RAID 0, también conocido como striping, consiste en la utilización de dos o más discos
entre los que se distribuye la información de forma equitativa. Es un modelo o nivel en el que no
existe información adicional de paridad ni se proporciona redundancia, por lo que en algunos
círculos esta configuración no se considera como modelo de RAID original. Como contrapartida,
este modelo proporciona un alto rendimiento dado que permite la escritura y acceso a los datos de
forma simultánea en tantos dispositivos como estén configurados.
La configuración mostrará una única unidad virtual (dos o más discos físicos subyacentes) cuyo
tamaño total dependerá del disco físico que tenga menor capacidad dentro del conjunto de los
discos utilizados. Es decir, si disponemos de un nivel de RAID 0 con tres discos A, B y C, y cada
uno de ellos con 400GB, 350GB y 300GB respectivamente, nuestro nivel RAID 0 presentará una
única unidad lógica con una capacidad de 900GB.
Para determinar la fiabilidad de un RAID 0 existe una fórmula sencilla que consiste en calcular la
fiabilidad media de cada disco entre el número de discos utilizados en la configuración.

61.1.1.2 RAID 1
En RAID 1, también conocido como mirroring, se crea una copia exactamente igual de un conjunto
de datos en uno o más discos. Este modelo proporciona un alto rendimiento en cuando a lectura
además de incrementar la fiabilidad global del sistema dado que ambos discos son una copia
exactamente igual. En contraposición existe un menor desaprovechamiento del espacio dado que
sólo se utiliza el equivalente al espacio de un disco físico.
La implementación de técnicas de splitting o duplexing, consistentes en configurar cada uno de los
discos en controladoras independientes, maximiza ese rendimiento mejorado en cuanto a la lectura
de datos, dado que se pueden estar leyendo de ambos dispositivos de forma simultánea.
Para las operaciones de escritura, el conjunto se comporta como un único disco dado que los datos
deben ser escritos en todos los discos del RAID 1.
El RAID 1 proporciona una gran ventaja en cuanto a la administración en entornos de producción
continua, dado que permite la posibilidad de inactivar uno de los discos espejo para realizar sobre él
copias de seguridad, sin necesidad de tener que apagar el sistema y proporcionando tiempo de
servicio extra para ese tipo de tareas de mantenimiento.

61.1.1.3 RAID 5
El RAID 5 se compone de un mínimo de 3 discos para su implementación. Es un sistema RAID
muy popular gracias a que proporciona, además de eficiencia en operaciones de lectura y escritura,
redundancia a un conste realmente muy bajo.
RAID 5 realiza una división de los datos en forma de bloques (stripes), distribuyendo cada bloque
por uno de los discos físicos que forman el RAID 5. Además, realiza un control de paridad de cada
conjunto de bloques distribuidos por los discos. El almacenamiento de estos bloques de paridad se
va alternando entre los diferentes discos que forman el RAID, de forma que permite establecer un
sistema de redundancia con garantías.
La idea es que cada vez que un bloque de datos se escribe en un RAID 5, se genera un bloque de
paridad dentro de la misma división. En caso de modificar los datos del bloque, o añadir datos
nuevos al bloque, la paridad se recalcula y se escribe en su espacio asignado. El bloque utilizado
para escribir la paridad está escalonado en cada división. Por tanto todos los discos que forman
parte de un RAID 5 albergan bloques de datos y bloques de paridad. De ahí el término de “bloques
de paridad distribuidos”.
La desventaja de este nivel de RAID es que las operaciones de escritura son costosas, dado que hay
que realizar el coproceso de cálculo de paridad para la escritura. De hecho, en las implementaciones
de RAID 5 se presenta un rendimiento malo en el caso de realizar muchas operaciones de escritura
cuyo tamaño del bloque es menor que el tamaño de una división. En las operaciones de lectura, el
bloque de paridad asociado no se lee, a no ser que se produzca un error en la comprobación de
paridad de los datos leídos.
En caso de fallo de uno de los bloques de datos durante la lectura, automáticamente se recupera la
paridad asociada a ese bloque para recuperar los datos y reconstruir el sector erróneo de forma
transparente al usuario. De la misma forma, si uno de los discos de RAID 5 falla, los bloques de
paridad restantes de los demás discos permiten reconstruir los bloques de datos bajo demanda del
disco que ha fallado. De ahí que al menos se necesiten tres discos para una implementación de este
nivel de RAID. El fallo de un segundo disco dentro de RAID 5 provoca la pérdida completa de los
datos.
Teóricamente, en número máximo de discos que se pueden utilizar para implementar un RAID5 es
ilimitado, sin embargo la tendencia general consiste en limitar ese número dado que a mayor
cantidad de discos, mayor probabilidad de fallo simultáneo.

