Auditora de Sistemas

Planeacin de la Auditora en Informtica

Evaluacin de Sistemas
Evaluacin del Anlisis
Evaluacin del Diseo Lgico del Sistema
Evaluacin del Desarrollo del Sistema
Control de Proyectos
Control de Diseo de Sistemas y Programacin
Instructivos de Oeracin
!orma de Imlementacin
Entrevista a "suarios
Controles
Orden en el Centro de Cmuto
Evaluacin de la Configuracin del Sistema de Cmuto
Seguridad Lgica y Confidencial
Seguridad !sica
Seguridad en la "tili#acin del E$uio
Seguridad al %estaurar el E$uio
Procedimientos de %esaldo en Caso de Desastre
Ane&o '
Ane&o (
Ane&o )
AUDITORIA DE SISTEMAS
La auditora en informtica es la revisin y la evaluacin de los controles* sistemas*
rocedimientos de informtica+ de los e$uios de cmuto* su utili#acin* eficiencia y
seguridad* de la organi#acin $ue artician en el rocesamiento de la informacin* a
fin de $ue or medio del sealamiento de cursos alternativos se logre una utili#acin
ms eficiente y segura de la informacin $ue servir ara una adecuada toma de
decisiones,
La auditora en informtica de-er comrender no slo la evaluacin de los e$uios de
cmuto* de un sistema o rocedimiento esecfico* sino $ue adems .a-r de evaluar
los sistemas de informacin en general desde sus entradas* rocedimientos* controles*
arc.ivos* seguridad y o-tencin de informacin,
La auditora en informtica es de vital imortancia ara el -uen desemeo de los
sistemas de informacin* ya $ue roorciona los controles necesarios ara $ue los
sistemas sean confia-les y con un -uen nivel de seguridad, Adems de-e evaluar todo
/informtica* organi#acin de centros de informacin* .ard0are y soft0are1,
PLANEACIN DE LA AUDITORA EN INFORMTICA
Para .acer una adecuada laneacin de la auditora en informtica* .ay $ue seguir una
serie de asos revios $ue ermitirn dimensionar el tamao y caractersticas de rea
dentro del organismo a auditar* sus sistemas* organi#acin y e$uio,
En el caso de la auditora en informtica* la laneacin es fundamental* ues .a-r $ue
.acerla desde el unto de vista de los dos o-2etivos3
Evaluacin de los sistemas y rocedimientos,
Evaluacin de infraestructura informtica /Estructura administrativa* Centro de
comuto* e$uios de cmuto y telecomunicaciones1
Para .acer una laneacin efica#* lo rimero $ue se re$uiere es o-tener informacin
general so-re la organi#acin y so-re la funcin de informtica a evaluar, Para ello es
reciso .acer una investigacin reliminar y algunas entrevistas revias* con -ase en
esto lanear el rograma de tra-a2o* el cual de-er incluir tiemo* costo* ersonal
necesario y documentos au&iliares a solicitar o formular durante el desarrollo de la
misma,
INVESTIGACIN PRELIMINAR
Se de-er o-servar el estado general del rea* su situacin dentro de la organi#acin* si
e&iste la informacin solicitada* si es o no necesaria y la fec.a de su 4ltima
actuali#acin,
Se de-e .acer la investigacin reliminar solicitando y revisando la informacin de cada
una de las reas -asndose en los siguientes untos3
AD5I6IS7%ACI86
Se recoila la informacin ara o-tener una visin general del deartamento or medio
de o-servaciones* entrevistas reliminares y solicitud de documentos ara oder definir
el o-2etivo y alcances del deartamento,
PA%A A6ALI9A% : DI5E6SIO6A% LA ES7%"C7"%A PO% A"DI7A% SE DE;E
SOLICI7A%3
A 6I<EL DEL =%EA DE I6!O%5=7ICA
O-2etivos a corto y largo la#o,
%EC"%SOS 5A7E%IALES : 7EC6ICOS
Solicitar documentos so-re los e$uios* n4mero de ellos* locali#acin y caractersticas,
Estudios de via-ilidad,
64mero de e$uios* locali#acin y las caractersticas /de los e$uios instalados
y or instalar y rogramados1
!ec.as de instalacin de los e$uios y lanes de instalacin,
Contratos vigentes de comra* renta y servicio de mantenimiento,
Contratos de seguros,
Convenios $ue se tienen con otras instalaciones,
Configuracin de los e$uios y caacidades actuales y m&imas,
Planes de e&ansin,
"-icacin general de los e$uios,
Polticas de oeracin,
Polticas de uso de los e$uios,
SIS7E5AS
Descricin general de los sistemas instalados y de los $ue est>n or instalarse $ue
contengan vol4menes de informacin,
5anual de formas,
5anual de rocedimientos de los sistemas,
Descricin gen>rica,
Diagramas de entrada* arc.ivos* salida,
Salidas,
!ec.a de instalacin de los sistemas,
Proyecto de instalacin de nuevos sistemas,
En el momento de .acer la laneacin de la auditora o -ien su reali#acin* de-emos
evaluar $ue ueden resentarse las siguientes situaciones,
Se solicita la informacin y se ve $ue3
6o tiene y se necesita,
6o se tiene y no se necesita,
Se tiene la informacin ero3
6o se usa,
Es incomleta,
6o esta actuali#ada,
6o es la adecuada,
Se usa* est actuali#ada* es la adecuada y est comleta,
En el caso de 6o se tiene y no se necesita* se de-e evaluar la causa or la $ue no es
necesaria, En el caso de 6o se tiene ero es necesaria* se de-e recomendar $ue se
