Auditoria

UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS

UNIDAD ACADÉMICA DE PINOS

TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

Unidad III. Auditoria de Sistemas

2023

Guadalupe del Rosario López Guerrero

María de Jesús Reyes Betancourt

Mónica de los Ángeles Ramirez Moreno

2

PLAN DE AUDITORIA

Objetivos de la auditoria

1. Valorar la situación actual de cada una de las áreas de la organización.

2. Realizar una comparación de la situación actual de la empresa con la situación anterior de la misma.

3. Identificar las no conformidades encontradas en cada una de las áreas de la organización.

4. Proponer acciones correctivas para las no conformidades.Alcance de la auditoria

En esta auditoría a diferencia de muchas el auditor fue quien busco al cliente y le ofreció el servicio de auditoria para proponer un sistema de calidad basada en la norma ISO 9001:2000.Las áreas a auditar son las siguientes:

1. Dirección general2. Administrativa3. Operativa4. Desarrollo de aplicaciones

Plan de desarrollo de aplicaciones Documentación de referencia Propuestas de acciones correctivas

Personas involucradas

Mónica de los Ángeles Ramírez Moreno. (Director general)María de Jesús Reyes Betancourt. (Gerente administrativo)

Documentos referencia

Se tomara como referencia el documento de la norma de calidad ISO 9001:2000.

Miembros equipo auditor

La persona que realzara la auditoria es Rosario López. Esta persona se encargara de elaborar el plan de auditoria, aplicar las listas de verificación y finalmente realizar el reporte final.

Idioma auditoria El idioma en el que se realizara la auditoria será en español.

Unidades organizacionales auditadas

Las unidades organizacionales de divulga a auditar son:1. Dirección general2. Administrativa3. Operativa4. Desarrollo de aplicaciones


Fecha estimada y duración de las actividades

La fecha aplicable para la lista de verificación será:1. Dirección general: Junio 232. Administrativa: junio 243. Operativa: junio 254. Desarrollo de aplicaciones: junio 29


La duración de las actividades será no más de tres horas para cada área.

Programar las reuniones con la administración

Las reuniones con la administración serán dos, una al inicio de la auditoria y otra al final de la misma.

Requisitos de confidencialidad

La organización ha solicitado un cuidado especial de la documentación sobre todo aquello que implica los procedimientos para la realización del servicio.

Distribución del informe de auditoría y fecha de emisión

La entrega del reporte final será para principios del mes de Julio. El reporte incluye las no conformidades detectadas así como también la propuesta a las acciones correctivas.

3

Lista de Verificaciòn

Proceso Auditado

Identificaciòn documento registro: Caracterizaciòn de Proceso.Norma CUMPLE

SI NO COMENTARIOPlanificaciòn X Sus objetivos se enmarcan según los objetivos

estratégicos del sistema.Relaciòn con otros procesos

X Se evidencia relación con otros procesos.

Cambios y version actual

X Se evidencia fechas y revisión de actualizaciones

Accesibilidad X Es accesible al público pertinente.Legibilidad e Identificaciòn

X Se identifica fácilmente y está en perfectas condiciones.

Documentos Externos

N/A No posee relación con documentos externos.

Documentos Obsoletos

X Se previene el uso de documentos obsoletos.

4

DIAGRAMA DE SELECCIÓN DE PROVEDORES

5

LISTAS DE COMPROBACION

6

LISTA DE COMPROBACIÓN

“Auditoria de la fase de análisis”

Objetivo General:

Pretende obtener un conjunto de especificaciones formales que describan las necesidades de la información que debe ser cubierta por el nuevo sistema de una forma independiente del entorno técnico.

Objetivos Específicos:

Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma clara los requisitos del mismo.

En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema cumpla los requisitos establecidos

El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificación con la aprobación de los usuarios

1 Se debe Comprobar que : SI NO

Observaciones

2 Existe un documento aprobado por el comité de dirección en el que determinan formalmente el grupo de usuarios que participaran en el proyecto.

x Al momento de que a la persona se le cuestiono en la

auditoria, mostro la documentación

comprobada donde participan los usuarios

en el proyecto.3 Los usuarios elegidos son suficientemente

representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema

x

4 Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de que es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.

x Existe la documentación validada, donde todos están informados , así como su dedicación a la misma.

