Plantilla unidad II
-
Upload
annie-mrtx -
Category
Technology
-
view
111 -
download
0
Transcript of Plantilla unidad II
UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
N
Auditoria de Sistemas de TI Unidad II. Desarrollo de la auditoria informática
2015
Autor: Ana Francisca Martínez Betancourt, José de Jesús Cisneros Morales,
Lizbeth Martínez Dávila.
Auditoria de Sistemas de TI - Valor Creativo 2
Contenido
Plan de auditoria .................................................................................................................................................. 3
Lista de verificación de seguridad de la información ........................................................................................... 5
Diagrama de proceso de selección de proveedores............................................................................................. 9
LISTA DE COMPROBACIÓN “APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO” ...............................10
LISTA DE COMPROBACIÓN “AUDITORIA DE LA FASE DE ANALISIS” ..................................................................14
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE DISEÑO” ....................................................................17
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE CONSTRUCCIÓN” ......................................................19
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE IMPLANTACIÓN” .......................................................21
LISTA DE COMPROBACIÓN “AUDITANDO LA RED FISICA”.................................................................................24
LISTA DE COMPROBACIÓN “AUDITANDO LA RED LÓGICA” ..............................................................................27
Auditoria de Sistemas de TI
Auditoria de Sistemas de TI - Valor Creativo 3
Plan de auditoria
FORMATO PLAN DE AUDITORIA INDEPENDIENTE DE CONTROL
INTERNO ANEXO 2
Código : SC-P-02-F-02
Versión: 01
Fecha elaboración: 19/06/2015
Vigente desde: 20/06/2015
Fecha de la auditoria 22/06/2015
Área/Actividad y/o tarea auditar
Auditores designados Los presentes auditores asignados son Ana Martínez Betancourt, José de Jesús Cisneros,
Mónica de los Ángeles y Sandra Montoya
Objetivo de la auditoria: El análisis de la eficiencia de los Sistemas Informáticos, La verificación del cumplimiento de la Normativa en este ámbito, La revisión de la eficaz gestión de los recursos informáticos.
Objetivos específicos: Participación en el desarrollo de nuevos sistemas: * Realizar una evaluación de controles,* Dar cumplimiento de la metodología que lleva la empresa. Evaluación de la seguridad en el área informática. Evaluación de suficiencia en los planes de contingencia. Cómo generar respaldos, prever qué va a pasar si se presentan fallas. Opinión de la utilización de los recursos informáticos. Tener un resguardo adecuado y protección de activos. Control de modificación a las aplicaciones existentes. Evitar fraudes y robo de información por parte de personal interno o externo. Tener un control a las modificaciones de los programas. Participación en la negociación de contratos con los proveedores de equipo o de software. Revisión de la utilización del sistema operativo y los programas utilitarios. Tener un adecuado control sobre la utilización de los sistemas operativos y dispositivos conectados a los equipos. Auditoría de la base de datos. Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de poder verificar si donde se está guardando la información se encuentra encriptada, niveles de seguridad, accesos, entre otros. Auditoría de la red de teleprocesos.
Alcance de la auditoria: El alcance de la Auditoría no es nada más que la precisión con que se define el entorno y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando cuales se omitieron.
Documentos de referencia (Norma y/o Procedimientos): ISO 9011 Indica como auditar los procesos que constituyen al sistema de gestión de la calidad. ISO 9126 Es estándar internacional para evaluación de calidad del software. ISO 10006 Sistemas de gerencia de la calidad
Reunión de apertura
22/06/2015
Auditoria de Sistemas de TI - Valor Creativo 4
Actividad Fecha Horas requeridas Nombre del
auditado Cargo
Nombre auditor
Elaborar un listado de las máquinas y de los programas más usados, usando listado sugerido. 24/06/2015 48 Horas
José Luis Ontiveros
Administrador de laboratorio Ana Martínez
Especificar y documentar las observaciones especiales de las maquinas que requieren una apreciación exhaustiva
25/06/2015 12 Horas Marisol Rodríguez Gerente
Jesús Cisneros
Elaborar un diagrama de la estructura y conexiones de red con los correspondiente equipos 28/06/2015 8 Horas
Alberto González Diseñador
Sandra Montoya
Realizar un análisis preliminar sobre el estado general del laboratorio
28/06/2015 24 Horas Isamar Louis Analista Mónica de los ángeles
Solicitud de manuales y documentaciones
02/07/2015 18 Horas Marisol Rodríguez
Director administrativo
Sandra Montoya
Recopilación de la información 04/07/2015 10 Horas Eraldi Montés Analista Ana Martínez
aplicación de cuestionario a personal 07/07/2015 7 Horas
Jonathan Muñoz Analista Ana Martínez
análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos
08/07/2015 28 Horas Israel Núñez Programador Jesús Cisneros
Evaluación de los sistemas : relevamiento de hw y sw
09/07/2015 12 Horas Juan Morquecho
Administrador de laboratorio
Mónica de los ángeles
Revisión de paneles de trabajo 10/07/2015 07 Horas
Isabela Monte claro Gerente
Jesús Cisneros
Observaciones: Ninguna
Firma de aprobación jefe de control interno
22/06/2015
Auditoria de Sistemas de TI - Valor Creativo 5
Lista de verificación de seguridad de la información
LISTA DE VERIFICACIÓN
Fecha: Viernes 19 de Junio 2015
1- Información General.