ela-ore de acuerdo con las necesidades y con el uso $ue se le va a dar, En el caso de $ue
se tenga la informacin ero no se utilice* se de-e anali#ar or $ue no se usa, En caso de
$ue se tenga la informacin* se de-e anali#ar si se usa* si est actuali#ada* si es la
adecuada y si est comleta,
El >&ito del anlisis crtico deende de las consideraciones siguientes3
Estudiar .ec.os y no oiniones /no se toman en cuenta los rumores ni la
informacin sin fundamento1
Investigar las causas* no los efectos,
Atender ra#ones* no e&cusas,
6o confiar en la memoria* reguntar constantemente,
Criticar o-2etivamente y a fondo todos los informes y los datos reca-ados,
PERSONAL PARTICIPANTE
"na de las artes ms imortantes dentro de la laneacin de la auditora en informtica
es el ersonal $ue de-er articiar y sus caractersticas,
"no de los es$uemas generalmente acetados ara tener un adecuado control es $ue el
ersonal $ue intervengan est> de-idamente caacitado* con alto sentido de moralidad* al
cual se le e&i2a la otimi#acin de recursos /eficiencia1 y se le retri-uya o comense
2ustamente or su tra-a2o,
Con estas -ases se de-e considerar las caractersticas de conocimientos* rctica
rofesional y caacitacin $ue de-e tener el ersonal $ue intervendr en la auditora, En
rimer lugar se de-e ensar $ue .ay ersonal asignado or la organi#acin* con el
suficiente nivel ara oder coordinar el desarrollo de la auditora* roorcionar toda la
informacin $ue se solicite y rogramar las reuniones y entrevistas re$ueridas,
?ste es un unto muy imortante ya $ue* de no tener el aoyo de la alta direccin* ni
contar con un gruo multidiscilinario en el cual est>n resentes una o varias ersonas
del rea a auditar* sera casi imosi-le o-tener informacin en el momento y con las
caractersticas deseadas,
7am-i>n se de-e contar con ersonas asignadas or los usuarios ara $ue en el
momento $ue se solicite informacin o -ien se efect4e alguna entrevista de
comro-acin de .itesis* nos roorcionen a$uello $ue se esta solicitando* y
comlementen el gruo multidiscilinario* ya $ue se de-e anali#ar no slo el unto de
vista de la direccin de informtica* sino tam-i>n el del usuario del sistema,
Para comletar el gruo* como cola-oradores directos en la reali#acin de la auditora se
de-en tener ersonas con las siguientes caractersticas3
7>cnico en informtica,
E&eriencia en el rea de informtica,
E&eriencia en oeracin y anlisis de sistemas,
Conocimientos de los sistemas ms imortantes,
En caso de sistemas comle2os se de-er contar con ersonal con conocimientos y
e&eriencia en reas esecficas como -ase de datos* redes* etc, Lo anterior no significa
$ue una sola ersona tenga los conocimientos y e&eriencias sealadas* ero si de-en
intervenir una o varias ersonas con las caractersticas auntadas,
"na ve# $ue se .a .ec.o la laneacin* se uede utili#ar el formato sealado en el
ane&o '* el figura el organismo* las fases y su-fases $ue comrenden la descricin de
la actividad* el n4mero de ersonas articiantes* las fec.as estimadas de inicio y
terminacin* el n4mero de das .-iles y el n4mero de das@.om-re estimado, El control
del avance de la auditora lo odemos llevar mediante el ane&o (* el cual nos ermite
cumlir con los rocedimientos de control y asegurarnos $ue el tra-a2o se est llevando
a ca-o de acuerdo con el rograma de auditora* con los recursos estimados y en el
tiemo sealado en la laneacin,
El .ec.o de contar con la informacin del avance nos ermite revisar el tra-a2o
ela-orado or cual$uiera de los asistentes, Como e2emlo de rouesta de auditora en
informtica v>ase el ane&o ),
EVALUACIN DE SISTEMAS
La ela-oracin de sistemas de-e ser evaluada con muc.o detalle* ara lo cual se de-e
revisar si e&isten realmente sistemas entrela#ados como un todo o -ien si e&isten
rogramas aislados, Otro de los factores a evaluar es si e&iste un lan estrat>gico ara la
ela-oracin de los sistemas o si se estn ela-orados sin el adecuado sealamiento de
rioridades y de o-2etivos,
El lan estrat>gico de-er esta-lecer los servicios $ue se resentarn en un futuro
contestando reguntas como las siguientes3
ACules servicios se imlementarnB
ACundo se ondrn a disosicin de los usuariosB
ACu> caractersticas tendrnB
ACuntos recursos se re$uerirnB
La estrategia de desarrollo de-er esta-lecer las nuevas alicaciones* recursos y la
ar$uitectura en $ue estarn fundamentados3
ACu> alicaciones sern desarrolladas y cuandoB
ACu> tio de arc.ivos se utili#arn y cuandoB
ACu> -ases de datos sern utili#arn y cuandoB
ACu> lengua2es se utili#arn y en $ue soft0areB
ACu> tecnologa ser utili#ada y cuando se imlementarB
ACuantos recursos se re$uerirn aro&imadamenteB
ACul es aro&imadamente el monto de la inversin en .ard0are y soft0areB
En lo referente a la consulta a los usuarios* el lan estrat>gico de-e definir los
re$uerimientos de informacin de la deendencia,
ACu> estudios van a ser reali#ados al resectoB
