3.2 Requisitos a nivel Empresarial

3.2.1 GNU/Linux como Servidor

Se estudiarán en este punto, los factores a tener en cuenta durante la elección de un sistema operativo para servidores en una infraestructura informática.

Los puntos a tratar serán:

3.2.1.1 Utilización en el mercado

Muchas veces es común pensar que un producto solamente es el mejor si tiene una utilización significativa en el mercado. Aunque este pensamiento puede ser banal, hay algo de racional en lo siguiente: los productos con mucho mercado tienen más aplicaciones disponibles, usuarios experimentados y aseguran más longevidad del mismo (lo cual redunda en soporte a futuro para el mismo).

Existe una excelente evidencia de que actualmente GNU/Linux tiene una importante utilización en el mercado mundial, hay una gran aceptación en empresas importantes y entes gubernamentales en el mundo.

En nuestro país se utilizan, en algunos organismos del estado estatales, servidores GNU/Linux y puestos de trabajo con software Open/Free de ofimática. A.N.Tel y la Intendencia Municipal de Montevideo son algunos de estos casos.

Algunos otros datos recabados como ejemplo:

3.2.1.2 Seguridad

Para cualquier producto de porte empresarial, existen tres puntos fundamentales a la hora de hablar de Seguridad:

Vulnerabilidad

Como empresa, por más pequeña que se sea, al existir infraestructura de tecnologías de información, se debe de tener una política de seguridad. Teniendo en cuenta que hoy día es mucho más accesible para las PyMEs tener un entorno de red y conexión a Internet, las políticas de seguridad van más allá de la protección de datos a nivel de los usuarios de la empresa sino que se debe tener en cuenta la vulnerabilidad a ataques al servidor desde la red local y desde fuera de la empresa. Distintos tipos de virus provenientes de e-mail o la web, puertas de entrada laterales, spyware, etc. deben de tenerse en cuenta a la hora de proteger el o los servidores.

En general GNU/Linux y el Software Open/Free tiene bien resuelto tópicos básicos de seguridad como ser:

Por lo general las distribuciones de GNU/Linux más populares contienen productos específicos de cada comunidad que realizan controles automáticos y periódicos referentes a la seguridad e integridad del sistema (por ejemplo, verificar contraseñas vacías, verificación de puertos abiertos, archivos sin dueño, dispositivos de red en modo promiscuo, etc.).

El verdadero desafío (y problema), es poder lograr un sistema seguro en una plataforma en red, sobretodo si está conectada con el resto del mundo. Dentro del Software Comercial/Propietario, cada empresa asegura que su producto es seguro y poco vulnerable. Por ejemplo, Microsoft pregona que Microsoft Server 2003 provee importantes mejoras y bondades en cuanto a seguridad. Por otro lado, sus detractores aseguran que en realidad son arreglos de mal código de versiones anteriores y que los agujeros de seguridad fueron arreglados limpiando código heredado de NT y Windows 3.51 o desactivando servicios que en versiones anteriores, se encontraban activos por defecto (ver apéndice 7.5).

Sabido es también que cuanto más se utiliza una plataforma, más susceptible a ataques y a encontrar agujeros de seguridad se es.

Cabe destacar que tanto Novell (Netware o SUSE Enterprise), como IBM (RED HAT Linux, AIX) o una solución Empresarial Open/Free corren con la ventaja de no tener el volumen de virus y malware como el que tiene en contra MicroSoft.

Reportes de Internet

Se pueden encontrar infinidad de reportes de seguridad de GNU/Linux en los cuales tenemos opiniones desencontradas:

Según encuesta de Evans Data de julio de 2004 a usuarios y administradores Linux

En general es difícil medir la seguridad de un sistema operativo y en la mayoría de los reportes que se encuentran publicados, se puede hallar información con datos de difícil interpretación y se deben de tomar ciertas precauciones y presupuestos a la hora de estudiarlos. Existen reportes como los de Mi2g [31], empresa de Londres dedicada a seguridad la cual reporta a Linux como el sistema con más intrusiones del mundo, seguido por Microsoft Windows y luego por último BSD y Apple OS X.

