Cuestionario COBIT 4 1 Equipo1

UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS FACULTAD DE CIENCIAS ECONÓMICAS

DEPARTAMENTO DE INFORMÁTICA CARRERA INFORMÁTICA ADMINISTRATIVA

ASIGNATURA:

AUDITORIA INFORMATICA

DIAGNOSTICO DE AUDITORIA INFORMATICA BASADO EN

LAS NORMATIVAS APLICADA A LA EMPRESA

“AFP ATLANTIDA”

“CUESTIONARIOS”

CATEDRATICO:

LIC. CRISTIAN JOSUÉ RIVERA MARTÍNEZ

PRESENTADO POR:

LARIZA M. LAINEZ 20021007422

MARLON GARCIA 20091011676

FRANCIA TATIANA GARCIA 20101000291

CESAR ERAZO 20111003060

ALLAN RODERICK GONZALES 20111005048

CIUDAD UNIVERSITARIA AGOSTO 13, 2015

Cuestionario para aplicar a controles de Planear y Organizar PO1-definir un plan estratégico de TI

¿Cuál es la posición estratégica actual de la empresa?

¿Qué elementos críticos se detectan?

¿Las estrategias de tecnologías de información están alineadas con las del negocio?

¿De qué manera se están administrando los riesgos de las TI?

PO2-Definir la arquitectura de la información

¿Todos los procesos de la empresa están sistematizados?

¿Son los riesgos de TI entendidos y están siendo administrados?

¿Es la calidad del sistema de TI apropiada para las necesidades de la entidad?

¿Las personas en la organización entienden los objetivos de TI?

PO5-administrar la inversión en TI

¿Los gatos para mantener la infraestructura existente fueron según el presupuesto de la dependencia?

¿En promedio cuantos proyectos nuevos basados en TI fueron implementados en el último año?

¿En promedio cuantos servicios basados en TI son costeados por la organización?

PO6-Comunicar las aspiraciones y la Dirección de la Gerencia

¿Cuál es la política de seguridad y control interno?

¿Con que frecuencia se actualiza y mejora la documentación del ambiente de control?

¿Qué filosofía de calidad se aplica en la organización?

PO7-Administrar los Recursos Humanos de TI

¿Tienen Políticas de reclutamiento y promoción del personal?

¿Tienen Programa de capacitación de acuerdo a los requerimientos de cargo?

¿Procedimiento para la eliminación/suspensión inmediata de las passwords de acceso a los ambientes computacionales, sistemas y datos, de cada persona despedida o trasladada a otro cargo?

PO8-Administrar la Calidad

¿Cuál es la política de seguridad y control interno?

¿Con que frecuencia se actualiza y mejora la documentación del ambiente de control?

¿Qué filosofía de calidad se aplica en la organización?

PO9-Evaluar y Administrar los Riesgos de TI

¿Qué estándares y criterios utilizan dentro de la empresa para la identificación y evaluación de los riesgos?

¿Se tienen modelos preestablecidos para realizar la documentación de los riesgos? ¿Cuáles?

¿Se documentan los procedimientos empleados?

¿Poseen plan de capacitaciones?

PO10-Administrar Proyectos

¿En qué medida la organización ha integrado formalmente los proyectos en el trabajo?

¿Se realizan los proyectos a tiempo y dentro del presupuesto?

¿Existe una definición clara y documentada del alcance de cada proyecto?

Descripción del Proceso

PO8 Administrar la Calidad

Pregunta SI NO

¿Existen estándares o guías para el diseño y desarrollo de aplicaciones?

¿Los formularios de la información fuente están diseñados eficientemente para evitar interpretación y/o trascripción errónea de los datos?

¿Existen estándares o guías para el diseño y desarrollo de aplicaciones y documentación técnica?

¿Los formularios de la información fuente están diseñados eficientemente para evitar interpretación y/o trascripción errónea de los datos?

PO9 Evaluar y Administrar Los Riesgos de TI

Pregunta SI NO

¿Cuenta el Departamento de Sistemas con hardware interno o externo similar o compatible para ser utilizado en caso de emergencias?

¿Cuenta con un marco de trabajo de administración de Riesgos?

¿Saben como medir el impacto el impacto potencial negativo sobre las metas o las operaciones de la Empresa?

