CAPITULO 4 EVALUACION DE LOS SISTEMAS

EVALUACIÓN DE LOS SISTEMAS

Hay varias formas para que una organización cuente con el software adecuado como: el elaborado por el usuario, el compartido o regalado, el software transportable, que pueden contar con un usuario o multiusuario que permita su fácil accesibilidad, pero además se debe tener en cuenta que  dentro de la elaboración  o adquisición de un sistema se debe considerar su compatibilidad con otros sistemas que permitan compartir información y que se ajuste a los requerimientos de los usuarios. 

Para evaluación de los sistemas en la auditoria   se debe determinar: los síntomas del problema su área, para posteriormente definir  las causas del problema y proceder con la evaluación del sistema de la siguiente forma: 

·         Definición de problema

·         Estudio de factibilidad

·         Diseño general y análisis del sistema

·         Diseño del sistema

·         Diseño detallado

·         Implementación y desarrollo físico

·         Pruebas del sistema

·         Cambios y mejoras al sistema

Con estos pasos se podrá hacer el análisis y se observara si hay lugar a modificaciones en el sistema y sis sus beneficios van en proporción con los servicios que prestan evaluando su disponibilidad, necesidad de los usuarios, efectos en los usuarios, congruencia con otros sistemas etc,. Para los sistemas que están en uso se determinara si cumplen con los objetivos con los que fue creado y si sus costos de creación y mantenimiento se ajustan con los beneficios.

Dentro delos principales problemas que se pueden detectar en el funcionamiento de un sistema se tienen: falta de estándares de desarrollo, falta de participación de la gerencia y usuarios, deficiente análisis costo beneficio, control débil, dificultad de mantenimiento, procesos no autorizados entre otros.

EVALUACIÓN DEL ANÁLISIS

En esta etapa se evaluara las políticas y normas que se deben tener en cuenta para proceder con el análisis, la planeación de aplicaciones como: la planeación estratégica, requerimientos de los usuarios, los inventarios de sistemas en proceso y los requerimientos de la organización y usuarios. Además es de vital importancia que para la evaluación del análisis definir cuál fue la necesidad para su aplicación y el estado en que se encuentre en el momento del análisis.

La auditoría debe evaluar los documentos base que fueron tenidos en cuenta para la elaboración del sistema como: manual del usuario, descripción del flujo de información, manual de formas y de reportes, definición de bases de datos, definición de redes. Con la información obtenida se podrá responder a interrogantes como: ¿se está ejecutando correctamente? ¿puede ser simplificado? ¿se tiene propuesto un adecuado control? ¿los informes de salida son son confiables y adecuados?.

Análisis y diseño estructurado

Para ello es importante la construcción de diagramas de flujo lógico que permitan observar posibles errores sin necesidad de adentrarse en el sistema como tal, para establecer mejoras y corregir errores de una forma más eficaz.

EVALUACIÓN DE DISEÑO LÓGICO DEL SISTEMA

Esta etapa permite hacer una comparación de las especificaciones con las que fue creado el sistema versus lo que se está obteniendo realmente de él.

Programas de desarrollo

Incluido por software solo usado por personal entrenado, el cual incluye: lenguajes de programación, CASE, programación orientada a objetivos.

Al usar software se debe evaluar lo siguiente: interfaces de usuarios, enlaces de objetos, capacidad de trabajar en multiplataforma, licencias, transportable, fácil de usar, demanda de software, costo entre otros, todo ello para hacer una correcta evaluación del diseño lógico del sistema.

Bases de datos

Es un banco de datos.

Es una organización sistemática de archivos que facilitan su acceso, recuperación y actualización los cuales se relacionan unos con otros. Pero dentro de estas se debe tener en cuenta el tipo de información que se le incorpore  para evitar la redundancia en los datos.

Los componentes a evaluar en las bases de datos son:

·         Diccionario

·         Lenguajes

·         Monitoreo

·         Herramientas de desarrollo

·         Software de seguridad

·         Almacenamiento

·         Bases de datos de multiplataformas etc.

