Mantenimiento del Software

S5
Francisco Ruiz, Macario Polo
Grupo Alarcos Dep. de Informtica ESCUELA SUPERIOR DE INFORMTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/

Ciudad Real, 2000/2001

ndice - Sesin 5
Introduccin a la Auditora.
Concepto de Auditora Clases de Auditora Auditora de Sistemas de Informacin Control Interno y Auditora

Bibliografa:
Rafael Bernal, scar Coltell: Auditora de los Sistemas de Informacin. Edic. UPV. ISACF, CobiT: Governance, Control and Audit for Information and Related Technology, 2nd edition. Information Systems Audit and Control Foundation. USA, 1998.

El Proceso de Auditora segn ISO (i) La Metodologa CobiT

Audiencia Fundamentos Estructura Objetivos de Control Generales

Adaptacin de CobiT al PMS

Objetivos de Control para el PMS

UCLM-ESI. Mantenimiento del Software

Concepto de Auditora (i)

Actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Sus principales caractersticas son:
Contenido: una opinin. Condicin: profesional. Justificacin: sustentada en determinados procedimientos (la opinin profesional se
fundamenta y justifica por medio de unos procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma).

Objeto: una determinada informacin obtenida en un cierto soporte. Finalidad: determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

Siempre es un proceso que se realiza a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin.
UCLM-ESI. Mantenimiento del Software 3

Clases de Auditora (i)

Las principales Clases de Auditora son:
a) Por el sujeto que la efecta:
Interna: auditores que forman parte de la propia organizacin. Externa: auditores ajenos a la organizacin.

b) Por su contenido y fines:

De Gestin: afecta a la situacin global de la empresa. Organizativa: analiza la adecuacin de la estructura organizativa. Operacional: hasta qu punto se estn cumpliendo los objetivos establecidos e identificacin de los puntos que necesitan mejorar. Financiera: examen y verificacin del estado financiero, acompaado de una opinin sobre su fiabilidad. Contable: adecuacin de los criterios empleados para recoger los hechos mediante apuntes contables en los estados financieros. Informtica: examen y verificacin del correcto funcionamiento y control del sistema informtico. Econmico-Social: diagnstico sobre el proceso econmico y los resultados sociales obtenidos.
UCLM-ESI. Mantenimiento del Software 4

Clases de Auditora (ii)

c) Por su amplitud:
Total: afecta a todos los elementos de la organizacin. Parcial: se concentra en determinados elementos.

D) Por su frecuencia:
Permanente Ocasional

Es ms correcto y ms genrico hablar de Auditora de Sistemas de Informacin (ASI) que de Auditora Informtica. El primer trmino engloba al segundo y tambin a los procesos y medios no automticos que forman parte del Sistema de Informacin de una Organizacin:
Auditora: Herramientas y mtodos para establecer criterios que permitan medir la eficacia, eficiencia y conformidad con los objetivos deseados de un determinado sistema (el control del control). de Sistemas de Informacin: eficacia, eficiencia y conformidad con los objetivos del sistema de un informacin.

UCLM-ESI. Mantenimiento del Software

Auditora de Sistemas de Informacin (i)

Los objetivos fundamentales de la ASI son:
De Proteccin de los Activos y Recursos: Verificar que existe un sistema de control interno que protege los activos materiales e inmateriales de la instalacin informtica de cualquier posible amenaza o riesgo. De Integridad de Datos: el sistema de control interno debe tener mecanismos que vigilen constantemente el mantenimiento de la integridad de los datos. De Efectividad del Sistema: Un sistema de informacin efectivo alcanza sus objetivos. Estos objetivos dependen de las caractersticas y necesidades de los usuarios y de los canales y procedimientos de decisin. De Eficiencia del Sistema: Un sistema de informacin eficiente utiliza el mnimo de recursos necesarios para obtener las salidas requeridas. LA eficiencia no debe medirse de forma aislada sino considerando el conjunto de procesos y los recursos disponibles.

