El centro de datos o sistema de información es un recurso importante y muy valioso para la organización. Desde que se está diseñando este centro de datos, se va estableciendo la garantía de que este recurso funcionará como es debido, y que estará protegido contra el mal uso interno y externo.
Para lograr el manejo y el control efectivos de un sistema de información, es necesario diseñar e implementar un conjunto de procedimientos de control que ayuden a controlar los recursos, confiabilidad de las operaciones y la integridad general del sistema. Los puntos de control se pueden dividir en cinco categorías generales:
1.- Control Externo.- Estas funciones de control emanan de y, son realizadas por determinados grupos; como son los auditores y consultores independientes, los departamentos usuarios, la dirección general, el personal especial de control y ciertos asociados de la organización. Ellos establecen una vigilancia independiente sobre las actividades generales del sistema, a través de la observación y la retroalimentación.
2.- Control Administrativo.- Estos controles emanan directamente de la administración del sistema de información y son funciones administrativas tradicionales, por ejemplo, la selección y ubicación de personal, la delineación de responsabilidades, la descripción de tareas, el señalamiento de estándares de ejecución, etc.
3.- Control de Documentación.- Este control se refiere a todas las comunicaciones que el analista y sus colaboradores preparan durante las fases de desarrollo del sistema, así como a los procedimientos formales que describen todas y cada una de las actividades que requieren las operaciones del sistema de información.
4.- Control de Procesamiento.- El control de procesamiento garantiza que los datos se están transformando en información, en forma exacta y confiable. Este tipo de control también comprende el control de entradas, de programación, del equipo, del banco de datos y de los resultados.
5.- Control de Seguridad.- El control de seguridad comprende todas las medidas físicas y lógicas adoptadas con el fin de evitar que la operación del sistema se interrumpa, intencionadamente o no.
Control de Procesamiento.
Controles de entrada : Las actividades de recopilación de datos representan un subsistema vital en las operaciones generales del sistema de información. Los controles de entrada se dividen en:
1.- Diseño de formas : Cuando se requiere algún documento fuente para recopilar datos, el formato del documento puede diseñarse de manera que obligue a hacer los asientos en forma más legible, mediante el uso de cuadros individuales para cada letra o cifra que deba registrarse.
2.- Verificación : Los documentos fuente formulados por un solo empleado los puede verificar otro empleado, con el fin de mejorar la exactitud. La verificación es una operación de duplicación, de manera que dobla el costo de la conversión de datos. Para reducir este costo, podría hacerse lo siguiente:
* Verificar únicamente ciertos campos.
* Perforar por anticipado los campos que se repiten constantemente y registrar sólo los campos variables.
* Usar la programación para hacer la comprobación.
3.- Totales de control : Con el fin de reducir al mínimo la pérdida de datos cuando se transportan de un lugar a otro, lo mismo que para comprobar los resultados de diferentes procesos, se preparan totales de control para cada lote de datos. Por ejemplo: Un lote de documentos fuente, que pueden ser las tarjetas de tiempo de una división de la planta, se remite al empleado de control del sistema de información. Este empleado prepara la cinta con los números de los trabajadores y con el total de horas trabajadas. Estos totales de control se registran en una hoja de control. Los documentos fuente se transfieren luego al departamento de perforado para convertirlos en tarjetas. Estas tarjetas, junto con las correspondientes a otros lotes, se convierten en cinta magnética de nóminas. Al terminar cada etapa del procesamiento, los totales de control introducidos a esa etapa se pueden comparar con los totales de control generados por la computadora. Esto garantiza que se cuenta con todos los datos, hasta la terminación del procesamiento y producción de resultados.
4.- Otros controles : Durante el diseño del sistema de recopilación de datos de entrada, se debe de considerar el empleo de dígitos de comprobación para los códigos más importantes, como el número de cuenta del cliente, el número de producto, el número del empleado, etc. La rotulación de archivos de datos es otro punto de control muy importante, esto es como el nombre del archivo, la fecha de creación, la fecha de actualización, el período de expiración, etc.
Controles de programación : Se establecen principalmente con el objeto de evitar el ingreso de errores a las subsecuentes actividades de procesamiento. Por medio de los controles de programación es posible hacer que la computadora ayude a detectar los errores de entrada y los que pueden producirse al procesar los datos. Hay varias formas de programar la computadora para lograr el control:
* Comprobación de límites o de racionalidad : Este control sirve para identificar aquellos datos que tengan un valor superior o inferior a una cantidad predeterminada. Esta cómputo de control detecta sólo aquellos elementos de información que quedan fuera de los límites.
* Prueba aritmética : Es posible diseñar varias rutinas de cálculo para validar el resultado de otro cálculo, o el valor de ciertos campos. Un método de prueba aritmética es el llamado de cifras cruzadas, que significa sumar o restar dos o más campos e igualar a cero el resultado comparado con el resultado original.
