CIA - SU5 - Estaciones de Trabajos, Bases de Datos y Aplicaciones

1
UNIDAD DE ESTUDIO CINCO

ESTACIONES DE TRABAJO, BASES
DE DATOS Y APLICACIONES
5.1 Estaciones de Trabajo y Bases de Datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

5.2 Desarrollo de Aplicaciones y Mantenimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Esta unidad de estudio es la primera de cuatro que cubren el Campo II: Seguridad de la
Información y el Campo III: Tecnologías de la Información del temario del examen CIA del
IIA. Estos campos cubren respectivamente el 25% y el 20% de la Parte 3 del examen CIA y
son evaluados en el nivel cognitivo básico. La porción relevante del temario se resalta a continuación.
(El temario completo se encuentra en el Apéndice A.)
Tecnologías de la Información (20%)

1. Aplicación y Software del Sistema
Reconocer las actividades fundamentales del ciclo vital y la prestación del desarrollo de
A sistemas (definición de requisitos, diseño, desarrollo, pruebas, depuración, despliegue, Básico
mantenimiento, etc.) y la importancia de los controles de cambio a través del proceso
Explicar términos básicos de base de datos (datos, base de datos, registro, objeto, campo,
B esquema, etc.) y términos de internet (HTML, HTTP, URL, nombre de dominio, navegador, Básico
hacer clic, intercambio electrónico de datos [EDI], cookies, etc.)
Identificar las características clave de los sistemas de software (sistemas de gestión de
C relaciones con clientes [CRM]; sistemas de planificación de recursos empresariales [ERP]; y Básico
sistemas de gobierno, riesgo y cumplimiento [GRC]; etc.)
2. Infraestructura de TI y Marcos de Control de TI
III
Explicar los conceptos básicos de infraestructura de TI y redes (servidor, ordenador central,
A configuración cliente-servidor, portales , routers, LAN, WAN, VPN, etc.) e identificar los riesgos Básico
potenciales
Definir las funciones operacionales del administrador de redes, el administrador de bases de
B Básico
datos y el servicio de asistencia
Reconocer el propósito y las aplicaciones de los marcos de control de TI (COBIT, ISO 27000, ITIL,
C Básico
etc.) y los controles básicos de TI
3. Recuperación de Desastres
A Explicar conceptos de sitios para el plan de recuperación de desastres (caliente, templado, frío, etc.) Básico
B Explicar el propósito de las copias de respaldo de sistemas y datos Básico
C Explicar el propósito de los procedimientos de recuperación de sistemas y datos Básico
Derecho de autor © 2019 Gleim Publications, Inc., y / o Internet Gleim, Inc. Todos los derechos reservados. Reproducción prohibida. www.gleim.com
2 UE 5: Estaciones de Trabajo, Bases de Datos y Aplicaciones
5.1 ESTACIONES DE TRABAJO Y BASES DE DATOS

1. Estaciones de Trabajo
a. Una estación de trabajo es cualquier combinación de entrada, salida y hardware
informático que se puede utilizar para el trabajo. Puede tomar la forma de una
computadora personal o un microcomputador poderoso, que se utiliza para trabajos
científicos o de ingeniería.
1) Las estaciones de trabajo pertenecen al componente de hardware de la
infraestructura del sistema de la tecnología de la información (TI). Por lo tanto,
pueden ser incluidas en la auditoría de los controles de hardware.
a) Los auditores pueden evaluar los controles de hardware de diferentes
maneras. Algunos ejemplos incluyen (1) entrevistar a los usuarios, (2)
comparar el tiempo de inactividad actual con las expectativas normales y
(3) revisar los registros de fallo.
2. Almacenamiento Binario
a. Las computadoras digitales almacenan toda la información en formato binario, es
decir, como un patrón de unos y ceros. Esto hace que las operaciones aritméticas
y las decisiones verdaderas / falsas en el nivel más bajo sean extremadamente
sencillas.
b. Un bit (dígito binario) es 0 o 1 (apagado o encendido) en código binario. Los bits se
pueden combinar para formar un número binario (por ej., base 2).
EJEMPLO de un Bit
0
c. Un byte es un grupo de bits, más comúnmente ocho. Se puede usar un byte para
significar un carácter (un número, una letra del alfabeto o un símbolo, como un signo
de interrogación o un asterisco).
EJEMPLO de un Byte de 8-Bits que representa la letra mayúscula P

01010000
1) Las cantidades de bytes se miden con las siguientes unidades:

10
1024 (2 ) bytes = 1 kilobyte = 1 KB
20
1 048 576 (2 ) bytes = 1 megabyte = 1 MB
30
1 073 741 824 (2 ) bytes = 1 gigabyte = 1 GB
40
1 099 511 627 776 (2 ) bytes = 1 terabyte = 1 TB
Nota del autor: no memorice estos números. La intención es demostrar la diferencia
de tamaño de cada unidad para ayudarlo a comprender mejor estos términos.
d. Un campo, también llamado elemento de datos, es un grupo de bytes. El campo
contiene una unidad de datos sobre alguna entidad, por ejemplo, el nombre de un
compositor.
EJEMPLO de un Campo
Paul Hindemith
UE 5: Estaciones de Trabajo, Bases de Datos y Aplicaciones 3
e. Un registro es un grupo de campos. Todos los campos contienen información

perteneciente a una entidad, por ejemplo, una actuación orquestal específica.
EJEMPLO de un Registro
Paul Hindemith Concierto Orquesta Sinfónica Claudio Abbado Josef Suk
para Violín de Chicago
1) Cada campo o combinación de campos en cada registro se designa como la

clave. El criterio para una clave es que contiene suficiente información para
identificar de forma única cada registro; es decir, no puede haber dos registros
con la misma clave.
a) La designación de una clave permite que los registros se clasifiquen y
administren con mayor eficiencia. Si todos los registros están ordenados
en el orden de la clave, la búsqueda de uno en particular será mucho
más fácil.
b) En el ejemplo anterior, la clave es la combinación de los dos primeros
campos.
i)
El primer campo por sí solo no es suficiente porque podría haber
varias obras de cada compositor. El segundo campo por sí solo
tampoco es suficiente, ya que podría haber muchas piezas con el
mismo título.
ii) La combinación del nombre y título del compositor identifica de
forma única cada pieza musical.
f. Un archivo es un grupo de registros. Todos los registros en el archivo contienen la
misma información sobre diferentes ocurrencias, por ejemplo, actuaciones de varias
obras orquestales.
EJEMPLO de un Archivo
Paul Hindemith Concierto para Violín
Orquesta Sinfónica de Claudio Abbado Josef Suk
Chicago
Gustav Mahler Das Lied von der Erde Orquesta Filarmónica de Leonard Bernstein Dietrich Fischer-Dieskau
Nueva York
Bela Bartok Concierto en Piano No. Orquesta Sinfónica de Sir Georg Solti Etsko Tazaki
2 Chicago
Arnold Schoenberg Gurrelieder Orquesta Sinfónica de Seiji Ozawa James McCracken
Boston
Leos Janacek Sinfonietta Orquesta Filarmónica de Simon Rattle None
Los Angeles
Dmitri Shostakovich Sinfonía No. 6 Orquesta Sinfónica de San Kazuhiro Koizumi None
Francisco
Carl Orff Carmina Burana Orquesta Sinfónica Eugen Jochum Gundula Janowitz
de Berlin Radio
3. Internet
a. Internet es una red de redes en todo el mundo.
1) Una red es una colección de dispositivos de hardware que están
interconectados para que puedan comunicarse entre sí. Esto permite que
diferentes hardware intercambien software y comuniquen datos. Internet es un
ejemplo de red, pero muchas oficinas tienen intranets a través de las cuales las
computadoras de oficina pueden comunicarse con otras computadoras dentro
de la organización.
b. Internet facilita la comunicación asequible y la transferencia de información entre
computadoras, con puertas de enlace que permiten a los servidores interactuar con
las computadoras personales.
1) Las conexiones a Internet de muy alta velocidad (denominadas columna
vertebral o red troncal de Internet (blackbone)) transportan señales alrededor
del mundo y se encuentran en los puntos de acceso a la red.
c. La mayoría de los usuarios de Internet obtienen conexiones a través de proveedores
de servicios de Internet (ISP, por sus siglas en inglés) que a su vez se
conectan a sus redes bien sea directamente a una puerta de enlace o a un ISP más
grande con una conexión a una puerta de enlace.
1) La topología de la red troncal y sus interconexiones pueden haber parecido
una columna vertebral con costillas conectadas a lo largo de su longitud, pero
actualmente parece más como una red de pesca alrededor del mundo con
muchas trayectorias circulares.
d. TCP / IP (Protocolo de control de transmisión / Protocolo de Internet) es un término
con el que los candidatos deben estar familiarizados. Se define como un conjunto
de protocolos de comunicación (reglas o normas) que se utilizan para conectar
computadoras a Internet. También está integrado en los sistemas operativos de red.
4. Aspectos y Terminología de Internet
a. Inicialmente, Internet estaba restringido a correo electrónico y documentos de solo
texto. El lenguaje de marcado de hipertexto (HTML) permite a los usuarios
hacer clic en una palabra o frase (un hipervínculo) en sus pantallas y mostrar
automáticamente otro documento.
b. El protocolo de transferencia de hipertexto (HTTP) permite hipervínculos a través
de Internet en lugar de en una sola computadora. Un navegador permite a los
usuarios leer HTML desde cualquier tipo de computadora.
c. Cada recurso en la Web tiene una dirección única, compuesta de caracteres
alfanuméricos, puntos y barras diagonales, llamada un localizador de
recursos uniforme (URL, por sus siglas en inglés). Un URL es reconocible por
cualquier dispositivo habilitado para la web. Un ejemplo es https://www.gleim.com.
1) Los nombres de dominio se utilizan en las URL para identificar páginas web
específicas.
a)Los nombres de dominio contienen un sufijo que indica a qué tipo de
dominio pertenece el nombre. Por ejemplo, .gov representa agencias
gubernamentales, .com representa negocios comerciales y .edu
representa instituciones educativas.
2) Sin embargo, el hecho de que la dirección sea reconocible no significa que
su contenido sea accesible para todos los usuarios. La seguridad es una
característica importante del sitio web de cualquier organización.
d. Las cookies son pequeños archivos de texto creados por un sitio web como un
mecanismo para reconocer al usuario y realizar un seguimiento de sus preferencias
y actividades en el sitio web.
5. Intercambio Electrónico de Datos (EDI, por sus siglas en inglés)

