Después de la Implantación

Normalmente, el ciclo de Desarrollo de Sistemas se cierra con la puesta en producción del Sistema, o entrega al usuario.

Sin embargo, hay un par de actividades que se llevan a cabo, adicionalmente a las etapas del desarrollo, para la revisión y optimización de las aplicaciones, como lo son el Mantenimiento de Sistemas y la Auditoría de Sistemas.

Mantenimiento de Sistemas

mantenimiento

Se entiende por Mantenimiento de Sistemas, el modificar, corregir o mejorar los sistemas existentes.
Una de las metáforas gráficas que ayudan a ver la necesidad de un buen mantenimiento, para cualquier aplicación, artefacto, y hasta para el ser humano lo representa la Curva de la Bañera.

Curva de la Bañera

La curva de la bañera es un gráfica que representa los fallos durante el período de vida útil de un sistema o máquina. Se llama así porque tiene la forma una bañera cortada a lo largo. En ella se pueden apreciar tres etapas:

  • Fallos iniciales: esta etapa se caracteriza por tener una elevada tasa de fallos que desciende rápidamente con el tiempo. Estos fallos pueden deberse a diferentes razones como equipos defectuosos, instalaciones incorrectas, errores de diseño del equipo, desconocimiento del equipo por parte de los operarios o desconocimiento del procedimiento adecuado.
  • Fallos normales: etapa con una tasa de errores menor y constante. Los fallos no se producen debido a causas inherentes al equipo, sino por causas aleatorias externas. Estas causas pueden ser accidentes fortuitos, mala operación, condiciones inadecuadas u otros.
  • Fallos de desgaste: etapa caracterizada por una tasa de errores rápidamente creciente. Los fallos se producen por desgaste natural del equipo debido al transcurso del tiempo. (Wikipedia)
Curva de la Bañera

Tipos de Mantenimiento

  • Correctivo (elimina errores)
  • Perfectivo (añade nuevas funciones)
  • Adaptativo (modifica funciones)
  • Preventivo (previene errores)

Y2K: ejemplo de mantenimiento preventivo

Formas de solicitar o planificar el Mantenimiento

  • Ordenes de Trabajo
  • Proyectos
  • Versiones Planificadas

Importancia del Mantenimiento

  • Si no hay apoyo continuo, el sistema puede dejar de funcionar
  • Si no se incorporan los cambios necesarios, el sistema puede dejar de ser útil
  • Un soporte continuo permite a los usuarios el uso adecuado del sistema
  • Permite realizar ajustes necesarios para que aún cuando el ambiente cambie, se pueda hacer uso eficiente de los recursos del sistema
Dificultades encontradas
  • Documentación inadecuada, obsoleta o inexistente
  • Componentes complejos
  • Componentes mal estructurados
  • Inexperiencia del personal
  • Poca familiaridad de las aplicaciones
  • Presión de tiempo
  • Falta de comunicación y participación de los usuarios
  • Gran cantidad de requerimientos
  • Gran cantidad de parches

Auditoría de Sistemas

auditoria

Clasificación de la Auditoría por funciones

  • Financiera (evalúa información financiera y/o económica)
  • Organizativa (evalúa procedimientos y funciones)
  • de Gestión (evalúa el proceso de toma de decisiones)
  • de Recursos Humanos (evalúa cantidad y calidad de personal, y en general las políticas de RRHH)
  • de Gestión de Calidad (evalúa el Sistema de Gestión de la Calidad)
  • de Sistemas (evalúa sistemas de información y su entorno)

Clasificación de la Auditoría por naturaleza del equipo

  • Interna
    • La auditoria Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma.
  • Externa
    • Es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión independiente tiene trascendencia a los terceros, pues da plena validez a la información generada por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad en la información examinada.

Diferencia entre ambos tipos de Auditoría

  • En la Auditoria Interna existe un vínculo laboral entre el auditor y la empresa, mientras que en la Auditoria Externa la relación es de tipo civil o comercial.
  • En la Auditoria Interna el diagnóstico del auditor, está destinado para la empresa; en el caso de la Auditoria Externa este dictamen se destina generalmente para terceras personas o ajenas a la empresa.
  • La Auditoria Interna está inhabilitada para dar Fe Pública, debido a su vinculación contractual laboral, mientras la Auditoria Externa tiene la facultad legal de dar Fe Pública.

Auditoría de Sistemas

Detecta fraudes, errores o atentados en los sistemas, a través de controles oportunos.

Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa

Objetivos de las Auditorías de Sistemas

  1. Participación en el desarrollo de nuevos sistemas:
  • evaluación de controles
  • cumplimiento de la metodología.
  1. Evaluación de la seguridad en el área informática.
  2. Evaluación de suficiencia en los planes de contingencia.(respaldos, preveer qué va a pasar si se presentan fallas.
  3. Opinión de la utilización de los recursos informáticos. (resguardo y protección de activos)
  4. Control de modificación a las aplicaciones existentes.
  • fraudes
  • control a las modificaciones de los programas.
  1. Participación en la negociación de contratos con los proveedores.
  2. Revisión de la utilización del sistema operativo y los programas
  • utilitarios.
  • control sobre la utilización de los sistemas operativos
  • programas utilitarios.
  1. Auditoría de la base de datos.(estructura sobre la cual se desarrollan las aplicaciones)
  2. Auditoría de la red de teleprocesos.
  3. Desarrollo de software de auditoria.