Empresa: Softsecury
Domicilio: Calle Constitución #2A, Colonia Centro, Pinos Zac
Teléfono: 496-117-23-99
E-Mail: [email protected]
Persona de contacto: Ing. en TIC. José de Jesús Cisneros Morales
Auditores: Ing. en TIC. Ana Francisca Martínez Betancourt, Ing. en TIC. Sandra Montoya Reyes, Mónica de los
Ángeles Ramírez
Personas presentes y posiciones que ocupan: Jefe del Departamento de Desarrollo de Software Ing. en TIC.
José de Jesús Cisneros Morales, Responsable de la Empresa Softsecury Ing. en TIC. Mónica de los Ángeles
Ramírez
Cantidad de empleados: 15 empleados
Alcance: Verificar cada uno de los puntos relevantes en el desarrollo de software para eliminar las mermas
que impiden el éxito rotundo del producto final y proporcionar recomendaciones para su mejora en un
tiempo de medio año.
Auditoria de Sistemas de TI - Valor Creativo 10
LISTA DE COMPROBACIÓN “APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”
Objetivo General:
El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Objetivos Específicos:
Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones
y las unidades afectadas.
Deben designarse un responsable o director del proyecto.
El proyecto debe ser catalogado y, en función de sus características, se debe determinar el modelo
del ciclo de vida QUE SE SIGUIRA.
Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizara el
proyecto y determina el plan del proyecto.
1 Se debe Comprobar que : SI NO Observaciones
2
Exista una orden de aprobación del proyecto refrendada por un órgano competente. El estudio de viabilidad debe haber seguido el cauce establecido.
X Presenta la estructura
del proyecto
3
En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.)
X Se encuentran dentro de la documentación
4 Se ha identificado las unidades de la organización a las
que afectan. No Aplica
5 La designación se ha llevado acabo según el
procedimiento establecido. X Se encuentran dentro de la documentación
6 Se le ha comunicado al director su nombramiento junto
con la información relevante del proyecto. No Aplica
7 Se ha catalogado y dimensionado proyecto según las
normas establecidas. X Se encuentran dentro de la documentación
8
Se ha evaluado los riesgos asociados al proyecto,
especialmente cuando se van usar tecnología no usaba
hasta el momento. X
Se encuentran dentro de la documentación
9
Se ha elegido el ciclo de vida más adecuado al tipo del
proyecto de que se trata.
X Se encuentran dentro de la documentación
10
Se ha hecho información histórica que se dispone tanto
para dimensionar el proyecto y sus riesgos como para
seleccionar el ciclo de vida. X
Se encuentran dentro de la documentación
11
Se prestaran atención si se elige un ciclo de vida basado
en el prototipado. En este caso debe cumplirse los
requisitos necesarios para aplicarse con éxito (dificultad
X Se encuentran dentro de la documentación
Auditoria de Sistemas de TI - Valor Creativo 11
para los usuarios para expresar los requisitos y
disponibilidades de una herramienta de construcción
rápida de prototipos) y debe existir un acuerdo con los
usuarios sobre el alcance del prototipo y de los objetivos
que se persiguen con el mismo.
12
La asignación del director del proyecto y el equipo de
desarrollo que se ha llevado acabo según el
procedimiento establecido. X
Se encuentran dentro de la documentación
13
Los participantes que permanezcan a otra área
(sistemas, comunicaciones u ofimática, etc.)se han
solicitado según el protocolo existente. X
Se encuentran dentro de la documentación
14
Si participan personal externo, los perfiles profesionales
son adecuados a las funciones que van a realizar. El
contrato suplente del protocolo de contratación. X
Se desarrollaran con el personal interno
15
Se ha comunicado a todos los miembros del equipo de
desarrollo los objetivos del proyecto, la responsabilidad
que tendrán en el mismo, las fechas en la que
participaran y la dedicación (completa/parcial).
X Se encuentran dentro de la documentación
16
El plan de proyectos realizado es realista y utiliza la
información histórica de la que se disponga para realizar
estimaciones X
Se encuentran dentro de la documentación
Objetivo General:
El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en
cuenta las restricciones de tiempo y recurso. Los criterios usados serán coherentes con los objetivos
de las unidades afectadas
Objetivos Específicos:
Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión
del proyecto
Se debe establecer un mecanismo para la resolución de los problemas que pueden plantearse a lo
largo del proyecto. Se debe comprobar que:
Debe existir un control de cambio de a lo largo del proyecto.
Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el modulo o fase, debe
hacerse de forma adecuada.
Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo largo del proyecto
1 Se debe Comprobar que : SI NO Observaciones
2
Se ha constituido formalmente el comité de dirección del proyecto y en él están incluidos los responsables de todas las unidades afectadas.
X Se encuentran dentro de la documentación
3
El comité tiene una periodicidad de reunión mínima y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para la asignación de recursos, la revisión de la marcha del proyecto y para modificar el plan del proyecto en función de las
X Se encuentran dentro de la documentación
Auditoria de Sistemas de TI - Valor Creativo 12
revisiones.
4
Las reuniones se hacen con un orden del día y las decisiones tomadas quedan documentadas en las actas de dicho comité.
X Se encuentran dentro de la documentación
5 El número de reuniones y la duración de las mismas no
superan un límite razonable X Se encuentran dentro de la documentación
6
Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepción, así como un procedimiento conocido de tramitación.
X Se encuentran dentro de la documentación
7
Hay un método para catalogar y dar prioridad a los problemas, así como para trasladarlos a la persona que los debe resolver, informando si es necesario al director del proyecto y al comité de dirección.
X Se encuentran dentro de la documentación
8 Se controla la solución del problema y se deja constancia
de la misma. X Se encuentran dentro de la documentación
9
Existe un mecanismo para registrar cambios que pudieran producirse así como para evaluar el impacto de los mismos.
X No presenta pruebas , ya que no se utiliza el
proceso evaluado
10
La documentación afectada se actualiza de forma adecuada y se lleva un control de versiones de cada producto, consignado la última fecha de actualización.
X Se encuentran dentro de la documentación
11
Se remite la nueva versión de los documentos actualizando a los participantes en el proyecto.
X Se encuentran dentro de la documentación
12 Se respetan los límites temporales y presupuestarios
marcados al inicio del proyecto. X Se encuentran dentro de la documentación
13 Se han tenido en cuenta los riesgos del reajuste. X
Se encuentran dentro de la documentación
14
Se notifica el cambio a todas las personas que de una u otra forma participen en el proyecto y se ven afectados.
X Se encuentran dentro de la documentación
15 Si existe un plan de sistemas, se actualiza en
consecuencia. X No presenta pruebas , ya que no se utiliza el
proceso evaluado
16
Existe un procedimiento que permita registrar a los tiempos que cada participante del proyecto de dedica al mismo y que tarea realiza en este tiempo.
X Se encuentran dentro de la documentación
17
Las productividades que se obtienen para distintos
empleados en las mismas tareas son similares y están
en consonancia con la información histórica. X
Se encuentran dentro de la documentación
18 Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado,
X Se encuentran dentro de la documentación
Auditoria de Sistemas de TI - Valor Creativo 13
especialmente en las fases de análisis y diseño.
19 La documentación cumple con los estándares establecidos en el área.
X Se encuentran dentro de la documentación
20 Se respeta el plan establecido y en caso contrario se toman las medidas oportunas o se procede a la aprobación de una modificación del plan
X Se encuentran dentro de la documentación
21 Se respeta el uso de recursos previamente establecido.
X Se encuentran dentro de la documentación
22 La documentación de proyecto es completa y está catalogada perfectamente para accesos posteriores.
X No presenta pruebas , ya que no se utiliza el
proceso evaluado
23
Los recursos, tanto personales como materiales, se ponen a disposición del área o departamento del que provienen.
X Se encuentran dentro de la documentación
24
El comité de dirección y el director del proyecto hacen balance del proyecto, estudiando los posibles problemas y sus causas, los cambios del plan, etc. Toda esta información se registra en los archivos históricos sobre estimaciones y problemas.
X Solo estudia los
problemas pero no los registra
25
La nueva aplicación se incorpora al catálogo de aplicaciones existentes con toda la información relevante de la misma
X Se encuentran dentro de la documentación
Auditoria de Sistemas de TI - Valor Creativo 14
LISTA DE COMPROBACIÓN “AUDITORIA DE LA FASE DE ANALISIS”
Objetivo General:
Pretende obtener un conjunto de especificaciones formales que describan las necesidades de la
información que debe ser cubierta por el nuevo sistema de una forma independiente del entorno
técnico.
Objetivos Específicos:
Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma
clara los requisitos del mismo.
En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema
cumpla los requisitos establecidos
El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando
esta especificación con la aprobación de los usuarios
1 Se debe Comprobar que : SI NO Observaciones
2
Existe un documento aprobado por el comité de dirección en el que determinan formalmente el grupo de usuarios que participaran en el proyecto.
X Presenta las pruebas en la documentación
del proyecto
3 Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema
X Presenta las pruebas en la documentación
del proyecto
4
Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de que es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.
X Presenta las pruebas en la documentación
del proyecto
5
Existe un plan consensuado con el comité de dirección que detalla por cada entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guion de los aspectos que se van a preparar.
X No aplica debido al
tipo de procesos que sigue
6 Se entrevista a todos los integrantes en el grupo de usuarios y a todos los responsables de las unidades afectadas.
X Presenta las pruebas en la documentación
del proyecto
7
Se remite el guion a los entrevistados con tiempo
suficiente para que estos puedan preparar la entrevista y
la documentación que deseen aportar a la misma.