5 Existe un plan consensuado con el comité de dirección que detalla por cada entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guion de los aspectos que se van a preparar.

x No se realizaron entrevistas

6 Se entrevista a todos los integrantes en el grupo de usuarios y a todos los responsables de las unidades afectadas.

x

7 Se remite el guion a los entrevistados con tiempo suficiente para que estos puedan preparar la entrevista y la documentación que deseen aportar a la misma.

x

7

8 El guion incluye todas las cuestiones necesarias para obtener información sobre las funciones que el entrevistado realiza en su unidad y los problemas que necesita resolver

x Se muestra la información necesaria en cuanto funciones que los entrevistados

van a contestar9 Se ha realizado un modelo físico del sistema actual,

incluyendo los objetivos y funciones de cada unidad, así como sus flujos de entrada y salida de información

x

10 Se han catalogado los problemas del sistema actual así como que estos problemas son reales

x

11 Se han realizado el modelo lógico de datos y el modelo lógico de proceso del sistema actual, así como que estos son correctos y que se han llevado a cabo con las técnicas usadas en el área

x Se mostro información acerca de los modelos bien diseñados para el

proyecto

12 Existe el catálogo de requisitos que están justificados. x

13 Los requisitos son concretos y cuantificables, de forma que pueda determinarse el grado de cumplimiento al final del proyecto

x Los requisitos fueron mostrados en forma al

cumplimiento del proyecto

14 Cada requisito tiene una prioridad y está clasificado en funcional o no funcional.

x

15 El catálogo de requisitos ha sido revisado y aprobado por el grupo de usuarios y por el comité de dirección, constituyendo a partir de este momento del “contrato” entre estos y el equipo de desarrollo del proyecto

x

16 De El procedimiento existe y está aprobadobe existir el diccionario de datos o repositorio

x Se mostro información acerca del diccionario

de datos para el proyecto.

17 la especificación del nuevo sistema incluirá los requisitos de seguridad rendimiento, copias de seguridad y recuperación etc

x

18 Es coherente con el procedimiento de control de cambio general para el proyecto.

x

19

8

Objetivo del Control C2:

1 Se debe comprobar que: SI NO Observaciones

2 Existe un documento en que se describen las distintas alternativas.

x Se comprobó que existe un documento de alternativas.

3 Hay más de una alternativa y en caso contrario, que no existe realmente otra posible.

x

4 Cada alternativa está descrita desde un punto de vista lógico (al menos modelo lógico de procesos) y es coherente con los requisitos establecidos.

x En la auditoria se mostraron alternativas coherentes.

5 Si existe en el mercado a un producto que cumpla con unas mínimas garantías los requisitos especificados, una de las alternativas debe ser su compra.

x

6 Si no lo impiden las características del proyecto una de las alternativas debe ser el desarrollo del sistema por parte de una empresa externa.

x

7 Se han evaluado las ventajas e inconvenientes de cada alternativa de forma objetiva (análisis coste/beneficio por ejemplo) así como los riesgos asociados.

x Se encontraron pruebas de evaluación de ventajas.

8 El comité de dirección ha seleccionado una alternativa como la más ventajosa y es realmente la mejor para la organización.

x

10

OBJETIVO DE CONTROL D1

Se debe comprobar que: SI NO Observaciones1 Se ha partido de los modelos

realizados en el análisis de requisitos del sistema.

x Cada integrante del equipo realiza análisis del sistema.

2 Existe el MLP, se ha realizado con la técnica adecuada (normalmente diagramas de flujo de datos) y es correcto técnicamente. Describirá que debe realizar el sistema sin entrar en la forma en que lo hará. Los procesos manuales deben estar diferenciados. Los usuarios deben entender las convenciones de símbolos usados.

x

3 En el diagrama de contexto están reflejados todos los agentes externos, incluidos otros sistemas con los que el sistema intercambia información. Para cada flujo de datos de entrada o de salida debe estar documentado el contenido, la frecuencia, suceso que lo origina, etc.

x Se establecieron los diagramas adecuados con las características correspondientes.

4 Existe el MLD se ha realizado con la técnica adecuada (normalmente modelo entidad-relación o diagramas de estructura de datos) y es correcto técnicamente. Debe estar normalizado al menos hasta la tercera forma normal.

x

5 En el MLD están reflejadas todas las entidades con sus atributos y claves, así como las relaciones entre las mismas.

x Dentro del proyecto se reflejaron entidades y atributos.