UCLM-ESI. Mantenimiento del Software

Auditora de Sistemas de Informacin (ii)

Los principales tipos de ASI son:
de la Organizacin y Gestin del Departamento de Informtica: polticas, estructuras de gestin y organizativas, procedimientos operativos y entorno de control. De la Seguridad Fsica y Lgica: polticas, procedimientos y planes para proteger la informacin y el sistema de informacin. De las Tecnologas de la Informacin:
de los computadores, de bases de datos, de proceso de datos distribuido y control de datos en red, de redes locales, del desarrollo de un proyecto <= (AQUI se incluye la Auditora del PMS) de intercambio electrnico de datos, de herramientas (CASE, etc.),

UCLM-ESI. Mantenimiento del Software

Control Interno y Auditora

UCLM-ESI. Mantenimiento del Software

El Proceso de Auditora segn ISO (i)

Recordemos el modelo de procesos de ISO 12207:
PROCESOS PRINCIPALES
ADQUISICIN SUMINISTRO
DESARROLLO

PROCESOS DE SOPORTE
DOCUMENTACIN GESTIN DE CONFIGURACIN ASEGURAMIENTO DE CALIDAD VERIFICACIN VALIDACIN REVISIN CONJUNTA AUDITORA RESOLUCIN DE PROBLEMAS

EXPLOTACIN

MANTENIMIENTO

PROCESOS DE LA ORGANIZACIN
GESTIN MEJORA INFRAESTRUCTURA FORMACIN

UCLM-ESI. Mantenimiento del Software

El Proceso de Auditora segn ISO (ii)

Segn la norma ISO 12207, el Proceso de Auditora del Software (PAS) es uno de los procesos de soporte. Se define como el proceso para determinar el cumplimiento con los requerimientos, los planes o los contratos. Debe ser realizado por personas autorizadas con el propsito de mantener una valoracin independiente de los productos y procesos del software. Intervienen dos participantes: la parte auditora y la parte auditada. La norma ISO 14764 determina que el PAS da soporte en las siguientes actividades del PMS:
Aceptacin/Revisin del Mantenimiento. Migracin. Retirada.

UCLM-ESI. Mantenimiento del Software

10

El Proceso de Auditora segn ISO (iii)

Consta de dos actividades:
Implementacin del Proceso; y Auditora. Durante la Implementacin del Proceso se realizan las siguientes tareas:
Se realizarn auditoras de los hitos predeterminados en el plan del proyecto. El personal auditor no tendr responsabilidad directa sobre los productos software y actividades auditados. Todos los recursos necesarios para realizar la auditora debern ser acordados por las partes (incluyendo personal de apoyo, locales, infraestructura, hardware, software y herramientas). Para cada auditora las partes debern acordar siguientes puntos: agenda; productos software (y resultados de alguna actividad) que sern revisados; alcance y procedimientos de la auditora; y criterios de entrada y salida para la auditora. Los problemas descubiertos durante las auditoras se registrarn y se pasarn al Proceso de Resolucin de Problemas. Despus de completar una auditora, los resultados se documentarn y se proporcionarn a la parte auditada. Las partes debern acordar el resultado de la auditora y cualquier responsabilidad y criterio de cierre.

UCLM-ESI. Mantenimiento del Software

11

El Proceso de Auditora segn ISO (iv)

La actividad de auditora propiamente dicha consta de una nica tarea tendente a garantizar que:
Los elementos software (cdigo, etc.) reflejan la documentacin de diseo. La revisin de aceptacin y los requerimientos de prueba prescritos por la documentacin son adecuados para la aceptacin de los productos software. Los datos de prueba cumplen con la especificacin. Los productos software fueron suficientemente probados y sus especificaciones cumplidas. Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas. La documentacin de usuario cumple los estndares especificados. Las actividades han sido conducidas de acuerdo con los requerimientos, planes y contratos aplicables. Los costes y calendarios se ajustan a los planes establecidos.

UCLM-ESI. Mantenimiento del Software

12

La Metodologa CobiT
Control Objectives for Information and Related Technologies.
Propuesta por la ISACF (Information Systems Audit and Control Foundation). Es la principal propuesta metodolgica realizada a nivel internacional para abordar la Auditora de Sistemas de Informacin. Supone un paso muy importante al considerar que, a efectos de auditora, el sistema de informacin de una organizacin es UNICO, aunque ciertos procesos se realicen de forma manual y otros mediante el uso de la informtica. La filosofa de CobiT asimila los principios de reingeniera de empresas (BPR) y divide las funciones que ha de realizar un sistema de informacin en procesos que, a su vez, estn subdivididos en actividades y tareas ms simples. Los sistemas de informacin estn orientados a los procesos y por tanto su auditora se debe adaptar a estos conceptos.