a. El EDI es la comunicación de documentos electrónicos directamente desde una
computadora en una organización a una computadora en otra organización. Algunos
ejemplos son las ordenes de productos a un proveedor y la transferencia de fondos.
EDI fue el primer paso en la evolución del comercio electrónico.
1) El EDI se desarrolló para mejorar la gestión de inventario JIT (justo a tiempo).
b. Las ventajas de el EDI incluyen (1) reducción de errores administrativos, (2) mayor
velocidad de transacciones y (3) eliminación de tareas administrativas repetitivas.
El EDI también elimina los costos de preparación, procesamiento y envío de
documentos.
c. Una desventaja del EDI es que no puede manejar un gran volumen de pedidos
personalizados. La falta de estandarización impone un costo inaceptable.
d. Una extensión del EDI son los registros almacenados en la computadora, un medio
menos costoso que el almacenamiento de archivos físicos tradicional.
6. Transferencia Electrónica de Fondos (EFT, por sus siglas en inglés)
a. La EFT es un servicio proporcionado por instituciones financieras en todo el mundo
que se basa en la tecnología de intercambio electrónico de datos (EDI).
1) Los costos de transacción de la EFT son más bajos que para los sistemas
manuales porque los documentos y la intervención humana se eliminan del
proceso de transacción. Además, la transferencia habitualmente requiere
menos de un día.
2) Las aplicaciones comunes de la EFT para el consumidor son (a) el depósito
directo de cheques de nómina en las cuentas de los empleados y (b) el retiro
automático de pagos de facturas de teléfono y cable, hipotecas, etc.
b. La aplicación más importante de la EFT es la recolección de cheques. Para reducir
el enorme volumen de papel, el proceso de recolección de cheques ha sido
computarizado.
1. ) El resultado es la reducción de la importancia de los cheques en papel. La EFT permite
pagos y depósitos sin transferencia manual de instrumentos negociables. Por lo tanto, las
EFT masivas entre instituciones financieras y empresas (transferencias comerciales) se
miden en billones de dólares estadounidenses.
7. Sistemas de Gobierno, Riesgo y Cumplimiento (GRC, por sus siglas en inglés)
a. La gobernanza de datos abarca los sistemas de información (SI) y la tecnología de
la información (TI). SI y TI son vitales para garantizar la implementación exitosa de
la estrategia de una organización. La estrategia de los sistemas de la información
(SI) debe ser impulsada por las necesidades del negocio y no por las funciones de la
tecnología disponible al formular un plan para lograr los objetivos.
1) Los departamentos individuales pueden funcionar bien en términos de sus
propios objetivos, pero aún así no servir los objetivos de la organización.
2) Las compras de infraestructura de los sistemas de información deben
implementarse de acuerdo con el plan estratégico de SI para garantizar que se
satisfagan las necesidades comerciales.
3) Los dueños de negocios, empleados, clientes y financiadores, como los
bancos, tienen un interés personal en la estrategia.
b. Un plan estratégico de sistemas de información incorpora la visión y la misión de la
organización para garantizar que la estrategia incluya las necesidades del negocio.
1) La declaración de visión define en pocas oraciones el propósito principal de la
organización.
2) La declaración de misión amplía la declaración de visión al comunicar los
objetivos de la organización.
a)
Los objetivos deben proporcionar orientación a la infraestructura de TI
para crear un plan estratégico detallado para alcanzar esos objetivos.
b) Se pueden implementar sistemas para proporcionar información con fines
de toma de decisiones para garantizar el cumplimiento de la visión y
misión de la organización.
c. Las organizaciones generalmente desarrollan estrategias en tres niveles diferentes.
1) La estrategia a nivel corporativo se refiere a la definición del mercado (es
decir, negocios y mercados para enfocar los recursos).
2) La estrategia a nivel empresarial se aplica a las organizaciones que tienen
unidades comerciales independientes que desarrollan cada una su propia
estrategia.
3) La estrategia a nivel funcional se concentra en un área funcional específica de
la organización, como tesorería, sistemas de información, recursos humanos y
operaciones.
d. Los motivadores estratégicos son los elementos críticos que ayudan a determinar
el éxito o el fracaso de la estrategia de una organización. Los sistemas de
información se ha convertido en un motivador estratégico en la mayoría de las
organizaciones, si no en todas.
1) Las nuevas tecnologías crean oportunidades de mejora y ventaja competitiva.
2) La gestión de la relación con el cliente (CRM, por sus siglas en inglés) es
un término que se refiere a las prácticas, estrategias y tecnologías que las
empresas utilizan para gestionar y analizar las interacciones y los datos del
cliente a lo largo del ciclo de vida del cliente. La CRM:
a)
Tiene el objetivo de mejorar las relaciones comerciales con los clientes,
ayudar a la retención de clientes e impulsar el crecimiento de las ventas.
b) Está diseñado para recopilar información sobre los clientes a través de
diferentes canales o puntos de contacto entre el cliente y la empresa.
c) Deben gestionar las relaciones con los clientes a largo plazo para agregar
valor.
e. La estrategia de SI empresarial y la estrategia de TI empresarial difieren de la
siguiente manera:
1) La estrategia de SI empresarial se centra en determinar qué TI debe
proporcionarse para lograr los objetivos de la estrategia de negocio.
2) La estrategia de TI empresarial:
a) Se concentra en las necesidades de información y garantiza que la
estrategia SI se alinee con la estrategia comercial.
b) Desarrolla y explica la arquitectura de información que proporcionará el
mejor rendimiento para la organización, es decir, los:
i)
Datos, procesos, información, red organizacional y partes
interesadas
ii) Las tendencias y oportunidades de la tecnología de la información
iii) La tecnología para apoyar los objetivos comerciales de la
organización.
3) La estrategia de TI empresarial se centra en determinar qué tecnología y
desarrollo de sistemas tecnológicos son necesarios para realizar la estrategia
de SI comercial.
a) La estrategia de TI se concentra en cómo proporcionar la información.
f. Un programa de gobernanza que funcione bien generalmente se concentra en lo