6 El MLP y el MLD son coherentes entre sí. La consolidación se debe hacer usando técnicas adecuadas (historia de la vida de las entidades, por ejemplo).

x

7 El MLP y el MLD han sido aprobados por los usuarios y por el comité de dirección.

x

8 Existe el diccionario de datos, es correcto y se gestiona de forma automatizada.

x El diccionario de datos se mostro en momento de la auditoria.

9 Se respetan en su gestión todos los procedimientos de control de cambios.

Se han descrito con suficiente detalle las pantallas atraves de las cuales el usuario navegara por la aplicación, incluyendo todos los campos significativos, teclas de función disponibles menús, botones, etc., si hay normas de diseño o estilo de pantallas en el área se verificara que se respetan

x

11 Se han escrito con suficiente detalle los informes que se obtendrán del sistema y los

x Se mostro de manera detallada informes de sistema del proyecto con

11


“APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”.

Objetivo General:

El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.


Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas.

Deben designarse un responsable o director del proyecto. El proyecto debe ser catalogado y, en función de sus características, se debe

determinar el modelo del ciclo de vida QUE SE SIGUIRA. Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que

realizara el proyecto y determina el plan del proyecto.


Observaciones

2 Exista una orden de aprobación del proyecto refrendada por un órgano competente. El estudio de viabilidad debe haber seguido el cauce establecido.

x se comprobó la validación del proyecto por el órgano competente

3 En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.)

x

4 Se ha identificado las unidades de la organización a las que afectan.

x

5 La designación se ha llevado acabo según el procedimiento establecido.

x Se han designado procedimientos establecidos, con acuerdo de los usuarios.

6 Se le ha comunicado al director su nombramiento junto con la información relevante del proyecto.

x

7 Se ha catalogado y dimensionado proyecto x

12

según las normas establecidas.

8 Se ha evaluado los riesgos asociados al proyecto, especialmente cuando se van usar tecnología no usaba hasta el momento.

x Más o menos.

9 Se ha elegido el ciclo de vida más adecuado al tipo del proyecto de que se trata.

x Si contiene la documentación

10 Se ha hecho información histórica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida.

x

11 Se prestaran atención si se elige un ciclo de vida basado en el prototipado. En este caso debe cumplirse los requisitos necesarios para aplicarse con éxito (dificultad para los usuarios para expresar los requisitos y disponibilidades de una herramienta de construcción rápida de prototipos) y debe existir un acuerdo con los usuarios sobre el alcance del prototipo y de los objetivos que se persiguen con el mismo.

x

12 La asignación del director del proyecto y el equipo de desarrollo que se ha llevado acabo según el procedimiento establecido.

x Si contiene la documentación.

13 Los participantes que permanezcan a otra área (sistemas, comunicaciones u ofimática, etc.)se han solicitado según el protocolo existente.

x

14 Si participan personal externo, los perfiles profesionales son adecuados a las funciones que van a realizar. El contrato suplente del protocolo de contratación.

x Si existe la documentación

15 Se ha comunicado a todos los miembros del equipo de desarrollo los objetivos del proyecto, la responsabilidad que tendrán en el mismo, las fechas en la que participaran y la dedicación (completa/parcial).

x

16 El plan de proyectos realizado es realista y utiliza la información histórica de la que se disponga para realizar estimaciones


13

Objetivo General:

El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recurso. Los criterios usados serán coherentes con los objetivos de las unidades afectadas


Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión del proyecto

Se debe establecer un mecanismo para la resolución de los problemas que pueden plantearse a lo largo del proyecto. Se debe comprobar que:

Debe existir un control de cambio de a lo largo del proyecto. Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el

modulo o fase, debe hacerse de forma adecuada. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo

largo del proyecto


Observaciones

2 Se ha constituido formalmente el comité de dirección del proyecto y en él están incluidos los responsables de todas las unidades afectadas.


3 El comité tiene una periodicidad de reunión mínima y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para la asignación de recursos, la revisión de la marcha del proyecto y para modificar el plan del proyecto en función de las revisiones.

x

4 Las reuniones se hacen con un orden del día y las decisiones tomadas quedan documentadas en las actas de dicho comité.

x No existe dicho documento.