¿Cuentan con un proceso de respuesta a los riesgos para asegurar los controles en costo?

¿Tienen bien definidas las prioridades y las planeaciones de las actividades de control a todos los niveles para implementar una respuesta a los riesgos?

PO10 Administrar Proyectos

Pregunta SI NO

¿Existe un programa de actividades a corto, mediano y largo plazo de todas las funciones del Departamento de Sistemas?

¿Los Departamentos de origen, usuarios, auditoria y la gerencia, participan en todas las etapas del desarrollo de las aplicaciones?

¿Los Departamentos de origen y/o usuario dueños de cada aplicación, dan la aprobación final al funcionamiento de la nueva aplicación?

¿Existe la función de control de calidad para los Sistemas de Información antes de entrar en operaciones?

¿Hay una participación activa de los usuarios en las pruebas de las aplicaciones?

Adquirir e Implementar

AI1 Identificar Soluciones Automatizadas

Pregunta SI NO

¿Los técnicos cumplen con el alcance requerido para lograr los resultados esperados?

¿Cuentan con un diseño de soluciones para el desarrollo de soluciones de los procesos organizacionales?

¿Se ha desarrollado un estudio de factibilidad que examine la posibilidad de implementar los requerimientos?

¿Manejan etapas claves para la evaluación de los reportes del estudio de factibilidad?

¿Las decisiones finales e importantes están siendo evaluadas por una sola persona?

¿El Departamento de Sistemas cuenta con una biblioteca de archivos y programas?

¿Existen disposiciones de seguridad para recursos informáticos instalados fuera de la organización?

¿Son los reportes de salidas que contienen información confidencial y sensible, mantenida y manejada con la prudencia que corresponde?

¿Se cumple con las disposiciones gubernamentales para procesar las operaciones en un sistema automatizado?

AI2 Adquirir y Mantener Software Aplicativo

Pregunta SI NO

¿Existe un control y análisis del desempeño del hardware para proyectar y presupuestar a futuro cambios de equipo?

¿Cuenta el Departamento de Sistemas con hardware interno o externo similar o compatible para ser utilizado en caso de emergencias?

¿Existen procedimiento para asegurar la implantación de software en el servidor de producción?

¿Existen estándares o guías para el diseño y desarrollo de aplicaciones?

¿El software operativo y aplicativo adquirido de proveedores externos cuenta con sus respectivas licencias originales?

¿Existen disposiciones de seguridad para recursos informáticos instalados fuera de la organización?

Cuestionario de Control C1

Dominio Adquirir e Implementar

Proceso AI3: Adquirir y Mantener Infraestructura Tecnológica

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con un inventario de todos los equipos que integran el centro de cómputo?

¿Con cuanta frecuencia se revisa el inventario?

¿Se posee de bitácoras de fallas detectadas en los equipos?

Características de la bitácora (señale las opciones).

¿La bitácora es llenada por personal especializado?

¿Señala fecha de detección de la falla?

¿Señala fecha de corrección de la falla y revisión de que el equipo funcione correctamente?

¿Se poseen registros individuales de los equipos?

¿La bitácora hace referencia a hojas de servicio, en donde se detalla la falla, y las causas que la originaron, así como las refacciones utilizadas?

¿Se lleva un control de los equipos en garantía, para que a la finalización de ésta, se integren a algún programa de mantenimiento?

¿Se cuenta con servicio de mantenimiento para todos los equipos?

¿Con cuanta frecuencia se realiza mantenimiento a los equipos?

¿Se cuenta con procedimientos definidos para la adquisición de nuevos equipos?

¿Se tienen criterios de evaluación para determinar el rendimiento de los equipos a adquirir y así elegir el mejor?

Documentos probatorios presentados:



Proceso AI3: Adquirir y Mantener Infraestructura Tecnológica

Cuestionario

Pregunta SI NO N/A

¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de cómputo?

¿Se lleva a cabo tal programa?

¿Existen tiempos de respuesta y de compostura estipulados en los contratos?

¿Existe plan de mantenimiento preventivo. ?

¿Este plan es proporcionado por el proveedor?

¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?

¿Existe una persona responsable de la seguridad?

¿Existe vigilancia en el departamento de cómputo las 24 horas?