61.2Alta disponibilidad a nivel de sistema operativo.

61.2.1 Alta disponibilidad
Como se detalla a continuación, existen diferentes orientaciones a la hora de dotar a los sistemas de
alta disponibilidad, que pueden estar implementadas a nivel de sistema operativo, a nivel de
aplicaciones, o incluso haciendo uso transparente de redundancia de equipos mediante la
configuración de clústers.

61.2.2 Alta disponibilidad a nivel de sistema operativo

Los sistemas operativos proporcionan también los mecanismos necesarios para complementar las
funcionalidades que proporcionan alta disponibilidad del sistema. Los más habituales suelen ser los
siguientes:
Capacidad para poder gestionar réplicas a nivel software de volúmenes o particiones del
sistema. Consiste básicamente en una simulación del nivel 1 de RAID basado en
software.
 El sistema de ficheros además debe permitir la generación de tablas con las que pueda
localizar archivos redundantes en otras estructuras redundantes, de forma que
proporcione las operaciones de acceso de manera transparente

Algunos ejemplos componentes software que proporcionan esta funcionalidad a nivel de sistema
operativo son:
HP MirrorDisk/UX basada en Unix para servidores de la casa HP.

Sun Solaris Volume Manager para sistemas operativos basados en Solaris de Sun

Windows Disk Administrator para sistemas operativos Windows.

Todas estas herramientas basan su funcionamiento en la gestión de discos dinámicos, facilitando la

creación y gestión de volúmenes que proporcionan la creación de espejos, implementando un nivel
de RAID 1 por software.
En los sistemas operativos que se basan en Unix, la capacidad de gestionar un sistema de ficheros
que permite redundancia viene proporcionada por el sistema de ficheros NFS (Network File
System). Mediante la agrupación de máquinas en forma de clúster se posibilita a nivel hardware la
alta disponibilidad mediante replicación de máquinas. El sistema operativo interviene al
implementar NFS como servicio, permitiendo integrar en el clúster servidores de ficheros
ofreciendo de forma transparente una interfaz que permite utilizar un único sistema de ficheros
redundante sobre el clúster.
Otra característica a nivel de sistema operativo que proporciona la capacidad de alta disponibilidad
consiste en la implementación de journaling. El journaling es una característica de los sistemas de
gestión de ficheros transaccionales que mantiene un fichero de log en el que se almacenan los
cambios que se van produciendo en el disco. Esto proporciona la posibilidad de poder realizar una
recuperación de los datos en caso de que se produzca un error en el sistema. En caso de fallo, el
procedimiento consiste en la reconstrucción de ese fichero de log principal, comúnmente llamado
journal, para recuperar la integridad de todo el sistema de ficheros. Entre los sistemas de ficheros
que implementan las características de journaling se encuentran algunos como Ext3, Ext4 y JFS de
Linux, NTFS de Windows, UFS de S UN Solaris, y HFS de Mac OS X.
Otras características que permiten mantener una alta disponibilidad de los sistemas consisten en:
Capacidad para aplicación de parches y actualizaciones sin necesidad de reiniciar el sistema.
Esto proporciona que disminuya el tiempo en las tareas de mantenimiento así como
evitar los cortes del servicio en caso de actualización.
 Capacidad del sistema operativo para la gestión de dispositivos hardware que puedan ser
conectados y agregados en caliente, es decir, sin necesidad de tener que apagar el
sistema.

Otra característica implementada es la tolerancia a fallos provocados por hardware,

implementando lo que se conoce como sistemas degradables, que permiten gestionar
estos fallos de hardware sin que se produzca una detención de los servicios
proporcionados a los usuarios ni una detención del sistema.

