CICLO DE VIDA DE UN SISTEMA 1. En base a Etapas del Desarrollo de un Sistema, proponga objetivos de control, para cumplir con los requerimientos de auditoria. 1.1. Aprobación, planificación y gestión del proyecto Objetivos de Control: - El departamento de desarrollo de sistemas debe tener responsabilidades claramente asignadas a cada uno de los miembros del equipo. - Las actividades de los analistas, diseñadores que utilizan para desarrollar e implantar un sistema de información deben cumplir con estándares de software plenamente aceptados. - Al desarrollar un sistema se debe identificar la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. - La consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas que deberán establecerse una distribución y una infraestructura tecnológica apropiadas - El proyecto de desarrollo de tecnologías de información aprobado, definido y planificado debidamente. - asegurar el financiamiento y el control de desembolsos de recursos financieros, manejo de la inversión, presupuestos periódicos sobre inversiones y operación establecidos y aprobados por el negocio 1.2. debe estar Análisis Objetivos de Control: - El aspecto fundamental del análisis de sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo estudio. - Los analistas, deben trabajar con los empleados y administradores, para estudiar de una forma adecuada los procesos de una empresa. - Se debe asegurar el mejor enfoque para cumplir con los requerimientos del usuario se debe hacer posible a través de un análisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios. - La metodología del ciclo de vida de desarrollo de sistemas de la organización debe asegurar que los requerimientos del negocio estén claramente definidos antes de aprobar cualquier proyecto de desarrollo, implementación o modificación. - La metodología del ciclo de vida de desarrollo de sistemas deberá exigir que los requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeño, protección, confiabilidad, compatibilidad, seguridad y legislación. - Se debe generar, en cada proyecto de desarrollo de sistemas de información propuesto, el análisis de los costos y beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del negocio establecidos. - Se debe asegurar, en cada proyecto de desarrollo de sistemas, el análisis y la documentación de las amenazas a la seguridad, puntos de impacto y debilidad y protecciones factibles de seguridad y control interno, con la finalidad de reducir o eliminar el riesgo identificado. 1.3. Diseño Objetivos de Control: - El diseño de un sistema de información debe producir los detalles que establecen la forma en la que el sistema cumplirá con los requerimientos identificados durante la fase de análisis. - La Gerencia deberá asegurar que, en caso de presentarse la necesidad de realizar modificaciones significativas a los sistemas actuales, se siga un proceso de desarrollo similar al utilizado en el desarrollo de sistemas nuevos. - La metodología del ciclo de vida de desarrollo de sistemas de la organización debe estipular que se especifiquen, diseñen y documenten apropiadamente todas las interfaces internas y externas. - Se debe asegurar la aplicación de un procedimiento apropiado para la definición y documentación del proyecto de desarrollo y modificación de sistemas de información. Este procedimiento deberá garantizar el respeto a las reglas de diccionario de datos. - Se debe asegurar el desarrollo de una interface entre el usuario y la máquina fácil de utilizar. 1.4. Construcción Objetivos de Control: - En la construcción del sistema se debe verificar e instalar nuevos equipos. - Capacitar a los usuarios, instalar la aplicación y construir todos los archivos de datos necesarios para su utilización. - Deberán establecerse procedimientos para evaluar el impacto del nuevo hardware y software sobre el rendimiento del sistema en general. - Deberán implementarse procedimientos para asegurar que las modificaciones realizadas al software del sistema sean controladas de acuerdo con los procedimientos de administración de cambios de la organización. - En esta etapa se debe dar mantenimiento a las aplicaciones. La evaluación de un sistema se llevará a cabo para identificar puntos débiles y fuertes del mismo. - Se deberá calendarizar el mantenimiento rutinario y periódico del hardware con el fin de reducir la frecuencia y el impacto de fallas de rendimiento. 2. Proponer como debería realizarse en la empresa la Adquisición e implementación de Software para cumplir con los requerimientos de auditoria. 3. En sus empresas elijan un proceso y planteen controles que permitan realizar la entrega y soporte según las buenas prácticas planteadas. 3.1. Definir y Administrar Niveles de Servicio. Establecer un entendimiento común del nivel de servicio requerido posibilitado por el establecimiento de acuerdos de nivel de servicio que formalizan los criterios de rendimiento contra los cuales se medirá la cantidad y la calidad del servicio que será medido. 3.2. Administrar Servicios de Terceros. Asegurar que los roles y responsabilidades de terceros estén claramente definidos, cumplidos y que continúen satisfaciendo los requerimientos mediante medidas de control dirigidas a la revisión y la monitorización de acuerdos y procedimientos existentes para su efectividad y cumplimiento con la política de la organización. 3.3. Administrar el Rendimiento y la Capacidad. Asegurar que la capacidad adecuada esté disponible y que se haga el mejor y el óptimo uso de ésta para satisfacer las necesidades requeridas de rendimiento a través de la recolección de datos, análisis y reporte sobre el rendimiento de los recursos, el dimensionamiento de la aplicación y la demanda de carga de trabajo. 3.4. Asegurar un Servicio Continuo. Asegurar que los servicios de TI estén disponibles cuando se requieran y asegurar un impacto mínimo en el negocio en el caso de una interrupción importante. Es posibilitado teniendo un plan operativo y probado de continuidad de TI que esté en línea con el plan general de continuidad del negocio y con sus requerimientos de negocio relacionados. 3.5. Asegurar Seguridad de Sistemas. Salvaguardar información contra el uso, revelación o modificación no autorizada, daño o pérdida mediante controles de acceso lógico que aseguran que el acceso a los sistemas, datos y programas esté restringido a los usuarios autorizados. 3.6. Identificar y Asignar Costos. Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI utilizando un sistema de contabilidad de costos que asegura que los costos sean registrados, calculados y asignados al nivel requerido de detalle y a la oferta apropiada de servicio. 3.7. Educar y Capacitar a los Usuarios. Asegurar que los usuarios estén haciendo uso efectivo de la tecnología y que estén consientes de los riesgos y responsabilidades involucradas mediante un extenso plan de entrenamiento y desarrollo. 3.8. Asistir y Asesorar a los Clientes. Asegurar que cualquier problema que experimente el usuario sea resuelto de manera apropiada a través de una facilidad de Help Desk que provee soporte y asesoramiento de primera línea. 3.9. Administrar la Configuración. Dar cuenta de todos los componentes de TI, prevenir las alteraciones no autorizadas, verificar la existencia física y proveer una base para una administración sensata de cambios. Es posibilitado por controles que identifican y registran todos los activos de TI y su ubicación física, y un programa de verificación regular que confirme su existencia. 3.10. Administrar Problemas e Incidentes. Asegurar que los problemas y los incidentes sean resueltos, y que se investigue la causa para prevenir cualquier recurrencia usando un sistema de administración de problemas que registra y procesa todos los incidentes. 3.11. Administrar Datos. Asegurar que los datos sigan siendo completos, precisos y válidos durante su ingreso, actualización y almacenamiento mediante una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. 3.12. Administrar Facilidades. Proveer un entorno físico adecuado que proteja el equipo de TI y la gente contra riesgos naturales y provocados por el hombre. Es posibilitado por la instalación de controles ambientales y físicos adecuados que sean revisados regularmente en busca de su funcionamiento apropiado. 3.13. Administrar Operaciones. Asegurar que las funciones importantes de soporte de TI se realicen regularmente y en la forma debida mediante un programa de actividades de soporte que es registrado y aprobado para la realización de todas las actividades.