CAP 5

EVALUACION DEL PROCESO DE

DATOS Y DE LOS EQUIPOS DE

COMPUTO

HASLEYDI ACOSTA R.

JOHAIRA PINZON C.

BRIAN ALBERTO SEMA.

CONTROLES

Se debe tener presente:

Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad.

La responsabilidad de los datos es compartida conjuntamente por alguna función determinada de la organización y de la dirección de informática.

POLITICAS DE RESPALDOS La información debe realizarse mensual, semana o diario y debe observar los siguientes puntos:

Debe tenerse acceso restringido al área donde se tienen almacenados los medios magnéticos.

Se debe contar con una política que indique los procedimientos a seguir en cuanto al almacenamiento de las cintas de respaldo en un lugar diferente al de la ubicación del site.

POLITICAS Y PROCEDIMIENTOS

Deben incluir los siguientes puntos:

Seguridad de la información (física y lógica)

Adquisición de hardware y software

Operación de centro de centro de computo.

Es recomendable que se documenten todos los procesos de las diversas actividades.

POLITICA DE REVISION DE

BITACORA (SOPORTE

TECNICO) Deben existir bitácoras de operación en las que se registren los procesos realizados, los resultados de su ejecución, lo s procesos ejecutados en el equipo y en la manera en que concluyeron.

No contar con una política de revisión de bitácora puede ocasionar problemas como:

Carecer de bases para el rastreo de errores de procesamiento;

Dependencia de personal para solicitud de errores;

Ausencia de controles en cuanto a registro de seguimiento de problemas.

CONTROL DE LA LICENCIA DE

SOFTWARE

Todas las organizaciones deben tener un inventario de las licencias del software actualizada. Al no contar con las licencias correspondientes, no se le puede exigir al proveedor el servicio de soporte o actualización del software.

Por ello es muy importante:

Elaborar un plan verificador de software

Actualizar el inventario de hardware y software

Designar a una persona responsable del área de informática.

POLITICAS DE SEGURIDAD

FISICA DEL SITE Deben existir políticas y procedimientos que describan los aspectos de seguridad físico mínimos que deben de regir dentro del depto. de sistemas. Durante la visita a las instalaciones se deben observar los siguientes puntos:

Se debe tener protección en lo servidores para que no puedan ser desconectados accidental o intencionalmente

No debe tenerse papel para impresión dentro del site.

El personal operativo no debe permitir el acceso a personal ajeno al depto.

Hay que elaborar políticas formales de seguridad y diseñar

las características para el site. se recomienda lo siguiente:

Seguridad física del centro del computo

Acceso al centro de computo

Plan de contingencia.

Se sugiere la revisión del plan de contingencia para que

contenga los siguientes controles:

Delegación de funciones y entrenamiento de personal

Proveer los lineamientos necesarios para el

restablecimiento de operaciones a partir de los

respaldos de información

Establecer procedimientos y responsabilidades o para

mantener el plan de contingencias.

CONTROL DE DATOS FUENTE Y

MENEJO DE CIFRAS DE CONTROL

Se presentan diferentes delitos por

computadora que son cometidos por

modificaciones de datos fuente al:

• Suprimir u omitir datos

• Adicionar datos

• Alterar datos

• Duplicar procesos

Lo anterior es muy importante en el caso de

sistemas en línea, ya los usuarios son responsables

dela captura y modificación de información. Por

esto se debe tener un adecuado control con

claves de acceso de acuerdo a niveles.

El primero nivel es donde se pueden hacer solo

consultas.

El segundo, es donde se pueden hacer captura,

modificaciones y consultas.

El tercer, es en el que se pueden hacer las

anteriores y dar de baja

CONTROL DE OPERACIÓN La eficiencia y costo de la operación de un

sistema de computo se ven afectadas por la calidad e integridad dela documentación requerida para el proceso de la computadora.

Los instructivos dan al operador información sobre los procedimientos que debe tener en casos normales y anormales del procesamiento y si la documentación esta incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente generando probablemente errores y demás.