siguiente:
1) Alineación estratégica entre los objetivos de la organización y la estrategia de
TI para alcanzar esos objetivos.
2) La gestión de riesgos implica la identificación de los controles establecidos
para monitorear, analizar y abordar los riesgos.
3) La organización evalúa la entrega de valor para determinar los beneficios
proporcionados y el valor de TI (es decir, el retorno de la inversión, la
productividad y los resultados de implementación).
4) La medición del desempeño implica el análisis de si TI ha logrado los objetivos
establecidos y la comparación con los estándares de la industria. El IIA ha
categorizado los componentes clave de un gobierno de TI exitoso de la
siguiente manera:
a)Procesos de TI que se utilizan para proporcionar servicios a todas las
áreas dentro de la organización
b) Estructura organizacional (es decir, roles y relaciones) que comunica la
realización de servicios de TI dentro de la organización
c) Mecanismos o cursos de acción que coordinan, evalúan y miden el
desempeño de TI
5) La gestión de recursos implica garantizar que la infraestructura cumpla con
las expectativas a corto plazo e identificar las mejoras y avances de TI que son
necesarios para cumplir con las expectativas a largo plazo.
g. El software de Gobierno Corporativo, Riesgo y Cumplimiento (GRC) permite a las
organizaciones administrar la estrategia del programa de gobierno.
1) Los sistemas GRC ayudan a la dirección a monitorear, evaluar y hacer cumplir
las políticas, estándares y procedimientos establecidos para garantizar el
cumplimiento.
2) Las características asociadas con la implementación exitosa de sistemas GRC
incluyen, pero no se limitan a
a) Cumplimiento de leyes y reglamentos
b) Mayor eficiencia y efectividad de las operaciones comerciales al tiempo
que reduce los costos
c) Gestión de riesgos, monitoreo de control y un enfoque de intercambio de
información
d) Identificación de los roles de la dirección y quién: es el propietario de cada
riesgo, controla el contenido del riesgo y aprueba esos riesgos
e) Cascada de información en toda la organización que mejora varias
funciones
8. Datos, Bases de Datos y Sistema de Gestión de Bases de Datos (SGBD)
a. Una base de datos es una colección organizada de datos en un sistema informático.
b. Los datos en la base de datos están integrados para eliminar la redundancia de los
elementos de datos. Un sistema integrado único permite una mejor accesibilidad a
los datos.
1) Cuando los sistemas dentro de la organización no están integrados, estos
no solo pueden contener diferentes datos, sino que también pueden definir
y actualizar los datos de forma inconsistente. Por lo tanto, determinar la
ubicación de los datos y garantizar su coherencia es más difícil.
c. Un sistema de gestión de bases de datos (SGBD) es un conjunto integrado de
programas que (1) crean la base de datos, (2) mantienen los elementos, (3) protegen
los datos contra su pérdida o destrucción y (4) ponen los datos a disposición de las
aplicaciones y las consultas de los programas.
1) El SGBD permite a los programadores y diseñadores trabajar

independientemente de la estructura técnica de la base datos.
a)Antes del desarrollo del SGBD, diseñar y codificar programas que
utilizaban bases de datos era extremadamente lento (y por lo tanto
costoso) ya que los programadores tenían que conocer los contenidos
exactos y las características de los datos en cada base de datos.
b) Los SGBD proporcionan un lenguaje común para referirse a las bases
de datos, facilitando el diseño y la codificación de los programas de
aplicación.
c) Un SGBD incluye características de seguridad. Por lo tanto, el acceso de
un usuario en específico puede estar limitado a ciertos campos de datos
o vistas lógicas dependiendo de las funciones asignadas.
d) DB2 (IBM), Oracle (Oracle Corp.), SQL Server (Microsoft), y Access
(Microsoft) son ejemplos de sistemas de gestión de base de datos
(SGBD).
d. El término “base de datos” por lo general incluye el SGBD.
EJEMPLO de Redundancia de Datos
Los diversos archivos relacionados con recursos humanos en los sistemas de registro convencionales de la mayoría de las
organizaciones incluyen la nómina, historia laboral y los datos permanentes del personal.
El nombre de un empleado debe aparecer en cada uno de estos archivos al ser almacenados y procesados por separado.
El resultado es la redundancia. Cuando los datos son combinados en una base de datos, cada elemento de dato
usualmente es generalmente almacenado una sola vez.
e. Los datos son almacenados físicamente en dispositivos de almacenamiento de

acceso directo (por ejemplo, discos magnéticos, nube). También son almacenados
para su acceso eficiente.
1) Los elementos a los que se accede con mayor frecuencia se colocan en las
ubicaciones físicas que permiten un acceso más rápido.
2) Cuando estos elementos se almacenaban en archivos separados bajo sistemas
orientados a archivos más antiguos, las ubicaciones físicas usualmente
eran similares a la estructura lógica de datos. Los elementos que estaban
lógicamente unidos eran almacenados en una proximidad física unos con
otros.
3) Un modelo lógico de datos es una vista de usuario. Esta es la manera en
que un usuario describe los datos y define sus interrelaciones en base a
las necesidades del usuario, independientemente de cómo los datos son
almacenados físicamente.
4) Una característica fundamental de las bases de datos es que las aplicaciones
son independientes de la estructura de las bases de datos; cuando se escriben
programas o se diseñan aplicaciones para usar las bases de datos, solo el
nombre del elemento deseado es necesario.
5) Un elemento de datos es identificado usando el lenguaje de manipulación de
datos, después de que el SGBD ubica y recupera los elementos deseados.
a) El lenguaje de manipulación de datos es usado para agregar, eliminar,
recuperar o modificar los datos o relaciones.
6) La estructura física de la base de datos se puede alterar por completo sin tener
que cambiar cualquiera de los programas que usan los elementos de datos.
Por lo tanto, los diferentes usuarios pueden definir diferentes vistas de los
datos (subesquemas).
7) Las bases de datos y el SGBD asociado permiten el almacenamiento y
recuperación eficiente de datos para aplicaciones de sistemas formales.
a) También permiten un aumento en la accesibilidad ad hoc (específica) de

los datos (por ejemplo, para responder a las consultas de los datos que
no aparecen en los resultados de los sistemas formales), así como en la
actualización de archivos mediante el procesamiento de transacciones.
b) Sin embargo, este aumento de capacidades resulta en un aumento de los
costos debido a que requieren
i) El uso de hardware sofisticado (dispositivos de acceso directo)
ii) Software sofisticado (el SGBD)
iii) Personal técnico altamente capacitado (administrador de bases de
datos, personal)
iv) Un aumento en los controles de seguridad
9. Dos Estructuras de Bases de Datos Iniciales
a. El almacenamiento de todos los datos relacionados en un dispositivo de
almacenamiento crea problemas de seguridad.
1) En el caso de que ocurran fallos de hardware o software, o se logre el acceso
no autorizado, los resultados podrían ser desastrosos.
2) Se requiere un mayor énfasis en la seguridad para ofrecer respaldo y restringir
el acceso a la base de datos.
a)Por ejemplo, el sistema puede emplear el doble registro, es decir, el uso
de dos registros escritos simultáneamente en medios de almacenamiento
separados.
b) También puede utilizar una técnica de captura instantánea para
capturar los valores de datos antes y después del procesamiento de
transacciones.
c) Los archivos que almacenan estos valores se pueden usar para
reconstruir la base de datos en el evento de pérdida o corrupción de
datos.
b. Para comprender la mejora considerable en el desempeño provocada por la
tecnología de bases de datos, resulta útil revisar el desarrollo de las estructuras de
los archivos.
1) Las primeras computadoras centrales usaban archivos planos, lo que significa
que todos los registros y todos los elementos de datos dentro de cada registro
seguían uno detrás del otro. Gran parte del almacenamiento en las primeras
computadoras estaba en las cintas magnéticas que naturalmente almacenaban
los datos en este modo.
EJEMPLO de un Archivo Plano

A continuación dos registros extraídos de una cinta de almacenamiento de datos:
Figura 5-1
2) Dos ineficiencias son evidentes de inmediato en este método de acceso a datos:

a) La dirección del cliente debe ser almacenada con cada orden que el
cliente realiza, ocupando mucho espacio innecesario de almacenamiento.
b)Todos los registros que intervienen deben ser leídos y omitidos con el fin
de encontrar ambos registros que pertenecen a este cliente.
c. La tecnología de bases de datos superó estas dos dificultades. Las principales
maneras de organizar una base de datos son en una estructura jerárquica/de árbol,
estructura de red, estructura relacional y no relacional.
1) Una estructura de árbol o jerárquica organiza los datos en una relación de uno
a varios en la que cada registro tiene un antecedente, pero puede tener un
número ilimitado de registros subsecuentes.
EJEMPLO de una Base de Datos Jerárquica