El administrador de bases de datos

Esta función es de vital importancia ya que permite, a los usuarios compartir datos mejorar consistencia y redundancia de datos, incrementar productividad, y incrementa el énfasis y la mejora y control de los datos.

Problemas de los sistemas de administración de bases de datos

Como principal problema dentro de una base de datos se tiene el uso de usuarios múltiples cuando la base de datos no ha sido creada con este fin, lo que podría originar una doble entrada de información si dos usuarios tratan de modificar una documento sin existir un control sobre actualizaciones instantáneas. Por ello uno de los controles que se podría implementar es una mayor seguridad sobre el tipo de usuario que tiene acceso alas base de datos.

Comunicación

Se evaluara para establecer el tipo de información comunicada y modo de comunicación utilizado, de acuerdo a los componentes del sistema de comunicación.

El uso de redes de comunicación tiene una estrecha relación costo-beneficio pero su uso puede justificarse de acuerdo a los servicios que estas prestan a los usuarios como la conectividad.

Algunos de los puntos  más importantes a evaluar de las redes son: su confiabilidad, tiempo de respuesta, costo, compatibilidad y seguridad.

Dentro de los puntos a evaluar de su diseño lógico se tienen: entradas, salidas, procesos, especificaciones de datos, métodos de acceso, sistemas de seguridad, sistemas de control, responsables, número de usuarios y bases de datos requeridos.

Informes

El proceso de informe debe ser de carácter general para no dejar a un lado lo que dio inicio al sistema.

Determinando en el sistema  quien hace la función y como, ¿existen puntos de control o falta? ¿Es lógico? ¿Es fácil de usar? ¿Cuál es el propósito para su uso? ¿Quién lo usa?, todo esto con el fin de hacer un análisis más homogéneo del sistema.

Para el análisis del diseño de formas están: la numeración, titulo, espacio, tabulación, zonas, rayado, instrucciones, firmas, nombres, rótulos y su ubicación, casilleros, tipo de papel, tamaño estándar, color, entre otros.

Análisis de informes

Habiendo estudiado los formatos se debemos analizar los informes para luego evaluarlos con la información suministrada por os usuarios en las encuestas.

Ruido, redundancia, entropía.

Para la auditoria es de vital importancia  el estudio del ruido, la redundancia y la entropía, en los sistemas.

El ruido considerado como todo aquello que interfiere en la comunicación del sistema.

Para el  caso del sistema se debe evaluar lo conocido como sistema imaginable, como las ayudas, catálogos de referencias, ligas automáticas, que sea ágil, que solicite información en forma secuencial.

 La función de  redundancia es toda aquella duplicidad de información existente en el sistema, para que en el caso de que haya ruido la información llegue efectivamente al receptor.  Además es una forma de control pero debe tenerse en cuenta que el exceso de redundancia podría causar ruido.  Por eso también se deberá controlar los niveles de redundancia en el sistema.

Para el caso de la entropía se podría definir como, la cantidad de energía que por su degradación no puede ser aprovechada, de tal manera que dentro de los sistemas podría plantearse como opción para reducirla, la interconexión de sistemas para que la energía que no sea usada pueda ser utilizada en otro sistema.

EVALUACIÓN DEL DESARROLLO DEL SISTEMA

En esta etapa se deberá auditar programas y su diseño, su lenguaje utilizado, la interconexión, y las características del hardware empleado. Además es de vital importancia tener en cuenta que cuando se evalúa los sistemas de información no se debe desconocer o dejar a un lado su función que cumplen dentro de la organización.

Sistemas distribuidos, internet, comunicación entre oficinas

Los sistemas distribuidos hacen referencia  cuando los datos y las computadoras están en más de un lugar permitiendo una gran cantidad de beneficios se vean aprovechados como: mejoras en el tiempo de respuesta, reducción de costos, crecimiento planeado, compartir recursos, satisfacción de usuarios, etc.

Pero para la evaluación de los sistemas distribuidos podremos considerar puntos importantes  como: falta de personal calificado en todos los puntos del sistema, estandarización, documentación, perdida de datos, mantenimiento del sistema y la seguridad en la transferencia de la información. 