El estudio hecho por Mi2g analiza 235000 ataques exitosos contra sistemas permanentemente conectados - 24x7 online – en computadoras alrededor del mundo entre Noviembre de 2003 y Octubre de 2004.

Las computadoras corriendo GNU/Linux contabilizaron un 65% de los ataques, sistemas basados en Microsoft Windows un 25% y ataques exitosos hacia equipos con BSD y OS X contabilizaron en el entorno de los 4.8% del total.

En el 2004 del total de plataformas hackeadas, el 58% fueron contra entidades pequeñas (podremos considerar PyMEs aquí), 32,7% a computadoras hogareñas “siempre conectadas”.

Mi2g considera que muchas fallas de seguridad en los sistemas GNU/Linux son causa de las varias distribuciones del producto y la falta de procedimientos estandarizados para aplicar parches.

También añaden que las mayores quejas recibidas de los afectados son sobre la dificultad de encontrar un administrador de GNU/Linux calificado.

Se puede criticar un poco el estudio alegando que solo fueron considerados ataques directos o ataques manuales hechos por hackers y fueron excluidos virus, gusanos u otro tipo de malware, y lo que demuestra esto es en realidad es que entretanto el crecimiento de Linux es más grande, se convierte en un objetivo de más prioridad para los hackers.

Los defensores de GNU/Linux alegan que si Mi2g hubiera incluido ataques de virus y otros malwares de operación automática, GNU/Linux hubiera resultado más seguro que Windows.

En respuesta Mi2g aseguró que los sistemas BSDs y Mac OS X seguirían siendo más seguros que ambos.

Evaluaciones de seguridad formales

Más allá de los reportes, en los cuales se puede poner en tela de juicio la veracidad de los mismos, existen evaluaciones y testeos realizados a GNU/Linux de forma imparcial y de fuentes imparciales.

Algunas distribuciones de GNU/Linux y programas Open/Free han sido evaluados utilizando métodos formales como el internacionalmente reconocido Common Criteria1 (ISO Standard 15408) y NIST FIPS 140 (requerimientos de seguridad para módulos criptográficos de la National Institute of Standards and Technology) que son utilizados por ciertos entes gubernamentales estadounidenses. Existe una complicación con dichas certificaciones y es que los distribuidores (o proyectos) deben pagar la evaluación. Esto, en algunos casos, se hace inviable dada la magnitud del proyecto (pero no imposible), por lo general los distribuidores más populares y empresas grandes que apoyan y utilizan Software Open/Free realizan dichas certificaciones:

En junio de 2004, IBM (específicamente el proyecto LTIC, Linux Test Integration Center, de IBM ) presenta un reporte sobre un estudio de 3 meses acerca del testeo de las herramientas Open/Free para GNU/Linux existentes más maduras para implantar un sistema seguro en Internet. El estudio arroja un veredicto satisfactorio y presenta la forma recomendada de implantación del sistema para maximizar la seguridad, así también como las recomendaciones pertinentes acerca de políticas de upgrade de las herramientas, backup de los sistemas, etc. Realizan también, Comparaciónes entre las herramientas del mismo tipo con recomendaciones de cual utilizar dependiendo el caso. Las herramientas relevadas incluían Firewalls, sistemas de detección de intrusos y software de encriptación de comunicaciones y correo electrónico entre otras.

US-CERT

En Setiembre de 2003, se establece la US-CERT2, organización publico-privada encargada de registrar, investigar e informar acerca de problemas de seguridad informática en los Estados Unidos para mitigar los cyber-ataques en dicho país.