ACu> metodologa se utili#ar ara dic.os estudiosB
ACui>n administrar y reali#ar dic.os estudiosB
En el rea de auditora interna de-e evaluarse cul .a sido la articiacin del auditor y
los controles esta-lecidos,
Por 4ltimo* el lan estrat>gico determina la laneacin de los recursos,
AContemla el lan estrat>gico las venta2as de la nueva tecnologaB
ACul es la inversin re$uerida en servicios* desarrollo y consulta a los usuariosB
El roceso de laneacin de sistemas de-er asegurarse de $ue todos los recursos
re$ueridos est>n claramente identificados en el lan de desarrollo de alicaciones y
datos, Estos recursos /.ard0are* soft0are y comunicaciones1 de-ern ser comati-les
con la ar$uitectura y la tecnologa* con$ue se cuenta actualmente,
Los sistemas de-en evaluarse de acuerdo con el ciclo de vida $ue normalmente siguen3
re$uerimientos del usuario* estudio de facti-ilidad* diseo general* anlisis* diseo
lgico* desarrollo fsico* rue-as* imlementacin* evaluacin* modificaciones*
instalacin* me2oras, : se vuelve nuevamente al ciclo inicial* el cual a su ve# de-e
comen#ar con el de facti-ilidad,
La rimera etaa a evaluar del sistema es el estudio de facti-ilidad* el cual de-e anali#ar
si el sistema es facti-le de reali#arse* cul es su relacin costo@-eneficio y si es
recomenda-le ela-orarlo,
Se de-er solicitar el estudio de facti-ilidad de los diferentes sistemas $ue se encuentren
en oeracin* as como los $ue est>n en la fase de anlisis ara evaluar si se considera la
disoni-ilidad y caractersticas del e$uio* los sistemas oerativos y lengua2es
disoni-les* la necesidad de los usuarios* las formas de utili#acin de los sistemas* el
costo y los -eneficios $ue reortar el sistema* el efecto $ue roducir en $uienes lo
usarn y el efecto $ue >stos tendrn so-re el sistema y la congruencia de los diferentes
sistemas,
En el caso de sistemas $ue est>n funcionando* se de-er comro-ar si e&iste el estudio
de facti-ilidad con los untos sealados y comararse con la realidad con lo
esecificado en el estudio de facti-ilidad
Por e2emlo en un sistema $ue el estudio de facti-ilidad seal determinado costo y una
serie de -eneficios de acuerdo con las necesidades del usuario* de-emos comarar cual
fue su costo real y evaluar si se satisficieron las necesidades indicadas como -eneficios
del sistema,
Para investigar el costo de un sistema se de-e considerar* con una e&actitud ra#ona-le*
el costo de los rogramas* el uso de los e$uios /comilaciones* rogramas* rue-as*
aralelos1* tiemo* ersonal y oeracin* cosa $ue en la rctica son costos directos*
indirectos y de oeracin,
Los -eneficios $ue 2ustifi$uen el desarrollo de un sistema ueden ser el a.orro en los
costos de oeracin* la reduccin del tiemo de roceso de un sistema, 5ayor e&actitud*
me2or servicio* una me2ora en los rocedimientos de control* mayor confia-ilidad y
seguridad,
EVALUACIN DEL ANLISIS
En esta etaa se evaluarn las olticas* rocedimientos y normas $ue se tienen ara
llevar a ca-o el anlisis,
Se de-er evaluar la laneacin de las alicaciones $ue ueden rovenir de tres fuentes
rinciales3
La laneacin estrat>gica3 agruadas las alicaciones en con2untos relacionados
entre s y no como rogramas aislados, Las alicaciones de-en comrender
todos los sistemas $ue uedan ser desarrollados en la deendencia*
indeendientemente de los recursos $ue imli$uen su desarrollo y 2ustificacin
en el momento de la laneacin,
Los re$uerimientos de los usuarios,
El inventario de sistemas en roceso al recoilar la informacin de los cam-ios
$ue .an sido solicitados* sin imortar si se efectuaron o se registraron,
La situacin de una alicacin en dic.o inventario uede ser alguna de las siguientes3
Planeada ara ser desarrollada en el futuro,
En desarrollo,
En roceso* ero con modificaciones en desarrollo,
En roceso con ro-lemas detectados,
En roceso sin ro-lemas,
En roceso esordicamente,
6ota3 Se de-er documentar detalladamente la fuente $ue gener la necesidad de la
alicacin, La rimera arte ser evaluar la forma en $ue se encuentran esecificadas
las olticas* los rocedimientos y los estndares de anlisis* si es $ue se cumlen y si
son los adecuados ara la deendencia,
Es imortante revisar la situacin en $ue se encuentran los manuales de anlisis y si
estn acordes con las necesidades de la deendencia, En algunas ocasiones se tiene una
microcomutadora* con sistemas sumamente sencillos y se solicita $ue se lleve a ca-o
una serie de anlisis $ue desu>s .ay $ue lasmar en documentos sealados en los
estndares* lo cual .ace $ue esta fase sea muy comle2a y costosa, Los sistemas y su
documentacin de-en estar acordes con las caractersticas y necesidades de una
deendencia esecfica,
Se de-e evaluar la o-tencin de datos so-re la oeracin* flu2o* nivel* 2erar$ua de la
informacin $ue se tendr a trav>s del sistema, Se .an de comarar los o-2etivos de los