5 El número de reuniones y la duración de las mismas no superan un límite razonable

x

6 Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepción, así como un procedimiento conocido de tramitación.

x

7 Hay un método para catalogar y dar prioridad a x Si existe la

14

los problemas, así como para trasladarlos a la persona que los debe resolver, informando si es necesario al director del proyecto y al comité de dirección.

documentación

8 Se controla la solución del problema y se deja constancia de la misma.

x

9 Existe un mecanismo para registrar cambios que pudieran producirse así como para evaluar el impacto de los mismos.


10 La documentación afectada se actualiza de forma adecuada y se lleva un control de versiones de cada producto, consignado la última fecha de actualización.

x

11 Se remite la nueva versión de los documentos actualizando a los participantes en el proyecto.

x

12 Se respetan los límites temporales y presupuestarios marcados al inicio del proyecto.


13 Se han tenido en cuenta los riesgos del reajuste.

x

14 Se notifica el cambio a todas las personas que de una u otra forma participen en el proyecto y se ven afectados.


15 Si existe un plan de sistemas, se actualiza en consecuencia.

x

16 Existe un procedimiento que permita registrar a los tiempos que cada participante del proyecto de dedica al mismo y que tarea realiza en este tiempo.

x

17 Las productividades que se obtienen para distintos empleados en las mismas tareas son similares y están en consonancia con la información histórica.


18 Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y

x

15

aceptado, especialmente en las fases de análisis y diseño.

19 La documentación cumple con los estándares establecidos en el área.


20 Se respeta el plan establecido y en caso contrario se toman las medidas oportunas o se procede a la aprobación de una modificación del plan

x

21 Se respeta el uso de recursos previamente establecido.

x

22 La documentación de proyecto es completa y está catalogada perfectamente para accesos posteriores.


23 Los recursos, tanto personales como materiales, se ponen a disposición del área o departamento del que provienen.

x

24 El comité de dirección y el director del proyecto hacen balance del proyecto, estudiando los posibles problemas y sus causas, los cambios del plan, etc. Toda esta información se registra en los archivos históricos sobre estimaciones y problemas.

x

25 La nueva aplicación se incorpora al catálogo de aplicaciones existentes con toda la información relevante de la misma



“AUDITORÍA DE LA FASE DE DISEÑO”.

Objetivo General:

Se debe definir una arquitectura física para el sistema coherente con la

especificación funcional que se tenga y con el entorno tecnológico elegido.


16

El entorno tecnológico debe estar definido de forma clara y ser conforme a los

estándares del departamento de informática.

Se deben identificar todas las actividades físicas a realizar por el sistema y

descomponer las mismas de forma modular.

Se debe diseñar la estructura física de datos adaptando las especificaciones del

sistema al entorno tecnológico.

Se debe diseñar un plan de pruebas que permita la verificación de los distintos

componentes del sistema por separado, así como el funcionamiento de los distintos

subsistemas y del sistema en conjunto.

La actualización del plan de proyecto seguirá los criterios ya comentados.

Se debe Comprobar que : SI NO Observaciones 1 Están perfectamente definidos todos los

elementos que configuran el entorno tecnológico para el proyecto (servidores, computadoras personales, periféricos, sistemas operativos, conexiones de red, protocolos de comunicación, sistemas gestores de bases de datos, compiladores, herramientas CASE, middleware en caso de programación cliente/servidor, librerías, etc).

x Se demostró en la parte de diseño, los elementos necesarios que configuran el entorno.

2 Se dispone de los elementos seleccionados, están dentro de los estándares del departamento de informática y son capaces de responder a los requisitos establecidos de volúmenes, tiempos de respuesta, seguridad, etc.

x

3 Se han documentado todas las actividades físicas que debe realizar el sistema.

x

4 El catálogo de actividades es coherente con las funciones identificadas en el MLP del módulo EFS.

x

5 Se han identificado las actividades que son comunes, así como las que ya existen en las librerías generales del área.

x

6 Existe el documento con el diseño de la estructura modular del sistema, se ha realizado con una técnica adecuada y es correcto.

x se mostro el documento correcto del diseño de la estructura.