X Presenta las pruebas en la documentación
del proyecto
8
El guion incluye todas las cuestiones necesarias para obtener información sobre las funciones que el entrevistado realiza en su unidad y los problemas que necesita resolver
X Presenta las pruebas en la documentación
del proyecto
9 Se ha realizado un modelo físico del sistema actual, incluyendo los objetivos y funciones de cada unidad, así como sus flujos de entrada y salida de información
X Presenta las pruebas en la documentación
del proyecto
10 Se han catalogado los problemas del sistema actual así
X Presenta las pruebas en la documentación
Auditoria de Sistemas de TI - Valor Creativo 15
como que estos problemas son reales del proyecto
11
Se han realizado el modelo lógico de datos y el modelo
lógico de proceso del sistema actual, así como que estos
son correctos y que se han llevado a cabo con las
técnicas usadas en el área
X
12 Existe el catálogo de requisitos que están justificados. X
Presenta las pruebas en la documentación
del proyecto
13 Los requisitos son concretos y cuantificables, de forma que pueda determinarse el grado de cumplimiento al final del proyecto
X Presenta las pruebas en la documentación
del proyecto
14 Cada requisito tiene una prioridad y está clasificado en
funcional o no funcional. X Presenta las pruebas en la documentación
del proyecto
15
El catálogo de requisitos ha sido revisado y aprobado por
el grupo de usuarios y por el comité de dirección,
constituyendo a partir de este momento del “contrato”
entre estos y el equipo de desarrollo del proyecto
X Presenta las pruebas en la documentación
del proyecto
16 De El procedimiento existe y está aprobado existir el diccionario de datos o repositorio X
No aplica debido al tipo de procesos que
sigue
17
la especificación del nuevo sistema incluirá los requisitos
de seguridad rendimiento, copias de seguridad y
recuperación etc X
Presenta las pruebas en la documentación
del proyecto
18
Es coherente con el procedimiento de control de cambio general para el proyecto.
X Presenta las pruebas en la documentación
del proyecto
Objetivo del Control C2:
1 Se debe comprobar que: SI NO Observaciones
2 Existe un documento en que se describen las distintas alternativas. X
No aplica debido al tipo de procesos que
sigue
3 Hay más de una alternativa y en caso contrario, que no existe realmente otra posible. X
No aplica debido al tipo de procesos que
sigue
4 Cada alternativa está descrita desde un punto de vista lógico (al menos modelo lógico de procesos) y es coherente con los requisitos establecidos.
X No aplica debido al
tipo de procesos que sigue
5 Si existe en el mercado a un producto que cumpla con unas mínimas garantías los requisitos especificados, una de las alternativas debe ser su compra.
X No aplica debido al
tipo de procesos que sigue
6 Si no lo impiden las características del proyecto una de las alternativas debe ser el desarrollo del sistema por parte de una empresa externa.
X No aplica debido al
tipo de procesos que sigue
7 Se han evaluado las ventajas e inconvenientes de cada alternativa de forma objetiva (análisis coste/beneficio por
X No aplica debido al
tipo de procesos que
Auditoria de Sistemas de TI - Valor Creativo 16
ejemplo) así como los riesgos asociados. sigue
8 El comité de dirección ha seleccionado una alternativa como la más ventajosa y es realmente la mejor para la organización.
X No aplica debido al
tipo de procesos que sigue
Auditoria de Sistemas de TI - Valor Creativo 17
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE DISEÑO”
Objetivo General:
Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que
se tenga y con el entorno tecnológico elegido.
Objetivos Específicos:
El entorno tecnológico debe estar definido de forma clara y ser conforme a los estándares del
departamento de informática.
Se deben identificar todas las actividades físicas a realizar por el sistema y descomponer las mismas
de forma modular.
Se debe diseñar la estructura física de datos adaptando las especificaciones del sistema al entorno
tecnológico.
Se debe diseñar un plan de pruebas que permita la verificación de los distintos componentes del
sistema por separado, así como el funcionamiento de los distintos subsistemas y del sistema en
conjunto.
La actualización del plan de proyecto seguirá los criterios ya comentados.
Se debe Comprobar que : SI NO Observaciones
1
Están perfectamente definidos todos los elementos que configuran el entorno tecnológico para el proyecto (servidores, computadoras personales, periféricos, sistemas operativos, conexiones de red, protocolos de comunicación, sistemas gestores de bases de datos, compiladores, herramientas CASE, middleware en caso de programación cliente/servidor, librerías, etc).
X
Presenta pruebas dentro de la
documentación del Proyecto
2
Se dispone de los elementos seleccionados, están dentro de los estándares del departamento de informática y son capaces de responder a los requisitos establecidos de volúmenes, tiempos de respuesta, seguridad, etc.
X
Presenta pruebas dentro de la
documentación del Proyecto
3
Se han documentado todas las actividades físicas que debe realizar el sistema.
