miércoles, 6 de junio de 2012

6.2 AUDITORIA  INFORMÁTICA


La auditoria de la calidad es un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier información, para evaluarlas de manera practica, su objetivo es determinar si realmente se están cumpliendo políticas y los procedimientos previamente establecidos.

La auditoría informática es el proceso mediante el cual se recoge, agrupa y evalúa todo tipo de evidencias para determinar si un Sistema de Información, trabaja adecuadamente, con los parámetros establecidos, mantiene la integridad y seguridad de los datos, llevando eficazmente los fines de la organización.

Objetivos:
·         El control total de todo lo relacionado con la informática empresarial.
·         El estudio de la eficiencia de los Sistemas Informáticos.
·         La verificación del cumplimiento de los parámetros que se establecieron.
·         La revisión de la eficaz gestión de los recursos informáticos.

Características de la Auditoria Informática
La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Síntomas de la necesidad una Auditoria Informática:
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinación y desorganización:
·         No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.
·         Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
·         Puede ocurrir con algún cambio masivo de personal, o en una restructuración fallida de alguna área o en la modificación de alguna Norma importante.

Síntomas de mala imagen e insatisfacción de los usuarios:
·         No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc.
·         No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
·         No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financieras:
·         Incremento desmesurado de costes.
·         Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).
·         Desviaciones Presupuestarias significativas.
·         Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

Síntomas de Inseguridad: Evaluación de nivel de riesgos
·         Seguridad Lógica
·         Seguridad Física
·         Confidencialidad
·         Los datos son propiedad inicialmente de la organización que los genera.
·         Los datos de personal son especialmente confidenciales.
·         Continuidad del Servicio. Es un concepto aún más importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia.
·         Totales y Locales.
·         Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica.
En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

Metodología de Trabajo
  • ·         Alcance y Objetivos de la auditoría Informática.
  • ·         Estudio inicial del entorno auditable.
  • ·         Determinación de los recursos necesarios para realizar la auditoría.
  • ·         Elaboración del plan y de los programas de trabajo.
  • ·         Actividades propiamente dichas de la auditoría.
  • ·         Confección y redacción del Informe Final.
  • ·         Redacción de la carta de Introducción o carta de presentación del Informe final.
  • ·         Plan de Trabajo
  • ·         Toma de contacto.
  • ·         Planificación.
  • ·         Desarrollo de la auditoría.
  • ·         Fase de diagnóstico.
  • ·         Presentación de conclusiones.
  • ·         Formación del plan de mejoras.
  • ·         Técnicas de Trabajo
  • ·         Análisis de la información recabada del auditado.
  • ·         Análisis de la información propia.
  • ·         Cruzamiento de las informaciones anteriores.
  • ·         Entrevistas.
  • ·         Simulación.
  • ·         Muestreos.
Disposiciones oficiales mexicanas para el Desarrollo de Software
Normas que describen buenas prácticas de ingeniería del software y sistemas, así como otras normas para evaluar prácticas organizativas de ingeniería del software y sistemas.

La vida de arquitectura de software de ciclo. La norma establece una arquitectura de alto nivel del ciclo de vida de software. El ciclo de vida comienza con una idea o una necesidad que puede ser satisfecha en su totalidad o en parte por el software y termina con el retiro del software. La arquitectura se construye con un conjunto de procesos e interrelaciones entre estos procesos. 
La derivación de los procesos se basa en dos básicos principios: la modularidad y la responsabilidad.

Los procesos son modulares, es decir, que son máximamente coherente y mínimamente acoplado a la medida de lo posible la práctica. Un proceso individual se dedica a una función única. La responsabilidad. Un proceso es considerado como la responsabilidad de un partido en la vida del software ciclo. En otras palabras, cada parte tiene ciertas responsabilidades. La responsabilidad es uno de los principios fundamentales de la gestión de calidad total, como veremos más adelante.)

Normas
  • ·         ISO/IEC 15288 – System Life-cycle Processes.
  • ·         ISO/IEC 12207 – Software Life-cycle processes.
  • ·         ISO/IEC 15504 Series – Process assessment.
  • ·         ISO/IEC 90003 – Guidlines for the application of ISO 9001 to Software.
¿Qué es la ISO 9000?
Es una norma internacional de calidad que emplean algunas empresas. La calidad es el resultado de una actitud enérgica y comprometida, de esfuerzos sinceros, de una ejecución talentosa. Representa la elección más sabia entre muchas alternativas.

El cambio que genera
Antiguamente, la calidad era medida en el proceso final de un producto o servicio, lo que persigue la ISO 9000 es involucrar todo el proceso de producción, desde el desarrollo de la idea. Este sistema de calidad alcanza a toda una organización, está enfocada a dar confianza al cliente, las partes interesadas son el cliente y el proveedor, no tiene requisitos legales, este modelo busca efectuar acciones preventivas y correctivas.
Hoy cada paso de la producción o del servicio está constantemente en control de calidad. Así, cada etapa del proceso está cooperando para llegar a un producto o servicio óptimo para el mercado, bajando así considerablemente los porcentajes de devoluciones del producto o servicio.
El responsable en el país de desarrollar y administrar los procesos de normalización técnica es el INN (Instituto Nacional de Normalización).