Proceso AI5: Adquirir Recursos de TI

Cuestionario

Pregunta SI NO N/A

¿Se realizan estudios de factibilidad, (costo- beneficio) antes de iniciar el desarrollo o la compra de nuevas aplicaciones?

¿Existe la función de control de calidad para los Sistemas de Información antes de entrar en operaciones?

¿A la hora obtención de recursos de TI tienen asesoría profesional legal y contractual?

¿Cuentan con procedimientos y estándares de adquisición?

¿Al adquirir hardware, software y servicios requeridos son de acuerdo con los procedimientos definidos?

¿Manejan un solo proveedor o hace cotización para reducir gasto?




Proceso AI6: Administrar Cambios

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con procedimientos definidos para solicitar y efectuar modificaciones a los programas?

¿Se le da conocimiento a la alta gerencia cuando se debe hacer un cambio?

¿Existen procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes?

¿Los Departamentos de origen y/o usuario dueños de cada aplicación, dan la aprobación final al funcionamiento de la nueva aplicación?

¿Los Departamentos de origen, usuarios, auditoria y la gerencia, participan en todas las etapas del desarrollo de las aplicaciones?

¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?

¿Existe un Seguimiento del estatus y reporte de los cambios?



Dominio Entregar y Dar soporte

Proceso DS1: Definir y Administrar los Niveles de Servicio

Cuestionario

Pregunta SI NO N/A

¿Se cuenta con formalización de acuerdos internos y externos en línea con los requerimientos y las capacidades de entrega?

¿Se cuenta con notificación del cumplimiento de los niveles de servicio (reportes y reuniones?

¿SE Revisar regularmente con los proveedores internos y externos los acuerdos de niveles de servicio y los contratos de apoyo?

¿Se tiene Definido un marco de trabajo que brinde un proceso formal de administración de niveles de servicio entre el cliente y el prestador de servicio?



Dominio Entregar y Dar Soporte

Proceso DS4: Garantizar la Continuidad del Servicio

Cuestionario

Pregunta SI NO N/A

¿Existe un plan de contingencia para situaciones de emergencias?

¿Cuenta el centro de Cómputo con archivos de respaldo externos (back up) de programas y de datos ubicados fuera de las instalaciones?

¿La institución efectúa contratos con entidades externas para realizar actividades de administración, procesamiento y resguardo de las operaciones d información, así como el desarrollo de sus sistemas, servicios de consultaría, patentes y otros servicios relacionados con las TIC?

¿Se cuenta con un plan estratégico de Sistemas acorde con los objetivos de la empresa?

¿Está asegurado todo el activo de TI?

¿Cuentan con administración de tercerización?


Entregar y Dar Soporte

DS6 Identificar y Asignar Costos

Pregunta SI NO

¿En base a que evalúa los costos de TI?

¿Cuenta con alguna metodología para priorizar o identificar los costos de TI?

¿Con cuanta frecuencia inspecciona las requisiciones de TI para compra de infraestructura?

¿Se tiene un riesgo de las compras de insumos que ingresan a TI?

DS7 Educar y Entrenar a los Usuarios

Pregunta SI NO

¿Con cuanta frecuencia capacita a los usuarios?

¿Existe un programa de entrenamiento de usuarios?

¿Tiene planes de mejoras continuas para los usuarios?

¿Existe alguna estrategia de entrenamiento y la medición de resultados?

¿Se cuenta con manuales actualizados para la inducción a los usuarios?

¿Existen cursos de formación internos?

DS8 Administrar la Mesa de Servicios y los Incidentes

Pregunta SI NO

¿En qué lapso de tiempo resuelve un incidente reportado por un usuario?

¿Con cuanta frecuencia le reportan fallas en los servicios?

¿Con cuanta frecuencia le reportan fallas en las aplicaciones?

¿Con cuanta frecuencia le reportan fallas en la infraestructura?

¿Cuenta con un mecanismo para medir la velocidad promedio para responder a las peticiones de los usuarios?

¿Con que frecuencia abandona las llamadas por incidencia de los usuarios?

¿Cuenta con alguna herramienta para responder a consultas de los usuarios?

¿Qué incidente es el mas frecuente que presentan los usuarios?