7 El tamaño de los módulos es adecuado, el factor de acoplamiento entre ellos es mínimo y la cohesión interna de cada módulo es máxima.

x

8 Los módulos se diseñan para poder ser usados x Me contesto :

17

por otras aplicaciones si fuera necesario. porque si9 Los componentes o programas del nuevo

sistema se han definido con detalle a partir del diseño modular, la definición es correcta y sigue los estándares del área. La descripción de los componentes es suficiente para permitir su programación por parte de un programador sin conocimiento previo del sistema.

x

10 Se han detallado las interfaces de datos y control con otros módulos y sistemas, asá como la interfaz de usuario ya especificada en el módulo EFS.

x

11 El módulo físico de datos está basado en el MLD obtenido en el módulo EFS e incluye todas las entidades, relaciones, claves, vistas, etc.

x

12 Tiene en cuenta el entorno tecnológico y los requisitos de rendimiento para los volúmenes y frecuencias de acceso estimados.

x No hay comentarios

13 Existe el plan de pruebas y contempla todos los recursos necesarios para llevarlas a efecto.

x

14 Las personas que realizarán las pruebas de verificación son distintas a las que han desarrollado el sistema.

x Cada integrante realizo su

correspondencia de trabajo en el

proyecto.15 Existe el plan para validar cada uno de los

componentes del sistema, incluyendo pruebas del tipo caja blanca para cada módulo. Tendrán en cuenta todas las posibles condiciones lógicas de ejecución, además de posibles fallos del hardware o software de base.

x

16 Permite validar la integración de los distintos componentes y el sistema en conjunto.

x Se demostró la validación del

proyecto.

LISTA DE COMPROBACIÓN (Parte 1)

“AUDITORÍA DE LA FASE DE IMPLANTACIÓN”

Objetivo General:

El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.

18


Se de ben realizar las pruebas del sistema que se especificaron en el diseño del mismo.

El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.

El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.

Se debe comprobar que: SI NO Observaciones

1

Se prepara el entorno y los recursos necesarios para realizar las pruebas.

x Se demostró la preparación del entorno necesario en el sistema.

2

Las pruebas se realizan y permiten verificar si el sistema cumple con las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallos, copias de seguridad, tiempos de respuesta, etc.

x

3

Se han evaluado los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

x Se mostraron las evaluaciones correspondientes de las pruebas de proyecto.

4Se revisa el plan de implantación original y se documenta adecuadamente.

x

5

Está incluida la instalación de todos los componentes desarrollados, así como los elementos adicionales (librerías, utilidades, etc.).

x

6Incluye la inicialización de datos y la conversión si es necesaria.

x Desconoce el contenido

7

Especifica los recursos necesarios para cada actividad, así como que el orden marcado para las actividades es compatible.

x

8Se ha tenido en cuenta la información histórica sobre estimaciones.

x No existen muestras

9

Se sigue el plan de pruebas de aceptación aprobado en la fase de análisis, que debe incluir la conversión de datos y la explotación.

x

10 Las pruebas de aceptación son realizadas por x Los usuarios

19

los usuarios. realizaron pruebas correspondientes.

11

Se evalúan los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

x

12

El grupo de usuarios y el comité de dirección firman su conformidad con las pruebas de aceptación.

x

LISTA DE COMPROBACIÓN (Parte 2)

“AUDITORÍA DE LA FASE DE IMPLANTACIÓN”

Objetivo General:

El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento solo cuando haya sido aceptado y esté preparado todo el entorno en el que se ejecutará.


Se deben instalar todos los procedimientos de explotación. Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma

coordinada con la retirada del antiguo, migrando los datos si es necesario. Debe firmarse el final de la implantación por parte de los usuarios. Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras

semanas para evitar situaciones de abandono de uso del sistema. Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.

Se debe comprobar que: SI NO Observaciones

1

Se han instalado además del sistema principal todos los procedimientos auxiliares, por ejemplo copias, recuperación, etc., tanto manuales como automáticos.

x Al momento de realizar la auditoria se mostro la instalación del sistema.

2 Están documentados de forma correcta. x

3

Los usuarios han recibido la formación necesaria y tienen en su poder toda la documentación necesaria, fundamentalmente manuales de usuario.

x

4 Se han eliminado procedimientos antiguos que x Se ha realizado

20

sean incompatibles con el nuevo sistema. correctamente el procedimiento actualizado.

5

Hay un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema esté funcionando con todas las garantías. Esta situación no debe prolongarse más tiempo del necesario.

x

6

Si el sistema antiguo se va a mantener para obtener información se debe dejar en explotación el modo de sólo consulta.

x

7

Los datos se convierten de acuerdo al procedimiento desarrollado y se verifica la consecuencia de la información entre el sistema nuevo y el antiguo.

xNo había ningún sistema antiguo

8

Existe el documento y que han sido firmados por el comité de dirección y por el grupo de usuarios.

x

9Contiene de forma explícita la aceptación de la implantación correcta del sistema.

x Se ha comprobado que la información es explicita y real.