sistemas desarrollados con las oeraciones actuales* ara ver si el estudio de la
e2ecucin deseada corresonde al actual,
La auditora en sistemas de-e evaluar los documentos y registros usados en la
ela-oracin del sistema* as como todas las salidas y reortes* la descricin de las
actividades de flu2o de la informacin y de rocedimientos* los arc.ivos almacenados*
su uso y su relacin con otros arc.ivos y sistemas* su frecuencia de acceso* su
conservacin* su seguridad y control* la documentacin rouesta* las entradas y salidas
del sistema y los documentos fuentes a usarse,
Con la informacin o-tenida odemos contestar a las siguientes reguntas3
ASe est e2ecutando en forma correcta y eficiente el roceso de informacinB
APuede ser simlificado ara me2orar su arovec.amientoB
ASe de-e tener una mayor interaccin con otros sistemasB
ASe tiene rouesto un adecuado control y seguridad so-re el sistemaB
AEst en el anlisis la documentacin adecuadaB
E<AL"ACI86 DEL DISEDO L8EICO DEL SIS7E5A
En esta etaa se de-ern anali#ar las esecificaciones del sistema,
ACu> de-er .acerB* ACmo lo de-er .acerB* ASecuencia y ocurrencia de los datos* el
roceso y salida de reortesB
"na ve# $ue .emos anali#ado estas artes* se de-er estudiar la articiacin $ue tuvo
el usuario en la identificacin del nuevo sistema* la articiacin de auditora interna en
el diseo de los controles y la determinacin de los rocedimientos de oeracin y
decisin,
Al tener el anlisis del diseo lgico del sistema de-emos comararlo con lo $ue
realmente se est o-teniendo en la cual de-emos evaluar lo laneado* cmo fue
laneado y lo $ue realmente se est o-teniendo,
Los untos a evaluar son3
Entradas,
Salidas,
Procesos,
Esecificaciones de datos,
Esecificaciones de roceso,
5>todos de acceso,
Oeraciones,
5aniulacin de datos /antes y desu>s del roceso electrnico de datos1,
Proceso lgico necesario ara roducir informes,
Identificacin de arc.ivos* tamao de los camos y registros,
Proceso en lnea o lote y su 2ustificacin,
!recuencia y vol4menes de oeracin,
Sistemas de seguridad,
Sistemas de control,
%esonsa-les,
64mero de usuarios,
Dentro del estudio de los sistemas en uso se de-er solicitar3
5anual del usuario,
Descricin de flu2o de informacin y@o rocesos,
Descricin y distri-ucin de informacin,
5anual de formas,
5anual de reortes,
Lista de arc.ivos y esecificaciones,
Lo que se debe determ!"r e! e# sstem"3
En el rocedimiento3
ACui>n .ace* cuando y comoB
ACu> formas se utili#an en el sistemaB
ASon necesarias* se usan* estn dulicadasB
AEl n4mero de coias es el adecuadoB
AE&isten untos de control o faltanB
En la grfica de flu2o de informacin3
AEs fcil de usarB
AEs lgicaB
ASe encontraron lagunasB
AFay faltas de controlB
En el diseo3
ACmo se usar la .erramienta de diseo si e&isteB
ACu> tam-i>n se a2usta la .erramienta al rocedimientoB
EVALUACIN DEL DESARROLLO DEL SISTEMA
En esta etaa del sistema se de-ern auditar los rogramas* su diseo* el legua2e
utili#ado* intercone&in entre los rogramas y caractersticas del .ard0are emleado
/total o arcial1 ara el desarrollo del sistema, Al evaluar un sistema de informacin se
tendr resente $ue todo sistema de-e roorcionar informacin ara lanear* organi#ar
y controlar de manera efica# y oortuna* ara reducir la dulicidad de datos y de
reortes y o-tener una mayor seguridad en la forma ms econmica osi-le, De ese
modo contar con los me2ores elementos ara una adecuada toma de decisiones, Al
tener un roceso distri-uido* es reciso considerar la seguridad del movimiento de la
informacin entre nodos, El roceso de laneacin de sistemas de-e definir la red
tima de comunicaciones* los tios de mensa2es re$ueridos* el trafico eserado en las
lneas de comunicacin y otros factores $ue afectan el diseo, Es imortante considerar
las varia-les $ue afectan a un sistema3 u-icacin en los niveles de la organi#acin* el
tamao y los recursos $ue utili#a, Las caractersticas $ue de-en evaluarse en los
sistemas son3
Dinmicos /susceti-les de modificarse1,
Estructurados /las interacciones de sus comonentes o su-sistemas de-en actuar
como un todo1
Integrados /un solo o-2etivo1, En >l .a-r sistemas $ue uedan ser
interrelacionados y no rogramas aislados,
Accesi-les /$ue est>n disoni-les1,
6ecesarios /$ue se rue-e su utili#acin1,
Comrensi-les /$ue contengan todos los atri-utos1,
Oortunos /$ue est> la informacin en el momento $ue se re$uiere1,
!uncionales /$ue roorcionen la informacin adecuada a cada nivel1,
Estndar /$ue la informacin tenga la misma interretacin en los distintos
niveles1,
5odulares /facilidad ara ser e&andidos o reducidos1,
Gerr$uicos /or niveles funcionales1,
Seguros /$ue slo las ersonas autori#adas tengan acceso1,
Hnicos /$ue no duli$ue informacin1,
CONTROL DE PRO$ECTOS
De-ido a las caractersticas roias del anlisis y la rogramacin* es muy frecuente $ue
la imlantacin de los sistemas se retrase y se llegue a suceder $ue una ersona lleva
