5.
EVALUACIÓN DE CÓMPUTO
La evaluación del equipo
de cómputo es una responsabilidad compartida entre la dirección, los usuarios y los analistas de sistemas. Aunque los
vendedores darán todo tipo de detalles acerca de sus ofertas particulares, los
analistas necesitan supervisar de manera personal el proceso de evaluación, ya
que ellos tendrán el mayor interés en la empresa. Además, el analista de sistemas puede orientar a los
usuarios y a la directiva acerca de las ventajas y desventajas del equipo antes
que ellos puedan desarrollar tal capacidad.
Con base en el
inventario del equipo de cómputo actual y de estimados adecuados de las cargas
de trabajo actuales y futuras, el siguiente paso en el proceso será considerar
los tipos disponibles de equipo que parecieran ajustarse a las necesidades
proyectadas. La información de los vendedores sobre los posibles sistemas y
configuraciones de los sistemas se volverán más pertinente en esta etapa y
deberá revisarse tanto con la directiva como con los usuarios.
Además, la carga de trabajo
puede simularse y correrse en diferentes sistemas, incluyendo aquellos que
actualmente se encuentran en uso por la organización. A esto se le denomina
como evaluación "in situ" o pruebas de rendimiento.
Dentro de los criterios
que tanto los analistas de sistemas como los usuarios deben utilizar para
evaluar el desempeño de los diferentes equipos, se tienen:
Ø El tiempo requerido para
las operaciones típicas (incluyendo cuánto tiempo se tarda para capturar
los datos y cuánto tiempo toma obtener una salida)
Ø La capacidad total del
sistema (qué tantos datos pueden procesarse de manera simultánea, antes de que
se presente un problema)
Ø Los tiempos muertos de
la unidad central de proceso y el tamaño de la memoria.
Se analizarán ciertos
criterios en demostraciones formales, algunos no podrán simularse y tendrán que
suponerse a partir de las especificaciones del fabricante. Es importante
distinguir aquellas funciones requeridas de las deseadas antes de caer en el
torbellino del vendedor durante sus demostraciones.
Una vez que se conocen
los requerimientos funcionales y se entienden los productos disponibles, así como su comparación con los existentes
actualmente en la organización, el analista en unión con los usuarios y la
directiva, evalúan la conveniencia de adquirir un equipo nuevo. Las opciones
pueden encontrarse en un continuo, desde utilizar sólo el equipo disponible
actualmente en la empresa, hasta cambiar de manera integral por un nuevo
equipo. Entre estas dos opciones se encuentran aquellas pequeñas o grandes
modificaciones al sistema actual.
5.1. Inventario de equipo
Para iniciar el proceso
de selección de plataforma se realiza el inventario de todo el equipo de cómputo que se encuentre disponible
en la organización. Como será evidente, algunas
alternativas implican la expansión o la reasignación del equipo actual, de tal
forma que es importante conocer lo que se tiene a la mano.
Si no se cuenta con un
inventario actualizado del equipo de cómputo, el analista de sistemas deberá
establecerlo de manera rápida. Es necesario saber:
1. El tipo de equipo,
número de modelo y fabricante.
2. El status de la
operación del equipo por instalar, en operación, en almacenamiento y con necesidades de reparación.
3. La estimación del tiempo de uso del equipo.
4. La vida proyectada del
equipo.
5. La localización física del equipo.
6. La persona, departamento responsable del equipo.
7. El status financiero del
equipo: propio, rentado o en arrendamiento con opción a compra.
El documento utilizado
para realizar el inventario debe ser fácil de llenar, e indicar de manera
explícita que se enumere por separado a los equipos periféricos, tales como las unidades de discos y los monitores
5.2. Mantenimiento de los equipos
Como se sabe existen básicamente tres tipos
de contrato de mantenimiento: El contrato de mantenimiento total que incluye el
mantenimiento correctivo y preventivo, el cual a su vez puede dividirse en
aquel que incluye las partes dentro del contrato y el que no incluye partes. El
contrato que incluye refacciones es propiamente como un seguro, ya que en caso
de descompostura el proveedor debe proporcionar las partes sin costo alguno.
Este tipo de contrato es normalmente más caro, pero se deja al proveedor la
responsabilidad total del mantenimiento a excepción de daños por negligencia en
la utilización del equipo. (Este tipo de mantenimiento normalmente se emplea en
equipos grandes).