UCLM-ESI. Mantenimiento del Software

13

La Metodologa CobiT - Audiencia

CobiT esta diseado para ser utilizado por tres audiencias distintas:
Gestores:
Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de Tecnologas de la Informacin (TI) frecuentemente impredecible.

Usuarios:
Para obtener una garanta en cuanto a la seguridad y control de los servicios de TI proporcionados internamente o por terceras partes.

Auditores de Sistemas de Informacin:

Para dar soporte a las opiniones mostradas a los Gestores sobre los controles internos.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aqullos con responsabilidades en el campo de las TI en las empresas.

UCLM-ESI. Mantenimiento del Software

14

La Metodologa CobiT - Fundamentos (i)

El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

UCLM-ESI. Mantenimiento del Software

15

La Metodologa CobiT - Fundamentos (ii)

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:
Requerimientos de Calidad:
Calidad Coste Entrega (servicio)

Requerimientos Fiduciarios:
Efectividad y eficiencia de las operaciones Fiabilidad de la informacin Cumplimiento de leyes y normas

Requerimientos de Seguridad:
Confidencialidad Integridad Disponibilidad

UCLM-ESI. Mantenimiento del Software

16

La Metodologa CobiT - Fundamentos (iii)

En CobiT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
Datos:
Los objetos de datos en el sentido ms amplio, externos e internos, estructurados y no estructurados, grficos, sonidos, etc.

Aplicaciones:
Suma de procedimientos manuales y automatizados.

Tecnologa:
Hardware, sistemas operativos, SGBDs, redes, multimedia, etc.

Infraestructura:
Recursos para instalar y soportar los sistemas de informacin.

Personas:
Habilidades, conocimientos y productividad para planificar, organizar, adquirir, entregar, soportar y supervisar sistemas y servicios de informacin.

UCLM-ESI. Mantenimiento del Software

17

La Metodologa CobiT - Estructura (i)

La estructura de CobiT se define a partir de una premisa simple y pragmtica: Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos.

Se definen 34 objetivos de control generales (OCGs), uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios: - planificacin y organizacin, - adquisicin e implantacin, - suministro y soporte, y - supervisin.

UCLM-ESI. Mantenimiento del Software

18

La metodologa CobiT - Estructura (ii)

Los 34 OCGs propuestos se concretan en 302 objetivos de control detallados (OCDs). Un control se define como "las normas, estndares, procedimientos, usos y costumbres y las estructuras organizativas, diseadas para proporcionar garanta razonable de que los objetivos empresariales se alcanzarn y que los eventos no deseados se prevern o se detectarn, y corregirn". Un objetivo de control se define como "la declaracin del resultado deseado o propuesto que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de las TI". En suma, la estructura conceptual se puede enfocar desde tres puntos de vista (ver figura):
Los recursos de las TI, Los criterios empresariales que debe satisfacer la informacin, y Los procesos de las TI.

UCLM-ESI. Mantenimiento del Software

19

La metodologa CobiT - Estructura (iii)

Las tres dimensiones conceptuales de CobiT

UCLM-ESI. Mantenimiento del Software 20

Objetivos de Control Generales (i)

Planificacin y Organizacin
PO 1 PO 2 PO 3 PO 4 PO 5 PO 6 PO 7 PO 8 PO 9 PO 10 PO 11 Definir un Pln Estratgico de TI Definir la Arquitectura de la Informacin Determinar la Direccin Tecnolgica Definir la Organizacin e Interrelaciones en TI Gestionar la Inversin en TI Comunicar Objetivos y Direccin a la Gerencia Gestionar los Recursos Humanos Asegurar Cumplimiento de los Requerimientos Externos Evaluar Riesgos Gestionar los Proyectos Gestin de la Calidad

UCLM-ESI. Mantenimiento del Software

21

Objetivos de Control Generales (ii)

