TEXTO PAGINA: 16
l Seguimiento de las infracciones de acceso que fueron registradas. l Cierre automático del terminal después de cierta cantidad de intentos de acceso no autorizados. l Cambios periódicos de contraseñas e identificadores de usuario. l Desactivación de contraseñas e identificación de usuario. l Desactivación de contraseñas e identificación de usuario. l Programación de los ciclos de producción. l Autorización escrita para los ciclos de producción programados y extraordinarios. l Acceso controlado a las instrucciones de comando que inician el procesamiento de programas de producción. l Mantenimiento y revisión de registros computariza- dos de procesamiento (ej.: bitácoras de actividad del sistema, registro de trabajos, registros de acceso a biblio- tecas y archivos de datos). l Procedimientos para implantar y modificar instala- ciones de acceso en línea. l Cierre automático de terminales. 2.3 Se mantiene y revisa un registro de la e.jecución de los programas por parte de los usuarios. l Los registros/bitácoras y la utilización de datos y programas, autorización de los usuarios, contraseñas y períodos válidos de tiempo. 3. Los datos se procesan y/o modifican solamen- te por medio de programas apropiados. 3.1 Deben existir controles para asegurar que los programas que no son de producción se corran con archi- vos de datos contables sólo cuando la corrida es autoriza- da y apropiada. l Procedimientos para la autorización y aprobación del uso de los programas que no son de producción. l Evidencia documentada del uso de estos programas que incluye usuario, archivo o acceso de programa. l Revisión periódica, por parte de la gerencia de la utilización de los programas que no son de producción. 3.2 Deben existir controles sobre los programas utili- tarios almacenados en la biblioteca de sistemas, para asegurar que sean corridos con archivos de datos conta- bles sólo cuando la corrida es autorizada y apropiada. l Acceso a los utilitarios, restringido a individuos autorizados. l El uso de los programas utilitarios es vigilado y controlado por personal supervisor. 3.3 Si los programas utilitarios residen fuera de la biblioteca de sistemas o no son controlados por los mismos procedimientos de acceso, considere los controles que aseguren que su uso sea apropiado y autorizado. l Requisito de una solicitud especial para cargar estos utilitarios. l Autorización de solicitudes especiales para cargar utilitarios. l Acceso a los utilitarios restringido a individuos autorizados. l Vigilancia y control por parte del personal supervi- sor del uso de los programas utilitarios. Objetivo de Control de Desarrollo de Sistemas y Cambios en los Programas Los programas nuevos y modificados se autorizan, prueban, documentan y funcionan según los planes 1. Deben existir procedimientos para la iniciación y aceptación de solicitudes para nuevos sistemas o cambios a programas. l Documentación de solicitudes. l Procedimientos para la aprobación de las solicitu- des.l Procedimientos para asignar prioridades y vigilar el estado de las solicitudes pendientes. l Actualización de %oftware” por parte de los provee- dores. 2. Deben existir normas de desarrollo de sistemas documentadas, o normas en vigor aunque no formalmen- te documentadas. l El ciclo de vida de desarrollo de sistemas. l Normas de diseño. l Procedimientos de “aprobación autorizada” (es de- cir, gerencia, usuarios, auditoría interna de SIC). l Normas de programación. l Normas de prueba. l Normas de documentación. l Actualización de “software” por parte de los provee- dores. 3. Deben existir procedimientos para vigilar los pun- tos de control y aprobación en el ciclo de vida de desarrollo de sistemas. l Definición de requisitos. l Diseño de sistemas. l Diseño de programas. l Pruebas. l Implantación. l Post-implantación. l AnálisisT adquisición, prueba e implantación de “soft- ware” adquirido de proveedores. 4. Deben existir procedimientos de control sobre los cambios hechos al código de programas. l Responsabilidad para determinar los programas a ser cambiados. l Procedimientos para transferir una copia del código fuente al programador. l Estándares de denominación usados para impedir la modificación involuntaria de programas y datos de pro- ducción. 5. Deben existir procedimientos para asegurar que el código de programas que se desarrolle sea apropiado. l Código leído por otro programador antes de ser aprobado. l Revisión supervisora del código. l Uso de lenguajes de cuarta generación o generado- res de código fuente. l Los cambios al código son restringidos a individuos capacitados. 6. Deben existir procedimientos apropiados para las pruebas de aceptación antes de implantar el sistema o cambiar un programa existente. l Quién es responsable de diseñar y determinar la suficiencia de los datos de prueba. l Quién es responsable de efectuar las pruebas. l Documentación de las pruebas de aceptación. l Autorización para la instalación, para uso en el sistema de producción. l Pruebas de aceptación e implantación de “software” adquirido de proveedores. 7. Deben existir procedimientos apropiados para la documentación y retención de sistemas y programas nue- vos y cambiados. l Revisión de control de calidad que garantice la adherencia a las normas de documentación. l Retención del código fuente (es decir, cómo y dónde). l Manera de identificar todos los programas que se hayan modificado durante un determinado período de tiempo. l Manera de identificar todos los cambios efectuados a un programa determinado durante un período de tiem- PO. 8. Deben existir procedimientos para controlar y ma- nejar la conversión al nuevo sistema. l Conversiones de datos y archivos.