La US-CERT es responsable de :

Teniendo en cuenta reportes de alerta la US-CERT de 2004:


TA04-336A : Update Available for Microsoft Internet Explorer HTML Elements Vulnerability
Original Release: December 1, 2004

TA04-316A : Cisco IOS Input Queue Vulnerability
Original Release: November 11, 2004

TA04-315A : Buffer Overflow in Microsoft Internet Explorer
Original Release: November 10, 2004

TA04-293A : Multiple Vulnerabilities in Microsoft Internet Explorer
Original Release: October 19, 2004

TA04-261A : Multiple Vulnerabilities in Mozilla Products
Original Release: September 17, 2004

TA04-260A : Microsoft Windows JPEG component buffer overflow
Original Release: September 16, 2004

TA04-247A : Vulnerabilities in MIT Kerberos 5
Original Release: September 3, 2004

TA04-245A : Multiple Vulnerabilities in Oracle Products
Original Release: September 1, 2004

TA04-217A : Multiple Vulnerabilities in libpng
Original Release: August 4, 2004

TA04-212A : Critical Vulnerabilities in Microsoft Windows
Original Release: July 30, 2004

TA04-196A : Multiple Vulnerabilities in Microsoft Windows Components and Outlook Express
Original Release: July 14, 2004

TA04-184A : Internet Explorer Update to Disable ADODB.Stream ActiveX Control
Original Release: July 2, 2004

TA04-174A : Multiple Vulnerabilities in ISC DHCP 3
Original Release: June 22, 2004

TA04-163A : Cross-Domain Redirect Vulnerability in Internet Explorer
Original Release: June 11, 2004

TA04-160A : SQL Injection Vulnerabilities in Oracle E-Business Suite
Original Release: June 8, 2004

TA04-147A : CVS Heap Overflow Vulnerability
Original Release: May 26, 2004

TA04-111B : Cisco IOS SNMP Message Handling Vulnerability
Original Release: April 20, 2004

TA04-111A : Vulnerabilities in TCP
Original Release: April 20, 2004

TA04-104A : Multiple Vulnerabilities in Microsoft Products
Original Release: April 13, 2004

TA04-099A : Cross-Domain Vulnerability in Outlook Express MHTML Protocol Handler
Original Release: April 8, 2004

TA04-078A : Multiple Vulnerabilities in OpenSSL
Original Release: March 18, 2004

TA04-070A : Microsoft Outlook mailto URL Handling Vulnerability
Original Release: March 10, 2004

TA04-041A : Multiple Vulnerabilities in Microsoft ASN.1 Library
Original Release: February 10, 2004

TA04-036A : HTTP Parsing Vulnerabilities in Check Point Firewall-1
Original Release: February 5, 2004

TA04-033A: Multiple Vulnerabilities in Microsoft Internet Explorer
Original release: February 2, 2004

TA04-028A: W32/MyDoom.B Virus
Original release: January 28, 2004


Vemos que, de todas las alertas de seguridad, solo 6 son para productos Open/Free.

La ventaja de disponer del código fuente

Se puede pensar que el disponer del código fuente de un producto da ventajas a los hackers para atacar dicho software (porque se tiene más información para realizar un ataque). Lo que no se toma en cuenta es que, disponer del código también da más información a la comunidad de usuarios de dicho producto y el hecho de que sea software Open/Free da la ventaja de mejorar dicho código.

Otro punto que se debe tener en cuenta es que desensambladores y decompiladores pueden extraer la información necesaria de los programas binarios para quebrar un programa, lo cual hace que el no contar con el código fuente no es necesariamente una ventaja.

Conclusión

Todos los reportes y estudios de seguridad que hemos relevado, favorable o no hacia GNU/Linux, concuerdan en lo mismo: sea cual sea la plataforma en la cual se está trabajando en un entorno empresarial (GNU/Linux u otras), la mitigación de vulnerabilidades de dicha plataforma se basa en la cantidad de información disponible acerca de los problemas de seguridad de la misma, una rápida respuesta por parte de los proveedores (o de la comunidad del proyecto) en cuanto a la generación de parches y upgrades y de una buena política de aplicación de los mismos.