Adquisicin e Implantacin
AI 1 AI 2 AI 3 AI 4 AI 5 AI 6 Identificacin de Soluciones Adquisicin y Mantenimiento de Aplicaciones Software Adquirir y Mantener la Infraestructura Tecnolgica Desarrollar y Mantener los Procedimientos de TI Instalacin y Acreditacin de Sistemas Gestin de Cambios

Supervisin
M1 M2 M3 M4 Supervisar los Procesos Evaluar la Idoneidad del Control Interno Obtener Estimaciones Independientes MAntener una Auditora Independiente

UCLM-ESI. Mantenimiento del Software

22

Objetivos de Control Generales (iii)

Suministro y Soporte
DS 1 DS 2 DS 3 DS 4 DS 5 DS 6 DS 7 DS 8 DS 9 DS 10 DS 11 DS 12 DS 13 Definir Niveles de Servicio Gestionar los Servicios a Terceros Gestionar el Rendimiento y la Capacidad Asegurar un Servicio Continuo Garantizar la Seguridad de los Sistemas Identificar y Asignar Costes Formar y Entrenar a los USuarios Asistir y Aconsejar a los Clientes de TI Gestin de la Configuracin Gestionar Problemas e Incidentes Gestionar los Datos Gestionar las Infraestructuras Gestionar las Operaciones
23

UCLM-ESI. Mantenimiento del Software

Adaptacin de CobiT al PMS (i)

La Metodologa MANTEMA versin 2 incluye una propuesta para abordar la auditora del proceso de mantenimiento del software basada en:
el modelo de procesos del software definido en la norma ISO 12207, el estndar ISO 14764 para el proceso de mantenimiento del software, y la metodologa CobiT para la auditora de sistemas de informacin.

En CobiT no se especifica cmo debe realizarse la auditora del PMS. Esta laguna se intenta resolver con la propuesta formulada en MANTEMA. Esta propuesta se ha obtenido realizando un anlisis de todos los objetivos de control incluidos en CobiT y seleccionando los que tienen relacin con el proceso de mantenimiento del software. La lista resultante ha sido cambiada definiendo un objetivo de control general llamado 'Gestin del proceso de mantenimiento del software'. Este objetivo general ha sido concretado en 14 objetivos de control detallados que amplan considerablemente los incluidos en CobiT.

UCLM-ESI. Mantenimiento del Software

24

Adaptacin de CobiT al PMS (ii)

En el dominio AI (Adquisicin e Implantacin), los OCGs y OCDs tiles para el Mantenimiento del Software son:
AI01 - Identificacin de soluciones
1.15 Mantenimiento del software por terceros

AI02 - Adquisicin y mantenimiento de aplicaciones software

2.2 Cambios grandes en sistemas existentes

AI05 - Instalacin y acreditacin de sistemas

5.3 Conversin

AI06 - Gestin de cambios

6.1 Iniciacin y control de los requerimientos de cambio 6.2 Valorar impacto 6.3 Definir el control de cambios 6.4 Actualizacin de documentacin y procedimientos 6.5 Autorizacin del mantenimiento 6.6 Poltica de versiones del software 6.7 Distribucin del software

UCLM-ESI. Mantenimiento del Software

25

Adaptacin de CobiT al PMS (iii)

En el dominio DS (Suministro y Soporte), los OCGs y OCDs tiles para el Mantenimiento del Software son:
DS09 - Gestin de la configuracin
9.1 Registrar la configuracin 9.2 Configuracin bsica 9.3 Contabilizar los estados pasados 9.4 Control de la configuracin 9.6 Almacenar el software

Los dominios PO (Planificacin y Organizacin) y M (Supervisin) no contienen ningn objetivo de control relacionado directamente con el
Mantenimiento del Software.