* Identificación : Es posible diseñar varias técnicas de identificación para asegurarse de que los datos que se procesan son válidos. Esto puede hacerse comparando los campos del archivo de transacciones con los archivos maestros, o con tablas de constantes, almacenadas ya sea en el programa mismo o en un dispositivo periférico.
* Comprobación de secuencia : A menudo, los archivos se disponen en secuencia ascendente o descendente. Las instrucciones del programa comparan el campo de secuencia de cada registro o transacción con el campo de secuencia del registro o transacción que le anteceden. Mediante esta técnica, se detectar cualquier registro fuera de secuencia, evitándose que el archivo se procese incorrectamente. Las razones normales para que se produzca un error de secuencia son:
1.- Uso de un archivo incorrecto.
2.- Que no se haya efectuado la clasificación correcta.
3.- Descomposturas de las máquinas.
4.- Intercalación indebida.
* Registro de errores : Una técnica fundamental de control que se usa durante el procesamiento consiste en llevar un registro de errores, donde aparecen todos los errores y excepciones observados en el curso del procesamiento. Al irse identificando los errores, se registran en un archivo especial, permitiendo que el procesamiento continúe sin interrupciones. Al terminarse esa etapa se consulta el registro de errores, ya sea que lo haga el operador o por medio de la computadora, decidiéndose si se continuará o no con el procesamiento. Después, el registro de errores se envía ya sea al departamento o grupo que prepara los elementos de entrada originales o a un grupo de control designado especialmente dentro del sistema de información, donde se corrigen los asientos, se concilian y se someten de nuevo a procesamiento.
* Otros controles de programación : La computadora se puede programar de manera que interprete, anote y valíde los rótulos de cada archivo de datos procesado. Los códigos que utilizan dígitos de verificación se pueden generar y validar con los controles de programación. Los totales de control se pueden mantener y tomar para referencia en cada etapa del procesamiento empleando la lógica de programación.
Controles del banco de datos : Los bancos de datos y los programas son la materia prima y la savia vital del sistema de información. Por tal motivo, es necesario establecer y observar procedimientos para protegerlos contra la pérdida y destrucción. Si llega a haber pérdida y destrucción, deberán seguirse procedimientos planeados previamente para reconstruir los archivos y los programas. Mediante el empleo de controles de programación, se garantiza, hasta cierto punto, que esos archivos y programas no se dañarán durante el proceso normal; pero, en combinación con los administradores respectivos del sistema de información y del banco de datos, debe ejercer un control adicional sobre los aspectos físicos y de operación relacionados con el procedimiento y almacenamiento de archivos de datos y programas. Es común, que los archivos y los programas permanecen almacenados en un depósito, en espera de ser procesados. Es aquí donde deben tomarse las medidas necesarias para asegurarse de que no se dañarán ni se usarán indebidamente.
Las precauciones son las siguientes :
1.- El lugar de almacenamiento debe estar construido a prueba de incendios.
2.- Los factores ambientales, como la temperatura, la humedad y el aire, se deben controlar adecuadamente.
3.- El lugar de almacenamiento debe ser seguro.
4.- Es preciso utilizar anillos protectores. Estos anillos de material plástico o de metal, protegen los archivos contra la destrucción accidental.
5.- La empresa puede construir o rentar lugares de almacenamiento fuera del lugar de operación, con el fin de dar protección adicional a los archivos y programas importantes.
El personal de operación del centro de computación, lo mismo que el encargado de la biblioteca, siguen procedimientos de control para asegurarse de que los archivos y programas se manejen con propiedad, y que, si alguno de ellos llega a destruirse o a perderse accidentalmente, se habrá especificado un método para reconstruirlo. Dichos procedimientos son los siguientes:
* Todos los archivos y programas deben estar claramente rotulados y clasificados, para su fácil identificación.
* El acceso a las áreas de almacenamiento sólo se debe permitir al personal autorizado.
* Todos los archivos, programas y otros documentos importantes deben ser proporcionados exclusivamente a las personas autorizadas para recibirlos. Es decir, que se debe implementar un procedimiento sistemático para la entrega y recepción de los documentos almacenados en la biblioteca. A pesar de los procedimientos implantados, a veces se destruyen los archivos, o bien, los datos se vuelven ilegibles, debido a diversas causas. Para solucionar este problema, se planea una protección, es decir, un método para reconstruir los registros perdidos.
En el caso de archivos almacenados en cinta magnética el método que más se usa consiste en conservar los antiguos archivos maestro y de transacciones cuando se prepara uno nuevo actualizado, a este método se le conoce como Abuelo-Padre-Hijo, ya que en todo momento se dispone de tres versiones del archivo. En el caso de los dispositivos almacenamiento de acceso directo, el método que permite la reconstrucción de archivos consiste en vaciar periódicamente el contenido en otro dispositivo.
Controles de salida : Se establecen como una comprobación final de la precisión e integridad de la información procesada. Estos procedimientos son los siguientes:
1.- Una inspección inicial, para detectar los errores más obvios.
2.- La comunicación de los resultados se debe controlar, para asegurarse de que sólo los reciben las personas autorizadas.