El segundo tipo de mantenimiento es "por
llamada", en el cual en caso de descompostura se le llama al proveedor y
éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo
(casi todos los proveedores incluyen, en la cotización de compostura, el tiempo
de traslado de su oficina a donde se encuentre el equipo y viceversa). Este
tipo de mantenimiento no incluye refacciones.
El tercer tipo de mantenimiento es el que se
conoce como "en banco", y es aquel en el cual el cliente lleva a las
oficinas del proveedor el equipo, y este hace una cotización de acuerdo con el
tiempo necesario para su compostura más las refacciones (este tipo de
mantenimiento puede ser el adecuado para computadoras personales).
Al evaluar el mantenimiento se debe primero
analizar cuál de los tres tipos es el que más nos conviene y en segundo lugar
pedir los contratos y revisar con detalles que las cláusulas estén
perfectamente definidas en las cuales se elimine toda la subjetividad y con
penalización en caso de incumplimiento, para evitar contratos que sean
parciales.
Para poder exigirle el cumplimiento del
contrato de debe tener un estricto control sobre las fallas, frecuencia, y el
tiempo de reparación.
Para evaluar el control que se tiene sobre el
mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios:
1. Especifique el tipo de contrato de
mantenimiento que se tiene (solicitar copia del contrato).
2. ¿Existe un programa de mantenimiento
preventivo para cada dispositivo del sistema de cómputo?
SI ( ) NO ( )
SI ( ) NO ( )
3. ¿Se lleva a cabo tal programa?
SI ( ) NO ( )
SI ( ) NO ( )
4. ¿Existen tiempos de respuesta y de compostura
estipulados en los contratos?
SI ( ) NO ( )
SI ( ) NO ( )
5. Si los tiempos de reparación son superiores a los
estipulados en el contrato, ¿Qué acciones correctivas se toman para ajustarlos
a lo convenido?
SI ( ) NO ( )
SI ( ) NO ( )
6. Solicite el plan de mantenimiento preventivo que debe
ser proporcionado por el proveedor.-
SI ( ) NO ( )
¿Cuál?
SI ( ) NO ( )
¿Cuál?
8. ¿Cómo se notifican las fallas?
9. ¿Cómo se les da seguimiento?
5.3. Orden en el centro de cómputo
Una dirección de
Sistemas de Información bien administrada debe tener y observar reglas
relativas al orden y cuidado del departamento de cómputo. Los dispositivos del
sistema de cómputo, los archivos magnéticos, pueden ser dañados si se manejan
en forma inadecuada y eso puede traducirse en pérdidas irreparables de
información o en costos muy elevados en la reconstrucción de archivos. Se deben
revisar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de cómputo.
1. Indique la
periodicidad con que se hace la limpieza del departamento de cómputo y de la
cámara de aire que se encuentra abajo del piso falso si existe y los
ductos de aire:
Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )
2. Existe un lugar asignado a las
cintas y discos magnéticos?
SI ( ) NO ( )
SI ( ) NO ( )
3. ¿Se tiene asignado un lugar específico
para papelería y utensilios de trabajo?
SI ( ) NO ( )
SI ( ) NO ( )
4. ¿Son funcionales los muebles
asignados para la cintoteca y discoteca?
SI ( ) NO ( )
SI ( ) NO ( )
5. ¿Se tienen disposiciones para que
se acomoden en su lugar correspondiente, después de su uso, las cintas, los
discos magnéticos, la papelería, etc.?
SI ( ) NO ( )
SI ( ) NO ( )
6. Indique la
periodicidad con que se limpian las unidades de cinta:
Al cambio de turno ( ) cada semana (
)
cada día ( ) otra (especificar) ( )
cada día ( ) otra (especificar) ( )
7. ¿Existen
prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cómputo?
SI ( ) NO ( )
SI ( ) NO ( )
8. ¿Se cuenta con
carteles en lugares visibles que recuerdan dicha prohibición?
SI ( ) NO ( )
SI ( ) NO ( )
9. ¿Se tiene restringida la
operación del sistema de cómputo al personal especializado de la Dirección de
Informática?
