* La Seguridad Informática en Internet *

Auditoria Informatica

Propósito de Auditoría Informática (AI)

La función de AI es garantizar que los sistemas de ordenador:

•     Salvaguardan los “bienes” de la organización
•     Mantienen la integridad de los datos.
•     Alcanzan los objetivos de la empresa de un modo eficaz y efectivo.

Visión General.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la  necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas.

Debido a esto tenemos que considerar:

•    Implicación: Estamos en manos de la Informática. Por ejemplo, ningún banco, sin importar su tamaño, sería capaz de realizar su trabajo sin ayuda de la informática.

•    Cuestión: ¿Quién garantiza que los procesos informáticos son correctos? ¿Quién garantiza a un usuario que la liquidación periódica de su cuenta corriente es correcta, por ejemplo:
• 
  
• 
  

Necesidad de Control y AI.

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.

Coste de la pérdida de datos en las organizaciones.

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sea para la organización.

 Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.

Toma de decisiones incorrecta.

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.

Abuso Informático o Abuso del Ordenador.

Se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. Errores y omisiones que originan pérdidas frecuentemente, son el motivo de toma de decisiones erróneas. Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

No podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas.

Privacidad de los datos.

Desde la llegada de los ordenadores la difusión incontrolada de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

La privacidad de los datos es un derecho la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.

Evolución controlada del uso del ordenador.

La tecnología en general es neutral: es decir, no es buena ni es mala. Lo que realmente puede ocasionar problemas es su uso incorrecto. Para garantizar que esto no ocurra, hay que tomar decisiones importantes sobre cómo se deben usar los ordenadores en la sociedad. 

La función del gobierno, de las sociedades profesionales y de los distintos grupos de presión el evaluar el uso “racional” de la tecnología.

Definición de AI: Estudio pormenorizado

El proceso de recoger evidencias para determinar si un sistema informático salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la empresa de un modo efectivo y consume recursos con eficacia.

Existen 2 tipos de auditorías las cuales son:

Auditoria Externa: Se encarga de centrar en los objetivos de seguridad (Salvaguarda bienes e integridad de datos)

Auditoria Interna: Se centra en los objetivos de gestión, garantizar que las tareas se realicen en grados adecuadas de efectividad y eficacia.

Objetivos de salvaguarda de bienes.

Se consideran como “bienes” al hardware, software, personas, datos (ficheros, bases de datos, etc.), documentación, suministros, etc. Además de estos bienes se concentran todos en un mismo sitio, ámbito físico del CPD, por lo que deben de ser especialmente protegidos por un sistema de control interno, y su producción debe ser un objetivo importante.

Objetivos de integridad de datos.

Uno de los aspectos que debemos cuidar especialmente es la integridad de los datos, pero realizar esta tarea nos va a suponer un coste frente a los beneficios esperados al implantar unas medias de seguridad.

Para determinar los costes y beneficios existen 2 factores que afectan al valor de un de un dato para la empresa:

•     Valor de la información que proporciona el dato: depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones.

•    Las veces en que el dato es usado por personas que toman decisiones: Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.

Objetivos de efectividad del sistema.

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos para alcanzar sus objetivos. En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil.

La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.

Políticas de Seguridad

¿Cómo podemos proteger el sistema informático?

Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.

A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.

Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad”

La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.

Esquemáticamente:

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevención:

Evitan desviaciones respecto a la política de seguridad.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.

2. Detección:

Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

3. Recuperación:

Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos:

• Mecanismos de identificación e autenticación

Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.

Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.

• Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.

• Mecanismos de separación

Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.

Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.

• Mecanismos de seguridad en las comunicaciones

La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.

Políticas de seguridad

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

• definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
• mostrar el compromiso de sus altos cargos con la misma
• definir la filosofía respecto al acceso a los datos
• establecer responsabilidades inherentes al tema
• establecer la base para poder diseñar normas y procedimientos referidos a:
  
• Organización de la seguridad
• Clasificación y control de los datos
• Seguridad de las personas
• Seguridad física y ambiental
• Plan de contingencia
• Prevención y detección de virus
• Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.

Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
• Un procedimiento para administrar las actualizaciones
• Una estrategia de realización de copias de seguridad planificada adecuadamente
• Un plan de recuperación luego de un incidente
• Un sistema documentado actualizado

Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

Técnica y reglas de seguridad actuales

Seguridad de la información / Seguridad informática

Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." 