Perfil del Auditor de Sistemas

  • Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas, entorno económico, social y político.
  • Entendimiento del efecto de los sistemas en la organización.
  • Entendimiento de los objetivos de la auditoría.
  • Conocimiento de los recursos de computación de la empresa.
  • Conocimiento de los proyectos de sistemas.

Clasificación de la Auditoría de Sistemas de acuerdo al enfoque

  • durante el desarrollo de los S.I.
  • después de la implantación

Clasificación de acuerdo al alcance

  • en torno al computador
  • en el computador

Herramientas y Técnicas que emplea

  • observación
  • cuestionarios
  • entrevistas
  • pistas de auditoría
  • programas de prueba
  • librerías de prueba

Riesgos asociados al área de Tecnología

Hardware

  • Descuido o falta de protección: Condiciones inapropiadas, mal manejo, no observancia de las normas.
  • Destrucción.

 Software:

  • Uso o acceso, copia, modificación, destrucción, hurto, errores u omisiones.

Archivos:

  • Usos o acceso, copia, modificación, destrucción, hurto.

Organización:

  • Falta de seguridad, – Falta de políticas y planes.

Personal:

  • Deshonesto, incompetente y descontento.

Usuarios:

  • Deshonesto, falta de autorización, falta de conocimiento de su función.

Delitos Informáticos

  • robin hoodRiesgo: situación que puede propiciar la comisión de un delito
    • avaricia
    • problemas financieros (deudas de juego, enfermedades
    • familiares, educación de los hijos, vivir por encima de los
    • propios medios, etc.)
    • autogratificación del ego (por el reto de hacerlo)
    • caridad o síndrome de Robin Hood
    • omisiones o errores en los sistemas
    • mentalidad turbada
    • venganza por insatisfacción personal (sub-empleo,ascensos negados, envidia, falta de reconocimiento)
  • caballo-de-troyaFraude: es el delito cometido, intencional y premeditadamente
    • falsificación de datos de entrada (phishing)
    • caballo de Troya
    • bomba de tiempo
    • salami
    • super-zapping
    • puerta trasera
    • intercepción electrónica en la comunicación
    • rastreo
    • trashing
    • filtración de la información
    • simulación y modelaje

Factores que han permitido el incremento de delitos por computador

  • aumento de personas estudiando computación
  • aumento en número de empleados con acceso a equipos
  • facilidad en el uso de los equipos
  • incremento en la concentración del número de aplicaciones y de la
  • información en las empresas y organizaciones

Perfil de las personas que cometen delitos por computador

perfil

Fases para desarrollar Auditorías de Sistemas

Análisis de Riesgos

  • Entendimiento de la estrategia de la compañía
  • Entrevistas con los funcionarios de Sistemas encargados de la administración de las plataformas tecnológicas
  • Entrevistas con los funcionarios lideres de las áreas encargados de los procesos relevantes de la compañía
  • Análisis de las políticas, procedimientos o procesos soporte de los sistemas
  • Identificación de riesgos relevantes en las plataformas tecnológicas y los procesos del negocio
  • Preparación de mapas de riesgo
  • Identificación de las actividades de control para mitigar los riesgos

Plan de Evaluación

  • Definición de planes de evaluación y pruebas

 Ejecución del Plan

  • Validación de la adecuada implementación de las actividades de control y de la eficacia operativa de las mismas
  • Aplicación de listas de chequeo para verificar el adecuado aseguramiento de las plataformas tecnológicas
  • Diseño de rutinas de validación y monitoreo de procesos identificados como críticos
  • Selección de muestras para validar excepciones
  • Selección de herramientas para automatizar pruebas
  • Análisis de los resultados de las pruebas
  • Actualización del mapa de riesgos

Presentación de Oportunidades de Mejora

  • Validación de los hallazgos con cada uno de los responsables
  • Definición del plan de acción con los funcionarios responsable
  • Presentación de las oportunidades de mejora

Informe de Auditoría: partes

  • Introducción: objetivo  y contenido del informe de auditoria
  • Objetivos de la auditoría
  • Alcance: cobertura de la evaluación realizada
  • Opinión: con relación a la suficiencia del control interno del sistema evaluado
  • Hallazgos
  • Recomendaciones

 Certificaciones Internacionales para los Auditores de Sistemas de Información:

cisa-banner
Haga click en la imagen para más información

 Guías de Verificación de Auditoría de Sistemas

Banner De todo un Poco (1) 600 px
Anuncios

Publicado por

Luis Castellanos

Luego de unos años en Maracaibo, de regreso en Caracas. Docente Universitario y Bloguero. Orgulloso padre de dos hijos. luiscastellanos @ yahoo.com | @lrcastellanos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s