3.- Los totales de control de salida se deben conciliar con los totales de control de entrada, para asegurarse de que no se han perdido ni agregado datos durante el procesamiento o la comunicación.
4.- Todas las formas fundamentales (cheques de pago, registros de accionista, etc.) se deben numerar previamente y controlar.
5.- Pese a todas las precauciones, se introducen algunos errores. El principal punto de control para detectarlos lo constituye el usuario, de manera que se debe establecer un procedimiento para crear un canal de comunicación entre el usuario y el grupo de control, con vistas al reporte sistemático de errores e incongruencias.
Control del equipo : Se debe estar al tanto de los controles del equipo disponible y de la forma en que funcionan. Los controles del equipo se instalan con el propósito de detectar las fallas eléctricas y mecánicas que ocurren en la computadora y en los dispositivos periféricos. Son de dos clases:
* Revisiones y procedimientos de mantenimiento preventivo.
* Probadores integrales automáticos.
Revisiones de mantenimiento preventivo.- El mantenimiento preventivo logra dos cosas:
1.- Asegura el control apropiado y constante de los factores ambientales, calor, humedad, energía, etc.
2.- Previene el deterioro del rendimiento, o la falla de los diversos componentes de la computadora, mediante un sistema en marcha, de detección, ajuste y reparación.
Los procedimientos de mantenimiento preventivo deben seguirse de acuerdo con un programa, de manera que los componentes críticos se revisen a diario. La finalidad es detectar las fallas inminentes y hacer los ajustes o las reparaciones apropiadas antes de que se produzca la falla. El propósito del mantenimiento preventivo es disminuir las probabilidades de que se produzcan errores.
Probadores integrados.- En el interior de la computadora hay cierto número de dispositivos automáticos de comprobación que garantizan la buena operación, como los hay en cualquier otro sistema eléctrico. Esos dispositivos forman parte del circuito y detectan los errores que pudieran resultar del manejo, cálculo y transmisión de datos efectuados por los diversos componentes. Son necesarios para asegurar que:
1.- Sólo se transmita una pulsación electrónica por cada canal durante una sola fase.
2.- Que ciertos dispositivos específicos se activen y que la información recibida en un punto determinado es la misma que se trasmitió desde otro punto.
Los dispositivos internos de prueba son estándar en muchas computadoras. Cuando carecen de ellos, la gerencia debe exigir al vendedor que los incorpore antes de la instalación del equipo. A continuación se presentan algunos ejemplos de estos dispositivos:
* Verificación de paridad : Los datos se calculan, y trasladan a la computadora, con base en un esquema codificado de números binarios. Cuando se efectúan determinadas operaciones, es necesario trasladar los datos de un punto a otro. Para asegurarse de que los datos introducidos inicialmente al sistema se han transmitido correctamente, se incorpora a la mayoría de los sistema computacionales un dispositivo interno auto verificador. Además de la serie de bits con que se representan los datos, la computadora utiliza un bit adicional (o redundante) para cada posición de almacenamiento, se les conoce como bits de paridad o bits de verificación, y sirven para detectar errores de circuito que causarían la supresión, adición o destrucción de un bit, debido al mal funcionamiento del equipo. En una máquina de paridad par, la serie codificada debe contener siempre un número par de bits, a menos que haya un error, es decir, a menos que la serie codificada haya perdido o tal vez ganado un bit por causa de alguna descompostura. A la inversa, en una máquina de paridad impar, la serie codificada deberá contener siempre un número impar de bits, a menos que exista una descompostura.
* Verificación de validez : Los números y letras se presentan por medio de combinaciones específicas de números binarios. La representación de estos símbolos se logra a través de diversos patrones de codificación manejados por los circuitos del sistema computador. En un sistema simple se pueden utilizar diversos esquemas de codificación para representar los datos en diferentes etapas de procesamiento. La entrada a la computadora puede hacerse usando caracteres de un esquema convirtiéndolos a otro diferente antes de que los datos lleguen a la memoria. Una vez que los datos de entrada están en la computadora pueden pasar por otra fase de conversión para fines de cálculo. Puede suceder que a la salida, tengan que pasar por una fase más de conversión.
* Verificación por duplicación : Requiere que dos dispositivos independientes efectúen la misma operación, comparando luego los resultados. Si aparece una diferencia, es señal de que hubo error. Este principio de duplicación se utiliza en muchos otros dispositivos, tanto en entrada como de salida. El resultado se compara con los datos originales. Si no coinciden, el sistema se detendrá o el operador será avisado a través de la consola.
* Verificación de eco : Comprueba simplemente si el dispositivo que corresponda ha sido activado para que efectúe una determinada operación. La CPU trasmite una señal al dispositivo de entrada o salida indicándole que efectúe cierta operación. El dispositivo en cuestión devuelve la señal a la CPU, donde es comprobada automáticamente para ver si se ha activado el dispositivo apropiado.
* Verificaciones diversas : El sistema de computación debe detectar otras instrucciones no válidas, exceso de contenido y sobre flujos, divisiones entre cero y defectos en los dispositivos de almacenamiento.