Un cliente, muchas órdenes; una orden, muchas partes:
Figura 5-2
a) Debido a que los registros no están almacenados uno después del otro,
una estructura de árbol de base de datos almacena un indicador con
cada registro. Este indicador es la dirección de almacenamiento del
siguiente registro.
b) La estructura de árbol reduce la redundancia en los datos, pero retiene
la necesidad de buscar cada registro para completar una consulta.
Por lo tanto, tal como en el archivo plano, agregar nuevos registros es
complicado y las consultas ad hoc son ineficientes.
2) La estructura de red conecta cada registro en la base de datos con cada otro
registro.
a) Este fue un intento de hacer las consultas más eficientes. Sin embargo, el
gran número de referencias cruzadas inherentes en esta estructura hace
el mantenimiento demasiado complejo.
10. Estructura de Base de Datos Relacional
a. Una estructura relacional organiza los datos en una configuración conceptual.
1) Un elemento de datos individual se denomina campo o columna (por ejemplo,
nombre, fecha, cantidad).
a) Los campos relacionados son agrupados en un registro o fila (por
ejemplo, para una sola transacción de ventas).
b) Los registros múltiples forman un archivo o tabla (por ejemplo, ventas).
c) Las tablas pueden ser conectadas o vinculadas en función de los campos
comunes en lugar de indicadores o listas enlazadas como en otras
estructuras de bases de datos.
d) Cada registro en una tabla tiene un campo (o grupo de campos)

designado como clave. El valor (o combinación de valores) en la clave
identifica de forma única cada registro.
EJEMPLO de una Base de Datos Relacional
Un cliente, muchas órdenes; una orden, muchas partes:
Figura 5-3
b. Tenga en cuenta que, en una estructura relacional, cada elemento de datos es

almacenado tan pocas veces como sea necesario. Esto se logra a través del proceso
de normalización. La normalización previene la eliminación, inserción y actualización
inconsistente de elementos de datos.
1) La estructura relacional requiere una planificación cuidadosa, pero es fácil de
mantener y procesa las consultas de manera eficiente.
c. Las tres operaciones básicas en el modelo relacional son seleccionar, unir y
proyectar.
1) La selección crea un subconjunto de registros que cumplen con ciertos criterios.
2) La unión es la combinación de tablas relacionales basadas en un campo común
o una combinación de campos.
3) La proyección resulta en el subconjunto solicitado de columnas de la tabla.
Esta operación crea una nueva tabla que contiene únicamente la información
requerida.
d. Dos características que hacen que la estructura relacional de datos se destaque son
la cardinalidad y la integridad referencial.
1) La cardinalidad se refiere a qué tan cerca está un determinado elemento de
datos de ser único.
a) Un elemento de datos que solo puede existir una vez en una tabla
determinada tiene una alta cardinalidad. En la Figura 5-3, "Cliente No."
tiene alta cardinalidad en la Tabla de Cliente.
b) Un elemento de datos que no es único en una tabla determinada pero
que tiene un rango restringido de posibles valores se dice que tiene
cardinalidad normal. Por ejemplo, "Orden No." en la Tabla de Orden.
c) Un elemento de datos que tiene un rango de datos muy pequeño se dice
que tiene baja cardinalidad. Un campo que solo contiene masculino/
femenino o verdadero/falso es un ejemplo.
2) La integridad referencial significa que para que un registro sea ingresado en

una tabla determinada, éste ya debe tener un registro en alguna otra tabla.
a) Por ejemplo, la Tabla de Orden en la Figura 5-3 no puede contener un
registro en el que el número de pieza no está presente en la Tabla de
Piezas.
e. La gran ventaja de la estructura de datos relacional es que la búsqueda de registros
se facilita enormemente.
1) Por ejemplo, un usuario puede especificar un cliente y ver todas las piezas que
ese cliente ha ordenado, o el usuario puede especificar una pieza y ver todos
los clientes que han ordenado esa pieza. Tales consultas tomaban una gran
cantidad de recursos, o eran incluso imposibles, bajo las estructuras de datos
más antiguas.
f. Una base de datos distribuida es almacenada en dos o más sitios físicos usando ya
sea la replicación o la partición.
1) La técnica de replicación o toma instantánea hace que los duplicados sean
almacenados en múltiples ubicaciones.
a) Los cambios son copiados periódicamente y enviados a cada ubicación.
Si una base de datos es pequeña, puede resultar más económico
almacenar copias múltiples en vez de recuperar registros desde una
ubicación central.
2) La fragmentación o partición almacena registros específicos donde son más
necesarios.
a) Por ejemplo, una institución financiera puede almacenar los datos de un
cliente en particular en la sucursal donde él o ella usualmente realiza las
transacciones de su negocio. Si el cliente ejecuta una transacción en otra
sucursal, los datos pertinentes son recuperados a través de las líneas de
comunicación.
b) Una variación es el índice central. Una consulta en este índice obtiene
la ubicación en una base de datos remota donde se puede encontrar el
registro completo.
c) Otra variación es la base de datos distribuida basada en consultas a
la red. En este sistema no existe un índice central. En vez de esto,
las bases de datos remotas reciben consultas para ubicar el registro
deseado.
3) La actualización de datos en un sistema distribuido puede requerir protocolos
especiales.
a) Por lo tanto, se utiliza un protocolo de escritura de discos de dos fases
de ejecución. Si los datos deben ser actualizados en dos ubicaciones,
las bases de datos en ambas ubicaciones son liberados para actualizar
antes de que alguno de estos realice (ejecute) la actualización.
b) En la primera fase, ambas ubicaciones aceptan la actualización. En la
segunda fase, ambas realizan la actualización.
4) Un interbloqueo (bloqueo mutuo) ocurre cuando cada una de las dos
transacciones tiene un bloqueo en un sólo recurso de datos.
a) Cuando el interbloqueo ocurre, el sistema de gestión de bases de datos
(SGBD) debe tener un algoritmo para deshacer los efectos de una de las
transacciones y liberar los recursos de datos que controla de manera que
la otra transacción pueda llevarse a cabo hasta su finalización. Entonces,
la otra transacción es reiniciada, permitiendo que se ejecute hasta su
finalización.
b) Si los interbloqueos no son resueltos, el tiempo de respuesta se empeora
o el sistema falla eventualmente.
11. Bases de datos no Relacionales (NoSQL)

a. Las Bases de datos no relacionales proporcionan un mecanismo de almacenamiento
y recuperación de datos además de las relaciones tabulares utilizadas en bases de
datos relacionales.
1) Las estructuras de datos utilizadas por las bases de datos NoSQL no requieren
de tablas de ensamblaje, lo que permite que las operaciones se ejecuten más
rápido.
2) Estos capturan toda clase de datos (por ejemplo: datos estructurados, semi-
estructurados y no estructurados) lo que permite una base de datos flexible
que pueda acomodar cualquier nuevo tipo de datos fácil y rápidamente y no se
vea afectada por cambios en la estructura del contenido.
3) Estos proporcionan una mejor escalabilidad “horizontal” a los clústeres
de servidores, lo cual resuelve el problema cuando el número de
usuarios simultáneos se dispara debido a las aplicaciones que son accesibles
a través de la Web y los dispositivos móviles.
4) La diferencia de impedancia entre el enfoque para crear aplicaciones orientado
al objeto y las tablas y columnas de las bases de datos relaciones basadas
en esquemas es eliminada. Por ejemplo, almacenar toda la información en
un documento en vez de unir múltiples tablas, resulta en menos código para
escribir, depurar y mantener.
12. Terminología Adicional
a. El administrador de bases de datos (DBA, por sus siglas en inglés) es el
individuo que tiene la responsabilidad general del desarrollo y mantenimiento de la
base de datos y de establecer controles para proteger su integridad.
1) Por lo tanto, sólo el DBA puede actualizar los diccionarios de datos. En sistemas
pequeños, el DBA puede realizar algunas funciones de un Sistema de Gestión
de Bases de Datos (SGBD). En aplicaciones grandes, el DBA usa un SGBD
como herramienta principal.
2) La responsabilidad de crear, mantener, asegurar y restringir el acceso a la base
de datos pertenece al administrador de la base de datos.
3) El lenguaje de control de datos especifica los privilegios y normas de
seguridad que rigen a los usuarios de las bases de datos.
4) El lenguaje de manipulación de datos es utilizado para recuperar, almacenar,
modificar, eliminar, insertar y actualizar los datos en las bases de datos.
5) El lenguaje de definición de datos es utilizado para crear y modificar la
estructura de los objetos de base de datos en las bases de datos.
b. El diccionario de datos es un archivo que describe las características físicas y
lógicas de cada elemento de datos en una base de datos.
1) El diccionario de datos incluye, por ejemplo, el nombre del elemento de datos
(por ejemplo, nombre del empleado, número de pieza), la cantidad de espacio
requerida en el disco para almacenar el elemento de datos (en bytes) y qué
clase de datos se permiten en el elemento de datos (por ejemplo, alfabéticos,
numéricos).
2) Por lo tanto, el diccionario de datos contiene el tamaño, formato, uso, significado
y propiedad de cada elemento de datos. Esto simplifica enormemente el
proceso de programación.
c. Los datos de una base de datos relacional se pueden mostrar en graficas e informes,
modificarse o controlarse mediante un programa llamado Query Management
Facility (QMF).
d. El esquema es una descripción de la estructura lógica general de la base de datos
usando un lenguaje de definición de datos, que es la conexión entre las estructuras
lógicas y físicas de la base de datos.
1) Un subesquema describe el punto de vista de un usuario en particular (o de una