SI ( ) NO ( )
SI ( ) NO ( )
10. Mencione los casos
en que personal ajeno al departamento de operación opera el sistema de cómputo:
Los objetivos son evaluar la configuración actual tomando en
consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado
de eficiencia con el cual el sistema operativo satisface las
necesidades de la instalación y revisar las políticas seguidas por la unidad de
informática en la conservación de su programática.
Esta sección está
orientada a:
a) Evaluar posibles
cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de
trabajo actual o de comparar la capacidad instalada con los planes de
desarrollo a mediano y lago plazo.
b) Evaluar las
posibilidades de modificar el equipo para reducir el costo o bien el tiempo de
proceso.
c) Evaluar la
utilización de los diferentes dispositivos periféricos.
1. De acuerdo con los tiempos de
utilización de cada dispositivo del sistema de cómputo, ¿existe equipo?
¿Con poco uso? SI ( ) NO ( )
¿Ocioso? SI ( ) NO ( )
¿Con capacidad superior a la necesaria? SI ( ) NO ( )
¿Con poco uso? SI ( ) NO ( )
¿Ocioso? SI ( ) NO ( )
¿Con capacidad superior a la necesaria? SI ( ) NO ( )
Describa cual es
____________________________________________________
2. ¿El equipo mencionado
en el inciso anterior puede reemplazarse por otro más lento y de menor costo?
SI ( ) NO ( )
SI ( ) NO ( )
3. Si la respuesta al
inciso anterior es negativa, ¿el equipo puede ser cancelado?
SI ( ) NO ( )
SI ( ) NO ( )
4. De ser negativa la respuesta al
inciso anterior, explique las causas por las que no puede ser cancelado o
cambiado.
________________________________________________________________
________________________________________________________________
5. ¿El sistema de cómputo tiene
capacidad de teleproceso?
SI ( ) NO ( )
SI ( ) NO ( )
6. ¿Se utiliza la capacidad de
teleproceso?
SI ( ) NO ( )
SI ( ) NO ( )
7. ¿En caso negativo, exponga los
motivos por los cuales no utiliza el teleproceso?
SI ( ) NO ( )
SI ( ) NO ( )
8. ¿Cuantas terminales
se tienen conectadas al sistema de cómputo?
9. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios?
SI ( ) NO ( )
10. ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es
suficiente
para atender el proceso por lotes y el proceso remoto?
SI ( ) NO ( )
para atender el proceso por lotes y el proceso remoto?
SI ( ) NO ( )
5.4. Seguridad y confidencialidad de los equipos
La computadora es un
instrumento que estructura gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o
divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos,
fraudes o sabotajes que provoquen la destrucción total o parcial de la
actividad computacional.
Esta información puede
ser de suma importancia, y el no tenerla en el momento preciso puede provocar
retrasos sumamente costosos. Antes esta situación, en el transcurso del siglo
XX, el mundo ha sido testigo de la transformación de algunos aspectos de
seguridad y de derecho.
En la actualidad y
principalmente en las computadoras personales, se ha dado otro factor que hay
que considerar el llamado ""virus" de las computadoras, el cual aunque tiene
diferentes intenciones se encuentra principalmente para paquetes que son
copiados sin autorización ("piratas") y borra toda la información que
se tiene en un disco.
Al auditar los sistemas
se debe tener cuidado que no se tengan copias "piratas" o bien que,
al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisión del virus.
El uso inadecuado de la
computadora comienza desde la utilización de tiempo de máquina para usos ajenos
de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de
datos a fin de modificar la información con propósitos fraudulentos.
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente,
los paquetes de control de acceso protegen contra el acceso no autorizado, pues
piden del usuario una contraseña antes de permitirle el acceso a información
confidencial. Dichos paquetes han sido populares desde hace muchos años en el
mundo de las computadoras grandes, y los principales proveedores ponen a
disposición de clientes algunos de estos paquetes.
El sistema integral de
seguridad debe comprender:
Ø Elementos
administrativos
Ø Definición de una
política de seguridad
Ø Organización y división
de responsabilidades
Ø Seguridad física y
contra catástrofes (incendio, terremotos, etc.)
Ø Prácticas de seguridad
del personal
Ø Elementos técnicos y
procedimientos
Ø Sistemas de seguridad
(de equipos y de sistemas, incluyendo todos los elementos, tanto redes como
terminales.