61.3Alta disponibilidad en servidores de aplicaciones y servidores de bases de datos.

61.3.1 Alta disponibilidad en servidores de aplicaciones
en el caso de los servidores de aplicaciones basados en Java, que siguen el estándar J2EE, se
permite la creación de clústers de servicios ampliando las características de escalabilidad y
proporcionando una interfaz para integrar alta disponibilidad para el sistema de aplicaciones basado
en la gestión transparente de conjuntos de servidores.
Un ejemplo concreto de servidor de aplicaciones es el WebLogic Server, basado en Java, que
proporciona mecanismos para integrar un clúster de servicios, generando copias replicadas de todos
los servicios a los clientes del sistema. En caso de que un servicio se caiga, automáticamente se
notifica y se redireccionan las solicitudes pendientes a las réplicas del servicio que existen en el
clúster.
Algunos de los requisitos que se deben cumplir para garantizar la alta disponibilidad son:
Que en cada instancia del servidor del clúster existan los mismos componentes de
aplicación.

Que el mecanismo de recuperación pueda determinar la ubicación en el clúster de todos los

objetos de la aplicación.

Que se conozca el estado de ejecución de las distintas tareas de cada uno y de los
componentes. Esto permite que si un componente falla, la tarea la pueda completar otro
servicio partiendo del mismo punto en el que se detuvo por fallo, y posibilitando que no
se dupliquen los datos de carácter persistente.

61.3.2 Alta disponibilidad a nivel de bases de datos

Existe un amplio repertorio de sistemas que necesitan alta disponibilidad de sistemas de gestión de
bases de datos. Este tipo de sistemas abarcan desde sistemas de tiempo real y sistemas embebidos
hasta aplicaciones web u otro tipo de sistemas online. Habitualmente estos entornos requieren un
compromiso de nivel de servicio mínimo y robustez para hacer frente a posibles contingencias que
eviten, no sólo la pérdida de datos, sino la suspensión del servicio.
A menudo, los sistemas de alta disponibilidad en general centran sus esfuerzos en garantizar que el
servicio ofrecido se mantenga de forma constante pese a que surjan imprevistos o fallos que deben
controlarse. Sin embargo, en la implementación de la alta disponibilidad a nivel de bases de datos
debe tenerse en cuenta un aspecto importante; no sólo se pretende mantener el sistema activo, sino
que se pretenden mantener los datos actualizados y disponibles para todos los clientes. Debe de
poder asegurarse la integridad de la base de datos.
Los sistemas de alta disponibilidad que implementan los servicios de bases de datos deben cumplir
las siguientes características:
Robustez frente a fallos del servidor y capacidad de recuperación.

Tiempo de caída del sistema tiene que ser reducido o eliminado.

Niveles de servicio obligatorios en caso de fallo o alta densidad de tráfico.

Asociado a los sistemas de alta disponibilidad a nivel de base de datos entra en juego el concepto de
Punto de Fallo. Este término hace referencia a determinados componentes del sistema que pueden
fallar, y cuyo fallo es independiente de otros componentes. Por tanto puedes considerarse puntos de
riesgo a tener en cuenta en una planificación y diseño del sistema de alta disponibilidad.
Existen tres principales puntos de conflicto o Puntos de Fallo en una implementación de un servicio
de bases de datos:
El propio servidor de la base de datos, es decir el motor software o Sistema Gestor de la
Base de Datos y la plataforma hardware que lo sustenta.

La base de datos física, es decir, el dispositivo o dispositivos físicos que albergan los datos,
como discos duros o memorias.

Los enlaces y conexiones externas que permiten a los usuarios realizar las peticiones,
entendiendo como tales los enlaces físicos (red cableada) y lógicos (servicios
levantados).

Cada componente tiene su propio tipo de fallo y reducción de servicio, así como sus protocolos
específicos de actuación para intentar reducir y/o subsanar las contingencias provocadas por esos
fallos.
Las principales soluciones que intentan mitigar las posibles contingencias que se provoquen en los
puntos de fallo consisten fundamentalmente en tres:
 Backup Online: Se basa en implementaciones del server que permiten proteger los datos
frente a fallos del disco, manteniendo registro de cambios del log en dispositivos
separados.