aplicación) de una parte de la base de datos usando un lenguaje de definición
de datos.
e. El servicio de mapeo de la base de datos es un software que se usa para evaluar y
documentar la estructura de la base de datos.
f. Los lenguajes de intérprete de comandos de datos son series de caracteres de
símbolos usados para controlar el estado actual de las operaciones del SGBD.
g. Una base de datos orientada a objetos es una respuesta a la necesidad de
almacenar no solo números y caracteres, sino también gráficos y aplicaciones
multimedia.
1) Traducir estos datos en tablas y filas es difícil. Sin embargo, en una base de
datos orientada a objetos, éstos también se pueden almacenar junto con los
procedimientos que actúan sobre ellos dentro de un objeto.
h. En una base de datos hipermedia, se organizan bloques de datos en nodos que
están vinculados en un patrón determinado por el usuario, de manera que una
búsqueda de información no necesita estar restringida al esquema organizacional
predefinido. Un nodo puede contener texto, gráficos, audio, video o programas.
1) Tambien se han desarrollado sistemas híbridos que contienen capacidades de
bases de datos orientadas a objetos y relacionales.
i. Los sistemas avanzados de bases de datos determinan el procesamiento analítico
en línea (OLAP, por sus siglas en inglés), también llamado análisis multidimensional
de datos, que es la capacidad de analizar grandes cantidades de datos desde
numerosas perspectivas.
1) OLAP es una parte integral del concepto de almacén de datos.
2) Al usar OLAP, los usuarios pueden comparar los datos en varias dimensiones,
tales como ventas por producto, ventas por geografía y ventas por vendedor.
3) Las siguientes tecnologías están reemplazando a OLAP:
a)El análisis de memoria es un método que busca datos cuando reside
en la memoria de acceso aleatorio de la computadora (RAM por sus
siglas en inglés), en vez de buscar datos que se encuentran en los discos
físicos. Esto da como resultado un tiempo de respuesta de búsqueda
reducida y permite a la inteligencia de negocios y aplicaciones analíticas
apoyar decisiones de negocios más rápidas.
b) La tecnología del motor de búsqueda almacena datos a un nivel de
documento / transacción, y los datos no se agregan previamente como
si estuvieran contenidos en un OLAP o aplicación de tecnología de
memoria. Los usuarios pueden tener acceso total a sus datos primarios y
crear ellos mismos las incorporaciones.
j. Un almacén de datos contiene no sólo los datos actuales de operación, sino también
información histórica de toda la organización. Por lo tanto, los datos de todos
los sistemas operacionales están integrados, consolidados y estandarizados en
una base de datos para toda la organización en la cual los datos son copiados
periódicamente. Estos datos son mantenidos en una plataforma y pueden ser leídos,
pero no cambiados.
1) La limpieza de datos depura los datos en una base de datos que está
incorrecta, incompleta o duplicada antes de cargarlos en la base de datos. Esta
mejora la calidad de los datos. La necesidad de la limpieza de datos aumenta
cuando múltiples fuentes de datos están integradas.
2) La minería de datos se facilita mediante un almacén de datos. La minería
de datos es el proceso de analizar datos desde diferentes perspectivas y
resumirlos en información útil. El software de minería de datos es normalmente
utilizado.
a) Por ejemplo, el software de minería de datos puede ayudar a encontrar

patrones anormales y correlaciones imprevistas entre los datos.
b) Los auditores internos pueden usar las técnicas de minería de datos para
detectar fraude.
3) Un mercado de datos (data mart) es un subconjunto de un almacén de datos.
5.2 DESARROLLO DE APLICACIONES Y MANTENIMIENTO

1. Evaluación de Necesidades Organizacionales
a. La evaluación de las necesidades organizacionales es un proceso detallado de
estudio y evaluación de cómo se pueden implementar los sistemas de información
para ayudar a la organización a alcanzar sus objetivos. Los pasos en la evaluación
son los siguientes:
1) Determinar si los sistemas actuales son compatibles con los objetivos de la
organización
2) Determinar las necesidades no satisfechas por los sistemas actuales
3) Determinar la capacidad de los sistemas actuales para acomodar el crecimiento
proyectado
4) Proponer una ruta para el despliegue de los sistemas de información
para alanzar los objetivos organizacionales dentro de las limitaciones
presupuestarias
2. Diseño de Procesos de Negocio
a. Un proceso de negocio es un flujo de acciones realizadas sobre bienes y / o
información para lograr un objetivo concreto.
1) Algunos ejemplos incluyen la contratación de un nuevo empleado, la captación
de un nuevo cliente y el despacho de un pedido de un cliente.
b. Algunos procesos de negocio están contenidos completamente dentro de una
única área funcional, por ejemplo, la contratación de un nuevo empleado es
realizada por la función de recursos humanos.
1) Otros procesos cruzan los límites funcionales. Por ejemplo, el despacho
del pedido de un cliente requiere la participación del departamento de ventas,
el almacén y cuentas por cobrar.
c. En los inicios de la implementación automatizada del sistema, el hardware y el
software eran muy costosos. Los sistemas estaban diseñados para servir a un solo
proceso o incluso a un sola área funcional. Los tremendos progresos en el poder
de procesamiento y la capacidad de almacenamiento han hecho que los sistemas
integrados, es decir, aquellos que combinan múltiples procesos, sean la norma.
1) Los más avanzados de estos, son los sistemas de planificación de recursos
empresariales (ERP, por sus siglas en inglés).
d. La automatización de un proceso, o la adquisición de un sistema integrado, presenta
a la organización una oportunidad para la reingeniería de procesos de negocios.
1) La reingeniería de procesos de negocios implica un replanteamiento
completo de cómo se realizan las funciones comerciales para proporcionar
valor a los clientes, es decir, innovación radical en lugar de una simple mejora
y un desconocimiento por los trabajos actuales, las jerarquías y las relaciones
de dependencia.
3. Participantes en el Diseño de Procesos de Negocio
a. El funcionamiento diario de un proceso de negocio afecta a múltiples grupos de partes
interesadas.
1) La contribución de cada grupo debe ser considerada en el diseño del proceso.

