Académique Documents
Professionnel Documents
Culture Documents
El ambito de la tcnica de sistemas se compone por la infraestructura informtica, es decir el conjunto de instalaciones, equipos de proceso y el software base.
Instalaciones
Incluye salas de proceso, con sus sistemas de seguridad y control, asi como elementos de conexin y cableado.
Software Base
Se compone de los sistemas operativos, compiladores, traductores y programas, junto con los gestores de datos (sistema de administracin de base de datos) y una serie de herramientas y componentes auxiliares e intermedios ( herramientas de desarrollo, paquetes de seguridad, middleware, etc)
Nivel de servicio
determina el mayor o menor grado de eficacia del servicio prestado. Sin los clientes el Sistema de informacin (SI) no tiene sentido, y lo que los clientes necesitan es la garantia de que este cumpla su funcin adecuadamente. La garantia del funcionamiento se obtiene consiguiendo la de cada uno de los elementos del sistema, determinando los puntos criticos que afecten a la actividad del SI y a preveer su fallo y planificar los controles y acciones para evitarlos.
1. 2. 3. 4. 5. 6.
Instalacin y puesta en Servicio. Mantenimiento y Soporte. Requisitos para otros componentes. Resolucin de incidencias. Seguridad y Control. Informacin sobre la actividad.
Procedimiento general del suministrador adaptado a la instalacin concreta. Inventario de componentes del elemento y normas de actualizacin. Valores de parmetros del sistema en funcin del resto de elementos planificados (nmero y tipos de usuarios, aplicaciones Verificaciones a realizar y sus resultados.
Planificacin
Control del periodo de garanta y comienzo del mantenimiento del elemento. Procedimiento soporte. para contactar con el
Documentacin
Parametrizacin
Adaptacin de los parmetros del sistema en funcin de nuevos requerimientos o como resultado de nuevas versiones o resolucin de incidencias. Verificaciones de los adaptaciones realizadas. cambios o
Pruebas
Registrar
Supone abrir un formulario en el medio habilitado (papel, electrnico) que permita recoger los datos que identifican la anomala. Supone buscar una relacin entre el efecto y sus posibles causas. Determinar de entre las causas posibles aquella que tuviera ms probabilidad de resultar origen del problema. Es un dato importante en el enfoque de la resolucin, pues no tiene el mismo tratamiento una anomala bloqueante que un error que se produce de forma espordica. Para resolver definitivamente un problema hace falta conocer su causa y la forma de evitar que se reproduzcan las condiciones origen. Accin continua y normalizada para conseguir el diagnstico de una incidencia y la persecucin de su resolucin.
Analizar Diagnosticar
Calificar Resolucin
Seguimiento
La proteccin debe considerar tanto la posibilidad de hechos fortuitos como malintencionados. Es necesario proteger los accesos a la informacin y funciones con criterio de mnimos reservando funciones y accesos especiales a niveles de responsabilidad superiores con los controles adecuados. Los entornos de desarrollo y mantenimiento de programas deben dejar informacin sobre las sentencias borradas, modificadas y aadidas, as como los autores de las modificaciones. Es importante que exista una serie de normativas para realizar las funciones informticas, aunque es igual de importante que tales normas se cumplan.
Forma parte de la esencia de cualquier actividad rendir cuentas al responsable superior del trabajo realizado. Disponer de informacin estructurada, de acuerdo con los parmetros de seguimiento ms acordes con los objetivos de desempeo, es cuestin primordial para: Conocer la evolucin de la actividad. Comparar la realidad con los objetivos y estndares. Mejorar la calidad de la tarea. Anticiparse a situaciones crticas analizando las tendencias. La informacin debe servir para gestionar y, por tanto, debe ser resumida y expresiva en cuanto a la representacin de la realidad, permitiendo profundizar si se requiere un anlisis ms exhaustivo de algn parmetro.
los requerimientos de los usuarios, facilitando un anlisis claro de las oportunas alternativas ajustadas a los requisitos. * Se han de tomar en consideracin las restricciones internas y externas, la direccin de la tecnologa, los estudios de factibilidad, los requerimientos y la arquitectura informtica. Adquisicin y Mantenimiento de Infraestructura Tecnolgica : * Permite definir consideraciones especficas de requerimientos funcionales y operativos y una implantacin por fases con hitos claros. * Se deben considerar: la disponibilidad de la tecnologa, la direccin de su evolucin, las polticas de seguridad, el ajuste de los procedimientos a la instalacin y la flexibilidad.
las soluciones tecnolgicos instaladas. Supone una aproximacin estructurada, al desarrollo del usuario y a los manuales de procedimientos operativos.