X
Presenta pruebas dentro de la
documentación del Proyecto
4
El catálogo de actividades es coherente con las funciones identificadas en el MLP del módulo EFS.
X
Presenta pruebas dentro de la
documentación del Proyecto
5
Se han identificado las actividades que son comunes, así como las que ya existen en las librerías generales del área.
X
Presenta pruebas dentro de la
documentación del Proyecto
6
Existe el documento con el diseño de la estructura modular del sistema, se ha realizado con una técnica adecuada y es correcto.
X
Presenta pruebas dentro de la
documentación del Proyecto
Auditoria de Sistemas de TI - Valor Creativo 18
7
El tamaño de los módulos es adecuado, el factor de acoplamiento entre ellos es mínimo y la cohesión interna de cada módulo es máxima.
X
Presenta pruebas dentro de la
documentación del Proyecto
8
Los módulos se diseñan para poder ser usados por otras aplicaciones si fuera necesario.
X
Presenta pruebas dentro de la
documentación del Proyecto
9
Los componentes o programas del nuevo sistema se han definido con detalle a partir del diseño modular, la definición es correcta y sigue los estándares del área. La descripción de los componentes es suficiente para permitir su programación por parte de un programador sin conocimiento previo del sistema.
X
Presenta pruebas dentro de la
documentación del Proyecto
10
Se han detallado las interfaces de datos y control con otros módulos y sistemas, asá como la interfaz de usuario ya especificada en el módulo EFS.
X
Presenta pruebas dentro de la
documentación del Proyecto
11
El módulo físico de datos está basado en el MLD obtenido en el módulo EFS e incluye todas las entidades, relaciones, claves, vistas, etc.
X
Presenta pruebas dentro de la
documentación del Proyecto
12 Tiene en cuenta el entorno tecnológico y los requisitos de rendimiento para los volúmenes y frecuencias de acceso estimados.
X No aplica debido al
proceso que no sigue
13
Existe el plan de pruebas y contempla todos los recursos necesarios para llevarlas a efecto.
X
Presenta pruebas dentro de la
documentación del Proyecto
14
Las personas que realizarán las pruebas de verificación son distintas a las que han desarrollado el sistema.
X
Presenta pruebas dentro de la
documentación del Proyecto
15
Existe el plan para validar cada uno de los componentes del sistema, incluyendo pruebas del tipo caja blanca para cada módulo. Tendrán en cuenta todas las posibles condiciones lógicas de ejecución, además de posibles fallos del hardware o software de base.
X
Presenta pruebas dentro de la
documentación del Proyecto
16
Permite validar la integración de los distintos componentes y el sistema en conjunto.
X
Presenta pruebas dentro de la
documentación del Proyecto
Auditoria de Sistemas de TI - Valor Creativo 19
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE CONSTRUCCIÓN”
OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando técnicas de
programación correctas.
C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así como los
procedimientos de operación, antes de iniciar el desarrollo.
C-FI-2: se debe programar, probar y documentar cada uno de los componentes identificados en el
diseño del sistema.
C-F1-3: deben realizarse las pruebas de integración para asegurar que las interfaces, entre los
componentes o módulos funcionan correctamente. Se debe comprobar que.
OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar capacitados y
disponer de todos los medios para hacer uso del sistema.
C-G1-1: el desarrollo de los componentes de usuario debe estar planificado
C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema
C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de estándares del
área
C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los procesos de formación o
selección de personal necesario
C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el
nuevo sistema
Se Debe Comprobar Que: Si No Observaciones
1
Se han creado e inicializado las bases de datos o archivos necesarios y que cumplen las especificaciones realizadas en el módulo de diseño.
X
Presenta pruebas en la
documentación del Proyecto
2 En ningún momento se trabaja con información que se encuentra en explotación.
X No se ha realizado
el proceso
3
Se han preparado los procedimientos de copia de seguridad.
X
Presenta pruebas en la
documentación del Proyecto
4 Se han preparado los editores, compiladores, herramientas, etc. Necesarios.
X No se ha realizado
el proceso
5
Están disponibles los puestos de trabajo y el acceso a los equipos, redes etc.
X
Presenta pruebas en la
documentación del Proyecto
6
Están disponibles todos los elementos lógicos y físicos para realizar las pruebas unitarias de los componentes y las pruebas de integración.
X
Presenta pruebas en la
documentación del Proyecto
7 Están documentados todos los procedimientos de operación para cuando el sistema esté en explotación.
X No se ha realizado
el proceso
8
Los procedimientos se llevan a cabo después de tener la especificación funcional del sistema y antes de la implementación del mismo.