Sin embargo, algunas partes interesadas serán participantes más activos.
b. Los usuarios finales son generalmente los motivadores de un proceso nuevo o
rediseñado.
1) Por ejemplo, los clientes de un negocio de varias divisiones pueden tener
cuentas abiertas con varias de las divisiones. Cada vez que un cliente llama,
el departamento de relaciones con el cliente desea que la información más
actualizada sobre el saldo del cliente sea accesible para todas las divisiones al
mismo tiempo.
2) Aunque la motivación para el nuevo proceso inicia con el departamento de
servicio al cliente, también se verá afectado el personal en varias divisiones y
la función central de TI.
c. Debido a que TI domina todos los aspectos de las operaciones en una organización
moderna, el comité directivo de TI debe estudiar cada solicitud para un nuevo
proceso y dar su aprobación o rechazo.
1) Los miembros típicos del comité directivo de TI incluyen el director de
información y el jefe de desarrollo de sistemas de la función de TI. La dirección
ejecutiva de cada división también está representada.
2) Los miembros del comité comprenden las interacciones de los sistemas
actuales de la organización y cómo afectarán y se verán afectados por
procesos de negocios nuevos o rediseñados.
d. Una vez que se ha aprobado un nuevo proceso o sistema, se forma un equipo de
proyecto, compuesto por representantes de los usuarios finales que lo solicitaron
y el personal de TI que diseñará y construirá los componentes de software que lo
respaldarán.
e. La gerencia superior apoya el diseño del proceso al poner a disposición los recursos
suficientes para asegurar la implementación exitosa del nuevo proceso.
f. Si el nuevo proceso o sistema cruza ciertos límites organizacionales, como es el caso
de los sistemas de intercambio electrónico de datos (EDI, por sus siglas en ingles),
las partes externas, como los representantes de las empresas del vendedor o del
cliente, son participantes.
4. Desarrollar o Comprar
a. Cuando una organización adquiere un nuevo sistema comprando a un proveedor
externo, el personal de gestión de contratos supervisa el proceso. Los futuros
usuarios finales del sistema y el personal de TI también están involucrados en
la elaboración de especificaciones y requisitos.
1) Sin embargo, cuando se va a crear un nuevo sistema internamente, la
planificación y gestión del proceso de desarrollo es una de las tareas más
importantes de la función de TI.
2) Las necesidades de los usuarios finales deben equilibrarse con las limitaciones
de presupuesto y tiempo, se debe analizar la decisión de usar el hardware
existente frente a la compra de nuevas plataformas.
b. Se dedica tiempo y recursos amplios a la creación de una nueva aplicación y, en
general, cuanto más importante es la función de negocio que se automatiza, más
compleja es la aplicación. Por lo tanto, tener una metodología bien gobernada para
supervisar el proceso de desarrollo es vital y puede conllevar al desarrollo de una
aplicación asesina.
1) Una aplicación asesina es tan determinante que puede justificar la
asimilación generalizada de una nueva tecnología.
c. Tanto los usuarios finales que especificaron la funcionalidad del nuevo sistema,
como la gestión de TI que supervisa el proceso de desarrollo, deben aprobar el
progreso hacia la finalización del sistema al final de cada una de las etapas descritas
a continuación. Este requisito para la revisión y aprobación continuas del proyecto es
un tipo de control de implementación.
5. Ciclo de Vida del Desarrollo de Sistemas (SDLC, por sus siglas en inglés)
a. El enfoque SDLC es la metodología tradicional aplicada al desarrollo de sistemas de
aplicaciones grandes y altamente estructurados. Una ventaja importante del enfoque
del ciclo de vida es una mejor gestión y control del proceso de desarrollo. El SDLC
consta de los siguientes cinco pasos:
1) Estrategia de sistemas, que requiere comprender las necesidades de la
organización.
2) El inicio del proyecto es el proceso mediante el cual se evalúan las propuestas
de sistemas.
3) El desarrollo interno generalmente se elige para necesidades de información
únicas.
4) Los paquetes comerciales generalmente se eligen para necesidades comunes
en lugar de desarrollar un nuevo sistema desde cero.
5) El mantenimiento y el soporte implica garantizar que el sistema se adapte a
las necesidades cambiantes del usuario.
6. Las fases y los pasos del componente del SDLC tradicional se pueden describir de la
siguiente manera:
a. Iniciación, Viabilidad y Planificación
1) El SDLC inicia reconociendo la necesidad de un nuevo sistema, entendiendo
la situación para determinar si es factible crear una solución y formulando un
plan.
b. Análisis de Requisitos y Definición
1) Se presenta una propuesta formal para un nuevo sistema al comité directivo de
TI, que describe la necesidad de la aplicación y las funciones de negocio que
afectará.
2) Se realizan estudios de viabilidad para determinar
a) Qué tecnología requerirá el nuevo sistema
b) Qué recursos económicos deben comprometerse con el nuevo sistema
c) Cómo afectará el nuevo sistema a las operaciones actuales
3) El comité directivo da su visto bueno al proyecto.
c. Diseño de Sistemas
1) El diseño lógico consiste en mapear el flujo y el almacenamiento de los
elementos de datos que serán utilizados por el nuevo sistema y los nuevos
módulos de programa que constituirán el nuevo sistema.
a) Los diagramas de flujo de datos y los diagramas de flujo estructurados se
usan comúnmente en este paso.
b) Algunos elementos de datos ya pueden estar almacenados en bases de
datos existentes. Un buen diseño lógico asegura que no se dupliquen.
2) El diseño físico implica la planificación de las interacciones específicas del
nuevo código del programa y los elementos de datos con la plataforma de
hardware (existente o planificada para la compra) en la que operará el nuevo
sistema.
1) Los analistas de sistemas están muy involucrados en estos dos pasos.
d. Construcción y Desarrollo
1) Se escriben el código de programación y las estructuras de la base de datos
reales que se utilizarán en el nuevo sistema.
2) Se adquiere el hardware y se ensambla la infraestructura física.
e. Pruebas y Control de Calidad
1) La depuración (el proceso de prueba y resolución de problemas) se realiza
durante el desarrollo del sistema con la intención de identificar errores u otros
defectos. El trabajo de prueba es un proceso iterativo porque cuando se corrige
un error, puede exhibir otros errores o incluso crear nuevos. Las pruebas
determinan si el sistema
a) Cumple los requisitos que guiaron su diseño y desarrollo
b) Responde correctamente a todo tipo de entradas
c) Realiza sus funciones dentro de un tiempo aceptable
d) Logra el resultado general que desean sus grupos de interés
2) Aunque el número de posibles pruebas para aplicar es casi ilimitado, los
programadores no pueden evaluar todo. Todas las pruebas utilizan estrategias
para seleccionar las pruebas que sean factibles de acuerdo al tiempo y los
recursos disponibles.
a) El diseño de prueba combinatoria identifica el número mínimo de pruebas
necesarias para obtener la cobertura que desean los programadores.
3) Los siguientes son varios métodos disponibles para realizar pruebas
a los sistemas:
a. Las pruebas estáticas examinan el código del programa y su documentación
asociada a través de revisiones, recorridos o inspecciones, pero no requieren la
ejecución del programa.
b. La prueba dinámica implica la ejecución de código programado con un conjunto
dado de casos de prueba.
c. Las pruebas de caja blanca prueban las estructuras internas o el funcionamiento de
un programa, en contraste con la funcionalidad expuesta al usuario final.
d. Las pruebas de caja negra tratan el software como una "caja negra", que examina la
funcionalidad desconociendo el código fuente o funcionamiento interno.
e. Las pruebas de caja gris implican tener conocimiento de estructuras de datos
internos y algoritmos para el diseño de pruebas, mientras se ejecutan esas pruebas
a nivel de usuario o caja negra.
4) Existen cuatro niveles de pruebas:
1) La prueba de unidad se refiere a las pruebas que verifican (1) la funcionalidad
de una sección específica de código y (2) el manejo de datos pasados entre
varias unidades o componentes de subsistemas.
2) La prueba de integración es cualquier tipo de prueba de software que busca
verificar las interfaces entre los componentes contra un diseño de software.
Las pruebas de integración funcionan para exponer defectos en las interfaces y
la interacción entre los componentes integrados (módulos).
3) La prueba del sistema o prueba de extremo a extremo, prueba un sistema
completamente integrado para verificar que el sistema cumpla con sus
requisitos.
4) La prueba de aceptación se realiza para determinar si los sistemas satisfacen
las necesidades de la organización y si están terminados para su liberación.
f. Aceptación, Instalación e Implementación
1) La prueba de aceptación del usuario es el paso final antes de poner el sistema
en funcionamiento.
a) TI debe demostrar a los usuarios que presentaron los requerimientos

