EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN PROGRAMA DE TRABAJO ENTIDAD:
FECHA DE CORTE: Aplicado por:
Fecha
Revisado por:
Fecha
ADQUISICIÓN E IMPLEMENTACIÓN AI 2
Adqu dquisició ción y Mante ntenimiento de Softw ftware are de Apli plicaci ación
Criterios de información involucrados en el objetivo: Efectividad
Eficiencia
P
P
Confidencialidad
Integridad
Disponibilidad
Cumplimiento
Confiabilidad
S
S
S
Recursos de TI a considerar:
Personal
Aplicaciones
Tecnología
Facilidades
Datos
Objetivo General Las aplicaciones deben estar disponibles de acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones, la inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas.
Objetivos específicos específicos de control a verificar:
Objetivo N° a aplicar 1.
Objetivo de Control
Conclusión
Tiempo Estim. - Real
Diseño de alto nivel
1 2.
Diseño detallado
2 3.
Control y auditabilidad de las aplicaciones
3 4.
Seguridad y disponibilidad de las aplicaciones.
4 5. 6. 7. 8. 9.
Configuración e implantación de software aplicativo adquirido Actualizaciones Actualizaciones importantes en sistemas existentes Desarrollo de software aplicativo Aseguramiento de la Calidad del Software Administración de los requerimientos de aplicaciones
Página 1 de 6
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN PROGRAMA DE TRABAJO Objetivo N° a aplicar
RUBRO
1.
2.
3.
4.
5.
6.
Conclusión
Tiempo Estim. - Real
Mantenimiento de software aplicativo
10.
N°
Objetivo de Control
ADQUISICIÓN E IMPLEMENTACIÓN AI 2
Descripción de la tarea
Adquisición y Mantenimiento de Software de Aplicación Ref Resultado PT
Verificar que la metodología del ciclo de vida de desarrollo de sistemas de la organización aplica tanto para el desarrollo de nuevos sistemas como para la modificación de sistemas existentes y participación del usuario Verificar que el vínculo con el usuario al crear las especificaciones de diseño y al verificar éstas contra los requerimientos del usuario Verificar que en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de sistemas similar al del utilizado en los casos de desarrollo de nuevos sistemas Verificar que las especificaciones de diseño sean aprobadas por la administración, los departamentos usuarios afectados y la Presidencia de la organización, cuando esto sea apropiado para todos los proyectos nuevos de modificación y desarrollo de sistemas Verificar que se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desarrollo o modificación de sistemas, incluyendo que se requiera el respeto de las reglas de diccionario de datos Verificar que se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificación de información, y que estas especificaciones concuerdan con las especificaciones del diseño del sistema
-
Metodologia ¿? HELLEN Mantenimiento solo cuando es requerido por usuarios
No verifican los requerimientos del usuario con las especificaciones de diseño. Una reunión para obtener requerimientos y luego se procede a la programación
Correo
Aprobados solo por área de Desarrollo
-
No existe documentación. CONFIRMAR CON HELLEN -
HELLEN: CONFIRMAR SI HAY PROCESO DE DISEÑO
Se contrasta con Reglamento de Estudios y Procedimientos de la USAT Se realiza una reunión donde participan Rectorado y Jefe de Sistemas.
-
7.
Verificar que se especifican los mecanismos adecuados para la recolección y captura de datos para cada desarrollo nuevo del sistema o proyecto de modificación
O Verificar que se especifican los mecanismos adecuados G para la recopilación y entrada de datos para cada nuevo R proyecto de desarrollo o modificación de sistemas 8.
Verificar que existen mecanismos adecuados para la definición y documentación de los requerimientos de
-
IDEM Existe mecanismo para la definición de los
Página 2 de 6
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN PROGRAMA DE TRABAJO RUBRO
ADQUISICIÓN E IMPLEMENTACIÓN
Adquisición y Mantenimiento de Software de Aplicación Ref N° Descripción de la tarea Resultado PT requerimientos de entrada. entrada para cada proyecto nuevo de desarrollo o modificación de sistemas No existe documentación. Verificar que existe el desarrollo de una interfase entre FOTOS DE Interfase no es fácil de utilizar el usuario y la máquina fácil de utilizar y MODULO porque existen errores. 9. Tampoco es autodocumentable (por medio de funciones de ayuda “CARGA DE en línea) HORARIOS” autodocumentable.
10.
11.
12.
13.
14.
15.
16.
17. 18.
AI 2
Verificar que existen mecanismos adecuados para la definición y documentación de los requerimientos de procesamiento para cada nuevo proyecto de desarrollo o modificación de sistemas Verificar que existen mecanismos adecuados para la definición y documentación de los requerimientos de salida para cada nuevo proyecto de desarrollo o modificación de sistemas
No existe documentación No hay mecanismo para la definición de requerimientos de salida… No existe documentación
Verificar que se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificación de sistemas
Verificar que los requerimientos de seguridad y control interno incluyen controles de aplicación que garantizan la precisión, suficiencia y autorización de entradas y salidas
FOTO DE MODULO “GESTION DE EVENTOS” FOTO DE MODULO “GESTION DE EVENTOS” Y MODULO “”””
No se cumplen requerimientos de seguridad en: validación de los cargos en Módulo “Gestión de eventos”. No se valida el n° de horas programadas con el n° de horas del Plan de Estudios en Módulo “Programación de cursos”
Verificar que se considera la disponibilidad en el proceso de diseño de sistemas nuevos o modificados en la etapa más temprana posible, y que esta consideración debe analizar, en caso necesario, un incremento a través de mejoras de mantenimiento y confiabilidad Verificar que los programas de aplicación contienen provisiones que verifican rutinariamente las tareas llevadas a cabo por el software para ayudar a asegurar la integridad de los datos Verificar que el software de aplicación es probado de acuerdo con el plan de pruebas del proyecto y los estándares establecidos antes de ser aprobado por el usuario Verificar que se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrónico) como parte del proceso de desarrollo o modificación de cada sistema Verificar que el diseño del sistema es reevaluado siempre que ocurren discrepancias tecnológicas y/o lógicas significativas durante el desarrollo o el
Página 3 de 6
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN PROGRAMA DE TRABAJO RUBRO N°
ADQUISICIÓN E IMPLEMENTACIÓN AI 2
Descripción de la tarea
Adquisición y Mantenimiento de Software de Aplicación Ref Resultado PT
mantenimiento del sistema.