DS10 Administrar los Problemas

Problema Impacto Urgencia Prioridad

Aplicaciones Instaladas

Infraestructura

Servicios

Equipo (Hardware)

Pregunta SI NO

¿Existen técnicos asignados por área de cada problema?

¿Con cuanta frecuencia le da seguimiento a los problemas?

¿Investiga la causa de raíz de los problemas?

¿Define las soluciones a los problemas?

¿Aplica un plan de mejoras para mitigar los problemas? ¿En el desarrollo de los sistemas se contemplan las pistas de Auditoria para la posterior auditoria de los mismos?

DS11 Administrar los Datos

Pregunta SI NO

¿Cuenta con una metodología para el archivado almacenamiento y retención de datos?

¿Existen políticas de seguridad al recibido, procesamiento y almacenamiento de datos?

¿Con cuanta frecuencia realiza los respaldos a las bases de datos?

¿Cuenta el centro de Cómputo con archivos de respaldo externos (back up) de programas y de datos ubicados fuera de las instalaciones?

¿Con cuanta frecuencia realiza las réplicas de datos?

¿Existen dispositivos para la realización de copias de seguridad?

DS11 administrar los datos

DS12 Administración del Ambiente Físico

Pregunta SI NO

¿Cómo verifican que todos los datos fueron procesados y ejecutados de forma precisa y completamente?

¿Qué tipos de procedimientos utilizan para crear el archivo, almacenamiento y retención de los datos y que tipo de política de seguridad utilizan?

¿Qué librerías de medios utilizan para el manejo de los inventarios y para asegurar la usabilidad de la información?

¿Qué procedimientos utilizan para eliminar la información y al cuánto tiempo es eliminada?

¿Tipos de procedimientos utilizados para el manejo de respaldo y restauración de los sistemas?

¿Qué políticas y procedimientos se utilizan para el manejo de la información?

Pregunta SI NO

¿Qué centro de datos físicos manejan y sus especificaciones?

¿Qué medidas de seguridad físicas utilizan y quienes monitorean los incidentes de seguridad?

¿Qué controles de acceso manejan para llevar el control del ingreso a las instalaciones?

¿Qué medidas de protección manejan contra los factores ambientales?

¿Quién es el encargado de administrar los equipos de comunicación, requerimientos técnicos de la institución?

DS13 Administración de Operaciones

ME1 Monitorear y Evaluar el Desempeño de TI

Pregunta SI NO

¿Qué tipos de procedimientos estandarizados, actualizaciones de programas manejan?

¿Cómo hacen la programación de las tareas de procesos y las secuencias de los procedimientos que deben implementarse?

¿Tipos de procedimientos para monitorear la infraestructura de TI?

¿Qué tipo de inventarios realizan para la administración de adecuada sobre los activos de TI?

¿Cada cuánto dan mantenimiento oportuno a la infraestructura para reducir las fallas en el desempeño?

Pregunta SI NO

¿Cómo se hace el monitoreo general del desempeño de TI en cuanto a soluciones de problemas y la contribución de TI a la institución?

¿Qué proceso utilizan para recolectar la información oportuna y precisa para reportar el avance en las metas?

¿Qué tipos de métodos utilizan para monitorear el desempeño del sistema de la institución?

¿Cómo evalúan el desempeño de las metas de la institución?

¿Quién proporciona los reportes a la alta gerencia mostrando los resultados obtenidos en cuanto a las metas alcanzadas y los riesgos mitigados?

¿Qué tipo de acciones correctivas manejan en cuanto al monitoreo del desempeño?

ME4 Proporcionar Gobierno de TI

Pregunta SI NO

¿Qué tipo de objetivos empresariales manejan?

¿Qué características y capacidades tecnológicas manejan para garantizar un entendimiento entre la institución y TI?

¿Se cumplen todos los resultados esperados por la institución con la ayuda de TI?

¿Qué tipos de inversiones hacen para el mejoramiento de TI y quienes administran estos recursos?

¿Qué tipos de riesgos son aceptables para la institución?

¿Quien confirma que los objetivos esperados por TI han sido alcanzados?

Cuestionario COBIT 4 1 Equipo1

Documents

Transcript of Cuestionario COBIT 4 1 Equipo1