Anda di halaman 1dari 12

Documento

Procedimiento y Pautas básicas a tener en cuenta para la puesta en


producción de un sistema

Objetivo

El presente procedimiento tiene como objetivo establecer y describir las tareas a


desarrollar para efectuar la puesta en producción de los proyectos de manera segura, a
fin de minimizar el riesgo de alteración de los sistemas productivos.

Alcance

El presente procedimiento abarca todas las reparticiones dependientes del Ministerio


de Economía.

Responsabilidades

Dentro del circuito de control de cambios existen diferentes roles según las acciones a
realizar:

• Autoridad máxima solicitante: la persona con autoridad máxima de la


repartición solicitante de las modificaciones al sistema o la implementación de
un nuevo sistema. Asimismo será el responsable de dar la aceptación formal
de las pruebas, garantizando que cumple con los requerimientos solicitados.

• Subdirector de Control de Calidad: Persona responsable de supervisar el


cumplimiento del actual procedimiento sobre las aplicaciones soportadas en la
DIME,

• Responsable Área de Desarrollo: Persona responsable por el cumplimiento


del actual procedimiento, particularmente sobre las tareas relacionadas con el
ambiente de desarrollo y el proceso de backup de las aplicaciones soportadas
en la DIME,

• Desarrollador / Proveedor del sistema: Persona responsable de la


construcción del código; efectuar las pruebas en el ambiente de desarrollo y
dejar listo el código fuente para que el administrador de versiones de
continuidad al circuito. Asimismo es responsable por desarrollar o actualizar la
documentación del sistema técnica y de usuario.

• Jefe de Administración de versiones: Es la persona responsable de velar


por el cumplimiento del actual procedimiento, teniendo como objeto final
colocar en producción la ultima versión del programa probado y aprobado por
la Autoridad máxima solicitante.

• Operador: Previo a la puesta en producción de la nueva versión, el operador


es la persona responsable de cambiar la versión actual del sistema, con la
extensión .old como medida de contingencia, garantizando de ese modo un
resguardo de la versión anterior.
Documento

• Seguridad Informática: Es el responsable de habilitar los acceso necesarios


para dar cumplimiento al pasaje de programas de desarrollo a producción en
forma segura.

Definiciones

• Ambiente de Desarrollo

• Ambiente de Control de Calidad

• Ambiente de Producción

• Código Fuente (Conjunto de instrucciones que componen un programa


informático. Estos programas se escriben en determinados lenguajes; el lenguaje
que se utiliza para elaborar una página web, que puede considerarse en cierto
sentido un programa, es el HTML.)

• Código Ejecutable (es un archivo binario cuyo contenido se interpreta por el


ordenador como un programa.)
Documento

Las tareas de desarrollo, control de calidad, y producción se deben realizar en ambientes


separados, y velando por el cumplimiento de controles mínimos que a continuación de
detallan:

Ambiente Ambiente Ambiente

Desarrollo Control de Producción


Calidad

Ambiente de Desarrollo

Es el conjunto de normas, procesos y controles que rigen desde la presentación formal


de una modificación / creación de un sistema informático por parte de la autoridad
solicitante, hasta su entrega por parte de los desarrolladores.
La autoridad máxima solicitante presenta el formulario Pedido de Software o
Modificación de Software, según sea el caso, mediante el cual solicita la
creación/modificación de un sistema.
El responsable del área de desarrollo determina si el requerimiento es valido o no.
Si es valido, asigna el trabajo a un desarrollador, de lo contrario devuelve el
requerimiento al solicitante para que lo corrija.
En caso que el requerimiento sea de modificación de un sistema ya existente, el
desarrollador debe pedir al jefe de Administración de Versiones que le pase los
fuentes del sistema que se encuentran freezados en el ambiente de Control de
Calidad.
Una vez realizada la programación / modificación, el desarrollador copia los programas
fuentes al Ambiente de Control de Versiones y envía un mail notificando al
responsable del área de desarrollo.

Los controles mínimos que se contemplan en este ambiente son:

• La tarea del desarrollador comienza solamente después de presentado el pedido


formal (Formulario Pedido de Software o Modificación de Software) firmado
por la autoridad máxima solicitante.

• Ante la implementación de un sistema nuevo o cambios sobre sistemas ya


existentes, personal de desarrollo efectúa la construcción del código y las
pruebas correspondientes, dejando listo el código fuente en el directorio xxxxxxx
, del ambiente de control de calidad, de modo de ser levantado por el Jefe de
administración de Versiones para dar continuidad al circuito.
Documento

• En caso de modificación de un sistema existente, la actualización de bibliotecas


de programas fuentes y la distribución de programas fuentes a los
programadores, solo debe ser llevada a cabo por el sector Administración de
Versiones (10.4.3).