No todos los dispositivos computadores que se instalan actualmente poseen un equipo completo de verificación. La persona responsable debe evaluar la integridad de los dispositivos de detección de errores incorporados en los componentes. Si se elige un equipo con un número limitado de verificadores automáticos, aumentarán las probabilidades de que se produzcan errores debidos a un funcionamiento incorrecto.
Controles de Seguridad.
Todo sistema de información debe contar con ciertas medidas de seguridad, sobre todo los sistemas integrados basados en la computadora que cuentan con dispositivos de comunicación de datos, situados en línea y accesibles a los usuarios de toda la organización. Dichos sistemas permiten el acceso al sistema central de computación a usuarios que, con el anterior sistema de procesamiento por lotes, no tenían el mismo grado de accesibilidad.
Con el advenimiento de los sistemas integrados, determinados programas y archivos de datos deben estar disponibles, a solicitud, no sólo para los especialistas del sistema de información, sino también para muchos usuarios ajenos al sistema. Estas demandas imponen la necesidad de diseñar medidas adicionales de seguridad para el sistema de información, con el fin de asegurarse de que únicamente las personas autorizadas tengan acceso a determinados dispositivos, archivos, programas e informes.
El grupo de Seguridad.
En los sistemas de información más grandes y complejos, puede ser necesario que un grupo formado por parte del personal de sistemas, o un grupo independiente de especialistas en cuestiones de seguridad, asuma la responsabilidad de implantar, vigilar y hacer cumplir los diversos procedimientos de seguridad. Dicho grupo será responsable del acceso de los usuarios, del control de dicho acceso, de la seguridad en la transmisión de datos, de la integridad del programa y de la recuperación en caso de siniestro. En muchas instalaciones, el analista de sistema es responsable de los puntos de control de seguridad relacionados con el sistema que está instalando. Los puntos de control de la seguridad se deben evaluar cuando se está diseñando el sistema.
El acceso por parte del Ususario.
Una forma convencional de autorizar el acceso a los archivos y programas del sistema central de computación, consiste en asignar a cada usuario un número y un código especiales. Así mismo, a un empleado se le permite, por medio de una tarjeta, hacer uso del sistema de computación para el procesamiento en lotes. Tanto el número y código del usuario, como la tarjeta del empleado, sirven de contraseña y clave para obtener acceso a ciertos archivos, programas y otras partes del sistema previamente especificados.
Accesos controlados.
Se impone cierto grado de control en el acceso, ya se trate de un sistema con terminales o de uno que procesa por lotes. El daño y la interrupción pueden provenir de muchas causas: de visitantes casuales que sin mala intención meten mano en el sistema; de propios y extraños propensos al fraude, el sabotaje y el descontento. El control del acceso al centro de computación puede lograrse tomando ciertas precauciones, como son la colocación de vigilantes y la implantación de procedimientos de entrada(etiquetas con el nombre, placas y guías de los visitantes al centro de cómputo).
Modificación de Programas.
Deben establecerse procedimientos para anotar los cambios introducidos en los programas que contiene la biblioteca. Este proceso es adecuado cuando los cambios se efectúan por los canales normales; pero cuando no es así, el grupo de seguridad debe de contar con un medio para detectarlos. La detección puede lograrse haciendo que quien carga el sistema pase el control al programa de seguridad después de efectuar la carga, pero antes de pasar el control al programa cargado. El programa de seguridad saca un total para verificación de los bits que componen la carga, comparándola con una tabla, previamente almacenada, de totales correctos de verificación. La tabla es accesible únicamente al programa de seguridad. Si hay discrepancia en la comparación, el programa se interrumpe y se notifica al personal de seguridad.
Procedimiento de Recuperación en caso Siniestro.
La planeación basada en el sentido común, y la implantación de sencillos procedimientos de control, pueden proteger contra la ocurrencia de muchos desastres obvios. Algunos sistemas de computación que se han alojado en el mismo edificio ocupado por una estación de radio, un túnel de viento experimental, no tendrá nada extraño que el sistema tenga dificultades constantes debidas a "misteriosos" descensos y aumentos súbitos de energía, esto es por la ubicación mal planeada. Sin embargo, no siempre es posible pronosticar la posibilidad de que ocurran determinados desastres. Por ejemplo, los fenómenos naturales, como las inundaciones, los incendios y el viento, pueden destruir toda una instalación. La siguiente lista contiene los registros de datos que se incluyen en los planes de protección de algunas empresas donde se han implantado programas de seguridad para un sistema de computación:
1.- Documentación del sistema.
2.- Documentación de los programas.
3.- Documentación de los procedimientos de operación.
4.- Tarjetas o cintas de los programas fuente.
5.- Tarjetas o cintas con programas objeto.
6.- Tarjetas o cintas con el lenguaje de control, para los programas de
producción.
7.- Tarjetas o cintas con tablas de datos.
8.- Tarjetas o discos del sistema operativo.
9.- Archivo maestro de datos.