Para el diseño de estos sistemas  se deberá definir una red óptima  de comunicaciones, sus niveles, y recursos utilizados; además deberán estar interconectados con otros sistemas lo que permita la creación de un sistema homogéneo o integral que responda a las necesidades.

CONTROL DE PROYECTOS

Este control es planteado con el fin de evitar irregularidades por parte de los usuarios y para que el programador junto con el administrador elaboren su  plan de trabajo que permita establecer actividades, metas, personal y tiempos. Este plan deberá ser revisado periódicamente para la verificación y retroalimentación a lo que se había planteado inicialmente.

CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN

El objetivo principal es que el sistema funcione de acuerdo a sus especificaciones funcionales para ello deberá atravesar por una serie de etapas importantes como las siguientes:

·         Etapa de análisis y definición de problema (objetivo del sistema)

·         Etapa de estudio de factibilidad (desarrollo de modelo lógico)

·    Etapa de diseño (evaluar opciones de diseño, escogerla plantear objetivos e iniciar su codificación)

·         Etapa de programación (verificar con base en especificaciones)

·         Etapa de implementación y pruebas del sistema: se efectúa la implementación del sistema, evaluando su seguridad, confidencialidad, y brindando entrenamiento a los usuarios etc., con estas pruebas buscando garantía de que se cumpla con las especificaciones inicialmente planteadas y además tomando nota de las posibles fallas para efectuar correcciones.

Dentro de esta etapa se debe considerar además que  los sistemas que están en marcha dentro de una organización estén funcionando correctamente esto con el fin de evitarse continuos mantenimientos que pueda elevar costos, cuando lo mejor sea reemplazarlo.

Es importante tener en cuenta que dentro del desarrollo de los sistemas deben ir directamente ligados con unas normas que ejerzan control sobre su uso (como el acceso en el cual se pueden presentar fallas de seguridad por el acceso constante de programadores y analistas)  y puedan ser monitoreadas con regularidad.

INSTRUCTIVOS DE OPERACIÓN

La evaluación de los instructivos es importante para que los programadores no tengan acceso a los sistemas en operación  estos instructivos comprenderán:

·         Diagramas de flujo

·         Diagramas de entrada y salida

·         Mensajes y su explicación

·         Diseño de impresión de resultados

·         Cifras de control

·         Fórmulas de verificación

·         Observaciones

·         Calendario de procesos

FORMA DE IMPLANTACIÓN

Para el desarrollo de este paso se hará una evaluación integral del sistema, la adecuación y aceptación de usuario y el entrenamiento de los responsables del sistema considerando algunos factores: puntos que se toman en cuenta para la prueba del sistema, forma de cargar los datos al sistema y un plan de trabajo para la implantación del sistema.

EQUIPO Y FACILIDADES DE PROGRAMACION

Para tener un óptimo rendimiento del sistema es importante el uso de equipos de cómputo adecuados, así como sistemas operativos que respondan a las necesidades presentes de la organización.

ENTREVISTAS A USUARIOS

Estas entrevistas tienen por objeto conocer el concepto de los usuarios acerca del sistema y la difusión de aplicaciones, estas deberán realizarse al mayor número de usuarios posibles para hacer una evaluación de la funcionalidad del sistema.

ENTREVISTAS.

Una guía para la entrevista puede ser.

Ø  Prepararse para la entrevista estudiando los puestos de las personas que van a ser entrevistadas y sus funciones dentro de la organización.

Ø  Preséntese y de un paradigma del motivo de la entrevista.

Ø  Comience con preguntas generales sobre  las funciones, la organización y los métodos de trabajo.

Ø  Haga preguntas específicas sobre los procedimientos que pueden dar mejoramiento.

Ø  Siga los temas tratados en la entrevista.

Ø  Limite tomar nota de lomas relevante.

Ø  Al final de la entrevista, ofrezca un resumen y de información obtenida y pregunte como se puede dar seguimiento.

CUESTIONARIOS.