X
Presenta pruebas en la
documentación del Proyecto
9 Están definidos los distintos perfiles de usuario requerido X Presenta pruebas
Auditoria de Sistemas de TI - Valor Creativo 20
para la implantación y explotación del nuevo sistema. en la documentación
del Proyecto
10
Se han desarrollados todos los componentes y módulos
X
Presenta pruebas en la
documentación del Proyecto
11
Se han seguido los estándares de programación, documentación del área , código es estructurado , está bien sangrado y contiene comentarios suficiente
X
Presenta pruebas en la
documentación del Proyecto
12
Se han probado cada componentes y se a generado e informe de prueba. Si los resultados de las pruebas no san satisfactorio se modifica el código y se vuelve a realizar la prueba. Si se detecta una falla de especificación o diseño, el proyecto se actualizara según el procedimiento establecido para ello
X
Presenta pruebas en la
documentación del Proyecto
13
Las pruebas de integración se han llevado acabo según lo especificado en el plan de pruebas realizado en el módulo de diseño
X
Presenta pruebas en la
documentación del Proyecto
14 Se han evaluado las pruebas y se han tomado las acciones correctivas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia
X No se ha realizado
el proceso
15
No han participado los usuarios. En las pruebas de integración solo debe participar el equipo de desarrollo
X
Presenta pruebas en la
documentación del Proyecto
16
El plan del proyecto está incluido el plan de desarrollo de los procedimientos de usuario e incluye todo las actividades y recursos necesarios
X
Presenta pruebas en la
documentación del Proyecto
17
Para cada perfil se ha definido el rango de fechas y la dedicación necesaria.
X
Presenta pruebas en la
documentación del Proyecto
18
Están desarrollados todos los procedimientos de usuario, recopilados, formando el manual de usuario, y son coherentes con las actividades descritas en EFS.
X
Presenta pruebas en la
documentación del Proyecto
19
Cada procedimiento describe claramente que realiza, el perfil de usuario asociado, asi como los recursos que son necesarios (equipos, consumibles, periféricos especiales, espacio, etc.).
X
Presenta pruebas en la
documentación del Proyecto
20
Los manuales de usuario y el resto de procedimientos cumplen los estándares del área y llevan asociado su control de versiones.
X
Presenta pruebas en la
documentación del Proyecto
21
La comparación de perfiles de usuarios y recursos requeridos con los actuales es realista y los procedimientos que se derivan son adecuados y están aprobados por los responsables de las unidades afectadas.
No Aplica
Auditoria de Sistemas de TI - Valor Creativo 21
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE IMPLANTACIÓN”
Objetivo General:
El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.
Objetivos Específicos:
Se de ben realizar las pruebas del sistema que se especificaron en el diseño del mismo.
El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.
El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.
Se debe comprobar que: SI NO Observaciones
1
Se prepara el entorno y los recursos necesarios para realizar las pruebas. X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
2
Las pruebas se realizan y permiten verificar si el sistema cumple con las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallos, copias de seguridad, tiempos de respuesta, etc.
X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
3
Se han evaluado los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.
X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
4 Se revisa el plan de implantación original y se documenta adecuadamente.
X No se ha realizado
5
Está incluida la instalación de todos los componentes desarrollados, así como los elementos adicionales (librerías, utilidades, etc.).
X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
6
Incluye la inicialización de datos y la conversión si es necesaria. X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
7
Especifica los recursos necesarios para cada actividad, así como que el orden marcado para las actividades es compatible.
X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
8
Se ha tenido en cuenta la información histórica sobre estimaciones. X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
9 Se sigue el plan de pruebas de aceptación aprobado en la fase de análisis, que debe incluir la conversión de datos y la explotación.
X Las Pruebas
suficientes se encuentran en la
Auditoria de Sistemas de TI - Valor Creativo 22
Documentación del Proyecto
10
Las pruebas de aceptación son realizadas por los usuarios. X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
11
Se evalúan los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.
X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
12
El grupo de usuarios y el comité de dirección firman su conformidad con las pruebas de aceptación. X
Las Pruebas suficientes se
encuentran en la Documentación del
Proyecto
Objetivo General:
El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento solo cuando
haya sido aceptado y esté preparado todo el entorno en el que se ejecutará.
Objetivos Específicos:
Se deben instalar todos los procedimientos de explotación.
Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma coordinada con la
retirada del antiguo, migrando los datos si es necesario.
Debe firmarse el final de la implantación por parte de los usuarios.
Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para
evitar situaciones de abandono de uso del sistema.
Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.
Se debe comprobar que: SI NO Observaciones
1
Se han instalado además del sistema principal todos los procedimientos auxiliares, por ejemplo copias, recuperación, etc., tanto manuales como automáticos.
X
Las Pruebas suficientes se encuentran en la Documentación del
Proyecto
2
Están documentados de forma correcta.
X
Las Pruebas suficientes se encuentran en la Documentación del
Proyecto
3
Los usuarios han recibido la formación necesaria y tienen en su poder toda la documentación necesaria, fundamentalmente manuales de usuario.
X
Las Pruebas suficientes se encuentran en la Documentación del
Proyecto
4 Se han eliminado procedimientos antiguos que sean incompatibles con el nuevo sistema.
X No se ha realizado
5
Hay un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema esté funcionando con todas las garantías. Esta situación no debe prolongarse más tiempo del necesario.