19.
20.
21.
22.
23.
24.
25.
Verificar que la metodología del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios son actualizados de manera precisa y oportuna Verificar que la metodología de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluación de sensibilidad durante la iniciación del desarrollo o modificación de nuevos sistemas Verificar que la metodología de ciclo de vida de desarrollo de sistemas requiere la evaluación de los aspectos básicos de seguridad y control interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseño conceptual del sistema, con el fin de integrar los conceptos de seguridad en el diseño lo más pronto posible Verificar que la metodología del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lógica y de las aplicaciones sean considerados e incluidos en el diseño de nuevos sistemas o modificaciones de sistemas existentes Verificar que la evaluación de los aspectos de control internos y de seguridad está basada en un buen marco referencial Verificar que los sistemas de Inteligencia Artificial están funcionando en una interacción o en el marco referencial con los operadores humanos para asegurar que las decisiones importantes sean aprobadas. Verificar que la exposición de la información sensible que se utiliza durante las pruebas de la aplicación se reduce ya sea con limitaciones severas de acceso o la despersonalización de los datos históricos.
Página 4 de 6
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN CUESTIONARIO D E CONTROL INTERNO RUBRO
ADQUISICIÓN E IMPLEMENTACIÓN AI 2
Tarea N°. Descripción 1.
2.
3. 4.
5.
6. 7.
Adquisición y Mantenimiento de Software de Aplicación Respuesta Comentario o Ref. P/T SI NO N/A
La participación del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa La metodología del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamente todos los aspectos de diseño de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, seguridad, recuperación en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.) Los usuarios clave de los sistemas están involucrados en el proceso del diseño del sistema La revisión del diseño y el proceso de aprobación aseguran que todos los problemas han sido resueltos antes de comenzar a trabajar sobre la siguiente fase del proyecto Los cambios mayores a los sistemas existentes aseguran que éstos han sido desarrollados utilizando una metodología de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas Existen los procedimientos de aprobación del diseño para asegurar que la programación del sistema no se inicie hasta que se hayan obtenido las aprobaciones correspondientes Los requerimientos de archivo y la documentación del sistema, así como el diccionario de datos, son consistentes con los estándares
8.
Se aprueban las especificaciones finales de archivos
9.
Las especificaciones de programación concuerdan con las especificaciones del diseño del sistema Las especificaciones del diseño de recolección de datos y de entrada de datos concuerdan Existen las especificaciones del diseño de la interfase usuario máquina Las especificaciones usuario - máquina es fácil de utilizar y que autodocumentación (utilizando instalaciones de ayuda en línea) funciona
10. 11. 12. 13.
Se documenten las interfaces internas y externas
14.
Los requerimientos de procesamiento forman parte de las especificaciones del diseño Los requerimientos de salida forman parte de las especificaciones del diseño Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseño Las especificaciones de diseño de los requerimientos de controles de aplicación garantizan la precisión, suficiencia, oportunidad y autorización de las entradas y las salidas Los requerimientos de seguridad y control interno han sido incluidos en el diseño conceptual del sistema (ya sea nuevo o modificado) lo más tempranamente posible
15. 16. 17. 18.
Página 5 de 6
EVALUACIÓN A LOS SISTEMAS DE INFORMACIÓN CUESTIONARIO D E CONTROL INTERNO RUBRO
ADQUISICIÓN E IMPLEMENTACIÓN AI 2
Tarea N°. Descripción 19.
20.
21.
Adquisición y Mantenimiento de Software de Aplicación Respuesta Comentario o Ref. P/T SI NO N/A
El funcionario de seguridad está involucrado activamente en el proceso de diseño, desarrollo e implementación del proyecto del nuevo sistema o de modificación del sistema El diseño del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en términos de tiempo y de procedimientos más eficientes en comparación con métodos anteriores, en caso de aplicar Las provisiones de programas de aplicación verifican rutinariamente las tareas llevadas a cabo por el software para asegurar la integridad de los datos
22.
Existen estándares de pruebas establecidos
23.
Existe un plan de pruebas del proyecto y un proceso de aprobación del usuario Los materiales de soporte y referencia para usuarios, así como las instalaciones de ayuda en línea están disponibles La función de "help desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez más complejos El proceso para escalar los problemas del “help desk” incluye el seguimiento, monitoreo y reporte de tales problemas a la administración de la función de servicios de información apropiada Se requiere la existencia de mecanismos para actualizar la documentación de los usuarios Existe la comunicación sobre los cambios a la documentación de los usuarios Se da el proceso de reevaluación siempre que ocurren discrepancias tecnológicas y/o lógicas significativas
24. 25. 26. 27. 28. 29.
Aplicado a: Puesto: FIRMA
Página 6 de 6