El diseño de un cuestionario debe tener una adecuada preparación elaboración, pre valuación y evaluación .Algunas guías generales son:

1.    Identificar el grupo evaluado.

2.    Escribir una introducción clara.

3.    Determinación de datos recopilados.

4.    Elaborar preguntas con precisión.

5.    Limitar el número de preguntas.

6.    Diseñar e implementar un plan de recolección de datos.

7.    Determinar el método de análisis que será usado.

8.    Distribuir cuestionarios.

El cuestionario debe responder las siguientes preguntas:

Que áreas pueden ser mejoradas?

Que información necesita que actualmente no tiene o que es difícil de obtener?

Que cuellos de botella ocurren durante el día? Como se pueden eliminar?

Desde el punto de vista del usuario los sistemas deben:

Ø  Cumplir con los requerimientos totales del usuario.

Ø  Cubrir todos los controles necesarios.

Ø  No exceder las estimaciones del presupuesto inicial, en tiempo y costo.

Ø  Ser fácilmente modificables.

Ø  Poder usarlos a tiempo.

DERECHOS DE AUTOR Y SECRETOS INDUSTRIALES.

Dentro del concepto de propiedad intelectual, uno de los aspectos más importantes es el que se difiere de los derechos de autor, el cual involucra la parte más importante del desarrollo intelectual de las personas, ya que se refiere a las ramas literaria, científica, técnica, jurídica, musical, pictórica.

En la mayoría de los países existen leyes protectoras de obras intelectuales que producen los poetas, los novelistas, los compositores, los pintores, los escultores y de manera reciente se han protegido los programas de computadora y las bases de datos.

En general se admiten que son cinco las razones de la protección:

Ø  Razón de justicia social: el autor debe obtener provecho de su trabajo.

Ø  Razón de desarrollo cultural: si el autor está protegido, estará estimulado para crear nuevas obras.

Ø  Razón de orden económico: la importancia de las inversiones.

Ø  Razón de orden moral: al ser la obra la expresión personal del pensamiento debe tener de que se le respete.es decir derecho a decidir si puede ser reproducida o no.

Ø  Razón de prestigio nacional: Si la protección no existe, el patrimonio cultural será escaso y no se desarrollaran las artes.

INTERNET

El internet, considerado como una colección de redes interconectados a como un conjunto de computadores unidas entre sino ha sido tomado en cuenta entre diversas disposiciones citadas. Para obtener acceso a internet se requiere un equipo que está al alcance del público en general, o lo que cualquier persona puede entrar a  la red de redes de comunicación si contrata los servicios de un proveedor de acceso.

Los proveedores de servicios son los responsables de la información que ponen al servicio de sus usuarios, ya que dichas compañías son encargadas de divulgar y controlar la información transmitida por internet.

Se utiliza el Cookie que se aplica a un simple archivo de datos situado en el disco duro del computador de una persona o compañía de servicios de internet. El cookie y su contenido son creados por un servidor que almacena una o varias páginas de internet. La situación de los cookie debe ser evaluada dentro de una auditoria, para determinar si se considera como una intromisión la privacidad de los usuarios de internet de una compañía.

PROTECCION DE LOS DERECHOS DE AUTOR.

Las obras protegidas por la ley deberán ostentar la expresión ´´Derechos reservados´´ o su abreviatura D.R seguida del símbolo c dentro de un círculo. Sin embargo la omisión de estos requisitos no implica la perdida de los derechos de autor, aunque sujeta al responsable  a  las sanciones establecidas en la ley.

La reserva de los derechos de autor es la facultad para usar y explotar en forma exclusiva títulos, nombres, denominados, características físicas de operación originales. Para proteger los derechos los derechos de autor se estableció el ART 215 de la ley derechos de autor, que corresponde conocer a los tribunales de la federación, sobre los delitos relacionados con el derecho de autor.

SECRETOS INDUSTRIALES.

Artículos de la ley de la propiedad industrial en materia de Secretos Industriales.

Art 82.Se considera secreto industrial a toda información de aplicación industrial o comercial que guarde una persona especifica o moral con carácter confidencial.

La información de un secreto industrial necesariamente deberá estar referido a la naturaleza, características o finalidades de los productos, a los métodos o procesos de producción, a los medios o formas de distribución o comercialización de productos o prestación de servicios.

Se considera secreto industrial ´´toda información de aplicación industrial de comercial¨ .En principio, respecto de la puede ser de carácter comercial´´.