X No se ha realizado
6 Si el sistema antiguo se va a mantener para obtener información se debe dejar en explotación el modo de sólo consulta.
No Aplica
Auditoria de Sistemas de TI - Valor Creativo 23
7
Los datos se convierten de acuerdo al procedimiento desarrollado y se verifica la consecuencia de la información entre el sistema nuevo y el antiguo.
No Aplica
8 Existe el documento y que han sido firmados por el comité de dirección y por el grupo de usuarios.
X No se ha realizado
9 Contiene de forma explícita la aceptación de la implantación correcta del sistema.
X No se ha realizado
10
El índice de utilización del sistema es adecuado a los volúmenes que se esperaban para cada una de las áreas afectadas por el nuevo sistema.
X No se ha realizado
11 Se ha comprobado, al menos informalmente, la impresión de los usuarios respecto al nuevo sistema.
X No se ha realizado
12
El mecanismo existe y está aprobado por el director del proyecto, por el comité de dirección y por el área de mantenimiento, si ésta existiese.
X
Las Pruebas suficientes se encuentran en la Documentación del
Proyecto
13 Tiene en cuenta los tiempos de respuesta máximos que se pueden permitir ante situaciones de no funcionamiento.
X No se ha realizado
14
El procedimiento a seguir ante cualquier problema o para el mantenimiento del sistema será conocido por todos los usuarios. Incluirá al menos la persona de contacto, teléfono, esquema de información a aportar, etc.
X No se ha realizado
Auditoria de Sistemas de TI - Valor Creativo 24
LISTA DE COMPROBACIÓN “AUDITANDO LA RED FISICA”
Objetivo General:
Áreas controladas por los equipos de comunicaciones previniendo el acceso
inadecuado.
Objetivos Específicos:
Protección y tendido adecuado de cables y líneas de comunicaciones para evitar
para evitar accesos físicos.
Controles de utilización de equipos de prueba de comunicaciones para monitorizar
la red y su tráfico, que implica su utilización inadecuada.
Atención específica a la recuperación de los sistemas de comunicación de datos en
el plan de recuperación de desastres en sistemas de información.
Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la
red de datos para prevenir accesos no autorizados al sistema o a la red.
1 Se debe Comprobar que : SI NO Observaciones
2 El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas.
Si Solo personal autorizado
3 La seguridad física de los equipos de comunicaciones tales, como controladores de comunicaciones, dentro de las salas de computadoras sea adecuado.
si Están organizados
4 Solo personas con responsabilidad y
conocimiento están incluidas en la lista de
personas permanentemente autorizadas para
entrar en las salas de equipos de
comunicaciones.
Si Solo personal autorizado
5 Se toman medidas para separar las actividades
de electricistas y personal de tendido y
mantenimiento de tendido de líneas
telefónicas, así como sus autorizaciones de
acceso , de aquellas de personal bajo control
de la gerencia de comunicaciones
si Cada quien tiene su trabajo
6 En las zonas adyacentes a la sala de
comunicaciones, todas las líneas de
comunicaciones fuera de la vista.
No todo va instalado
Auditoria de Sistemas de TI - Valor Creativo 25
7 Las líneas de comunicaciones, en las salas de
comunicaciones, armarios distribuidores y
terminaciones de los despachos, estarán
etiquetadas con un código gestionado por la
gerencia de comunicaciones, y no por su
descripción física o métodos sin coherencia.
no
8 Existen procedimientos para la protección de
cables y bocas de conexión que dificulten el
que sea conectados por personas no
autorizadas.
No Porque hay reglamento
9 Se revisa periódicamente la red de
comunicaciones, buscando intercepciones
activas o pasivas.
no Porque es publica
10 Los equipos de prueba de comunicaciones
usados para resolver los problemas de
comunicaciones de datos deben tener
propósitos y funciones definidos.
no
11 Existen controles adecuados sobre los quipo de
prueba de comunicaciones usados para
monitorizar líneas y fijar problemas
no aplica
12 Existe procedimiento restringido el uso de estos equipos a personal autorizado.
si Solo persona adecuado sabe su
movimiento
13 Existe facilidades de traza y registro del tráfico de datos que poseen los equipos de monitorización.
no No existen equipos de monitoreo
14 Existen procedimientos de aprobación y registro ante las conexiones a líneas de comunicaciones en la detección y corrección de problemas.
No
15 El plan general de recuperación de desastres para servicios de información presta adecuada atención recuperación y vuelta al servicio de los sistemas de comunicación de datos
no
16 Existen planes de contingencia para desastres
que solo afecten a las comunicaciones, como el
fallo de una sala completa de comunicaciones
No aplica
17 Las alternativas de respaldo de
comunicaciones, bien sea como las mismas
salas o con salas de respaldo, consideran la
no aplica
Auditoria de Sistemas de TI - Valor Creativo 26
seguridad física de estos lugares.