10

El índice de utilización del sistema es adecuado a los volúmenes que se esperaban para cada una de las áreas afectadas por el nuevo sistema.

x

11

Se ha comprobado, al menos informalmente, la impresión de los usuarios respecto al nuevo sistema.

x

12

El mecanismo existe y está aprobado por el director del proyecto, por el comité de dirección y por el área de mantenimiento, si ésta existiese.

x El director de proyecto ha aprobado el mecanismo, del sistema.

13

Tiene en cuenta los tiempos de respuesta máximos que se pueden permitir ante situaciones de no funcionamiento.

x

14

El procedimiento a seguir ante cualquier problema o para el mantenimiento del sistema será conocido por todos los usuarios. Incluirá al menos la persona de contacto, teléfono, esquema de información a aportar, etc.

x

21


“Auditoria De La Fase De Construcción “

OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando técnicas de programación correctas.

C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así como los procedimientos de operación, antes de iniciar el desarrollo.

C-FI-2: se debe programar, probar y documentar cada uno de los componentes identificados en el diseño del sistema.

C-F1-3: deben realizarse las pruebas de integración para asegurar que las interfaces, entre los componentes o módulos funcionan correctamente. Se debe comprobar que.

OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema.

C-G1-1: el desarrollo de los componentes de usuario debe estar planificado C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de

estándares del área C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los

procesos de formación o selección de personal necesario C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los

usuarios con el nuevo sistema

Se Debe Comprobar Que: Si No Observaciones

1 Se han creado e inicializado las bases de datos o archivos necesarios y que cumplen las especificaciones realizadas en el módulo de diseño.

x se mostraron pruebas

correspondientes acerca

de las bases de datos

en el modulo de diseño.

2 En ningún momento se trabaja con información que se encuentra en

x

22

explotación.

3 Se han preparado los procedimientos de copia de seguridad.

x se mostro información

acerca de las copias de

seguridad del proyecto.

4 Se han preparado los editores, compiladores, herramientas, etc. Necesarios.

x

5 Están disponibles los puestos de trabajo y el acceso a los equipos, redes etc.

x

6 Están disponibles todos los elementos lógicos y físicos para realizar las pruebas unitarias de los componentes y las pruebas de integración.

x al momento de realizar la

auditoria se mostraron los

elementos físicos y lógicos

del proyecto

7 Están documentados todos los procedimientos de operación para cuando el sistema esté en explotación.

x

8 Los procedimientos se llevan a cabo después de tener la especificación funcional del sistema y antes de la implementación del mismo.

x

9 Están definidos los distintos perfiles de usuario requerido para la implantación y explotación del nuevo sistema.

x Se demostraron los perfiles

de usuario para iniciar con el

nuevo sistema.

10 Se han desarrollados todos los componentes y módulos

x

11 Se han seguido los estándares de programación, documentación del área , código es estructurado , está bien sangrado y contiene comentarios suficiente

x

12 Se han probado cada componentes y se a generado e informe de prueba. Si los resultados de las pruebas no san satisfactorio se modifica el código y se vuelve a realizar la prueba. Si se detecta una falla de especificación o diseño, el proyecto se actualizara según el procedimiento establecido para ello

x se comprobó la información

acerca componentes e

informes de prueba.

13 Las pruebas de integración se han llevado acabo según lo especificado en el plan de pruebas realizado en el módulo de diseño

x

23

14 Se han evaluado las pruebas y se han tomado las acciones correctivas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia

x

15 No han participado los usuarios. En las pruebas de integración solo debe participar el equipo de desarrollo

x se le ha informado a los

usuarios en participación

solo de equipo de desarrollo.

16 El plan del proyecto está incluido el plan de desarrollo de los procedimientos de usuario e incluye todo las actividades y recursos necesarios

x

17 Para cada perfil se ha definido el rango de fechas y la dedicación necesaria.

x se realizo el rango de fechas

para cada perfil.

