QAT: Quality Assurance Test / UAT: User Acceptance Testing


QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos.

QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad.

UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen:

  • Definición de las estrategias y procedimientos de prueba 
  • Diseño de casos y escenarios de prueba
  • Ejecución de pruebas 
  • Utilización de los resultados para verificar la preparación del sistema
Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para la prueba final del sistema realizado. Las pruebas son escritas desde la perspectiva del usuario y deben probar el sistema de una forma lo más cercana posible a producción. Las pruebas deben estar basadas alrededor de escenarios predefinidos típicos del proceso de negocio. Si se hubieran desarrollado nuevos procesos de negocio para alojar el nuevo o modificado sistema, también deben ser probados en este punto. Es clave incorporar personal de pruebas para verificar que los procesos de soporte estén integrados en la aplicación de forma aceptable. La realización exitosa debe en general permitir que un equipo de proyecto entregue un paquete completamente integrado de aplicación y procedimientos de soporte.

Un UAT debe realizarse en una librería/biblioteca segura o específica. Un entorno de pruebas seguro donde tanto el código fuente como el ejecutable estén protegidos ayuda a asegurar que no se hagan cambios no autorizados al sistema, o cambios de último minuto sin que estos pasen a través del proceso estándar de mantenimiento del sistema. La naturaleza y la extensión de las pruebas dependerán de la magnitud y complejidad del cambio del sistema.

Respecto de los aspectos de seguridad de la información, el proceso de evaluación incluye revisar planes de seguridad, la evaluación de los riesgos realizada y los planes de prueba, esto resulta en la evaluación de la efectividad de los controles de seguridad y procesos a ser entregados. Es conveniente incorporar al personal de seguridad y al propietario del negocio de la aplicación, este proceso provee algún grado de responsabilidad frente al dueño del negocio respecto al estado del sistema que este aceptará como entrega.

Por si fuera poco, y cosa que hasta el momento no he visto, el auditor de SI debe emitir una opinión a la gerencia respecto a si el sistema debe ser puesto en producción. Este informe debe especificar las deficiencias que es necesario corregir en el sistema y debe explicar el o los riesgos que la organización está corriendo al implementar el nuevo sistema.

Comentarios

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Auto Evaluación del Control (Control Self Assessment)