10.- Archivo de transacciones.
11.- Archivo de informes.
12.- Originales de los manuales de la empresa.
Para lograr el manejo y el control efectivos de un sistema de información, es necesario diseñar e implementar un conjunto de procedimientos de control que ayuden a controlar los recursos, confiabilidad de las operaciones y la integridad general del sistema. Los puntos de control se pueden dividir en cinco categorías generales:
1.- Control Externo.- Estas funciones de control emanan de y, son realizadas por determinados grupos; como son los auditores y consultores independientes, los departamentos usuarios, la dirección general, el personal especial de control y ciertos asociados de la organización. Ellos establecen una vigilancia independiente sobre las actividades generales del sistema, a través de la observación y la retroalimentación.
2.- Control Administrativo.- Estos controles emanan directamente de la administración del sistema de información y son funciones administrativas tradicionales, por ejemplo, la selección y ubicación de personal, la delineación de responsabilidades, la descripción de tareas, el señalamiento de estándares de ejecución, etc.
3.- Control de Documentación.- Este control se refiere a todas las comunicaciones que el analista y sus colaboradores preparan durante las fases de desarrollo del sistema, así como a los procedimientos formales que describen todas y cada una de las actividades que requieren las operaciones del sistema de información.
4.- Control de Procesamiento.- El control de procesamiento garantiza que los datos se están transformando en información, en forma exacta y confiable. Este tipo de control también comprende el control de entradas, de programación, del equipo, del banco de datos y de los resultados.
5.- Control de Seguridad.- El control de seguridad comprende todas las medidas físicas y lógicas adoptadas con el fin de evitar que la operación del sistema se interrumpa, intencionadamente o no.
Control de Procesamiento.
Controles de entrada : Las actividades de recopilación de datos representan un subsistema vital en las operaciones generales del sistema de información. Los controles de entrada se dividen en:
1.- Diseño de formas : Cuando se requiere algún documento fuente para recopilar datos, el formato del documento puede diseñarse de manera que obligue a hacer los asientos en forma más legible, mediante el uso de cuadros individuales para cada letra o cifra que deba registrarse.
2.- Verificación : Los documentos fuente formulados por un solo empleado los puede verificar otro empleado, con el fin de mejorar la exactitud. La verificación es una operación de duplicación, de manera que dobla el costo de la conversión de datos. Para reducir este costo, podría hacerse lo siguiente:
* Verificar únicamente ciertos campos.
* Perforar por anticipado los campos que se repiten constantemente y registrar sólo los campos variables.
* Usar la programación para hacer la comprobación.
3.- Totales de control : Con el fin de reducir al mínimo la pérdida de datos cuando se transportan de un lugar a otro, lo mismo que para comprobar los resultados de diferentes procesos, se preparan totales de control para cada lote de datos. Por ejemplo: Un lote de documentos fuente, que pueden ser las tarjetas de tiempo de una división de la planta, se remite al empleado de control del sistema de información. Este empleado prepara la cinta con los números de los trabajadores y con el total de horas trabajadas. Estos totales de control se registran en una hoja de control. Los documentos fuente se transfieren luego al departamento de perforado para convertirlos en tarjetas. Estas tarjetas, junto con las correspondientes a otros lotes, se convierten en cinta magnética de nóminas. Al terminar cada etapa del procesamiento, los totales de control introducidos a esa etapa se pueden comparar con los totales de control generados por la computadora. Esto garantiza que se cuenta con todos los datos, hasta la terminación del procesamiento y producción de resultados.
4.- Otros controles : Durante el diseño del sistema de recopilación de datos de entrada, se debe de considerar el empleo de dígitos de comprobación para los códigos más importantes, como el número de cuenta del cliente, el número de producto, el número del empleado, etc. La rotulación de archivos de datos es otro punto de control muy importante, esto es como el nombre del archivo, la fecha de creación, la fecha de actualización, el período de expiración, etc.
Controles de programación : Se establecen principalmente con el objeto de evitar el ingreso de errores a las subsecuentes actividades de procesamiento. Por medio de los controles de programación es posible hacer que la computadora ayude a detectar los errores de entrada y los que pueden producirse al procesar los datos. Hay varias formas de programar la computadora para lograr el control:
* Comprobación de límites o de racionalidad : Este control sirve para identificar aquellos datos que tengan un valor superior o inferior a una cantidad predeterminada. Esta cómputo de control detecta sólo aquellos elementos de información que quedan fuera de los límites.
* Prueba aritmética : Es posible diseñar varias rutinas de cálculo para validar el resultado de otro cálculo, o el valor de ciertos campos. Un método de prueba aritmética es el llamado de cifras cruzadas, que significa sumar o restar dos o más campos e igualar a cero el resultado comparado con el resultado original.
* Identificación : Es posible diseñar varias técnicas de identificación para asegurarse de que los datos que se procesan son válidos. Esto puede hacerse comparando los campos del archivo de transacciones con los archivos maestros, o con tablas de constantes, almacenadas ya sea en el programa mismo o en un dispositivo periférico.