iniciales que el sistema realiza la funcionalidad deseada.
b) Una vez que los usuarios están satisfechos con el nuevo sistema,
reconocen la aceptación formal e inicia la implementación.
2) Se pueden utilizar cuatro estrategias para convertir al nuevo sistema.
a) Con la operación en paralelo, los sistemas anteriores y nuevos se
ejecutan a plena capacidad durante un período determinado.
i) Esta estrategia es la más segura ya que el sistema anterior todavía
está produciendo resultados (en caso de que haya problemas
importantes con el nuevo sistema), pero también es el más costoso
y consume más tiempo.
b) Con la conversión directa (corte directo), el sistema antiguo se elimina y el
nuevo se hace cargo del procesamiento inmediatamente.
i) Esta es la estrategia menos costosa y que consume menos tiempo,
pero también es la más riesgosa porque el nuevo sistema no puede
revertirse al original.
c) En la conversión piloto, una sucursal, departamento o división se van
convirtiendo uno a uno completamente al nuevo sistema.
i) La experiencia que se obtiene de cada instalación se utiliza para
beneficiar a la siguiente. Una desventaja de esta estrategia es la
extensión del tiempo de conversión.
d) En algunos casos, la conversión por etapas es posible. Bajo esta
estrategia, cada función del nuevo sistema se pone en funcionamiento
una por una.
i)
Por ejemplo, si el nuevo sistema es una aplicación integrada de
contabilidad, se puede instalar cuentas por cobrar, luego cuentas
por pagar, gestión de efectivo, manejo de materiales, etc.
ii) La ventaja de esta estrategia es que permite a los usuarios aprender
una parte del sistema a la vez.
3) La capacitación y la documentación son vitales.
a)
Los usuarios deben sentirse cómodos con el nuevo sistema y tener
muchas directrices disponibles, ya sea en papel o en línea.
b) La documentación consta de más que simples manuales de operaciones
para los usuarios. Los diseños del código del programa y las estructuras
de la base de datos también deben estar disponibles para los
programadores que deben modificar y mantener el sistema.
g. Operaciones y Mantenimiento
1) Después de que un sistema se vuelve operacional, el sistema debe ser
monitoreado para asegurar un rendimiento y mejora continua.
2) El seguimiento de los sistemas o la evaluación posterior a la auditoría es una
revisión posterior de la eficiencia y la eficacia del sistema después de que ha
funcionado durante un tiempo considerable (por ejemplo, 1 año).
7. Gestión del Cambio
a. Si no se gestionan de manera efectiva los cambios en el entorno de TI, se puede
afectar negativamente la disponibilidad del sistema y del servicio y el logro de los
objetivos organizacionales. Una característica clave de las organizaciones que
poseen ambientes de TI de alto rendimiento es la gestión del cambio efectiva.
b. La gestión del cambio es el proceso ejecutado dentro del ambiente de TI de una

organización diseñado para gestionar los cambios de los sistemas de producción
(por ejemplo, mejoras, actualizaciones, correcciones graduales y parches). Además,
tales cambios deben tener un mínimo impacto y un mínimo riesgo en los sistemas de
producción.
c. Los componentes de TI sujetos a la gestión del cambio incluyen:
1) Hardware (por ejemplo, computadoras centrales, servidores y estaciones de
trabajo)
2) Software (por ejemplo, sistemas operativos y aplicaciones)
3) Información, datos y estructuras de datos (por ejemplo, archivos y bases de
datos)
4) Controles de Seguridad (por ejemplo, programas antivirus y cortafuegos)
5) Procesos, políticas y procedimientos
6) Roles y responsabilidades (por ejemplo, autorización, autoridad para actuar y
controles de acceso)
8. Gestión del Cambio Efectivo
a. Para ser efectiva, la gestión del cambio debe proporcionar a la dirección de la
organización información de lo siguiente:
1) Qué se está cambiando, los motivos del cambio y cuándo ocurrirá el cambio
2) Cuán eficiente y efectivamente se implementan los cambios
3) Problemas causados por los cambios y su gravedad
4) Costo de los cambios
5) Beneficios de los cambios
b. En última instancia, la gestión del cambio eficaz depende de la implementación
de controles efectivos, incluida la supervisión adecuada de la gestión, sobre el
proceso de gestión del cambio.
9. Proceso de Gestión del Cambio
a. La meta del proceso de gestión del cambio es mantener y mejorar las operaciones
organizacionales.
b. Para este efecto, los cambios se deben administrar de manera repetible, definida
y predecible. En consecuencia, un proceso de gestión del cambio incluye las
siguientes actividades:
1) Identificar la necesidad del cambio.
2) Prepararse para el cambio.
a) Documentar y escribir los procedimientos paso a paso de (1) los detalles
del cambio, (2) el plan de prueba, (3) el plan para deshacer el cambio (es
decir, el plan implementado en caso del fallo del cambio)
b) Presentar el procedimiento del cambio en forma de solicitud de cambio.
3) Desarrollar la justificación comercial y obtener las aprobaciones. Revisar
y evaluar el costo, los beneficios y los riesgos (incluidos los impactos
regulatorios) de la solicitud del cambio.
4) Autorizar. Autorizar, rechazar o solicitar información adicional acerca de la
solicitud del cambio, y priorizar las solicitudes de cambio.
5) Programar, coordinar e implementar el cambio. Programar y asignar un
implementador del cambio y un evaluador del cambio, probar el cambio en
un entorno de preproducción, comunicar el cambio a las partes interesadas,
obtener aprobación final para el cambio e implementar el cambio según se
solicitó.
6) Verificar y revisar. Reporta las lecciones aprendidas basado en evaluación de:
a)
Si el cambio fue exitoso
b)
Si se realizo un seguimiento sobre el proceso del cambio
c)
Si existieron variaciones entre el cambio que se planeó y el que se
implementó
d) Si se mantuvieron los requerimientos (por ej., control interno, operaciones
y cumplimiento regulatorio)
7) Retirar. Retirar el cambio si no tuvo éxito.
8) Cerrar. Cerrar la solicitud del cambio y comunicarlo a las partes afectadas.
9) Publicar. Producir y liberar la programación de cambios.
10) Procesos de cambio. Hacer mejoras en el proceso de gestión del cambio.
c. Una organización puede inmediatamente mejorar sus procesos de gestión del cambio
al implementar los siguientes pasos:
1) Crear un ambiente en la alta dirección que motive la necesidad de una cultura
de gestión del cambio en toda la empresa.
2) Monitorizar continuamente la cantidad de interrupciones no planeadas, lo cual
es un excelente indicador de cambios no autorizados y fallos en el control de
cambios.
3) Definir y reforzar los periodos de congelación de cambios y mantenimiento
para reducir la cantidad de cambios que implican riesgos e interrupciones no
planificadas.
4) Utilizar la tasa de éxito del cambio como un indicador clave del desempeño
de la gestión del cambio.
5) Utilizar el trabajo no planificado como indicador de eficacia de los procesos y
controles de gestión del cambio.
10. Riesgos y Controles
a. Los riesgos resultantes de una gestión de cambio ineficaz incluyen la pérdida de
oportunidades de mercado, la calidad insatisfactoria de productos o servicios y un
mayor potencial de fraude. Los principales indicadores de riesgo de la gestión del
cambio deficiente son:
1) Cambios no autorizados,
2) Interrupciones no planificadas,
3) Baja tasa de éxito del cambio,
4) Gran cantidad de cambios de emergencia,
5) Demoras en las implementaciones de proyecto.
b. La gestión del cambio eficaz requiere controles preventivos, de detección y corrección
para gestionar los riesgos asociados con los cambios en los sistemas de producción.
1) Los controles preventivos incluyen la segregación de funciones (por ej., los
preparadores, los evaluadores, los implementadores, y los responsables de la
aprobación), autorización del cambio y limitando a las personas responsables
que pueden actualizar el acceso para realizar cambios en los datos de
producción y programas de producción.
a) Los usuarios (es decir, los usuarios finales) deben tener la capacidad de
actualizar el acceso a los datos de producción pero no a los programas
de producción.
b) Los programadores no deben tener la capacidad de actualizar el acceso
a los datos de producción o a los programas de producción.
2) Los controles de detección incluyen la monitorización, conciliación
de los cambios actuales a los cambios aprobados y servicios de
aseguramiento realizados por auditores internos o externos.
3) Los controles de corrección incluyen las revisiones posteriores a la