Ambiente de Control de Calidad

Es el conjunto de normas, procesos y controles que rigen desde la entrega del sistema
informático por parte de los desarrolladores para su testeo, hasta la aceptación por
parte de la autoridad solicitante. Incluye todas las pruebas necesarias del sistema para
comprobar su buen funcionamiento y fiabilidad.
Una vez que recibe los fuentes del Desarrollador, Control de Versiones pide
modificación de los accesos a Seguridad para poder almacenarlos freezados en el
directorio ,
Luego compila y permite que el desarrollador pruebe en el ámbito de Control de
Calidad el Sistema junto con el Solicitante.
Si el Solicitante esta de acuerdo con el desarrollo, firma el formulario de Aceptación
final de Sistema, que es almacenado por Control de Versiones.
Luego de esto, el Responsable del Área de Desarrollo autoriza mediante formulario
Paso del Sistema a Producción el paso del Sistema desde el Ambiente de Control de
Calidad al Ambiente de Producción.
En esta etapa el desarrollador entrega a Control de Versiones toda la documentación
del Sistema para su resguardo.

Los controles mínimos que se contemplan en este ambiente son

• El departamento Control de Versiones debe levantar el código fuente del


directorio xxxx (donde previamente había sido almacenado por los
desarrolladores) y copiarlo al directorio xxxxxxx, para ser compilado por gente del
mismo departamento.

• Una vez compilado, debe comenzar el testing a cargo del sector solicitante del
requerimiento.

• La actualización de las bibliotecas de programas de producción solo debe ser


realizada por el sector Administración de Versiones una vez autorizada
adecuadamente por el solicitante del requerimiento según formulario Paso del
Sistema a Producción (10.4.1).

• El código ejecutable no debe ser implementado en un sistema de producción


hasta tanto no se obtenga evidencia del éxito de las pruebas y se hayan
actualizado las correspondientes bibliotecas de programas fuente.

• Garantizar que el usuario autorizado acepte los cambios antes de cualquier


implementación según formulario de Aceptación final de Sistema (10.5.1)
Documento

• Los datos de prueba deben ser protegidos y controlados. Las pruebas de


aceptación del sistema normalmente requieren volúmenes considerables de
datos de prueba, que sean tan cercanos como sea posible a los datos operativos.
Se debe evitar el uso de bases de datos operativas que contengan información
personal. Si se utiliza información de esta índole, esta debe ser despersonalizada
antes del uso. (10.4.2)

• Se debe llevar a cabo una autorización por separado (firmado por el Responsable
del Área de Desarrollo y el Subdirector de Control de Calidad) según formulario
Copia de Base de Datos de Producción a Desarrollo, cada vez que se copia
información de producción a un sistema de pruebas a fin de suministrar una pista
de auditoria (10.4.2).

• Se debe borrar la información de producción de un sistema de prueba


inmediatamente después de completada la misma (10.4.2).

• La actualización de bibliotecas de programas fuente y la distribución de


programas fuente a los programadores, solo debe ser llevada a cabo por el sector
Administración de Versiones, con la autorización del Responsable del Área de
Desarrollo para la aplicación pertinente (10.4.3)

• El personal de producción no debe tener acceso irrestricto a las bibliotecas de


programas fuente (10.4.3).

• Las bibliotecas de programas fuente no deben ser almacenadas en los ambientes


de producción (10.4.3).

• Los responsables de los sistemas de producción deben garantizar que todos los
cambios propuestos para el sistema sean revisados, a fin de comprobar que los
mismos no comprometen la seguridad del sistema o del ambiente operativo.

Ambiente de Producción

Son todos los programas informáticos puestos al alcance de los usuarios finales con
sus respectivos permisos de acceso. Incluye también todas las tareas de Backup de
los datos y de las versiones anteriores de los sistemas.
Una vez que el Responsable del Área de Desarrollo autoriza el traspaso del sistema al
Ambiente de Producción, el Departamento Control de Calidad pide a Seguridad los
accesos necesarios para poder copiar el Sistema.
Control de Calidad copia el Sistema y almacena la versión que estaba funcionando
con la extensión .old.
El operador es el encargado de realizar el BACKUP documentado de la versión
discontinuada.
Documento

Los sistemas de producción sólo deben guardar el código ejecutable (10.4.1)

La versión previa del software debe ser almacenada con una extensión .old como
medida de contingencia (10.4.1) en el ambiente de producción.