Replicación: implica la implementación de otro servidor gemelo utilizando técnicas de

mirroring. Mediante la duplicidad del servicio mediante un segundo punto de acceso, es
posible derivar peticiones entre servidores en caso de que uno falle o se produzca un
cuello de botella que deniegue el servicio a alguno de ellos. El mecanismo de replicación
utiliza dos bases de datos diferentes; la principal (activa) y la secundaria (espejo), que
corren en máquinas diferentes, cada una en un servidor, pero ambas conteniendo
representaciones idénticas de los mismos datos.

Recuperación ante fallos: La recuperación ante fallos consiste básicamente en una mejora
del mecanismo de replicación. Consiste en establecer los mecanismos necesarios para
que, en caso de fallo, mediante la réplica situada en otra máquina, el sistema que ha
caído pueda recuperar el punto actual mediante la sincronización automática de los
sistemas.

61.4Alta disponibilidad en entornos virtualizados.

La alta disponibilidad en entornos virtualizados puede verse desde dos ópticas distintas; la primera
de ellas implica alta disponibilidad de servidores que contienen una virtualización de servicios, o
bien desde el punto de vista de asegurar alta disponibilidad de servicios mediante la virtualización
de servidores.

En el primero de los casos, las medidas referentes a la disposición de alta disponibilidad pasan por
la implementación de soluciones basadas en redundancia de hardware, o implementación de
sistemas que garanticen alto rendimiento a nivel de sistema operativo.

En cuanto a asegurar alta disponibilidad mediante servicios de virtualización, es un campo complejo

que tiene a ser la idea general de implantación en los grandes centros de cómputo y proceso de
datos, dadas las grandes ventajas que presenta.

Las dos tendencias fundamentales que se siguen son la virtualización de hardware o la

virtualización de Sistema Operativo.

61.4.1 Virtualización de hardware

Mediante la virtualización de hardware (Ilustración 4) se emula el hardware original del servidor en
cada una de las máquinas virtuales. Una vez emulada la máquina anfitriona, cada una de estas
instancias virtualizadas se convertirá en un servidor privado que puede albergar diferentes sistemas
operativos y diferentes servicios. El gestor de virtualización permitirá configurar políticas de
recuperación frente a fallos, permitiendo levantar instancias y/o recuperar instancias de máquinas
que alberguen servicios y se hayan detenido en caso de alguna contingencia.

61.4.2 Virtualización de sistema operativo

Por el contrario, en la virtualización de los SO (Ilustración 5), se establece una configuración base
del sistema operativo sobre el hardware nativo de la máquina, estableciendo instancias de ese
sistema y virtulizando mediante la generación de instancias idénticas al hardware y sistema
operativos originales de la máquina. En última instancia, todos los recursos son procesados y
controlados por el sistema operativo nativo, dado que no existe virtualización de hardware. Esto
reduce la complejidad de configuración de diferentes dispositivos en diferentes sistemas operativos,
pero tiene como consecuencia que en que en caso de fallo de un dispositivo por mala
configuración, se verán afectadas todas las instancias virtuales que corran sobre ese servidor físico.

61.5Centros de Protección Geográficos

Cuando es un requisito indispensable el hecho de mantener una alta disponibilidad de determinados
servicios de 24 horas al día durante los 7 días del año (24x7), es imprescindible hacer uso de
elementos que proporcionen respaldo de la información o de los recursos a distintos niveles: alta
disponibilidad de servicios, redundancia de sistemas, replicación de datos y centro de respaldo.

Entonces, para poder garantizar que un servicio o recurso va a tener una disponibilidad de 24x7,
será necesario emplear sistemas redundantes y estos deben de encontrarse en ubicaciones físicas
situadas a una considerable distancia para ofrecer de esta manera respuesta a ciertas situaciones de
contingencia de carácter muy grave producidas por un desastre a nivel físico, como puede ser un
incendio, un terremoto o simplemente un fallo total en los sistemas de energía.
A su vez, la disponibilidad e integridad de los datos asociados a los servicios son vitales para poder
garantizar que los servicios tengan una disponibilidad 24x7. Entonces para garantizar una
disponibilidad 24x7:
Los datos han de estar replicados de una manera eficiente entre los diferentes centros
geográficos, garantizando que en caso de que se produzca cualquier tipo de incidencia o
catástrofe se disponga de una copia exacta, fiable y actualizada de los mismos. Esta
 réplica, a su vez, ha de encontrarse disponible para ser utilizada y poder hacer uso de ella
en los servicios en producción.