tra-a2ando varios aos dentro de un sistema o -ien $ue se resenten irregularidades en
las $ue los rogramadores se onen a reali#ar actividades a2enas a la direccin de
informtica, Para oder controlar el avance de los sistemas* ya $ue >sta es una actividad
de difcil evaluacin* se recomienda $ue se utilice la t>cnica de administracin or
royectos ara su adecuado control,
Para tener una -uena administracin or royectos se re$uiere $ue el analista o el
rogramador y su 2efe inmediato ela-oren un lan de tra-a2o en el cual se esecifi$uen
actividades* metas* ersonal articiante y tiemos, Este lan de-e ser revisado
eridicamente /semanal* mensual* etc,1 ara evaluar el avance resecto a lo
rogramado, La estructura estndar de la laneacin de royectos de-er incluir la
facilidad de asignar fec.as redefinidas de terminacin de cada tarea, Dentro de estas
fec.as de-e estar el calendario de reuniones de revisin* las cuales tendrn diferentes
niveles de detalle,
C"ES7IO6A%IO
', AE&iste una lista de royectos de sistema de rocedimiento de informacin y fec.as
rogramadas de imlantacin $ue uedan ser considerados como lan maestroB
(, AEst relacionado el lan maestro con un lan general de desarrollo de la
deendenciaB
), AOfrece el lan maestro la atencin de solicitudes urgentes de los usuariosB
I, AAsigna el lan maestro un orcenta2e del tiemo total de roduccin al reroceso o
fallas de e$uioB
J, Escri-ir la lista de royectos a corto la#o y largo la#o,
K, Escri-ir una lista de sistemas en roceso eriodicidad y usuarios,
L, ACui>n autori#a los royectosB
M, ACmo se asignan los recursosB
N, ACmo se estiman los tiemos de duracinB
'O, ACui>n interviene en la laneacin de los royectosB
'', ACmo se calcula el resuuesto del royectoB
'(, ACu> t>cnicas se usan en el control de los royectosB
'), ACui>n asigna las rioridadesB
'I, ACmo se asignan las rioridadesB
'J, ACmo se controla el avance del royectoB
'K, ACon $u> eriodicidad se revisa el reorte de avance del royectoB
'L, ACmo se estima el rendimiento del ersonalB
'M, ACon $ue frecuencia se estiman los costos del royecto ara comararlo con lo
resuuestadoB
'N, ACu> acciones correctivas se toman en caso de desviacionesB
(O, ACu> asos y t>cnicas siguen en la laneacin y control de los royectosB
Enum>relos secuencialmente,
/ 1 Determinacin de los o-2etivos,
/ 1 Sealamiento de las olticas,
/ 1 Designacin del funcionario resonsa-le del royecto,
/ 1 Integracin del gruo de tra-a2o,
/ 1 Integracin de un comit> de decisiones,
/ 1 Desarrollo de la investigacin,
/ 1 Documentacin de la investigacin,
/ 1 !acti-ilidad de los sistemas,
/ 1 Anlisis y valuacin de rouestas,
/ 1 Seleccin de e$uios,
(', ASe llevan a ca-o revisiones eridicas de los sistemas ara determinar si a4n
cumlen con los o-2etivos ara los cuales fueron diseadosB
De anlisis SP / 1 6O / 1
De rogramacin SP / 1 6O / 1
O-servaciones
((, Incluir el la#o estimado de acuerdo con los royectos $ue se tienen en $ue el
deartamento de informtica odra satisfacer las necesidades de la deendencia* seg4n
la situacin actual,
CONTROL DE DISE%O DE SISTEMAS $ PROGRAMACIN
El o-2etivo es asegurarse de $ue el sistema funcione conforme a las esecificaciones
funcionales* a fin de $ue el usuario tenga la suficiente informacin ara su mane2o*
oeracin y acetacin, Las revisiones se efect4an en forma aralela desde el anlisis
.asta la rogramacin y sus o-2etivos son los siguientes3
E7APA DE A6=LISIS Identificar ine&actitudes* am-igQedades y omisiones en las
esecificaciones,
E7APA DE DISEDO Descu-rir errores* de-ilidades* omisiones antes de iniciar la
codificacin,
E7APA DE P%OE%A5ACI86 ;uscar la claridad* modularidad y verificar con -ase en
las esecificaciones,
Esta actividad es muy imortante ya $ue el costo de corregir errores es directamente
roorcional al momento $ue se detectan3 si se descu-ren en el momento de
rogramacin ser ms alto $ue si se detecta en la etaa de anlisis, Esta funcin tiene
una gran imortancia en el ciclo de evaluacin de alicaciones de los sistemas de
informacin y -usca comro-ar $ue la alicacin cumle las esecificaciones del
usuario* $ue se .aya desarrollado dentro de lo resuuestado* $ue tenga los controles
necesarios y $ue efectivamente cumla con los o-2etivos y -eneficios eserados,
El siguiente cuestionario se resenta como e2emlo ara la evaluacin del diseo y
rue-a de los sistemas3
', ACui>nes intervienen al disear un sistemaB
"suario,
Analista,
Programadores,
Oeradores,
Eerente de deartamento,
Auditores internos,
Asesores,
Otros,
(, ALos analistas son tam-i>n rogramadoresB
SP / 1 6O / 1
), ACu> lengua2e o lengua2es conocen los analistasB
I, ACuntos analistas .ay y $u> e&eriencia tienenB
J, ACu> lengua2e conocen los rogramadoresB
K, ACmo se controla el tra-a2o de los analistasB
L, ACmo se controla el tra-a2o de los rogramadoresB