Los controles mínimos que se contemplan en este ambiente son

• Una vez que la autoridad máxima solicitante acepta los cambios mediante
formulario Aceptación final de Sistema, el sector Control de Versiones mueve el
programa compilado desde el directorio XXXXXX del ambiente de Control de
Calidad al directorio XXXXXX del ambiente de Producción.

• Las viejas versiones de los programas fuente deben ser archivadas con una clara
indicación de las fechas y horas precisas en las cuales estaban en producción,
junto con todo el software de soporte, el control de tareas, las definiciones de
datos y los procedimientos (10.4.3)

• No deben tener acceso a los servidores de producción los proveedores de


sistemas. Solo debe otorgarse acceso lógico o físico a los proveedores con fines
de soporte y si resulta necesario, y previa aprobación de la Responsable del Área
de Desarrollo y de la Subdirección de Control de Calidad. Las actividades del
proveedor deben ser monitoreadas a través de Logs de auditoria de las tareas
realizadas (10.4.1)

• Garantizar que la implementación se lleve a cabo minimizando la discontinuidad


de las actividades de la empresa (10.5.1)

• Garantizar que la documentación del sistema será actualizada cada vez que se
completa un cambio y se archiva o elimina la documentación vieja (10.5.1)

• Mantener un control de versiones para todas las actualizaciones de software


(10.5.1)

• Garantizar que la implementación de cambios tenga lugar en el momento


adecuado y no altere los procesos involucrados (10.5.1)

• Proveer una adecuada segregación de funciones, posibilitando que los usuarios


desarrolladores no posean acceso al ambiente de producción. Mantener un
registro de los niveles de autorización acordados (10.5.1) según cuadro XXXX.

• Los procedimientos de control de accesos, que se aplican a los sistemas de


producción, también deben aplicarse a los sistemas de prueba (10.4.2).
Documento

Auditoria

Son todas las pistas que se deben dejar para poder determinar responsables en cada
etapa del desarrollo y puesta en producción del sistema.

Los controles mínimos que se contemplan en este ambiente son

• Mantener una pista de auditoria de todas las solicitudes de cambios (10.5.1)

• Se debe mantener un registro de auditoria de todos los accesos a las bibliotecas


de programa fuente (10.4.3)

• Se debe mantener un registro de auditoria de todas las actualizaciones a las


bibliotecas de programas de producción (10.4.1)
Pedido de Software

Formularios y Anexos

Formulario: Pedido de Software

Nº Formulario:
San Miguel de Tucumán, de de 2007

Por la presente solicito a la Dirección de Informática del Ministerio de


Economía el desarrollo de un Software para ……………………………………………
con el fin de poder informatizar los trabajos que a continuación se detallan:

1 ………………………………………………….

2 ………………………………………………….

3 ………………………………………………….

4 …………………………………………………

5 …………………………………………………

Características especiales:

……………………….. ……………………...
Aclaración: Por DIME
Cargo:
Solicitud de
Modificaciones

Entidad Solicitante

Formulario: Modificación de Software.

Nº Formulario:
San Miguel de Tucumán, de de 2007

Por la presente solicito a la Dirección de Informática del Ministerio de


Economía los cambios en el Software de …………………………………………… con
el fin de poder adaptar el mencionado software a las necesidades de nuestros trabajos
administrativos, a continuación dejamos un detalle de las modificaciones pedidas:

Modificaciones

……………………….. ……………………...
Aclaración: Por DIME
Cargo:
Entidad Solicitante
Aceptacin Final

Formulario: Aceptación final de Sistema

San Miguel de Tucumán, de de 2007

Por la presente acepto en total conformidad la creación / modificación del sistema


solicitado en el Formulario nº ……… presentado con fecha …………, después de
haber realizado las pruebas y testeos de funcionamiento correspondientes.

……………………….. ……………………...
Aclaración: Por DIME
Cargo:
Entidad Solicitante
Puesta en producción

Formulario: Paso del Sistema a Producción

San Miguel de Tucumán, de de 2007

Por la presente autorizo el paso del sistema solicitado en el Formulario nº ………


presentado con fecha …………, desde el ambiente de Control de Calidad al ambiente
de Producción.

……………………….. ……………………...
Aclaración:
Cargo:
Copia desde Producción

Formulario: Copia de Base de Datos de Producción a Desarrollo.

Nº Formulario:
San Miguel de Tucumán, de de 2007

Por el siguiente formulario autorizo la copia de las siguientes bases del


ambiente de Producción al ambiente de Desarrollo:

a. …………………………………….

b. …………………………………….

c. ……………………………………

d. ……………………………………

……………………….. ………………………...
Dpto. Control de Calidad Dpto. Operaciones