18 Las líneas telefónicas usadas para datos,
cuyos números no deben ser públicos, tienen
dispositivos procedimientos de seguridad como
retrollamada, código de conexión o
interruptores para impedir accesos no
autorizados al sistema informático.
no Aplica
Auditoria de Sistemas de TI - Valor Creativo 27
LISTA DE COMPROBACIÓN “AUDITANDO LA RED LÓGICA”
Objetivo General:
Es necesario monitorear la red, revisar los errores o situaciones anómalas que se
producen y tener establecidos los procedimientos para detectar y aislar equipos en
situación anómala. En general, si se quiere que la información que viaja por la red
no pueda ser espiada, la única solución totalmente efectiva en la encriptación.
Objetivos Específicos:
Contraseñas y otros procedimientos para limitar y detectar cualquier intento de
acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de una transmisión y
establecer las retransmisiones apropiadas.
Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.
Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar
accesos no autorizados.
Técnicas de cifrado de datos donde haya riesgos de accesos impropios a
transmisiones sensibles.
Controles adecuados que cubran la importancia o exportación de datos a través de
puertas, en cualquier punto de la red, a otros sistemas informáticos.
1 Se debe Comprobar que : SI NO Observaciones
2 El software de comunicaciones, para permitir el acceso, exige código de usuario y contraseña.
si
3 Los usuarios no pueden acceder a ningún sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.
si
4 Se inhabilita al usuario que sea incapaz de dar
la contraseña después de un número
determinado de intentos infructuosos.
si
5 Se obliga a cambiar la contraseña
regularmente.
no Por qué no hay tantos usuarios nada más uno
solo
6 Las contraseñas no son mostradas en pantalla
cuando se teclean.
no Es ilógico por que en cualquier
sistemas están ocultas
7 Durante el procedimiento de identificación, los
usuarios son informados de cuando fue su
si Por fechas ya registradas
Auditoria de Sistemas de TI - Valor Creativo 28
última conexión para ayudar a identificar
potenciales suplantaciones o accesos no
autorizados.
8 Cualquier procedimiento del fabricante,
mediante hardware o software, que permita
libre acceso y que haya sido utilizado en la
instalación original, ha de haber sido
inhabilitado o cambiado.
si Algunos de los equipos si informan
9 Se toman estadísticas que incluyan tasas de
errores y retransmisión.
no N es necesario No se requiere es
procedimiento
10 Los protocolos utilizados, revisados con el
personal adecuado de comunicaciones,
disponen de procedimientos de control de
errores con la seguridad suficiente.
no No tienen un control
11 Los mensajes lógicos transmitidos identifican el
originarte, la fecha, la hora y el receptor.
no Encripta a la red
12 El software de comunicaciones ejecuta
procedimientos de control y correctivos ente
mensajes duplicados, fuera de órdenes,
perdidos, o retrasados.
No Hace enfoque a un servidor de
datos
13 La arquitectura de comunicaciones utilizada
indistintamente cualquier ruta disponible de
transmisión para minimizar el impacto de una
escucha de datos sensible en una ruta
determinada.
no El internen no lo probé
exteriormente
14 Existen controles para que los datos sensibles
solo puedan ser impresos en las impresoras
designadas y vistos desde lis terminales
autorizados.
no Las impresoras no se encuentran
el red
15 Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones.
si Se tiene un registro
16 Los activos de registro son revisados, se el posible a través de herramientas automáticas, diariamente, vigilando intentos impropios de acceso.
no Cuenta con seguridad
17 Existen análisis de riesgos para las
aplicaciones de proceso de datos a fin de
identificar aquellas en las que el cifrado resulte
apropiado.
no Se hace manual mente
Auditoria de Sistemas de TI - Valor Creativo 29
18 Existen procedimientos de control sobre la
generación e intercambio de claves.
no Son permanentes
19 Las claves de cifrado son cambiadas
regularmente
no Son permanentes
20 El transporte de las claves de cifrado desde
donde se generan a los equipos que las utilizan
sigue un procedimiento adecuado.
No No aplica
21 Si se utilizan canales de comunicación uniendo
diversos edificios de la misma organización, y
existen datos sensibles que circulen por ellos,
comprobar que estos canales se cifran
automáticamente, para evitar que una
intercepción sistemática a un canal
comprometa a todas las aplicaciones.
no No aplica
22 Si la organización tiene canales de
comunicación con otras organizaciones se
analice la convención de cifrar estos canales.
No No aplica
23 Si se utiliza la transmisión de datos sensibles a
través de redes abiertas como Internet,
comprobar que estos datos viajan cifrados.
no
24 Si en una red local existen computadoras con
módems, se han revisado los controles de
seguridad asociados para impedir el acceso de
equipos foráneos a la red local.
Si Tiene dos divisiones de alumnos y de
docentes
25 Existe una política de prohibición de introducir
programas personales o conectar equipos
privados a la red local.
si En la de docentes se prohíbe
26 Periódicamente se ejecutan, mediante los
programas actualizados y adecuados, ataque
para descubrir vulnerabilidades, que los
resultados se documentan y se corrigen las
deficiencias observadas
no Solo están ejecutados los que se utilizan