UCLM-ESI. Mantenimiento del Software

26

Adaptacin de CobiT al PMS (iv)

El OCG ms relacionado con el PMS es la Gestin de Cambios (AI06):
Objetivos de Control Detallados (CobiT) 6.1 Iniciacin y control de los requerimientos de cambio 6.2 Valorar impacto 6.3 Definir el control de cambios 6.4 Actualizacin de documentacin y procedimientos 6.5 Autorizacin del mantenimiento 6.6 Poltica de versiones del software 6.7 Distribucin del software Actividades PMS relacionadas Implementar el Proceso Anlisis del Problema y Modificacin Realizacin de la Modificacin Implementar el Proceso Realizacin de la Modificacin Revisin/Aceptacin del mantenimiento Implementar el Proceso Realizacin de la Modificacin

OCDs de la Gestin de Cambios vs Actividades del PMS

Las disfunciones se deben a que CobiT e ISO utilizan un diferente modelo de procesos.
Por ello, se hace necesaria la adaptacin de CobiT al modelo de ISO.

UCLM-ESI. Mantenimiento del Software

27

Objetivos de Control para el PMS (i)

En la Metodologa MANTEMA para la Gestin Integral del PMS se ha incluido la siguiente propuesta de adaptacin:
La gestin del PMS pasa a ser un objetivo de control general (OCG) dentro del dominio de 'Adquisicin e Implantacin' ya que el MS es un proceso bsico para la correcta implantacin (explotacin) de un sistema de informacin.

A continuacin se resume el resultado de la primera versin de objetivos de control detallados incluidos en MANTEMA:
Dominio: Adquisicin e Implantacin Objetivo General: AI06 - Gestin del proceso de mantenimiento del software. Descripcin: las actividades del negocio se realizan sin interrupciones imprevistas y el software de los sistemas de informacin existentes se adapta a las nuevas necesidades.

UCLM-ESI. Mantenimiento del Software

28

Objetivos de Control para el PMS (ii)

La Gestin del PMS (el OCG) incluye 14 objetivos de control detallados:
6.1 Cambios en el entorno operativo: existe un procedimiento organizado para realizar la
migracin de un producto software desde un entorno operativo antiguo a otro nuevo.

6.2 Retirada del software: la metodologa de desarrollo y/o mantenimiento de software incluye un
procedimiento formal para la retirada de un producto software cuando ha concluido su ciclo de vida til.

6.3 Tipos de mantenimiento: estn categorizados los tipos de mantenimiento del software y para
cada tipo se han planificado las actividades y tareas a realizar.

6.4 Acuerdo de mantenimiento: las relaciones entre el mantenedor y el cliente y las obligaciones
de cada uno estn establecidas en un acuerdo o contrato de mantenimiento.

6.5 Mejora de la calidad del proceso: la metodologa empleada para el mantenimiento del
software incluye tcnicas para aumentar la mantenibilidad (facilidad de mantenimiento).

6.6 Planificacin del mantenimiento: Existe un plan de mantenimiento que incluye el alcance del
mantenimiento, quin lo realizar, una estimacin de los costes y un anlisis de los recursos necesarios.

6.7 Procedimientos para solicitudes de modificacin (SM): existen procedimientos

normalizados para iniciar, recibir y registrar SMs.

UCLM-ESI. Mantenimiento del Software

29

Objetivos de Control para el PMS (ii)

6.8 Gestin y control de cambios: el mantenedor tiene establecido un interface organizacional
para que el proceso de mantenimiento pueda verse beneficiado por el proceso de gestin de la configuracin.

6.9 Anlisis y valoracin de las SMs: las SMs son categorizadas y priorizadas, y existen
mecanismos bien estructurados para evaluar su impacto, costes y criticidad.

6.10 Verificacin de los problemas: el mantenedor replica o verifica que realmente existe el
problema que origin la SM.

6.11 Registro de las SMs: el mantenedor documenta y registra las SMs, con sus anlisis,
valoraciones y verificaciones.

6.12 Aprobacin: dependiendo del tipo de mantenimiento de una SM, existen procedimientos
formales que detallan el tipo de aprobacin que el mantenedor debe obtener antes y despus de realizar la modificacin.

6.13 Realizacin de las modificaciones: para realizar las modificaciones, el mantenedor utiliza la
misma metodologa establecida para el proceso de desarrollo del software adaptada al proceso de mantenimiento.

6.14 Actualizacin de la documentacin: la documentacin (informes tcnicos, manuales, etc.)

afectada por una SM es actualizada despus de realizada la modificacin.

UCLM-ESI. Mantenimiento del Software

30