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.

Seguridad de la información: modelo PDCA.

Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad

HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .

VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.

Métodos Actuales.

Firma Digital

La Firma Electrónica es única, es un archivo seguro y cifrado que incluye tu firma caligráfica. 

La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma electrónica o digital. 

Por sus características, es segura y garantiza tu identidad.

Verisign

Es una empresa estadounidense con sede en Reston (Virginia), Estados Unidos.

VeriSign fue fundada en 1995 como una división de la empresa RSA, dedicada a la provisión de servicios de certificación de seguridad.

La compañía opera una gran variedad de infraestructuras de red que incluye dos de los trece servidores de nombre raíz de Internet, además del registro autoritativo para los dominios de nivel superior genéricos .com, .net y .name.

Es conocida principalmente por emitir certificados de seguridad para su uso en Internet o en aplicaciones informáticas seguras, utilizando protocolos como SSL (Secure Sockets Layer, o Capa de Conexión Segura) y TLS o Seguridad de Capa de Transporte, que codifican la información que se envía a través de redes de todo tipo.

Análisis de Riesgos

Un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos.

Probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Los medios para conseguirlo son:

• Restringir el acceso a los programas y archivos.

• Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan.

• Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

• Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.

• Que existan y pasos de emergencia alternativos de transmisión entre diferentes puntos.

• Organizar a los empleados por jerarquía informática (con claves distintas y permisos bien establecidos).

• Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

DRP

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.

 Existen diferentes riesgos que pueden impactar negativamente en las operaciones normales de una organización las cueles son:

• Catástrofes.
• Fuego.
• Fallas de energía.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallas de equipo.
• Error humano.                                     
• Virus informáticos.
• Cuestiones legales.
• Huelgas de empleados.
• Despidos de empleados.
• Deterioro, extravío o rotura de cintas de backup.
• Cortes de comunicación.

Monitorización.

Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles.

Implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución.

Los sistemas clásicos controlan únicamente el hardware principal. Por ello, fallos en los sistemas secundarios pueden pasar inadvertidos o no ser detectados hasta que sea demasiado tarde.

Los métodos de monitorización habituales suelen limitarse a controlar que se tiene conectividad (ping) con la maquina monitorizada, o que el servicio principal (ej: servidor web) está funcionando. 

Estándares de seguridad en la información

Estándares BS 7799 e ISO1799

El British Standard 7799, BS7799, es el estándar de seguridad más reconocido en el mundo. La última publicación importante fue en mayo de 1999 una edición que incluye muchas mejoras y mejoras sobre las versiones anteriores. En diciembre de 2000 se volvió a publicar de nuevo, y se convirtió en ISO17799.

Por ello se recomienda que BS7799 sea abordado en un 'paso a paso' manera. El mejor punto de partida suele ser una evaluación de la posición actual / situación, seguido de la identificación de qué cambios son necesarios para el cumplimiento de BS7799. A partir de aquí, la planificación y ejecución deben emprender de manera rígida.

Este sitio web está diseñado para ayudar en este proceso. Además, proporcionará más información sobre la norma BS7799, así como sugerir una solución para ayudar a guiar a su pleno cumplimiento.

¿Qué es el ISO 17799?

En toda organización que haga uso de las tecnologías de información se recomienda implementar buenas prácticas de seguridad, pues en muchas ocasiones el no seguir un proceso de implementación adecuado como el que establece el ISO 17799 puede generar huecos por la misma complejidad de las organizaciones, en ese sentido, aumenta la posibilidad de riesgos en la información.

Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO (International Organization for Standardization) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

• Confidencialidad.: Asegurar que únicamente personal autorizado tenga acceso a la información.
• Integridad: Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.
• Disponibilidad: Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.

Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.

El objetivo de la seguridad de los datos es asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una contingencia, así como optimizar la inversión en tecnologías de seguridad.

La aplicación de un marco de referencia de seguridad basado en el ISO 17799 proporciona beneficios a toda organización que lo implemente, al garantizar la existencia de una serie de procesos que permiten evaluar, mantener y administrar la seguridad de la información.

Las políticas, estándares locales y los procedimientos se encuentran adaptados a las necesidades de la organización debido a que el proceso mismo de su elaboración integra mecanismos de control y por último, la certificación permite a las organizaciones demostrar el estado de la seguridad de la información, situación que resulta muy importante en aquellos convenios o contratos con terceras organizaciones que establecen como requisito contractual la certificación BS7799.