* Comprobación de secuencia : A menudo, los archivos se disponen en secuencia ascendente o descendente. Las instrucciones del programa comparan el campo de secuencia de cada registro o transacción con el campo de secuencia del registro o transacción que le anteceden. Mediante esta técnica, se detectar cualquier registro fuera de secuencia, evitándose que el archivo se procese incorrectamente. Las razones normales para que se produzca un error de secuencia son:
1.- Uso de un archivo incorrecto.
2.- Que no se haya efectuado la clasificación correcta.
3.- Descomposturas de las máquinas.
4.- Intercalación indebida.
* Registro de errores : Una técnica fundamental de control que se usa durante el procesamiento consiste en llevar un registro de errores, donde aparecen todos los errores y excepciones observados en el curso del procesamiento. Al irse identificando los errores, se registran en un archivo especial, permitiendo que el procesamiento continúe sin interrupciones. Al terminarse esa etapa se consulta el registro de errores, ya sea que lo haga el operador o por medio de la computadora, decidiéndose si se continuará o no con el procesamiento. Después, el registro de errores se envía ya sea al departamento o grupo que prepara los elementos de entrada originales o a un grupo de control designado especialmente dentro del sistema de información, donde se corrigen los asientos, se concilian y se someten de nuevo a procesamiento.
* Otros controles de programación : La computadora se puede programar de manera que interprete, anote y valíde los rótulos de cada archivo de datos procesado. Los códigos que utilizan dígitos de verificación se pueden generar y validar con los controles de programación. Los totales de control se pueden mantener y tomar para referencia en cada etapa del procesamiento empleando la lógica de programación.
Controles del banco de datos : Los bancos de datos y los programas son la materia prima y la savia vital del sistema de información. Por tal motivo, es necesario establecer y observar procedimientos para protegerlos contra la pérdida y destrucción. Si llega a haber pérdida y destrucción, deberán seguirse procedimientos planeados previamente para reconstruir los archivos y los programas. Mediante el empleo de controles de programación, se garantiza, hasta cierto punto, que esos archivos y programas no se dañarán durante el proceso normal; pero, en combinación con los administradores respectivos del sistema de información y del banco de datos, debe ejercer un control adicional sobre los aspectos físicos y de operación relacionados con el procedimiento y almacenamiento de archivos de datos y programas. Es común, que los archivos y los programas permanecen almacenados en un depósito, en espera de ser procesados. Es aquí donde deben tomarse las medidas necesarias para asegurarse de que no se dañarán ni se usarán indebidamente.
Las precauciones son las siguientes :
1.- El lugar de almacenamiento debe estar construido a prueba de incendios.
2.- Los factores ambientales, como la temperatura, la humedad y el aire, se deben controlar adecuadamente.
3.- El lugar de almacenamiento debe ser seguro.
4.- Es preciso utilizar anillos protectores. Estos anillos de material plástico o de metal, protegen los archivos contra la destrucción accidental.
5.- La empresa puede construir o rentar lugares de almacenamiento fuera del lugar de operación, con el fin de dar protección adicional a los archivos y programas importantes.
El personal de operación del centro de computación, lo mismo que el encargado de la biblioteca, siguen procedimientos de control para asegurarse de que los archivos y programas se manejen con propiedad, y que, si alguno de ellos llega a destruirse o a perderse accidentalmente, se habrá especificado un método para reconstruirlo. Dichos procedimientos son los siguientes:
* Todos los archivos y programas deben estar claramente rotulados y clasificados, para su fácil identificación.
* El acceso a las áreas de almacenamiento sólo se debe permitir al personal autorizado.
* Todos los archivos, programas y otros documentos importantes deben ser proporcionados exclusivamente a las personas autorizadas para recibirlos. Es decir, que se debe implementar un procedimiento sistemático para la entrega y recepción de los documentos almacenados en la biblioteca. A pesar de los procedimientos implantados, a veces se destruyen los archivos, o bien, los datos se vuelven ilegibles, debido a diversas causas. Para solucionar este problema, se planea una protección, es decir, un método para reconstruir los registros perdidos.
En el caso de archivos almacenados en cinta magnética el método que más se usa consiste en conservar los antiguos archivos maestro y de transacciones cuando se prepara uno nuevo actualizado, a este método se le conoce como Abuelo-Padre-Hijo, ya que en todo momento se dispone de tres versiones del archivo. En el caso de los dispositivos almacenamiento de acceso directo, el método que permite la reconstrucción de archivos consiste en vaciar periódicamente el contenido en otro dispositivo.
Controles de salida : Se establecen como una comprobación final de la precisión e integridad de la información procesada. Estos procedimientos son los siguientes:
1.- Una inspección inicial, para detectar los errores más obvios.
2.- La comunicación de los resultados se debe controlar, para asegurarse de que sólo los reciben las personas autorizadas.
3.- Los totales de control de salida se deben conciliar con los totales de control de entrada, para asegurarse de que no se han perdido ni agregado datos durante el procesamiento o la comunicación.
