viernes, 24 de junio de 2011

Lista de Chequeo

Checklist

Un checklist es un listado de procedimientos para la consecución de un objetivo, en este caso, la instalación y correcto funcionamiento de la aplicación a investigar. Además, sirve para ayudar a asegurar la consistencia e integridad en el desarrollo de la tarea, de tal modo, que sea reproducible siguiendo todos los pasos que constituyen el checklist.

Es muy utilizado en el aseguramiento de la calidad en ingeniería de software, para comprobar la conformidad de procesos, estandarización de código, prevención de errores y otros.

Los checklists se encuentran generalmente en la misma web, bajo las instrucciones de instalación o similares, indicando paso a paso su implementación, la cual deben tomar como base, y complementar con sus comentarios sobre la instalación, siempre que proceda.

EJEMPLO DE UNA LISTA DE CHEQUEO

CHECKLIST DEL DICCIONARIO DE DATOS
NO
N/A
CONOCIMIENTO DEL SISTEMA: INVENTARIO
¿Hay un inventario en la compañía de Sistemas, Hardware y Datos?
¿Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informática...) externo a la empresa?
¿Se sabe quiénes son los propietarios de los elementos del inventario?
¿Se sabe quiénes son los usuarios de los elementos del inventario?
¿Existe un criterio para valorar cuáles son los elementos críticos del inventario?
¿Se distingue en ese criterio entre: Riesgos para el negocio, riesgos para el servicio prestado a los clientes y riesgo de parálisis de la gestión de la Compañía?
¿Han validado ese criterio los jefes de Gestión de la Empresa y los jefes de Informática?
¿Se ha realizado, por lo tanto, un ranking de los elementos más críticos?
¿Se van a comenzar las pruebas y actualizaciones, por lo tanto, siguiendo el orden del ranking?
NO
N/A
CONOCIMIENTO DEL SISTEMA: SOFTWARE
¿Ha tenido en cuenta las distintas versiones de los elementos Software?
¿Es posible modificar y mejorar el código fuente de sus programas a medida?
¿Está disponible el código fuente?
¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos?
¿Se han hecho estudios que revelan cuál es la manera más sencilla y menos costosa de cambiar y mejorar el sistema?
¿Ha identificado qué códigos fuente son propiedad de otras entidades?
¿Existe un contrato de utilización con los propietarios?
¿Va a exigirles a los propietarios de dichos códigos un informe de progresos?
¿Tiene asesoramiento legal para asegurarse de que dichos contratos son correctos y puede exigir compensaciones económicas en caso de incumplimiento?
NO
N/A
¿Ha verificado en general los productos adquiridos recientemente?(contratos de utilización, códigos fuente,...)
¿Su suministrador de software sigue el negocio?
CONOCIMIENTO DEL SISTEMA: PRUEBAS
¿Se van a someter los elementos más críticos a unas pruebas especiales?
¿Va a usar un Software especial para ello?
¿Va a contratar los servicios de un especialista (auditor, consultor, experto en informática...) externo a la empresa para ello?
A la hora de verificar los elementos más críticos, ¿Se asegura que no dependen de otros situados en un estrato menor del ranking?
¿Han verificado, en ese caso, ambos elementos a la vez?
¿Ha decidido, en función del ranking, qué datos probar y en qué orden?
NO
N/A
¿Va a utilizar un software especial para ello?
¿Ha sido validado dicho software por auditores?
¿Tiene el equipo del proyecto un plan de prueba que incluya, al menos, una especificación del tipo de pruebas, la fecha de comienzo de las pruebas, los recursos (de hardware, humanos y tiempo) para realizar las pruebas y la especificación de los casos de pruebas satisfactorias?
¿Los responsables de realizar las pruebas tienen la formación adecuada?
Si es necesario probar datos confidenciales, ¿se asegura que sean ficticios o no relevantes, y si deben ser reales, se asegura que sean eliminados después de la prueba?
Si no es posible eliminar datos confidenciales usados en las pruebas, ¿se asegura que sólo algunos empleados tienen autoridad y acceso para hacer las pruebas y que están debidamente registrados todos los accesos que realizan?
CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA
¿El personal de la organización sabe que tiene soporte si ocurren problemas?
¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos?
NO
N/A
¿En el plan se identifican todos los riesgos y sus posibles alternativas?
REPOSITORIO: SEGURIDAD
¿Existe un administrador de sistemas que controle a los usuarios?
¿Gestiona los perfiles de los usuarios dicho administrador?
¿Existe un administrador de bases de datos que gestione las instancias de las bases de datos?
¿Gestiona el administrador de bases de datos los accesos a las distintas instancias de las bases de datos?
¿Existe un acceso restringido a las instancias que contienen el Repositorio?
¿Es auto cambiable la clave de acceso al Repositorio?
¿Pueden los administradores del Repositorio cambiar la contraseña?
¿Se obliga, cada cierto tiempo, a cambiar la contraseña automáticamente?
¿Se renueva periódicamente la contraseña?
NO
N/A
¿Existen listados de intentos de accesos no satisfactorios o denegados a estructuras, tablas físicas y lógicas del repositorio?
¿Existe un diseño físico y lógico de las bases de datos?
¿Dispone también el Diccionario de datos de un diseño físico y lógico?
¿Existe una instancia con copia del Repositorio para el entorno de desarrollo?
¿Está restringido el acceso al entorno de desarrollo?
¿Se utilizan datos reales en el entorno de desarrollo?
¿Existen copias de seguridad del Repositorio?
¿Se hacen copias de seguridad diariamente?
¿Se almacenan las copias de seguridad en dispositivos externos?
¿Se ubican los dispositivos externos en locales diferentes al edificio en el que se encuentran las redes y los servidores?
NO
N/A
¿Existe un acceso restringido a la sala de servidores?
¿Existen mecanismos de seguridad física en las salas de servidores?
¿Se dispone de equipos auxiliares en caso de caída o avería del equipo principal?
¿Se dispone de generador de energía auxiliar para asegurar la corriente a los servidores?
REPOSITORIO: PROCESO DE CAMBIO
¿Existe un formulario de petición de cambio o modificación en el Repositorio?
¿Es necesaria la autorización del Manager del Repositorio para realizar el cambio?
¿Se realiza la modificación sobre una copia del Repositorio?
¿Se establece un bloqueo sobre la parte del Repositorio a modificar?
¿Se comunica a los distintos usuarios/desarrolladores el bloqueo de parte del Repositorio y por tanto los fallos del funcionamiento que se pueden ocasionar?
¿Se establecen prioridades en los trabajos y modificaciones del repositorio para los bloqueos?
NO
N/A
¿Existe algún fichero log que almacene todos los cambios realizados en el Repositorio?
¿Se comunica al solicitante del cambio que se ha llevado a cabo la modificación?
¿Se realizan pruebas sobre el cambio para comprobar que la aplicación funciona correctamente?
¿Se comprueba que el cambio solicitado se corresponde con lo realizado?
¿Se realizan dichas comprobaciones en la copia de la instancia?
¿Existe una notificación por escrito del solicitante certificando que el cambio se realizó satisfactoriamente?
¿Existe documentación escrita sobre el cambio (formulario de petición, script del cambio realizado, aprobación del solicitante)?
¿Se realiza un volcado de la copia del Repositorio el original al final del dia?
¿Se realizan actualizaciones periódicamente del resto de las instancias para que tengan el Diccionario de Datos actualizado?


No hay comentarios:

Publicar un comentario