Instalacin y Certificacin de Sistemas: * Verifica y confirma que la solucin encaja con el propsito
perseguido, lo que permite la realizacin de una correctamente formalizada instalacin, migracin y conversin as como un plan de aceptacin. Considera la aprobacin de la estructura, la documentacin, pruebas especficas, entrenamiento, conversin y/o carga de datos y revisiones post-implantacin.
Gestin de Cambios:
* Pretende minimizar disfunciones, alteraciones no autorizadas y errores, habilitando la gestin del sistema para el anlisis, la implantacin y el seguimiento de los cambios solicitados y realizados en la infraestructura de TI existente.
Gestin de Relaciones de servicios de Terceros: * Facilitan medidas de control para revisar y monitorizar los *
contratos existentes y los procedimientos para su eficacia de las polticas de la organizacin. Tiene que ver con los acuerdos de nivel de servicio, con los acuerdos de discrecin, las polticas de la compaa, las leyes y regulaciones y los contratos outsourcing.
Permite controles para gestionar la capacidad y el rendimiento que recopilan datos e informan para gestionar la carga, el tamao de las aplicaciones y la gestin de recursos y peticiones.
Aseguramiento e la Seguridad de los Sistemas: * Para salvaguardar la informacin contra usos no autorizados,
revelacin de informacin, modificacin, corrupcin o prdida, controla el acceso lgico al sistema, a los datos y a los programas, restringiendo stos a los usuarios autorizados. Debe disponerse de un sistema de contabilidad de costes que garantice el registro de los mismos, con el consiguiente clculo y distribucin de detalle. Utiliza criterios de eficiencia y fiabilidad.
sobre problemas y soluciones, el tiempo de resolucin de los problemas reportados, procedimientos de escalado e informes de incidencias.
Monitorizacin de los Procesos: * Persigue la consecucin de los objetivos buscados por los
procesos de los SI, definiendo la gestin de informes relevantes para la direccin y de indicadores de rendimiento de la implantacin del soporte de los sistemas, as como clarificando los informes sobre una base regular y normalizada.
1. Que existen. 2. Que son consistentes con los objetivos de control. 3. Que se ejecutan. El ejercicio de auditoria supone coleccionar unos hechos observados para emitir un juicio ecunime, profesional e independiente. Por lo que se realizan las pruebas cuyo resultado debe soportar las conclusiones del informe de auditoria (acciones correctoras que debe realizar para soslayar debilidades, problemas y mejorarlo ).
Una adecuada metodologa en el desarrollo de la auditoria fundamental y requiere de aspectos generales, tanto del campo la auditoria como de la organizacin de los Sistemas Informacin, tanto como de aspectos especficos que, en el caso TS son especialmente importantes.
es de de de
Existe, adems, un problema que se origina en la variedad y multiplicidad de los entornos. Existen distintas partes de los SI que se ubican en mquinas de tipo mainframe, de tipo mini y micros. La tecnologa de discos del entorno microinformtico ha sido la base de los actuales desarrollos de sistemas array.
Una empresa de cierto tamao tiene un entorno mainframe que soporte una serie de funcionalidades, junto con entornos medios para otras y un soporte microinformtico, articulado generalmente alrededor de una red que completa la infraestructura de sus sistemas centrales e instalaciones con enlaces de comunicaciones y la electrnica inherente. En entornos heterogneos se requieren conocimientos especficos de cada sistema operativo, gestor de base de datos, herramientas de desarrollo, administracin, seguridad y monitorizacin.
La funcin, en estos casos, debo ser auditada desde dos perspectivas diferentes y con equipos de personas distintas:
1.
Equipo de organizacin con conocimientos generales que chequee aspectos operativos Equipos expertos en entornos especficos que sean capaces de analizar los parmetros claves del software de base en sus distintas concepciones: sistemas operativos, gestores de bases datos y herramientas varias.
2.
La existencia de una red de comunicaciones incorpora un nuevo nivel de complejidad, para diferentes servicios, pueden existir distintas infraestructuras que se solapan: lneas de datos para conectar terminales/redes.