4.- Todas las formas fundamentales (cheques de pago, registros de accionista, etc.) se deben numerar previamente y controlar.
5.- Pese a todas las precauciones, se introducen algunos errores. El principal punto de control para detectarlos lo constituye el usuario, de manera que se debe establecer un procedimiento para crear un canal de comunicación entre el usuario y el grupo de control, con vistas al reporte sistemático de errores e incongruencias.
Control del equipo : Se debe estar al tanto de los controles del equipo disponible y de la forma en que funcionan. Los controles del equipo se instalan con el propósito de detectar las fallas eléctricas y mecánicas que ocurren en la computadora y en los dispositivos periféricos. Son de dos clases:
* Revisiones y procedimientos de mantenimiento preventivo.
* Probadores integrales automáticos.
Revisiones de mantenimiento preventivo.- El mantenimiento preventivo logra dos cosas:
1.- Asegura el control apropiado y constante de los factores ambientales, calor, humedad, energía, etc.
2.- Previene el deterioro del rendimiento, o la falla de los diversos componentes de la computadora, mediante un sistema en marcha, de detección, ajuste y reparación.
Los procedimientos de mantenimiento preventivo deben seguirse de acuerdo con un programa, de manera que los componentes críticos se revisen a diario. La finalidad es detectar las fallas inminentes y hacer los ajustes o las reparaciones apropiadas antes de que se produzca la falla. El propósito del mantenimiento preventivo es disminuir las probabilidades de que se produzcan errores.
Probadores integrados.- En el interior de la computadora hay cierto número de dispositivos automáticos de comprobación que garantizan la buena operación, como los hay en cualquier otro sistema eléctrico. Esos dispositivos forman parte del circuito y detectan los errores que pudieran resultar del manejo, cálculo y transmisión de datos efectuados por los diversos componentes. Son necesarios para asegurar que:
1.- Sólo se transmita una pulsación electrónica por cada canal durante una sola fase.
2.- Que ciertos dispositivos específicos se activen y que la información recibida en un punto determinado es la misma que se trasmitió desde otro punto.
Los dispositivos internos de prueba son estándar en muchas computadoras. Cuando carecen de ellos, la gerencia debe exigir al vendedor que los incorpore antes de la instalación del equipo. A continuación se presentan algunos ejemplos de estos dispositivos:
* Verificación de paridad : Los datos se calculan, y trasladan a la computadora, con base en un esquema codificado de números binarios. Cuando se efectúan determinadas operaciones, es necesario trasladar los datos de un punto a otro. Para asegurarse de que los datos introducidos inicialmente al sistema se han transmitido correctamente, se incorpora a la mayoría de los sistema computacionales un dispositivo interno auto verificador. Además de la serie de bits con que se representan los datos, la computadora utiliza un bit adicional (o redundante) para cada posición de almacenamiento, se les conoce como bits de paridad o bits de verificación, y sirven para detectar errores de circuito que causarían la supresión, adición o destrucción de un bit, debido al mal funcionamiento del equipo. En una máquina de paridad par, la serie codificada debe contener siempre un número par de bits, a menos que haya un error, es decir, a menos que la serie codificada haya perdido o tal vez ganado un bit por causa de alguna descompostura. A la inversa, en una máquina de paridad impar, la serie codificada deberá contener siempre un número impar de bits, a menos que exista una descompostura.
* Verificación de validez : Los números y letras se presentan por medio de combinaciones específicas de números binarios. La representación de estos símbolos se logra a través de diversos patrones de codificación manejados por los circuitos del sistema computador. En un sistema simple se pueden utilizar diversos esquemas de codificación para representar los datos en diferentes etapas de procesamiento. La entrada a la computadora puede hacerse usando caracteres de un esquema convirtiéndolos a otro diferente antes de que los datos lleguen a la memoria. Una vez que los datos de entrada están en la computadora pueden pasar por otra fase de conversión para fines de cálculo. Puede suceder que a la salida, tengan que pasar por una fase más de conversión.
* Verificación por duplicación : Requiere que dos dispositivos independientes efectúen la misma operación, comparando luego los resultados. Si aparece una diferencia, es señal de que hubo error. Este principio de duplicación se utiliza en muchos otros dispositivos, tanto en entrada como de salida. El resultado se compara con los datos originales. Si no coinciden, el sistema se detendrá o el operador será avisado a través de la consola.
* Verificación de eco : Comprueba simplemente si el dispositivo que corresponda ha sido activado para que efectúe una determinada operación. La CPU trasmite una señal al dispositivo de entrada o salida indicándole que efectúe cierta operación. El dispositivo en cuestión devuelve la señal a la CPU, donde es comprobada automáticamente para ver si se ha activado el dispositivo apropiado.
* Verificaciones diversas : El sistema de computación debe detectar otras instrucciones no válidas, exceso de contenido y sobre flujos, divisiones entre cero y defectos en los dispositivos de almacenamiento.