M, Indi$ue $u> asos siguen los rogramadores en el desarrollo de un rograma3
Estudio de la definicin / 1
Discusin con el analista / 1
Diagrama de -lo$ues / 1
7a-la de decisiones / 1
Prue-a de escritorio / 1
Codificacin / 1
AEs enviado a catura o los rogramadores caturanB / 1
ACui>n los caturaBRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
Comilacin / 1
Ela-orar datos de rue-a / 1
Solicitar datos al analista / 1
Correr rogramas con datos / 1
%evisin de resultados / 1
Correccin del rograma / 1
Documentar el rograma / 1
Someter resultados de rue-a / 1
Entrega del rograma / 1
N, ACu> documentacin acomaa al rograma cuando se entregaB
Difcilmente se controla realmente el flu2o de la informacin de un sistema $ue desde su
inicio .a sido mal anali#ado* mal diseado* mal rogramado e incluso mal
documentado, El e&cesivo mantenimiento de los sistemas generalmente ocasionado or
un mal desarrollo* se inicia desde $ue el usuario esta-lece sus re$uerimientos /en
ocasiones sin sa-er $u> desea1 .asta la instalacin del mismo* sin $ue se .aya
esta-lecido un lan de rue-a del sistema ara medir su grado de confia-ilidad en la
oeracin $ue efectuar, Para verificar si e&iste esta situacin* se de-e edir a los
analistas y a los rogramadores las actividades $ue estn desarrollando en el momento
de la auditora y evaluar si estn efectuando actividades de mantenimiento o de
reali#acin de nuevos royectos, En am-os casos se de-er evaluar el tiemo $ue llevan
dentro del mismo sistema* la rioridad $ue se le asign y cmo est en el tiemo real en
relacin al tiemo estimado en el lan maestro,
INSTRUCTIVOS DE OPERACIN
Se de-e evaluar los instructivos de oeracin de los sistemas ara evitar $ue los
rogramadores tengan acceso a los sistemas en oeracin* y el contenido mnimo de los
instructivos de oeracin se uedan verificar mediante el siguiente cuestionario,
El instructivo de oeracin de-er comrender,
S Diagrama de flu2o or cada rograma, / 1
S Diagrama articular de entrada@salida / 1
S 5ensa2e y su e&licacin / 1
S Parmetros y su e&licacin / 1
S Diseo de imresin de resultados / 1
S Cifras de control / 1
S !rmulas de verificacin / 1
S O-servaciones / 1
S Instrucciones en caso de error / 1
S Calendario de roceso y resultados / 1
FORMA DE IMPLEMENTACIN
La finalidad de evaluar los tra-a2os $ue se reali#an ara iniciar la oeracin de un
sistema* esto es* la rue-a integral del sistema* adecuacin* acetacin or arte del
usuario* entrenamiento de los resonsa-les del sistema etc,
Indicar cules untos se toman en cuenta ara la rue-a de un sistema3
Prue-a articular de cada rograma / 1
Prue-a or fase validacin* actuali#acin / 1
Prue-a integral del aralelo / 1
Prue-a en aralelo sistema / 1
Otros /esecificar1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
ENTREVISTA A USUARIOS
La entrevista se de-er llevar a ca-o ara comro-ar datos roorcionados y la
situacin de la deendencia en el deartamento de Sistemas de Informacin ,
Su o-2eto es conocer la oinin $ue tienen los usuarios so-re los servicios
roorcionados* as como la difusin de las alicaciones de la comutadora y de los
sistemas en oeracin,
Las entrevistas se de-ern .acer* en caso de ser osi-le* a todos los usuarios o -ien en
forma aleatoria a algunos de los usuarios* tanto de los ms imortantes como de los de
menor imortancia* en cuanto al uso del e$uio,
Desde el unto de vista del usuario los sistemas de-en3
Cumlir con los re$uerimientos totales del usuario,
Cu-rir todos los controles necesarios,
6o e&ceder las estimaciones del resuuesto inicial,
Sern fcilmente modifica-les,
Para $ue un sistema cumla con los re$uerimientos del usuario* se necesita una
comunicacin comleta entre usuarios y resonsa-le del desarrollo del sistema,
En esta misma etaa de-i .a-erse definido la calidad de la informacin $ue ser
rocesada or la comutadora* esta-leci>ndose los riesgos de la misma y la forma de
minimi#arlos, Para ello se de-ieron definir los controles adecuados* esta-leci>ndose
adems los niveles de acceso a la informacin* es decir* $ui>n tiene rivilegios de
consulta* modificar o incluso -orrar informacin,
Esta etaa .a-r de ser cuidadosamente verificada or el auditor interno esecialista en
sistemas y or el auditor en informtica* ara comro-ar $ue se logro una adecuada
comrensin de los re$uerimientos del usuario y un control satisfactorio de
informacin,
Para verificar si los servicios $ue se roorcionan a los usuarios son los re$ueridos y se
estn roorcionando en forma adecuada* cuando menos ser reciso considerar la
siguiente informacin,
Descricin de los servicios restados,
Criterios de evaluacin $ue utili#an los usuarios ara evaluar el nivel del
servicio restado,
%eorte eridico del uso y conceto del usuario so-re el servicio,
%egistro de los re$uerimientos lanteados or el usuario,
Con esta informacin se uede comen#ar a reali#ar la entrevista ara determinar si los