Los trabajos para la recuperación de los servicios se han de automatizar, disminuyendo así
los posibles tiempos de indisponibilidad. Para ello se llevan a cabo operaciones en los
servidores para la detección de fallos, para detener algún servicio y para levantar otros.
Además se ha de establecer una coordinación entre los sistemas de almacenamiento de
los datos con el fin de garantizar tanto la disponibilidad del servicio como el hecho de
que la información se está replicando de una manera adecuada. Esta tarea se realiza con
el fin de ofrecer una copia exacta de la información en un estado óptimo para ser
utilizada de forma automática una vez ocurrido un desastre.

Siguiendo estos puntos, un servicio que se encuentre en régimen de disponibilidad 24x7 en el cual
se ofrecen diversos centros geográficos para la protección de los servicios y de la información, se ha
de contemplar la alta disponibilidad de una manera integrada. Esta alta disponibilidad ha de
gestionar en bloque aquellas operaciones que tengan relación tanto con los servicios, como con los
sistemas o con el almacenamiento de los datos.

61.6 Planes de Contingencia

Un plan de contingencia es una herramienta para emplear en la gestión de las Tecnologías de la
Información y las Comunicaciones y aporta una serie de reglas o medidas que proporciona una
garantía de continuidad del negocio y de los procesos de una organización. Estas medidas pueden
ser:
Técnicas: Extintores contra incendios, detectores de humo, salidas de emergencia, equipos
informáticos de respaldo.

Humanas: Formación de actuación ante un incendio, designación de responsables de las

salas, asignación de roles y responsabilidades para la copia de respaldo.

Organizativas: Seguro de incendio, precontrato de alquiler de equipos informáticos y

ubicación alternativa, procedimiento de copia de respaldo, procedimiento de actuación
ante un incendio, contratación de servicios de auditorías de riesgos laborales.

Podría definirse como una planificación de las acciones a tomar cuando se produzca un evento o
condición que no esté recogido dentro del proceso de planificación formal. Se trata de una serie de
procedimiento para el restablecimiento de los procesos de negocio en caso de producirse un
desastre.
Todo plan de contingencia ha de comprender tres subplanes, que determinaran el conjunto de
procedimientos o contramedidas que se aplicaran en cada momento en función de la aparición de
una amenaza. Estos subplanes son:
Plan de respaldo: contramedidas antes de la aparición de una amenaza para evitar que se
produzca.

Plan de emergencia: en él se reflejan los procedimientos a seguir en el momento que se

produce una amenaza o justamente después para paliar los efectos que pueda provocar la
amenaza.

Plan de recuperación tras un desastre: refleja las contramedidas que se aplicaran una vez la
amenaza es controlada con el fin de restablecer los daños ocasionados por el desastre,
definiendo desastre como toda interrupción del acceso a la información o de su
procesado, necesaria para el normal funcionamiento de todos los procesos de negocio.

Un plan de contingencia se divide en tres partes según las tareas que se lleven a cabo:
Prevención: Conjunto de acciones que se han de realizar como prevención ante cualquier
posible problema que provoque la continuidad de los procesos de negocio de forma
parcial o total. Con ello se minimizarán los daños en caso de producirse el problema,
proporcionando una mejor respuesta que restablezca los servicios en un menor tiempo.

Detección: Grupo de acciones encargadas de contener el impacto en el momento de la

aparición de un problema intentando limitarlos tanto como sea posible.

Recuperación: Acciones que van desde el mantenimiento de partes críticas mientras se está
produciendo la pérdida de los servicios y los recursos, hasta su recuperación o
restauración.