Administración y aplicación de Parches y Upgrades

La celeridad de un proveedor de software en cuanto a la liberación de parches de problemas de seguridad es fundamental. Cuanto más rápido se solucione un problema de seguridad, menos comprometido se encontrará el sistema.

No necesariamente debemos asociar al software Comercial/Propietario con una rápida liberación de actualizaciones y parches de seguridad.

En enero del año 2000 SecurityPortal (Sitio de Internet dedicado al tema), realizó un estudio acerca de la celeridad de los distribuidores de software en solucionar problemas de seguridad de conocimiento público.

Se tomaron como problemas de seguridad de conocimiento público a:

El estudio concluye que la empresa que más rápido respondió con actualizaciones y solución de problemas fue Red Hat Linux, con un promedio de 11.23 días de receso entre la detección de un problema y el parche para solucionarlo, luego Microsoft con 16.10 días y finalmente Sun con 89.5 días.

En junio de 2004 la CERT recomendó que se utilizara otro browser diferente a Microsoft Internet Explorer por razones de seguridad ya que Microsoft no había solucionado un problema crítico de seguridad y habían pasado 9 meses. CERT no tuvo otra opción que recomendar la utilización de otro browser mientras se solucionaba el tema.

En cualquier sistema operativo y software relacionado con seguridad, así como la celeridad de generación de parches y upgrades es importante, la aplicación de los mismos es vital para mantenerlo seguro. Independientemente de que se esté hablando de GNU/Linux como sistema empresarial, toda empresa debe tener una política de aplicación regular de upgrades y parches.

En la mayoría de las distribuciones más populares de GNU/Linux, existen herramientas gráficas de sencillo manejo para realizar upgrades de los productos. En general cada comunidad cuenta con un sitio web en Internet de donde se obtienen las últimas versiones de parches y upgrades, y los mismos se pueden bajar para instalación offline o se puede realizar la actualización online.

Disponibilidad y distribución de información sobre problemas de seguridad

No encontramos argumentos sólidos de que el ser un sistema operativo Open/Free ofrezca desventajas en cuanto a la disponibilidad de información sobre problemas de seguridad. Si bien empresas como Microsoft alegan que la naturaleza distribuida de GNU/Linux y del Software Open/Free hace difícil el disponer de información acerca de estos problemas, no vemos que esto sea así. Es abundante la información y es provista por organizaciones gubernamentales (CERT), listas de correo, publicaciones especializadas, sitios propios de las distribuciones de GNU/Linux, información, artículos y bases de conocimiento de empresas que apoyan a GNU/Linux (IBM, Novell). Toda esta información esta disponible al público en general.

3.2.1.3 Confiabilidad

Las pequeñas empresas que utilizan una solución informática comercial o propietaria en un escenario de red son, típicamente, de un solo servidor, el cual tiene dependencia crítica con la confiabilidad del sistema operativo y sus aplicaciones.

Como es visto comúnmente en grandes empresas, las soluciones con clusters de servidores e infraestructura de alta disponibilidad, son bastante atípicas en una PyME. Por esto, es esencial que tanto el servidor como las aplicaciones que corren en él, estén disponibles y corriendo sin problemas el mayor tiempo posible. Cualquier pérdida de disponibilidad del sistema podría derivar en pérdidas monetarias para la empresa. Aquí, la ventaja de GNU/Linux frente a in sistema operativo Comercial/Propietario es que el licenciamiento no restringe la cantidad de veces que se pueda instalar el sistema. Esto puede redundar en una solución de coste barato para poder implementar una solución de más de un servidor sin estar limitado por costos de licenciamiento.

La disponibilidad de un sistema se puede considerar una medida, generalmente representada como el porcentaje de tiempo servicio que un sistema es capaz de ofrecer como es esperado. Las medidas de confiabilidad en general son utilizadas para medir la probabilidad de falla de un solo componente del sistema y el nivel de disponibilidad mide el porcentaje de tiempo que un sistema esta activo y ejecutando procesos de usuarios finales o de otras plataformas clientes, pero la confiabilidad de todos los componentes de una solución informática — hardware, sistema operativo, aplicaciones, red, etc — puede afectar la disponibilidad de dicha solución.