La definición de la ´´Uniform Trade Secrets Act´´legislación de Estados unidos habla sobre secretos industriales de la siguiente forma: un secreto industrial podrá consistir en cualquier forma o patrón.

Consideraciones legales sobre el empleo de nombres de dominio frente al régimen de marcas.

Las  posibilidades de la comunicación vía Internet son inagotables, comprendiéndose dentro de ellas la posibilidad de ofrecer productos y prestar servicios al enorme mercado potencial que acude a los sitios en la red, mediante la obtención nombre de dominio que refiera a los usuarios de la red a un sitio exclusivo destinado a promover sus bienes y/o servicios.

Los nombres de dominio son denominaciones únicas asignadas a personas que desean tener un domicilio que pueda ser visitado por usuarios de la red. El sistema de dominio interpreta los nombres como números y cada computadora conectada a la red cuenta con un número único.

En Latinoamérica en el caso de Colombia tenemos la siguiente legislación:

LEY 527 DE 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones.

CAPITULO I

ART 2.a.Mensaje de datos. La información enviada generada, recibida, almacenada o acumulada por medios electronicos opticos o similares

.comercio electrónico. Abarca todas las cuestiones de índole comercial.

firma digital. Se entenderá como el valor numérico que se adquiere a un mensaje de datos y que utilizando un procedimiento matemático.

 Entidad de certificación. Es aquella persona que, autoriza para emitir certificados.

CAPITULO II

Aplicación de los requisitos jurídicos de los mensajes de datos.

CAPITULO III

Comunicación  de los mensajes de datos.

PARTE II 

Comercio electrónico en materia de transporte de mercancías.

PARTE III

Firmas digitales, certificaciones y entidades de certificación.

CAPITULO I

Firmas digitales.

CAPITULO II

Entidades de certificación.

CAPITULO III

Certificados.

CAPITULO IV

Suscriptores de firmas digitales

DECRETO NUMERO 1747 DE 2000: Por el cual se reglamenta parcialmente la ley 527 de 1999, en lo relacionado con las entidades de certificación ,los certificados y firmas digitales.

CAPITULO I

Aspectos generales.

CAPITULO II

De las entidades de certificación y las firmas digitales.

CAPITULO III Facultades de la superintendencia de industria y comercio.

VIDEOS RELACIONADOS

Proyectos Informáticos

auditoria de sistemas

Auditoria de sistemas SW #1 - licenciamiento de Software legislación en Colombia

1. Explicación Tematica Auditoria Informatica 2 - UNISARC

CAPITULO 3 AUDITORIA DE LA FUNCIÓN INFORMATICA

AUDITORIA DE LA FUNCION INFORMATICA

Los pasos para elaborar este tipo de auditoria son los siguientes:

RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIÓN

Ø   Luego de la planeación se debe empezar a recolectar la información, para ello se efectuara la revisión sistematizada de cada área utilizando los siguientes elementos:

1.    Revisión de la estructura orgánica(jerarquía ,funciones, objetivos)

2.    Situación de recursos humanos.

3.    Las entrevistas con  el personal de procesos electrónicos.

4.   Conocer la situación en cuanto a: presupuestos, recurso financiero, materiales, mobiliario y equipo, costos.

5.    Levantamiento de información de recursos humanos.

Esta información nos servirá para determinar:

Si las responsabilidades en la organización están definidas adecuadamente.

Si la estructura de la organización esta adecuada a las necesidades.

Si el control organizacional es adecuado.

Si se tienen objetivos y políticas adecuados.

Luego de este proceso se debe realizar una evaluación que se lograra observando el cumplimiento de las funciones de la gerencia tales como:

·         Planeación: Determinar objetivos del área y como se van a lograr.

·         Organización: Proveer de facilidades, estructura, división de trabajo responsabilidades y actividades de grupo.

·         Recursos humanos: Seleccionar, capacitar el personal.

·         Dirección: Coordinar las actividades proyectando liderazgo guía y motivando el personal.

PRINCIPALES PLANES QUE SE REQUIEREN DENTRO DE LA ORGANIZACIÓN INFORMÁTICA.

