Evaluacion De Un Sistema De Informacion

itoría informática

Capítulo 5

Las funciones de asistencia técnica

Cada vez más se han desarrollado durante la última década las funciones de control o de asistencia técnica:

- definición de normas y métodos,

- gestión de las bases de datos,

- infocentro, microinformática,

- gestión de redes,

- gestión de la seguridad.

En los grandes centros de procesado, algunas veces, estas funciones están agrupadas en el seno de una dirección técnica. Éstos son los puntos clave de la auditoría de estas diferentes funciones que serán estudiados en este capítulo.

5.1 LAS BASES DE DATOS

La generalización de la utilización de los sistemas de gestión de bases de datos (SGBD) en el desarrollo de aplicaciones ha llevado a la creación de funciones y de tareas nuevas.

Veremos, además, que la mayoría de los controles descritos a continuación se imponen igualmente en el caso de programas diseñados en torno a sistemas de gestión de ficheros «tradicionales» y que la presencia de SGBD sólo sirve para aumentar su necesidad.

REQUERIMIENTOS DE CONSTRUCCION DE UNA BASE DE DATOS

• El análisis de requerimientos para una base de datos incorpora las mismas tareas que el análisis de requerimientos del software. Es necesario un contacto estrecho con el cliente; es esencial la identificación de las funciones e interfaces; se requiere la especificación del flujo, estructura y asociatividad de la información y debe desarrollarse un documento formal de los requerimientos. Un tratamiento completo del análisis de las bases de datos va mas allá del ámbito de este papel.

• La construcción de bases de datos es una de nuestras especialidades, el diseño de bases de datos en MySQL, PostgreSQL, Access, Progress. Utilizando lenguajes para ello como PHP, JavaScript, Visual Basic o 4GL, que son herramientas utilizadas con frecuencia por nosotros.Tenemos mas de 5 años de experiencia en la planeación, diseño y desarrollo de herramientas propietarias sobre bases de datos, una de nuestras cartas de presentación es el sitio TrabajoEnsenada.com. Visitelo y dese cuenta del potencial que puede tener nuestro servicio aplicado a sus necesidades.No se conforme con menos, las herramientas que utilizamos son inovadoras en la actualidad, solo las nuevas y mejores tecnologías. Contactenos y le daremos un excelente y accesible precio en su cotización.

Base de datos en Acces:

• P. ¿Hay un «administrador de datos»?

El administrador de datos tiene como papel la gestión de los datos de la empresa (en las PYME) o, en el caso de las aplicaciones importantes, la gestión de los datos de la aplicación. Es el garante de la coherencia y de la falta de redundancia de los datos controlados por el SGBD. Distinguiremos, por lo menos en los grandes centros, la noción de administrador de datos, responsable de los datos de la empresa, de la de administrador de base de datos, responsable de la implantación física de las bases de datos, de su optimización y de su coherencia técnica (ver a continuación). La administración de la base de datos es una función de sistema, mientras que la administración de datos es más bien una función de estudio.

• P. ¿Se utiliza un «diccionario de datos»? El «diccionario de datos» es un programa que facilita la gestión de los datos por parte del administrador y su utilización por parte de los equipos de desarrollo.

• P. ¿Se procede a tareas de búsqueda de optimización de la base de datos?

Hay, por lo general, varias formas de estructurar una base de datos y de controlar el acceso a ésta para dar respuesta a una misma necesidad. Según se optimicen o no los métodos de acceso, las actuaciones de un mismo programa pueden variar en proporciones bastante considerables. La ausencia total de optimización conducirá en algunos casos a tiempos de respuesta de las aplicaciones interactivas, o a tiempos de ejecución de las tareas en tiempo diferido, totalmente inaceptables. Esta constatación, además, sólo sirve para reforzar el recurso cada vez más frecuente a los SGBD conocidos como relaciónales. La optimización de las bases de datos constituye una tarea esencial del administrador de datos en conjunto con los programadores.

• P. ¿Se controla regularmente la integridad de las bases y la coherencia de los datos?

Se deben controlar regularmente:

- la coherencia técnica de las bases de datos,

- la coherencia funcional de los datos.