61.6.1 Ciclo de Vida

Todo plan de contingencia ha de seguir un ciclo de vida iterativo, en continua evolución, PDCA
(Plan-Do-Check-Act, Planificar-Hacer-Comprobar-Actuar). Este ciclo de vida proporciona la
identificación de las amenazas que pueden provocar una ruptura en la continuidad de los procesos
de negocio de una organización.
Una vez identificadas las amenazas se establecen una serie de medidas o procedimientos para
afrontarlas. El plan de contingencia recoge estas medidas además de indicar los recursos necesarios
para poder ejecutarlas.
A lo largo del ciclo de vida de un plan de contingencia, éste sufre numerosas revisiones, que
resultan de un nuevo análisis de las posibles amenazas que se pueden llegar a producir.
Cuando se plantea una amenaza, el plan de contingencia se ve también afectado, provocando sobre
él una serie de actuaciones:
Amenaza establecida y acciones eficaces: se realizan los cambios menores que se consideren
para mejorar la eficacia del plan de contingencia ante el mismo tipo de situaciones.

Amenaza establecida y acciones ineficaces: se vuelve a realizar un análisis de las causas del
error y se proponen nuevas medidas a tomar.

Amenaza no prevista: se llevara a cabo un nuevo análisis de riesgos, aunque las medidas
adoptadas contra una amenaza no detectada fueran eficaces.

61.6.2 Características
El plan de contingencia ha de contemplar dos aspectos:
Operacional: cada usuario ha de conocer qué función ha de desempeñar una vez detectado el
problema y saber a quién avisar en caso de que este se produzca. En el plan de
contingencia también se ha de especificar los encargados de la toma de decisiones
durante el proceso de recuperación y se establezca la disponibilidad y el entrenamiento
del personal experimentado.

Administrativo: en el aspecto administrativo se contempla

 La definición de los riesgos y los porcentajes de aparición de los

mismos

 Los procedimientos de recuperación de la información

 Los responsables de los medios de respaldo

 La localización de los medios de respaldo y del software de

reemplazo.

 La especificación de alternativas de respaldo

 La información, bases de datos, servicios, etc. prioritarios que deben

de ser restablecidos primero.

61.6.3 Objetivo
El objetivo prioritario de un plan de contingencia es garantizar que una organización y sus procesos
e negocio o actividades operacionales sigan en funcionamiento a pesar de haberse producido una
situación de desastre. Para poder conseguir esto, el plan de contingencia habilita a la organización
para poder responder y superar problemas críticos o incluso catastróficos, de tal manera que permite
una temprana recuperación de la situación normal de trabajo.

61.6.4 Puntos Clave

Los puntos clave de un plan de contingencia pueden enfocarse hacia algunas de las siguientes áreas:
Facilidad de Destrucción. El equipo encargado de realizar la planificación ha de tener en
cuenta que se puede producir una total o parcial destrucción de los sistemas
organizacionales o un colapso total de los servicios de la misma.

Disponibilidad del personal. Se ha de determinar en el plan de contingencia un

organigrama para una situación de desastre, el cual deberá estar formado por personal de
toda la organización, identificando las posiciones clave para la ejecución del plan.

Determinar los tiempos del desastre. Se deben tomar las consideraciones oportunas para
cada uno de los diversos momentos en que puede producirse un desastre, tratando de
identificar los momentos en los que se pueda producir un mayor impacto para la
organización.

Instalaciones fuera del centro operacional. Se puede tener en cuenta desastres que afecte
por completo a partes del sistema presentes en el centro de operaciones. El hecho de
tener una instalación externa, como un centro de almacenamiento o una réplica del
sistema, garantiza una considerable reducción del impacto que puede ocasionar una
contingencia o un desastre.

Un plan de contingencia ha de ser dinámico y estar en continua evolución

61.6.5 Elementos
En un plan de contingencia se pueden identificar tres tipos de elemento o tipos de acciones que se
pueden identificar:
Acciones de Emergencia. Tratan de solventar el daño en el momento de ocurrir la
incidencia, así como evitar el mayor impacto posible.

Acciones de Recuperación. Realizan tareas de mantenimiento durante la pérdida del

servicio y recursos, y tareas de recuperación.
Acciones de Respaldo. Se llevan a cabo una vez que se presenta una contingencia que afecte a la
continuidad operativa de la organización con el fin de reducir su impacto, posibilitando el
restablecimiento de los servicios interrumpidos en el menor tiempo posible.