18 Están desarrollados todos los procedimientos de usuario, recopilados, formando el manual de usuario, y son coherentes con las actividades descritas en EFS.

x

19 Cada procedimiento describe claramente que realiza, el perfil de usuario asociado, asi como los recursos que son necesarios (equipos, consumibles, periféricos especiales, espacio, etc.).

x

20 Los manuales de usuario y el resto de procedimientos cumplen los estándares del área y llevan asociado su control de versiones.

x se comprobó que los

manuales están

correctamente diseñados,

además de que cumplen con

los estándares.

21 La comparación de perfiles de usuarios y recursos requeridos con los actuales es realista y los procedimientos que se derivan son adecuados y están aprobados por los responsables de las unidades afectadas.

x

24

AUDITANDO LA RED FÍSICA

Es una primera división, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qué punto de las instalaciones físicas del edificio ofrecen garantías y han sido estudiadas las vulnerabilidades existentes.

En general, muchas veces se parte del supuesto que no existe acceso físico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos físicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde el interior del edificio no se intercepta físicamente el cableado.

En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del cableado que queda en condiciones de funcionar y que operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo los planes de recuperación de contingencias deben tener previamente la recuperación en comunicaciones.

Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de comunicaciones y al gerencia de mantenimiento general de edificios que es quien suele aportar electricistas y personal profesional para el tendido físico de cables y su mantenimiento.

Como objetos de control, se debe marcar la existencia de:

Áreas controladas por los equipos de comunicaciones previniendo el acceso inadecuado.

Protección y tendido adecuado de cables y líneas de comunicaciones para evitar para evitar accesos físicos.

Controles de utilización de equipos de prueba de comunicaciones para monitorizar la red y su tráfico, que implica su utilización inadecuada.

Atención específica a la recuperación de los sistemas de comunicación de datos en el plan de recuperación de desastres en sistemas de información.

Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red.

LISTA DE CONTROL SI NO Observaciones

1 El equipo de comunicaciones se mantiene en Se comprobó la

25

habitaciones cerradas con acceso limitado a personas autorizadas.

documentación necesaria.

2 La seguridad física de los equipos de comunicaciones tales, como controladores de comunicaciones, dentro de las salas de computadoras sea adecuado.

Existe la documentación

3 Solo personas con responsabilidad y conocimiento están incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones.

4 Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de líneas telefónicas, así como sus autorizaciones de acceso , de aquellas de personal bajo control de la gerencia de comunicaciones

Hay personal para el cumplimiento de la actividad.

5 En las zonas adyacentes a la sala de comunicaciones, todas las líneas de comunicaciones fuera de la vista.

6 Las líneas de comunicaciones, en las salas de comunicaciones, armarios distribuidores y terminaciones de los despachos, estarán etiquetadas con un código gestionado por la gerencia de comunicaciones, y no por su descripción física o métodos sin coherencia.

x No aplica.

7 Existen procedimientos para la protección de cables y bocas de conexión que dificulten el que sea conectado por personas no autorizadas.

8 Se revisa periódicamente la red de comunicaciones, buscando intercepciones activas o pasivas.

Se realizan mejorías de red.

Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicaciones de datos deben tener propósitos y funciones definidos.

9 Existen controles adecuados sobre los quipo de prueba de comunicaciones usados para monitorizar líneas y fijar problemas incluyendo:Procedimiento restringido el uso de estos equipos a personal autorizado.

X No aplica

26

Facilidades de traza y registro del tráfico de datos que poseen los equipos de monitorización.Procedimientos de aprobación y registro ante las conexiones a líneas de comunicaciones en la detección y corrección de problemas.

10 El plan general de recuperación de desastres para servicios de información presta adecuada atención recuperación y vuelta al servicio de los sistemas de comunicación de datos

X No aplica

11 Existen planes de contingencia para desastres que solo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones.

12 Las alternativas de respaldo de comunicaciones, bien sea como las mismas salas o con salas de respaldo, consideran la seguridad física de estos lugares.

13 Las líneas telefónicas usadas para datos, cuyos números no deben ser públicos, tienen dispositivos procedimientos de seguridad como retrollamada, código de conexión o interruptores para impedir accesos no autorizados al sistema informático.

Contiene seguridad

27

AUDITANDO LA RED LÓGICA

Cada vez se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato común que les une. Leído a la inversa, la red hace que un equipo pueda acceder legítimamente a cualquier otro, incluyendo al tráfico que circule hacia cualquier equipo de la red. Y todo ello por métodos exclusivamente lógicos, sin necesidad de instalar físicamente ningún dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalación.