servicios roorcionados y laneados or la direccin de Informtica cu-ren las
necesidades de informacin de las deendencias,
A continuacin se resenta una gua de cuestionario ara alicarse durante la entrevista
con el usuario,
', AConsidera $ue el Deartamento de Sistemas de Informacin suministra los
resultados eseradosB,S
Si / 1 6o / 1
APor $ueB
(, ACmo considera usted* en general* el servicio roorcionado or el Deartamento de
Sistemas de InformacinB
Deficiente / 1
Aceta-le / 1
Satisfactorio / 1
E&celente / 1
APor $ueB
), ACu-re sus necesidades el sistema $ue utili#a el deartamento de cmutoB
6o las cu-re / 1
Parcialmente / 1
La mayor arte / 1
7odas / 1
APor $ueB
I, AFay disoni-ilidad del deartamento de cmuto ara sus re$uerimientosB
Eeneralmente no e&iste / 1
Fay ocasionalmente / 1
%egularmente / 1
Siemre / 1
APor $ueB
J, ASon entregados con untualidad los tra-a2osB
6unca / 1
%ara ve# / 1
Ocasionalmente / 1
Eeneralmente / 1
Siemre / 1
APor $ueB
K, ACue iensa de la resentacin de los tra-a2os solicitados al deartamento de
cmutoB
Deficiente / 1
Aceta-le / 1
Satisfactorio / 1
E&celente / 1
APor $ueB
L, ACue iensa de la asesora $ue se imarte so-re informticaB
6o se roorciona / 1
Es insuficiente / 1
Satisfactoria / 1
E&celente / 1
APor $ueB
M, ACue iensa de la seguridad en el mane2o de la informacin roorcionada or el
sistema $ue utili#aB
6ula / 1
%iesgosa / 1
Satisfactoria / 1
E&celente / 1
Lo desconoce / 1
APor $ueB
N, AE&isten fallas de e&actitud en los rocesos de informacinB
ACulesB
'O, ACmo utili#a los reortes $ue se le roorcionanB
'', ACules no "tili#aB
'(, De a$uellos $ue no utili#a Aor $ue ra#n los reci-eB
'), ACue sugerencias resenta en cuanto a la eliminacin de reortes modificacin*
fusin* divisin de reorteB
'I, ASe cuenta con un manual de usuario or SistemaB
SI / 1 6O / 1
'J, AEs claro y o-2etivo el manual del usuarioB
SI / 1 6O / 1
'K, ACue oinin tiene del manualB
6O7A3 Pida el manual del usuario ara evaluarlo,
'L, ACui>n interviene de su deartamento en el diseo de sistemasB
'M, ACue sistemas deseara $ue se incluyeranB
'N, O-servaciones3
CONTROLES
Los datos son uno de los recursos ms valiosos de las organi#aciones y* aun$ue son
intangi-les* necesitan ser controlados y auditados con el mismo cuidado $ue los dems
inventarios de la organi#acin* or lo cual se de-e tener resente3
a1 La resonsa-ilidad de los datos es comartida con2untamente or alguna funcin
determinada y el deartamento de cmuto,
-1 "n ro-lema de deendencia $ue se de-e considerar es el $ue se origina or la
dulicidad de los datos y consiste en oder determinar los roietarios o usuarios
osi-les /rincialmente en el caso de redes y -anco de datos1 y la resonsa-ilidad de
su actuali#acin y consistencia,
c1 Los datos de-ern tener una clasificacin estndar y un mecanismo de identificacin
$ue ermita detectar dulicidad y redundancia dentro de una alicacin y de todas las
alicaciones en general,
d1 Se de-en relacionar los elementos de los datos con las -ases de datos donde estn
almacenados* as como los reortes y gruos de rocesos donde son generados,
CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL
La mayora de los Delitos or comutadora son cometidos or modificaciones de datos
fuente al3
Surimir u omitir datos,
Adicionar Datos,
Alterar datos,
Dulicar rocesos,
Esto es de suma imortancia en caso de e$uios de cmuto $ue cuentan con sistemas
en lnea* en los $ue los usuarios son los resonsa-les de la catura y modificacin de la
informacin al tener un adecuado control con sealamiento de resonsa-les de los datos
/uno de los usuarios de-e ser el 4nico resonsa-le de determinado dato1* con claves de
acceso de acuerdo a niveles,
El rimer nivel es el $ue uede .acer 4nicamente consultas, El segundo nivel es a$uel
$ue uede .acer catura* modificaciones y consultas y el tercer nivel es el $ue solo
uede .acer todos lo anterior y adems uede reali#ar -a2as,
6O7A3 De-ido a $ue se denomina de diferentes formas la actividad de transcri-ir la
informacin del dato fuente a la comutadora* en el resente tra-a2o se le denominar
catura o catacin considerndola como sinnimo de digitali#ar /caturista*
digitali#adora1,
Lo rimero $ue se de-e evaluar es la entrada de la informacin y $ue se tengan las
cifras de control necesarias ara determinar la veracidad de la informacin* ara lo cual
se uede utili#ar el siguiente cuestionario3
', Indi$ue el orcenta2e de datos $ue se reci-en en el rea de catacin
(, Indi$ue el contenido de la orden de tra-a2o $ue se reci-e en el rea de catacin de
datos3
64mero de folios / 1 64mero/s1 de formato/s1 / 1
!ec.a y .ora* 6om-re de Deto, / 1
%ececin / 1
"suario / 1
6om-re del documento / 1
6om-re resonsa-le / 1
<olumen aro&imado
Clave de cargo de registro / 1
64mero de registros / 1
!ec.a y .ora de entrega/ 1
Clave del caturista / 1
Documentos y registros catados / 1