• Coherencia técnica La técnica de las bases de datos, en cualquier tipo de arquitectura (jerárquica, en red o relacional) implica la presencia de apuntadores y de un índice, que aseguren la relación entre los segmentos (o entre las tablas) y que eviten de este modo la redundancia de los datos. No obstante, los incidentes pueden conducir a un deterioro de los apuntadores y de los índices, y a una incoherencia técnica del contenido de la base, conduciendo a la pérdida de algunos datos.

• Coherencia funcional Si bien es posible controlar la coherencia de los datos en el momento de su introducción, este control no excluye una degradación posterior de éstos, por razones diversas (error en un programa a tiempo diferido, modificación de los datos no controlados, incidente máquina, etc.). Es, por lo tanto, deseable que las normas de integridad y de coherencia de los datos puedan ser incluidas en la definición de la base misma, y que el respeto a estas normas sea controlado regularmente para el conjunto de los datos de la base.

5.2 LA GESTIÓN DE REDES

• P. ¿Existe una célula técnica de gestión de redes? En los entornos «gran sistema», la aplicación de una red necesita la elección de programas coherentes los unos con los otros, para luego proceder a su implantación y su «parametraje». La elección de las redes (TRANSPAC, TRANSCOM, TRANSFIX, etc.) necesita estudios técnicos y económicos. Por lo general, esta función es atribuida a una célula técnica agregada al equipo de sistema. Además de la existencia misma del equipo de red, el auditor controlará su actividad:

- justificación técnica y económica de las elecciones,

- comprobación de las nuevas configuraciones,

- back-up entre los ingenieros de sistemas, etc.

• P. ¿Existe una célula de asistencia de red?

Contrariamente a la célula técnica precedente, ésta tiene esencialmente un papel de asistencia a los usuarios:

- instalación de nuevos puestos de trabajo,

- primeros auxilios por teléfono en caso de problema, mantenimiento,

- si éste no está confiado a empresas especializadas, gestión de algunas mesas.

En verdad se trata de una función de tipo «SVP», que debe estar disponible a toda hora para dar respuesta a las necesidades de los usuarios.

• P. ¿Están controlados los accesos a la red? La existencia de una red implica riesgos adicionales de acceso no autorizado, por diferentes razones:

- El número de terminales conectados al ordenador central aumenta constantemente y éstos pueden encontrarse en posiciones geográficas muy alejadas.

- Si bien en la mayoría de las aplicaciones la lista de terminales físicamente autorizados a estar conectados al sistema central se establece de forma limitativa, es cada vez más frecuente que por razones de flexibilidad de utilización los terminales no identificados físicamente sean autorizados a acceder a la red: esto se da, sobre todo, cuando se aplican los procedimientos de mantenimiento a distancia.

- La gestión de redes combina, la mayoría de las veces, la utilización de líneas privadas (líneas alquiladas) y de redes públicas (red telefónica conmutada, TRANSPAC), donde los datos que circulan se mezclan con los de las demás empresas.

- Por último, algunas aplicaciones informáticas están destinadas, por naturaleza, a un acceso público: consulta de cuentas por la clientela en los establecimientos financieros, consulta de existencias y registro de los pedidos en las empresas industriales o comerciales.

• P. ¿Se han previsto técnicas de salvaguarda y recuperación especiales para la utilización de la aplicación en procesamiento a distancia?

5.3 LA FUNCIÓN SEGURIDAD

• P. ¿Hay en la empresa una función de gestión de riesgos?

La seguridad informática es de hecho un aspecto importante de las atribuciones del risk-manager. No obstante, esta función sólo existe por lo general en las empresas de tamaño importante.

• P. ¿Hay un responsable de la seguridad en el departamento de informática? Cuando existe el cargo, el auditor se encargará de conocer las responsabilidades exactas, las cuales pueden variar bastante de un centro a otro. Encontrará, por ejemplo:

- la seguridad física de los locales y de los equipos,

- la gestión de los contratos de seguro,

- los procedimientos de salvaguarda,

- los procedimientos de recuperación, la definición de los procedimientos de autorización de acceso al entorno,

- la protección de los datos confidenciales.

Algunos aspectos metodológicos podrán igualmente estar subordinados a este cargo, por ejemplo, la definición de los procedimientos

...