La operación de los sistemas en línea deben estar

residentes en todo momento con su

correspondiente sistema de comunicación mientras

que los sistemas en lote se debe planear y

programar su operación.

Existen sistemas de computo y de comunicación

dedicados a los sistemas en línea y así mismo otros

dedicados únicamente al proceso en lote.

El de instructivo de operación debe verificar los

siguientes datos:

Diagramas

Mensajes

Parámetros

Formulas de verificación

Observaciones e instrucciones en caso de error

Calendario de proceso y de entrega de resultados

CONTROL DE ASIGNACION DE

TRABAJO

Este relaciona la dirección de las operaciones

de la computadora en términos de eficiencia y

satisfacción del usuario. Esta debe ser

comparada con la opinión del usuario, son de

gran importancia los siguientes aspectos:

Satisfacer las necesidades de tiempo del

usuario.

Ser compatible con los programas de

recepción y transcripción de datos.

Permitir niveles efectivos de utilización de los

equipos y sistemas de operación.

Volver la utilización de los equipos en línea.

Entregar a tiempo y correctamente los procesos

en lotes.

Los mejores resultados se logran en organizaciones

que utilizan sistemas formales de programación de

actividades los cuales balancean los factores y miden

resultados.

Los procedimientos de programación de carga de

maquinaria se deben evaluar para determinar si se

ha considerado atenuar los picos de los procesos

generados por cierres mensuales, o bien los picos de

los sistemas en línea y poder balancear las cargas de

trabajo de lotes y línea

CONTROL DE MEDIOS DE

ALMACENAMIENTO MASIVO

Representan para cualquier centro de

computo archivos extremadamente

importantes cuya perdida total o parcial

tendría repercusiones muy serias.

Una dirección de información bien

administrada debe tener protegidos estos

dispositivos de almacenamiento y tener

registros sistemáticos de la utilización de

estos archivos.

El manejo adecuado de estos dispositivos

permitirá una operación mas eficiente y

segura, mejorando también los tiempos

de proceso

Control de asignación de

trabajo

Esta directamente relacionada con la dirección de las operaciones de la computadora en términos de eficiencia y satisfacción del usuario; en donde la función clave del personal de cargas de maquina tiene que ver con el logro eficiente y efectivo de varios aspectos como:

• Volver la utilización de los equipos en línea

• Entregar a tiempo y correctamente los procesos en lotes

• Satisfacer las necesidades de tiempo del usuario

Se deben evaluar los procedimientos de

Programación de cargas de maquina para

determinar si se ha considerado atenuar los

picos de los procesos generados por cierres

mensuales, o bien los picos de los sistemas en

línea, y poder balancear las cargas de trabajo

de lotes y línea, dando prioridad a los procesos

en línea, o contar con equipos que permitan

en forma independiente cumplir con las

necesidades de procesos en línea con su

comunicación y con sus procesos en lote.

En lo que respecta a los programas de trabajo se propone

Un resumen de un cuestionario de forma que se utilice como

guía:

1. ¿opera la sala de maquinas sobre la base de programas de

trabajo?

• SI

• NO

2. ¿Se cambian frecuentemente los programas de trabajo?

• SI

• NO

3. ¿Se comunica oportunamente a los usuarios las

modificaciones a los

programas de trabajo?

• SI

• NO

4. especifique los elementos que sirven como base para

programar

las cargas de maquina

Se deberá procurar que la distribución física del equipo sea

funcional.

CONTROL DE MEDIOS DE

ALMACENAMIENTO MASIVO

Estos dispositivos, representan para

cualquier centro de computo, archivos

extremadamente importantes, cuya

perdida parcial o total podría tener

repercusiones muy serias, no solo en la

unidad de informática, sino en la

dependencia en la cual se presta el

servicio.