implementación.
11. Rol de los Auditores Internos
a. Los auditores internos pueden asistir en la gestión del cambio al:
1) Comprender los objetivos TI de la organización,
2) Ayudar a identificar los riesgos a los objetivos de TI,
3) Determinar si tales riesgos son coherentes con el grado de apetito de riesgo y
tolerancia de la organización,
4) Ayudar a decidir la respuesta adecuada de gestión de riesgos (por ejemplo,
evitar, aceptar, reducir o compartir),
5) Comprender los controles utilizados en la gestión de riesgos y llevar a cabo las
respuestas a los riesgos,
6) Promover una cultura de gestión eficaz del cambio.
b. Los trabajos de auditoría interna asociados con el desarrollo de sistemas y
aplicaciones incluyen, entre otros,
1) Una revisión de control de accesos que evalúa si los controles son efectivos en
prevenir y detectar accesos no autorizados
2) Una revisión de control de la aplicación que evalúa si los controles de la
aplicación gestionan eficazmente los riesgos relacionados
3) Una revisión del código fuente que evalúa si el código fuente del programa
se gestiona y controla de manera efectiva
4) Una revisión del diseño del sistema que evalúa si el sistema a desarrollar
cumple con los requisitos del negocio
5) Una revisión posterior a la implementación que evalúa si el sistema o la
aplicación cumple con las expectativas
12. Desarrollo Rápido de Aplicaciones
a. La creación de prototipos es un enfoque alternativo para el desarrollo de
aplicaciones. La creación de prototipos implica crear un modelo de trabajo del
sistema solicitado, demostrarlo al usuario, obtener comentarios y realizar cambios en
el código subyacente.
1) Este proceso se repite a través de varias iteraciones hasta que el usuario esté
satisfecho con la funcionalidad del sistema.
2) Anteriormente, este enfoque se ridiculizaba como un desperdicio de recursos
y tendía a producir sistemas inestables, pero con un poder de procesamiento
enormemente aumentado y herramientas de desarrollo de alta productividad,
la creación de prototipos puede, en algunos casos, ser un medio eficiente de
desarrollo de sistemas.
b. La ingeniería de software asistida por computadora (CASE, por sus siglas en
inglés) aplica la computadora al diseño y desarrollo de software.
1) Proporciona la capacidad de (a) mantener en la computadora toda la
documentación del sistema, por ejemplo, diagramas de flujo de datos,
diccionarios de datos y pseudocódigo (inglés estructurado); (b) desarrollar
pantallas de entrada y salida ejecutables; y (c) generar código de programa en
al menos forma esquelética.
2) Por lo tanto, CASE facilita la creación, organización y mantenimiento de la
documentación y permite cierta automatización del proceso de codificación.
13. Usuario Final versus Informática Centralizada
a. La informática del usuario final (EUC, por sus siglas en inglés) involucra sistemas
creados o adquiridos por el usuario que se mantienen y operan fuera de los controles
tradicionales de los sistemas de información.
1) Ciertos riesgos de control ambiental son más probables en la EUC. Incluyen

violaciones de derechos de autor que ocurren cuando se realizan copias
no autorizadas de software o cuando el software se instala en varias
computadoras.
2) El acceso no autorizado a los programas de aplicación y datos relacionados
es otra preocupación. La EUC carece de controles de acceso físico, controles
a nivel de aplicación y otros controles que se encuentran en servidores o en
entornos de redes.
3) Además, la EUC puede no tener una planificación adecuada de respaldo,
recuperación y contingencia. El resultado puede ser una incapacidad para
recrear el sistema o sus datos.
b. El desarrollo del programa, la documentación y el mantenimiento también pueden
carecer del control centralizado que se encuentra en sistemas de mayor tamaño.
1) El riesgo de permitir que los usuarios finales desarrollen sus propias
aplicaciones es la descentralización del control. Es posible que estas
aplicaciones no sean revisadas por analistas independientes de sistemas
externos y no se creen utilizando una metodología de desarrollo formal.
Tampoco pueden estar sujetos a estándares, controles y procedimientos de
garantía de calidad apropiados.
a) Las aplicaciones de usuario final pueden no recibir las pruebas
independientes asociadas con el desarrollo tradicional.
b) Las aplicaciones de usuario final pueden no estar adecuadamente
documentadas para facilitar la revisión.
c) La segregación de funciones es inadecuada si la misma persona realiza
funciones de programador y operador.
d) Las aplicaciones de usuario final generalmente no siguen un ciclo de vida
estructurado y controlado de desarrollo de aplicaciones y gestión de
cambios.
e) La revisión y el análisis de las necesidades del usuario pueden ser
insuficientes cuando las funciones de usuario y analista no están
separadas.
2) Cuando los usuarios finales crean sus propias aplicaciones y archivos, pueden
proliferar los sistemas de información privados en los que los datos no
se controlan en gran medida. Los sistemas pueden contener la misma
información, pero las aplicaciones EUC pueden actualizar y definir los datos
de diferentes maneras. Por lo tanto, determinar la ubicación de los datos y
garantizar la coherencia de los datos se vuelve más difícil.
3) El auditor debe determinar que las aplicaciones EUC contienen controles que
permiten a los usuarios confiar en la información producida. La identificación
de aplicaciones es más difícil que en un entorno informático centralizado
tradicional porque pocas personas las conocen y las utilizan. Hay tres pasos
que el auditor debe tomar:
a) El primer paso es descubrir su existencia y sus funciones previstas.
Un enfoque es hacer un inventario de toda la organización de las
principales aplicaciones de EUC. Una alternativa es que los auditores y
el usuario principal (una función o departamento) revisen las principales
aplicaciones de EUC.
b) El segundo paso es la evaluación de riesgos. Las aplicaciones EUC que
representan exposiciones de alto riesgo se eligen para auditoría, por
ejemplo, porque respaldan decisiones críticas o se usan para controlar
efectivo o activos físicos.
c) El tercer paso es revisar los controles incluidos en las aplicaciones
elegidas en la evaluación de riesgos.
c. En una configuración de computadora personal, el usuario es a menudo el

programador y el operador. Por lo tanto, se eliminan las protecciones proporcionadas
por la segregación de funciones.
d. La pista de auditoría se ve disminuida debido a la falta de archivos de historial, salida
impresa incompleta, etc.
e. En general, las funciones de seguridad disponibles para máquinas independientes
son limitadas en comparación con las de una red.
f. La responsabilidad por el control de la EUC existe en los niveles organizacional,
departamental e individual del usuario. El usuario final es directamente responsable
de la seguridad del equipo. La adquisición de hardware y software, la realización de
inventarios de equipos y la planificación estratégica de la EUC son responsabilidades
a nivel organizacional y departamental.

CIA - SU5 - Estaciones de Trabajos, Bases de Datos y Aplicaciones

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CIA - SU5 - Estaciones de Trabajos, Bases de Datos y Aplicaciones

Cargado por

Copyright:

Formatos disponibles

1

UNIDAD DE ESTUDIO CINCO

5.1 Estaciones de Trabajo y Bases de Datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Tecnologías de la Información (20%)

5.1 ESTACIONES DE TRABAJO Y BASES DE DATOS

EJEMPLO de un Byte de 8-Bits que representa la letra mayúscula P

1) Las cantidades de bytes se miden con las siguientes unidades:

e. Un registro es un grupo de campos. Todos los campos contienen información

1) Cada campo o combinación de campos en cada registro se designa como la

5. Intercambio Electrónico de Datos (EDI, por sus siglas en inglés)

f. Un programa de gobernanza que funcione bien generalmente se concentra en lo

1) El SGBD permite a los programadores y diseñadores trabajar

e. Los datos son almacenados físicamente en dispositivos de almacenamiento de

a) También permiten un aumento en la accesibilidad ad hoc (específica) de

EJEMPLO de un Archivo Plano

2) Dos ineficiencias son evidentes de inmediato en este método de acceso a datos:

EJEMPLO de una Base de Datos Jerárquica

d) Cada registro en una tabla tiene un campo (o grupo de campos)

b. Tenga en cuenta que, en una estructura relacional, cada elemento de datos es

2) La integridad referencial significa que para que un registro sea ingresado en

11. Bases de datos no Relacionales (NoSQL)

1) Un subesquema describe el punto de vista de un usuario en particular (o de una

a) Por ejemplo, el software de minería de datos puede ayudar a encontrar

5.2 DESARROLLO DE APLICACIONES Y MANTENIMIENTO

1) La contribución de cada grupo debe ser considerada en el diseño del proceso.

a) TI debe demostrar a los usuarios que presentaron los requerimientos

b. La gestión del cambio es el proceso ejecutado dentro del ambiente de TI de una

3) Los controles de corrección incluyen las revisiones posteriores a la

1) Ciertos riesgos de control ambiental son más probables en la EUC. Incluyen

c. En una configuración de computadora personal, el usuario es a menudo el

También podría gustarte