Los controles del ISO 17799.

El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la información y las amenazas a las cuales se encuentra expuesta.

El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la organización; este proceso se conoce en la jerga del estándar como Statement of Applicability, que es la definición de los controles que aplican a la organización con objeto de proporcionar niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.

A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de esclarecer los objetivos de estos controles.

• Políticas de seguridad. El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.
• Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una organización, tales como un foro de administración de la seguridad de la información, un contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.
• Clasificación y control de activos. El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.
• Seguridad del personal. Contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.
• Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
• Comunicaciones y administración de operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
• Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
• Desarrollo de sistemas y mantenimiento. La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
• Continuidad de las operaciones de la organización. El sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.
• Requerimientos legales. La organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.

Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle.

Definición de Estándar, Norma y Regla

¿Qué es un estándar?

La palabra estándar proviene del inglés “Standard”, que a su vez se originó en el francés “standort”, palabra integrada por “stand” que significa parado, y “ort” = lugar alto.

Estándar es una norma, regla o patrón a seguir que fijan pautas mínimas a lo que se deben ajustar las conductas o productos para ser eficaces, positivos, útiles o confiables.

Los estándares son construcciones culturales, efectuadas por quienes poseen autoridad ética, técnica, teórica o científica, según el caso, de público conocimiento que nos dan confianza en nuestro accionar, pues nos sirven de guía y referencia, y a posterior permite controlar lo producido para realizar sobre ello un juicio de valor.

¿Qué es una norma?

Las normas son reglas de conductas que nos imponen un determinado modo de obrar o de abstenernos. Las normas pueden ser establecidas desde el propio individuo que se las auto impone, y en este caso son llamadas normas autónomas, como sucede con las éticas o morales. Así, una persona ayuda a un necesitado porque se lo ordena su propia conciencia, y cuyo castigo también es personal, y está dado por el remordimiento.

Existen también normas en otros ámbitos como las normas o reglas ortográficas, o normas de sintaxis, o normas técnicas para construir bien algún producto. En todos los casos son exigencias que se deben cumplir para un fin determinado.

¿Qué es una regla?

Se denomina regla a un instrumento que sirve para medir o trazar líneas rectas. En este mismo sentido, se aplica como línea de la recta conducta, a las normas morales, religiosas o jurídicas, prescribiendo acciones o imponiendo omisiones. Las reglas o normas jurídicas imponen una pena de cumplimiento efectivo en caso de ser desobedecidas. Toda sociedad organizada exige reglas de convivencia para que sus miembros puedan convivir en forma armónica.

Las reglas técnicas, significan los pasos que se deben seguir para llegar a un fin utilitario. Por ejemplo, reglas para construir un armario.

Las reglas de juego también son normas que fijan las pautas que deben seguirse para que la actividad lúdica se efectúe en forma correcta, según lo pactado por las partes.

Resumen:

Definición de Estándares.

Estándar puede ser conceptualizado como la definición clara de un modelo, criterio, regla de medida o de los requisitos mínimos aceptables para la operación de procesos específicos.

Los estándares sirven para para las siguientes actividades:

• Mantener un comportamiento esperado y deseado en los empleados.
• Establecen guías para evaluar cualquier funcionamiento.
• Para lograr el mejoramiento continuo de los servicios.

Es necesario considerar que las fallas de los procesos pueden ser imputables por un lado a problemas propios del sistema que condiciona la necesidad de revisar su estructura y funcionamiento y por otro lado a errores cometidos por los empleados.

¿Cómo se elabora?

1. Establecer un grupo técnico integrado.
2. Realizar investigación bibliográfica con el fin de identificar la disponibilidad de estándares a nivel internacionales o locales al respecto.
3. Identificar los aspectos que deberán de ser estandarizados en los procesos con el fin de evitar errores en su operación.
4. Definir los estándares. El diseño de los estándares contempla:

• El enunciado que señala el modelo, criterio, requerimiento necesario para alcanzar el nivel de calidad deseado.
• La justificación que expresa la utilidad y el beneficio que el estándar tiene para los usuarios.
• Las condiciones necesarias que estipulan los requerimientos que hacen posible el cumplimiento del estándar.

     5. Realizar la difusión del estándar entre el personal y de ser necesario capacitarlo para su pleno            cumplimiento.

     6. Realizar el seguimiento y control de los estándares