A manera de quía se establece un resumen de un cuestionario a pregunta cerrada Como ejemplo de formato para el análisis de archivos: 1. ¿tienen el almacén de archivos protección automática contra el fuego? • Si

• No 2.¿ se verifican con frecuencia la validez de los inventarios de los archivos magnéticos? • Si • No 3. en caso de existir discrepancia entre archivos y su contenido, ¿se resuelven y explican satisfactoriamente las discrepancias? • Si • No

4. ¿se tienen procedimientos que permitan la reconstrucción de un archivo en cinta o disco, el cual Fue inadvertidamente destruido? • Si • No 5. ¿existe un control estricto de las copias de estos archivos • Si • No

6. ¿se certifica la destrucción o baja de los archivos defectuosos?

• Si

• No

7.¿ se tiene un responsable, por turno, de los archivos magnéticos?

• Si

• No

8. ¿se lleva control sobre los archivos prestados por la instalación?

• Si

• No

El objetivo del cuestionario es evaluar la forma como se administran

los

Dispositivos de almacenamiento básico dela dirección.

ORDEN EN EL CENTRO DE

COMPUTO

Los dispositivos del sistema de computo y los archivos magnéticos pueden ser dañados si se manejan de forma inadecuada.

Unas posibles preguntas que ayuda evaluar el orden que existe en la sala de maquinas son:

Existe un lugar asignado a las cintas y discos magnéticos?.

Son funcionales los muebles asignados para la cintoteca y discoteca?

Se cuenta con carteles en lugares visibles que recuerden dicha prohibición?.

EVALUACION DE LA

CONFIGURACION DEL SISTEMA

DE COMPUTO

Esta sección esta orientada:

Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el estado del proceso.

Evaluar posibles cambios en el hardware a fin de nivelar el sistema de ´computo con la carga de trabajo de actual.

Para hacer una evaluacion se puede utilizar preguntas como:

El sistema de computo tiene capacidad de red?

Se ha investigado si el tiempo de respuesta satisface a los usuarios?.

PRODUCTIVIDAD Se puede formular preguntas para evaluar la

eficiencia con que opera el área de captación y producción como son:

Se tiene una programación de mantenimiento previo?

Se revisa el cumplimiento de los programas de producción establecidas?

Existe índices de error aceptables para cada tipo de trabajo?

Se tiene incentivos para el personal que tenga un rendimiento superior al estándar?

PUNTOS A EVALUAR EN LOS

EQUIPOS

Se debe tener equipos estándares dentro de la organización, a menos que por requerimientos específicos se necesite un equipo con características distintas.

Si no se tiene políticas y estándares de compra de equipo de computo, cada departamento o empleado puede decidir el adquirir diferentes equipos.

Se deberá evaluar la ventaja de adquirir lio ultimo en tecnología contra el costo que esto representa, así como el tener equipos muy baratos pero con baja confianza en el proveedor.

Renta, renta con opción a compra o compra:

El software y las computadoras pueden rentarse, rentarse con opción a compra y o comprarse.

El auditor deberá evaluar:

Quien participar en el comité?.

Como se determinar el proveedor del equipo?.

Ventajas:

Compromiso a corto plazo(renta)

Se puede ejercer la opción de compra(renta con opción de compra)

Se puede tener valor de recuperación (compra)

Desventajas:

El equipo puede ser usado(renta)

Es mas caro que compra(renta con opción de compra)

Amarra al comprador a su decisión (compra)

Centralización vs descentralización

El audito debera evaluar a la organización y la justificacion que se tiene para que en una determinada organización se tengan equipos de formas centralizadas y descentralizadas.

Centralización

Ventajas:

Economía de escala

Control de los gastos de informática

acceso a grandes capacidades

Desventajas:

Falta de control de los usuarios sobre el desarrollo y operación de los sistemas.

Descentralización de procesamiento de datos

Ventajas:

Mayor responsabilidad ante la necesidad de los

usuarios,

Acceso inmediato a las bases de datos

descentralizadas

reducción de los costos de telecomunicación.

Desventajas:

Posibilidad de incompatibilidad de datos, equipos y

software

Duplicación de personal y de esfuerzo.