Es necesario monitorear la red, revisar los errores o situaciones anómalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situación anómala. En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única solución totalmente efectiva en la encriptación.

Como objetivos de control, se debe marcar la existencia de:

Contraseñas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones.

Facilidades de control de errores para detectar errores de una transmisión y establecer las retransmisiones apropiadas.

Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por que seguir siempre la misma ruta.

Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar accesos no autorizados.

Técnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles. Controles adecuados que cubran la importancia o exportación de datos a través de puertas , en

cualquier punto de la red, a otros sistemas informáticos

Comprobar que:

LISTA DE CONTROL SI NO Observaciones1 El software de comunicaciones, para permitir el acceso,

exige código de usuario y contraseña. Existen

evidencias de las personas autorizadas.

2 Revisar el procedimiento de conexión de usuario y comprobar que:Los usuarios no pueden acceder a ningún sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.Se inhabilita al usuario que sea incapaz de dar la contraseña después de un número determinado de intentos infructuosos.Se obliga a cambiar la contraseña regularmente.Las contraseñas no son mostradas en pantalla cuando se teclean.Durante e procedimiento de identificación, los usuarios son informados de cuando fue su última conexión para

x No aplica

28

ayudar a identificar potenciales suplantaciones o accesos no autorizados.

3 Cualquier procedimiento del fabricante, mediante hardware o software, que permita libre acceso y que haya sido utilizado en la instalación original, ha de haber sido inhabilitado o cambiado.

4 Se toman estadísticas que incluyan tasas de errores y retransmisión.

5 Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente.

6 Los mensajes lógicos transmitidos identifican el originarte, la fecha, la hora y el receptor.

x No aplica

7 El software de comunicaciones ejecuta procedimientos de control y correctivos ente

x No aplica

8 Mensajes duplicados, fuera de órdenes, perdidos, o retrasados.

X No aplica

9 La arquitectura de comunicaciones utilizada indistintamente cualquier ruta disponible de transmisión para minimizar el impacto de una escucha de datos sensible en una ruta determinada.

x No aplica

10 Existen controles para que los datos sensibles solo puedan ser impresos en las impresoras designadas y vistos desde lis terminales autorizados.

x No aplica

11 Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones.

X No aplica

12 Los activos de registro son revisados, se el posible a través de herramientas automáticas, diariamente, vigilando intentos impropios de acceso.

Tiene un control.

13 Existen análisis de riesgos para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado.

Identifica el análisis de riesgos.

14 Si se utiliza cifrado: Existen procedimientos de control

sobre la generación e intercambio de claves.

Las claves de cifrado son cambiadas regularmente.

El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan sigue un procedimiento adecuado.

x No aplica

29

15 Si se utilizan canales de comunicación uniendo diversos edificios de la misma organización, y existen datos sensibles que circulen por ellos, comprobar que estos canales se cifran automáticamente, para evitar que una intercepción sistemática a un canal comprometa a todas las aplicaciones.

x No aplica

16 Si la organización tiene canales de comunicación con otras organizaciones se analice la convención de cifrar estos canales.

17 Si se utiliza la transmisión de datos sensibles a través de redes abiertas como Internet, comprobar que estos datos viajan cifrados.

Se presentaron pruebas de que contiene transmisión de datos.

18 Si en una red local existen computadoras con módems, se han revisado los controles de seguridad asociados para impedir el acceso de equipos foráneos a la red local.

Contiene seguridad fiable.

19 Existe una política de prohibición de introducir programas personales o conectar equipos privados a la red local.

20 Todas las “puertas traseras” y accesos no específicamente autorizados están bloqueados. En equipos activos de comunicaciones, como puentes, encaminadores, conmutadores, etc.

X No aplica.

21 Esto significa que los accesos para servicio remoto están inhabilitados o tienen procedimientos específicos de control.

x

22 Periódicamente se ejecutan, mediante los programas actualizados y adecuados, ataque para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas. Estos ataques deben realizarse independientemente a:

Servidores, desde dentro del servidor. Servidores, desde la red interna. Servidores Web, específicamente. Intranet, desde dentro de ella. Cortafuegos, desde dentro de ellos. Accesos desde el exterior y/o internet.

Se estructura buen contenido.

Auditoria

Automotive

Transcript of Auditoria