No todos los dispositivos computadores que se instalan actualmente poseen un equipo completo de verificación. La persona responsable debe evaluar la integridad de los dispositivos de detección de errores incorporados en los componentes. Si se elige un equipo con un número limitado de verificadores automáticos, aumentarán las probabilidades de que se produzcan errores debidos a un funcionamiento incorrecto.
Controles de Seguridad.
Todo sistema de información debe contar con ciertas medidas de seguridad, sobre todo los sistemas integrados basados en la computadora que cuentan con dispositivos de comunicación de datos, situados en línea y accesibles a los usuarios de toda la organización. Dichos sistemas permiten el acceso al sistema central de computación a usuarios que, con el anterior sistema de procesamiento por lotes, no tenían el mismo grado de accesibilidad.
Con el advenimiento de los sistemas integrados, determinados programas y archivos de datos deben estar disponibles, a solicitud, no sólo para los especialistas del sistema de información, sino también para muchos usuarios ajenos al sistema. Estas demandas imponen la necesidad de diseñar medidas adicionales de seguridad para el sistema de información, con el fin de asegurarse de que únicamente las personas autorizadas tengan acceso a determinados dispositivos, archivos, programas e informes.
El grupo de Seguridad.
En los sistemas de información más grandes y complejos, puede ser necesario que un grupo formado por parte del personal de sistemas, o un grupo independiente de especialistas en cuestiones de seguridad, asuma la responsabilidad de implantar, vigilar y hacer cumplir los diversos procedimientos de seguridad. Dicho grupo será responsable del acceso de los usuarios, del control de dicho acceso, de la seguridad en la transmisión de datos, de la integridad del programa y de la recuperación en caso de siniestro. En muchas instalaciones, el analista de sistema es responsable de los puntos de control de seguridad relacionados con el sistema que está instalando. Los puntos de control de la seguridad se deben evaluar cuando se está diseñando el sistema.
El acceso por parte del Ususario.
Una forma convencional de autorizar el acceso a los archivos y programas del sistema central de computación, consiste en asignar a cada usuario un número y un código especiales. Así mismo, a un empleado se le permite, por medio de una tarjeta, hacer uso del sistema de computación para el procesamiento en lotes. Tanto el número y código del usuario, como la tarjeta del empleado, sirven de contraseña y clave para obtener acceso a ciertos archivos, programas y otras partes del sistema previamente especificados.
Accesos controlados.
Se impone cierto grado de control en el acceso, ya se trate de un sistema con terminales o de uno que procesa por lotes. El daño y la interrupción pueden provenir de muchas causas: de visitantes casuales que sin mala intención meten mano en el sistema; de propios y extraños propensos al fraude, el sabotaje y el descontento. El control del acceso al centro de computación puede lograrse tomando ciertas precauciones, como son la colocación de vigilantes y la implantación de procedimientos de entrada(etiquetas con el nombre, placas y guías de los visitantes al centro de cómputo).
Modificación de Programas.
Deben establecerse procedimientos para anotar los cambios introducidos en los programas que contiene la biblioteca. Este proceso es adecuado cuando los cambios se efectúan por los canales normales; pero cuando no es así, el grupo de seguridad debe de contar con un medio para detectarlos. La detección puede lograrse haciendo que quien carga el sistema pase el control al programa de seguridad después de efectuar la carga, pero antes de pasar el control al programa cargado. El programa de seguridad saca un total para verificación de los bits que componen la carga, comparándola con una tabla, previamente almacenada, de totales correctos de verificación. La tabla es accesible únicamente al programa de seguridad. Si hay discrepancia en la comparación, el programa se interrumpe y se notifica al personal de seguridad.
Procedimiento de Recuperación en caso Siniestro.
La planeación basada en el sentido común, y la implantación de sencillos procedimientos de control, pueden proteger contra la ocurrencia de muchos desastres obvios. Algunos sistemas de computación que se han alojado en el mismo edificio ocupado por una estación de radio, un túnel de viento experimental, no tendrá nada extraño que el sistema tenga dificultades constantes debidas a "misteriosos" descensos y aumentos súbitos de energía, esto es por la ubicación mal planeada. Sin embargo, no siempre es posible pronosticar la posibilidad de que ocurran determinados desastres. Por ejemplo, los fenómenos naturales, como las inundaciones, los incendios y el viento, pueden destruir toda una instalación. La siguiente lista contiene los registros de datos que se incluyen en los planes de protección de algunas empresas donde se han implantado programas de seguridad para un sistema de computación:
1.- Documentación del sistema.
2.- Documentación de los programas.
3.- Documentación de los procedimientos de operación.
4.- Tarjetas o cintas de los programas fuente.
5.- Tarjetas o cintas con programas objeto.
6.- Tarjetas o cintas con el lenguaje de control, para los programas de
producción.
7.- Tarjetas o cintas con tablas de datos.
8.- Tarjetas o discos del sistema operativo.
9.- Archivo maestro de datos.
10.- Archivo de transacciones.
11.- Archivo de informes.
12.- Originales de los manuales de la empresa.
No hay comentarios:
Publicar un comentario