En grandes organizaciones es relativamente sencillo urdir estrategias organizativas que cumplan con los criterios bsicos de control en cuanto a establecimiento de procedimientos y segregacin de funciones En las organizaciones ms pequeas con menos recursos operativos, de control, de grupos de servicio a determinados objetivos parciales con elementos de proceso departamentales, se producen situaciones donde la segregacin funcional no existe y surgen en consecuencia amenazas y debilidades que el auditor debe determinar
La separacin de entornos de trabajo constituye un planteamiento fundamental para aislar la produccin de los riesgos del desarrollo. Los datos reales no deben ser accesibles ni utilizados para pruebas. El software de base debe aportar herramientas para modificar programas y controlar los cambios dejando pistas de auditora, debiendo existir el correspondiente procedimiento que contemple la segregacin funcional. La consistencia de los programas ejecutables con las fuentes origen es verificable y garantiza que las aplicaciones en ejecucin coinciden con las desarrolladas, validadas, y que sirven de base para cualquier modificacin posterior.
Debe comprobarse la existencia de todas las fuentes. La prdida de alguno deja a la organizacin en precario frente a cualquier modificacin necesaria que afecte a la funcionalidad que soporta el programa en cuestin. Un control especial debe aplicarse con las utilidades de uso restringido que permiten accesos directos al ncleo del sistema operativo o a los datos. Existen opiniones a favor de disponer de estas funciones fuera del sistema, cargndolas nicamente cuando sean necesarias y borrndolas despus.
Tenerse en cuenta el nivel de actualizacin de los mdulos del SO y si existen parches pendientes de aplicar. La planificacin de acciones debe ser cuidadosa, documentada y con posibilidad de alternativas y de marcha atrs ante cualquier eventualidad imprevista que no permita el correcto funcionamiento del sistema. Deben existir planes de respaldo y continuidad en cuanto al software de sistemas, as como el adecuado soporte interno/externo. El seguimiento de la adecuada sintona del sistema y su rendimiento debe ser una prctica habitual y continua. Los cambios sin una planificacin adecuada y la existencia de sper usuarios pueden atentar igualmente contra la segregacin funcional.
En ciertos casos, como complemento o como sustitucin por no justificarse determinadas medidas en funcin de la complejidad y el riesgo en cuestin, puede estudiarse una poltica de seguros: SPS (Seguro de soportes de datos),SPW (Seguro de software), SICO (Seguro para cobertura de contingencias), ISPB (Seguro de prdida de beneficios). Tambin conviene destacar la existencia de herramientas que ayudan en la metodologa logrando de forma semiautomtica el informe de auditoria. De igual forma cabe utilizar tiles especficos para sistemas concretos que en casos de sistemas complejos, son especialmente recomendables.
Sistema Distribuido
Suministrador Compras
12
13
14 8
Produccin
9 11
Contabilidad
Depsito / almacn
10
Un sistema distribuido es aquel en el que dos o ms mquinas colaboran para la obtencin de un resultado. En todo sistema distribuido se establecen una o varias comunicaciones siguiendo un protocolo prefijado mediante un esquema cliente-servidor
Inspector de entrada
Adolfo Held
Uso de un sistema de comunicacin Ausencia de memoria comn Sincronizacin del trabajo Ausencia de un estado global perceptible por un observador Comunicacin a travs de mensajes
Clasificacin
1. Representacin distribuida. La interaccin con el usuario se realiza bsicamente en el servidor. El cliente hace de pasarela, de sistema de acceso a los elementos hardware pantalla y teclado.
Terminal fsico
Clasificacin
2. Representacin remota. Los datos se envan sin formatear, y es el cliente el responsable de formatear los datos y realizar las acciones de interaccin con el usuario. En este caso, la aplicacin y la base de datos se encuentran en el servidor
Clasificacin
3. Lgica distribuida. En el cliente se llevan a cabo la interaccin con el usuario y la parte ms trivial de la lgica de la aplicacin. En este caso, se llevan a cabo controles bsicos de rango de campos, campos obligatorios, etc, mientras que el grueso de la lgica permanece en el servidor.
Clasificacin
4. Gestin remota de datos. Tanto la interaccin con el usuario como la aplicacin residen en el cliente, siendo el servidor el depositario de los datos.
Base de datos
Clasificacin
5. B.D. Distribuidas. El cliente debe conocer la topologa de la red, as como la disposicin y ubicacin de los datos. En este caso, se delega parte de la gestin de base de datos a los clientes.
Clasificacin
Cliente servidor a tres niveles (three tier). La aplicacin se distribuye en los tres niveles: aplicacin, datos e interfase de usuario
Paradigma
Es necesario un enlace de comunicaciones fiable Grandes volmenes de trfico Datos actualizados en tiempo real
Sistema centralizado
Las aplicaciones se desarrollan en entorno web. Los centros de proceso se centralizan y los servicios se concentran en intranets, extranets e internet. Cambios radicales en los usuarios (uso de redes globales) en oficinas, servicios, domicilios, etc.
Network Computer
Navegatores web
Internet y TCP/IP