Teniendo en cuenta que 100% de disponibilidad es el ideal, ¿....90% es “bastante bueno”?. La respuesta es: No a menos que, como empresa, se este conforme con una plataforma que este funcional 9 de cada 10 días. Típicamente, la disponibilidad de un sistema se mide en “nueves”. La siguiente tabla muestra la relación del porcentaje de disponibilidad y lo que representa en tiempo de indisponibilidad.

Disponibilidad

Tiempo de indisponibilidad (anual)

99,000%

87,6 horas

99,900%

8,76 horas

99,990%

52,5 minutos

99,999%

5,25 minutos



Dentro del Software Comercial/Propietario tenemos empresas como Novell, que asegura que con la configuración adecuada, su sistema operativo NetWare alcanza una disponibilidad de 99.999%. La consigna de la empresa acerca de la confiabilidad es: un servicio debe de funcionar hasta que se lo detenga a propósito.

Opiniones recabadas de ZDNet a varios administradores de red arrojan que entre reinicios de servidores, han corrido Windows NT por semanas, Windows 2000 y/o GNU/Linux por meses mientras que NetWare 3.1x/4.x por años.

Por su lado Microsoft asegura que la indisponibilidad de soluciones basadas en Windows Server 2003, son típicamente gracias a fallas de hardware, malos controladores de dispositivos periféricos, errores de usuario, control de cambio de procesos pobre y un muy bajo porcentaje atribuido al núcleo del sistema operativo.

GNU/Linux goza de una buena reputación cuando se trata el tema confiabilidad. Existen varios estudios y pruebas hechas sobre GNU/Linux acerca de su buen comportamiento bajo situaciones de carga extremas. Se citan algunas referencias:

3.2.1.4 Performance

Si bien existen varios reportes de performance (en general de GNU/Linux vs Windows), muchos difieren dependiendo de asunciones y de entornos de prueba específicos.

En el pasado los sistemas GNU/Linux “out of the box” (sin tunning correspondiente) en su interfaz gráfica, podrían haber sido menos performantes que otros sistemas de Microsoft más livianos como Windows 98 o 95.

Sin embargo, dada la potencia de los equipos Intel y AMD actuales, los avances en entornos gráficos de escritorio, y basados en las pruebas de utilización de las nuevas distribuciones de GNU/Linux por parte de los integrantes del proyecto, pudimos percibir una excelente performance del mismo y mejor utilización de recursos, en comparación con versiones recientes de Windows como ser 2000 o XP.

Si bien como mencionamos anteriormente, la imparcialidad de los reportes encontrados en Internet puede ponerse en tela de juicio, cabe resaltar algunos datos interesantes acerca de la performance de GNU/Linux:

3.2.1.5 Escalabilidad

Si bien la escalabilidad se puede medir en varias formas, lo haremos en este estudio desde la perspectiva de PyME uruguaya, sin tener en cuenta la escalabilidad de GNU/Linux en cuanto a cantidad de plataformas de hardware soportadas, que de hecho, es muy amplia.

Es de esperar que la mayoría de Pequeñas y Medianas Empresas en Uruguay utilicen plataformas Intel o AMD como infraestructura de sistemas informáticos. Creemos que las ventajas de GNU/Linux en cuanto a capacidad de escalabilidad horizontal (poder incluir más equipamiento físico) a bajo costo, son importantes.

Si se utiliza software Comercial/Propietario tanto a nivel de desktops como de servidores, en cada adquisición de un equipo que requiera la instalación de dicho producto, se deberá pagar una nueva licencia de dicho software; en algunos casos, no sólo por equipo sino también por cantidad de procesadores en el mismo. Esto puede limitar a la empresa en su productividad por no contar con los recursos para ello. Con GNU/Linux no existe tal problema, pudiéndose instalar el sistema sin costo. También es de destacar que, al igual que el software Comercial/Propietario, cada versión nueva del sistema se desarrolla contemplando los avances de hardware del mercado.