·         Estudio de viabilidad: investiga los costos y beneficios de los usos a largo plazo de la computación, sirve para definir el tipo de hardware, el software y equipo periférico y de computación.

·         Planeación de  cambios, modificaciones y actualización: Especifica las metas y actividades que se deben realizar para lograr los cambios y modificaciones, su independencia, tiempos, responsabilidades y restricciones, cuando la organización, la forma de hacer cambios sustantivos del software, hardware, comunicación o equipos periféricos.

·         Plan maestro: Define los objetivos a largo plazo y las metas necesarias para lograrlo.

Este plan puede contener cuatro subplanes:

1.    El plan estratégico de la organización.

2.    El plan estratégico de los sistemas de información.

3.    El plan de requerimientos.

4.    El plan de aplicaciones de sistemas de información.

·         Plan de proyectos:

Consiste en el plan básico para desarrollar determinados sistemas y para asegurarse que el proyecto es consistente con las metas y objetivos de la organización y con aquellos señalados en el plan maestro.

·         Plan de seguridad:

Se debe tener un plan que permita eliminar en lo posible la ocurrencia de un desastre o pérdida por causas internas o externas a la organización.

EVALUACIÓN DE LA ESTRUCTURA ORGÁNICA.

Para lograr la evaluación de la estructura orgánica se deberá solicitar el manual de la organización, de la dirección, el cual deberá comprender, como mínimo: Organización jerárquica.

Función, Objetivos y políticas, Análisis y descripción de puestos

·         Dirección de informática: El director  de informática y aquellas personas que tengan un cargo directivo deben llenar cuestionarios para que se pueda obtener la información necesaria.

ESTRUCTURA ORGÁNICA.

Uno de los elementos más críticos es el relativo al personal y su organización, un personal calificado, motivado, entrenado y con adecuada remuneración repercute directamente en el buen desempeño de la auditoria informática.

FUNCIONES:

Las funciones en la informática pueden diferir de un organismo a otro aunque se designen con el mismo nombre por ejemplo: la función del programador en una organización puede ser diferente en otra organización.

OBJETIVOS:

Uno de los posibles problemas o descontentos que puede tener el personal es el desconocimiento de los objetivos de la organización, lo cual puede deberse a una falta de definición de objetivos, esto provoca que no se pueda tener una planificación adecuada.

ANÁLISIS DE LAS ORGANIZACIONES.

Si no existe un organigrama, el auditor debe elaborar uno que muestre el actual plan de organización.

Criterios para analizar organigramas:

Ø  Agrupar funciones similares y relacionadas entre sí.

Ø  Agrupar funciones que sean compatibles.

Ø  Localizar la actividad cerca de la función a la que sirva.

Ø  Localizar la actividad cerca o dentro de la función mejor preparada para realizarla.

EVALUACIÓN DE LOS RECURSOS HUMANOS.

El desarrollo del personal implica:

Ø  Establecer promociones y oportunidades de desarrollo.

Ø  Educación y capacitación.

Se deberá obtener información sobre la situación del personal del área, para lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos.

Se debe obtener información acerca de:

Ø  Desempeño y comportamiento.

Ø  Condiciones del ambiente de trabajo.

Ø  Organización en el trabajo.

Ø  Desarrollo y motivación.

Ø  Capacitación y supervisión.

ENTREVISTA CON EL PERSONA DE INFORMÁTICA.

Se deberán efectuar entrevistas con el personal de informática para lo cual puede entrevistarse a un grupo de personas elegidas.

SITUACIÓN PRESUPUESTAL Y FINANCIERA.

Presupuestos

Se debe obtener información presupuestal y financiera del departamento, asi como del número de equipos y características para hacer un análisis de su situación desde un punto de vista económico. Entre esta información se encuentra.

Ø  Costos del departamento, desglosado por áreas y controles.

Ø  Presupuestos del departamento, desglosado por áreas.

Ø  Características de los equipos, números de ellos y contratos.

Se deben de tener en cuenta los RECURSOS FINANCIEROS, MATERIALES.

VIDEOS RELACIOINADOS