Ø Aplicación de los
sistemas de seguridad, incluyendo datos y archivos
Ø El papel de los
auditores, tanto internos como externos
Ø Planeación de programas
de desastre y su prueba.
Ø
Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un
adecuado estudio costo/beneficio entre el costo por perdida de información y el
costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:
Ø Clasificar la
instalación en términos de riesgo (alto, mediano, pequeño).
Ø Identificar aquellas
aplicaciones que tengan un alto riesgo.
Ø Cuantificar el impacto
en el caso de suspensión del servicio en aquellas aplicaciones con un alto
riesgo.
Ø Formular las medidas de
seguridad necesarias dependiendo del nivel de seguridad que se requiera.
La justificación del costo de implantar las medidas de
seguridad para poder clasificar el riesgo e identificar las aplicaciones de
alto riesgo, se debe preguntar lo siguiente:
Ø Que sucedería si no se
puede usar el sistema?
Ø Si la contestación es
que no se podría seguir trabajando, esto nos sitúa en un sistema de alto riego.
La siguiente pregunta es:
Ø ¿Qué implicaciones tiene
el que no se obtenga el sistema y cuánto tiempo podríamos estar sin utilizarlo?
Ø ¿Existe un procedimiento
alterno y que problemas nos ocasionaría?
Ø ¿Que se ha hecho para un
caso de emergencia?
Una vez que se ha
definido, el grado de riesgo, hay que elaborar una lista de los sistemas con
las medias preventivas que se deben tomar, así como las correctivas en caso de
desastre señalándole a cada uno su prioridad.
Hay que tener mucho
cuidado con la información que sale de la oficina, su utilización y que sea
borrada al momento de dejar la instalación que está dando respaldo.
Para clasificar la
instalación en términos de riesgo se debe:
Ø Clasificar los datos,
información y programas que contienen información confidencial que tenga un
alto valor dentro del mercado de competencia de una organización, e información que sea de difícil recuperación.
Ø Identificar aquella
información que tenga un gran costo financiero en caso de pérdida o bien puede
provocar un gran impacto en la toma de decisiones.
Ø Determinar la
información que tenga una gran pérdida en la organización y, consecuentemente,
puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa
información.
Ø
Para cuantificar el riesgo es necesario que se efectúen
entrevistas con los altos niveles administrativos que sean directamente
afectados por la suspensión en el procesamiento y que cuantifiquen el impacto
que les puede causar este tipo de situaciones.
Para evaluar las medidas de seguridad se debe:
Para evaluar las medidas de seguridad se debe:
Ø Especificar la
aplicación, los programas y archivos.
Ø Las medidas en caso de
desastre, pérdida total, abuso y los planes necesarios.
Ø Las prioridades que se
deben tomar en cuanto a las acciones a corto y largo plazo.
Ø En cuanto a la división
del trabajo se debe evaluar que se tomen las siguientes precauciones, las
cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la
organización.
- El personal que prepara la información no debe tener acceso a la operación.
- Los análisis y programadores no deben tener acceso al área de operaciones y viceversa.
- Los operadores no debe tener acceso restringida a las librerías ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librería y de operación.
- Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados.
- Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir la eficiencia.
Los datos son uno de los
recursos más valiosos de las organizaciones y, aunque son intangibles,
necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener
presente:
a) La responsabilidad de los datos es compartida
conjuntamente por alguna función determinada y el departamento de cómputo.
b) Un problema de
dependencia que se debe considerar es el que se origina por la duplicidad de
los datos y consiste en poder determinar los propietarios o usuarios
posibles(principalmente en el caso de redes y banco de datos) y la responsabilidad de su actualización y
consistencia.
c) Los datos deberán
tener una clasificación estándar y un mecanismo de identificación que permita
detectar duplicidad y redundancia dentro de una aplicación y de todas las
aplicaciones en general.
d) Se deben relacionar
los elementos de los datos con las bases de datos donde están almacenados, así como
los reportes y grupos de procesos donde son generados.
- CONTROL DE LOS DATOS FUENTES
- CONTROL DE OPERACIÓN
- ØCONTROL DE SALIDA
- CONTROL DE MEDIOS DE ALMACENAMIENTOS
- Ø CONTROL DE MANTENIMIENTOS
No hay comentarios.:
Publicar un comentario