3.2.1.6 Costo Total de Propiedad (Total Cost of Ownership)

El Costo Total de Propiedad (C.T.P.) de un software a nivel empresarial, es una medida importante. No importa si el costo inicial de adquisición es bajo si luego el producto resulta caro a largo plazo.

En general los estudios encontrados de C.T.P son muy susceptibles a factores asumidos. Prácticamente, para cualquier producto de Software (comercial, propietario u Open/Free), se pueden encontrar estudios en los cuales dicho software tiene el costo de propiedad más bajo.

Nos parece bueno destacar que el término Costo Total de Propiedad, cuando se habla de software propietario, esta mal usado ya que la empresa no es dueña de dicho software; generalmente lo que hace el proveedor es “rentar” el software por cierto tiempo y bajo ciertas condiciones de uso (en el apéndice 7.7 se brinda más información sobre los precios de algunas soluciones comerciales/propietarias). Si bien existen programas cuya licencia es “para siempre”, en éstos lo que se cobra son las actualizaciones.

Al hablar de Costo Total de Propiedad se deben de tener en cuenta muchos factores. Presentaremos aquí los más significativos y aplicables dentro de un entorno de PyME y veremos cómo encaja GNU/Linux en cada uno de ellos:

Si bien la adaptación de un sistema de escritorio basado en Microsoft a uno GNU/Linux la reconocemos como poco problemática, existen cursos orientados a la utilización GNU/Linux como desktop con aplicaciones de ofimática. [39]

3.2.2 GNU/Linux como puesto de Trabajo (Desktop)

Durante muchos años GNU/Linux fue considerado, y con razón, como un sistema operativo para servidores. Si bien esto fue cierto, ya hace algún tiempo que GNU/Linux y sus paquetes Open/Free para desktop tienen la madurez para brindar una experiencia usuario final tanto intuitiva como productiva.

En cualquier empresa, por lo general, la única experiencia de la mayoría de los usuarios con computadoras es a través de su PC de escritorio o laptop; corriendo “aplicaciones básicas de cliente” como ser navegadores web, clientes de correo y/o de mensajería instantánea, reproductores de audio y software de ofimática, y posiblemente otras aplicaciones cliente específicas. Todas estas aplicaciones deben de tener una interfaz gráfica. Estas interfaces son soportadas por un entorno gráfico en común que corre bajo ellas .

Si bien GNU/Linux puede brindar a nivel de Puesto de Trabajo las mismas ventajas de seguridad, estabilidad y performance que vimos anteriormente en un entorno del servidor, creemos que la ventaja más significativa de GNU/Linux como Desktop en una PyME (dada ya la madurez que presenta el Sofware Open/Free en esta área) es el bajo costo (o ninguno) de adquisición y el bajo esfuerzo de adaptación que requiere el usuario para la utilización de las últimas distribuciones orientadas a este fin.

Vemos que GNU/Linux comenzó a utilizarse de forma seria a nivel de Desktop a partir del año 2002 aproximadamente, porque las aplicaciones básicas cliente comenzaron a ser maduras a partir de dicha fecha. Por cuestiones prácticas, los sistemas y aplicaciones cliente deben de ser compatibles con los líderes del mercado. Por ejemplo, los programas de ofimática deben ser capaces de leer y grabar en los formatos de Microsoft Office. Hoy día, las aplicaciones para Desktop de GNU/Linux están en un grado de madurez y usabilidad muy altos.

Empresas como Novell, Mandrake y RedHat apuestan a soluciones Desktop con software como Evolution (cliente de correo), gAIM (mensajería instantánea), OpenOffice.Org (ofimática), Mozilla Firefox y Firebird (navegador web y cliente de correo) para estaciones de trabajo Desktop.