La Certificación según ISO 9000 tiene las siguientes ventajas:
La confianza reforzada entre los actuales y potenciales clientes en la capacidad de la empresa para suministrar en forma consistente los productos y/o servicios acordados. La verificación de esta capacidad es efectuada por un organismo independiente.
Existe una mejor posición competitiva. La auditoría externa que implica la certificación según ISO 9000, permite identificar oportunidades de mejoramiento del sistema de calidad. Es posible sustituir las auditorías de calidad de cada uno de los clientes por la efectuada por un solo organismo idóneo, imparcial. Ayuda a su vez en los procesos de mejoramiento de la calidad iniciados por los clientes. Produce un mejoramiento en la motivación y en el trabajo en equipo del personal ya que la certificación es la resultante del esfuerzo colectivo de la empresa.

La Norma ISO 9000 tiene las siguientes desventajas:
·         Requiere gran esfuerzo y tiempo para lograr el objetivo.
·         El sistema origina cierta burocracia.
·         La ISO 9000 tiene tres Normas básicas: 9001 - 9002 - 9003.

Ejemplos de certificación ISO 9000
En 2006, la CFE cumplió la meta de certificación bajo la norma ISO-9001, al lograr la certificación del 100 por ciento de 9 procesos de alto impacto (generación, distribución, construcción, programación, CENACE, transmisión, administrativo, financiero y técnico), cuyo alcance final fue de 472 centros de trabajo de alto impacto, correspondientes a la Dirección de Finanzas, a la Subdirección de Generación, a la Sub-área de Control Yucatán y a la Subdirección de Transmisión, que fue recertificada.

Estudio sobre la relacion entre ISO/IEC 15504 y CMMI

1.- Necesidad de estudiar la relación entre CMMI e ISO/IEC 15504
En los últimos años, diversos estudios e informes están demostrando que tanto CMMI como ISO/IEC 15504 (SPICE) son los modelos de mejora de procesos referentes en la actualidad (INTECO, 2008; SEI, 2009). En concreto, CMMI es el modelo más difundido. Según el último informe publicado por el SEI (Software Engineering Institute) en Septiembre de 2009, actualmente hay 3906 organizaciones en todo el mundo evaluadas en algunos de los niveles de CMMI, y concretamente 155 en España.
Sin embargo, aun siendo CMMI el modelo de mayor difusión, el modelo tiene varios inconvenientes según reflejan varios estudios (Calvo-Manzano et al., 2008; Hareton and Terence, 2001; Saiedian and Carr, 1997; Staples et al., 2007; García and Garzás, 2008), entre otros, se pueden destacar los siguientes:
·         No está avalado por una organización internacional como ISO (International Organization for Standardization).
·         No es un estándar internacional como ISO/IEC 15504, sino que es un estándar de facto de uso internacional, Se basa en un modelo de procesos poco específico en ingeniería del software, No aborda las necesidades de las PYMEs, siendo difícil de aplicar en términos económicos y de esfuerzo. Hasta noviembre de 2008 la norma ISO/IEC 15504 solamente contemplaba evaluaciones por niveles de capacidad (en cambio CMMI lo hacía por niveles de capacidad y madurez, siendo esta última la más requerida). Por ello en noviembre de 2008  se publica la  parte 7 de la norma ISO/IEC 15504 que agrega la evaluación por niveles de madurez.
·         Con la nueva evaluación por niveles de madurez de la norma ISO/IEC 15504, y debido a la mayor difusión de CMMI, cualquier organización que se plantee una mejora de sus procesos necesita conocer el grado de equivalencia entre la ISO/IEC 15504 y CMMI. Esto le permitiría compararse con otras organizaciones mostrando a sus clientes el mismo mensaje que una empresa certificada por CMMI.

Estudios realizados 
Para estudiar la relación entre los modelos ISO/IEC 15504 y CMMI-DEV v1.2, se llevaron a cabo una serie de comparaciones a alto nivel de detalle entre los modelos involucrados, CMMI e ISO/IEC 15504 (y su modelo de procesos ISO/IEC 12207).

Estudio 1.  Determinación del grado de relación entre las áreas de proceso definidas en ISO/IEC 12207:2008 y CMMI-DEV v1.2

Estudio 2. Determinación del grado de relación entre los atributos de proceso de ISO/IEC 15504-2:2004 y los objetivos y prácticas genéricas de CMMI-DEV v1.2.

Estudio 3. Relación entre ISO/IEC 15504 y CMMI-DEV v1., con el fin de determinar el grado de relación de los procesos de los niveles de madurez de ISO/IEC 15504 con las áreas de proceso de CMMI-DEV v1.2. Para realizar el estudio 3, se analizaron las relaciones tanto de la agrupación de procesos propuesta por ISO en la norma ISO/IEC 15504-7, como de la agrupación adoptada por AENOR.

Resultados
Los resultados obtenidos de los tres estudios realizados indican que a pesar de que existen fuertes relaciones entre ambos modelos  el hecho de implantar un nivel de madurez de la norma ISO/IEC 15504-7 o los adoptados por AENOR, no implica satisfacer de manera inmediata el modelo CMMI-DEV v1.2. Las áreas de proceso de CMMI y los procesos de ISO no son 100% equivalentes.
También es importante destacar que aunque no hay una correspondencia directa de los niveles de madurez de ambos modelos, es posible llevar a cabo un proceso de adaptación que permita armonizar e integrar estos dos modelos.
Para sintetizar, las conclusiones obtenidas tras el análisis se presentan a continuación. 
Relaciones fuertes entre los modelos un proceso de ISO/IEC 15504 puede estar relacionado con varios de CMMI-DEV. Un nivel de madurez de ISO/IEC 15504 no equivale directamente a otro en CMMI. Pero es posible llevar a cabo procesos de adaptación para armonizar los modelos.

Descargar Practica: Investigacion
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)