SuSE tiene distribuciones específicas optimizadas para escritorios, así también distribuciones como Mandrake y Fedora se pueden customizar fácilmente para este fin.

Un punto a tener en cuenta es la usabilidad y adaptabilidad de usuarios de GNU/Linux ya que puede ser un factor determinante a la hora de optar por una solución Desktop íntegramente basada en GNU/Linux. Vale la pena mencionar que la mayoría de las aplicaciones antes nombradas también existen para plataforma Windows. Esto es de gran utilidad a la hora de migrar de una plataforma de base a otra ya que el primer paso es remplazar el software propietario por su equivalente en Windows para luego pasar a una solución netamente basada en Software Open/Free, sistema operativo y aplicaciones cliente.

Un estudio de Relevantive AG [40](Compañía de Berlín especializada en usabilidad de software y servicios Web que ofrece consultorías para empresas) realizado en Agosto de 2003 concluye que, hacia dicha fecha, Linux es sumamente amigable para el usuario final y puede llegar a dominarse de una forma casi tan fácil como Windows XP. Dicho estudio fue realizado con dos grupos de personas, un grupo utilizando una distribución SuSE 8.2 de GNU/Linux con entorno gráfico KDE 3.1.2 y el otro grupo utilizando Windows XP.

El estudio consistía en ver la facilidad con la que dichos grupos podrían realizar tareas utilizando estos sistemas operativos. El primer grupo (que debió utilizar la plataforma GNU/Linux) consistió de 60 usuarios de edad entre 25 y 55 años con conocimientos en computación pero sin experiencia previa con GNU/Linux o Windows XP. Dichos usuarios testearon el sistema operativo y software Open/Free realizando varias tareas, entre ellas, creación y administración de archivos, copiado de CD's y realización de tareas básicas de oficina (crear un documento de texto y envío de e-mail).

El otro grupo de 20 usuarios con las mismas características que los anteriores realizaron las mismas tareas en Windows XP.

El estudio sugiere que es casi tan fácil realizar en GNU/Linux la mayoría de tareas de oficina como lo es en Windows XP:

Por ejemplo, el grupo de usuarios de GNU/Linux necesitó en promedio 44,5 minutos realizar un conjunto de tareas que llevó 41,2 minutos al segundo grupo en Windows XP. El 80% de los usuarios del primer grupo (GNU/Linux) contestaron que creían que en una semana se podrían volver tan competentes en el nuevo sistema como lo son en el sistema que manejan actualmente, los usuarios de Windows XP contestaron lo mismo pero en más porcentaje, 85%.

El estudio concluyó que el punto fuerte de Windows XP fue el diseño del escritorio y el de la interfaz de los programas ya que el 100% de los usuarios contestaron que le gustaban dichas características del sistema contra 83% del primero grupo respecto a dichas características en GNU/Linux.

1 La Common Criteria provee de métodos estandarizados para definición de requerimientos de seguridad así como también define los respectivos test por los cuales debe ser evaluado el producto. Es ampliamente reconocido por profesionales de la Tecnología de la Información, agencias gubernamentales, y empresas como un sello de aprobación para software de misión crítica. Bajo la Common Criteria, los productos son evaluados en varios aspectos como ser: entorno de desarrollo, funcionalidad de la seguridad, manejo de vulnerabilidades, documentación relacionada a la seguridad y testeo de los productos.

2 US-CERT forma parte de la CERT /CC, centro de investigación de seguridad en Internet fundado en 1988 con fondos estatales cuya base se encuentra en la Universidad de Carnegie Mellon.

3Nótese la diferencia entre GNU/Linux y Linux simplemente. Mientras que el primero hace referencia al sistema operativo, el segundo se refiere al núcleo (o kernel) del mismo.

Estudio del Open/Free (GNU/Linux) como plataforma de servicios de red en entornos empresariales
Daniel Caraballo - Mario Madera - Marcelo Odin
Tutor: Ariel Sabiguero Yawelak
2004 - 2005.