!ec.a estimada de entrega / 1
), Indi$ue cul/es1 control/es1 interno/s1 e&iste/n1 en el rea de catacin de datos3
!irmas de autori#acin / 1
%ececin de tra-a2os / 1
Control de tra-a2os atrasados / 1
%evisin del documento / 1
Avance de tra-a2os / 1
!uente /legi-ilidad* verificacin de datos comletos* etc,1 / 1
Prioridades de catacin / 1
Errores or tra-a2o / 1
Produccin de tra-a2o / 1
Correccin de errores / 1
Produccin de cada oerador / 1
Entrega de tra-a2os / 1
<erificacin de cifras Costo 5ensual or tra-a2o / 1
Control de entrada / 1
Control de salida, / 1
I, AE&iste un rograma de tra-a2o de catacin de datosB
a1 ASe ela-ora ese rograma ara cada turnoB
Diariamente / 1
Semanalmente / 1
5ensualmente / 1
-1 La ela-oracin del rograma de tra-a2os se .ace3
Internamente / 1
Se les sealan a los usuarios las rioridades / 1
c1 ACue accin/es1 se toma/n1 si el tra-a2o rogramado no se reci-e a tiemoB
J, ACui>n controla las entradas de documentos fuenteB
K, AEn $ue forma las controlaB
L, ACue cifras de control se o-tienenB
Sistema Cifras $ue o-servaciones se o-tienen
M, ACue documento de entrada se tienenB
Sistemas Documentos Deto, $ue eriodicidad O-servaciones roorciona el
documento
N, ASe anota $ue ersona reci-e la informacin y su volumenB
SI / 1 6O / 1
'O, ASe anota a $ue caturista se entrega la informacin* el volumen y la .oraB
SI / 1 6O / 1
'', ASe verifica la cantidad de la informacin reci-ida ara su caturaB
SI / 1 6O / 1
'(, ASe revisan las cifras de control antes de enviarlas a caturaB
SI / 1 6O / 1
'), APara a$uellos rocesos $ue no traigan cifras de control se .a esta-lecido criterios a
fin de asegurar $ue la informacin es comleta y validaB
SI / 1 6O / 1
'I, AE&iste un rocedimiento escrito $ue indi$ue como tratar la informacin invlida
/sin firma ilegi-le* no corresonden las cifras de control1B
'J, En caso de resguardo de informacin de entrada en sistemas* ASe custodian en un
lugar seguroB
'K, Si se $ueda en el deartamento de sistemas* APor cuanto tiemo se guardaB
'L, AE&iste un registro de anomalas en la informacin de-ido a mala codificacinB
'M, AE&iste una relacin comleta de distri-ucin de listados* en la cual se indi$uen
ersonas* secuencia y sistemas a los $ue ertenecenB
'N, ASe verifica $ue las cifras de las validaciones concuerden con los documentos de
entradaB
(O, ASe .ace una relacin de cuando y a $ui>n fueron distri-uidos los listadosB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(', ASe controlan searadamente los documentos confidencialesB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
((, ASe arovec.a adecuadamente el ael de los listados inservi-lesB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(), AE&iste un registro de los documentos $ue entran a caturarB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(I, ASe .ace un reorte diario* semanal o mensual de caturaB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(J, ASe .ace un reorte diario* semanal o mensual de anomalas en la informacin de
entradaB
(K, ASe lleva un control de la roduccin or ersonaB
(L, ACui>n revisa este controlB
(M, AE&isten instrucciones escritas ara caturar cada alicacin o* en su defecto e&iste
una relacin de rogramasB
CONTROL DE OPERACIN
La eficiencia y el costo de la oeracin de un sistema de cmuto se ven fuertemente
afectados or la calidad e integridad de la documentacin re$uerida ara el roceso en
la comutadora,
El o-2etivo del resente e2emlo de cuestionario es sealar los rocedimientos e
instructivos formales de oeracin* anali#ar su estandari#acin y evaluar el
cumlimiento de los mismos,
', AE&isten rocedimientos formales ara la oeracin del sistema de comutoB
SI / 1 6O / 1
(, AEstn actuali#ados los rocedimientosB
SI / 1 6O / 1
), Indi$ue la eriodicidad de la actuali#acin de los rocedimientos3
Semestral / 1
Anual / 1
Cada ve# $ue .aya cam-io de e$uio / 1
I, Indi$ue el contenido de los instructivos de oeracin ara cada alicacin3
Identificacin del sistema / 1
Identificacin del rograma / 1
Periodicidad y duracin de la corrida / 1
Esecificacin de formas eseciales / 1
Esecificacin de cintas de imresoras / 1
Eti$uetas de arc.ivos de salida* nom-re* / 1
arc.ivo lgico* y fec.as de creacin y e&iracin
Instructivo so-re materiales de entrada y salida / 1
Altos rogramados y la acciones re$ueridas / 1
Instructivos esecficos a los oeradores en caso de falla del e$uio / 1
Instructivos de reinicio / 1
Procedimientos de recueracin ara roceso de gran duracin o criterios / 1
Identificacin de todos los disositivos de la m$uina a ser usados / 1
Esecificaciones de resultados /cifras de control* registros de salida or arc.ivo* etc,1 / 1
J, AE&isten rdenes de roceso ara cada corrida en la comutadora /incluyendo
rue-as* comilaciones y roduccin1B
SI / 1 6O / 1
K, ASon suficientemente claras ara los oeradores estas rdenesB
SI / 1 6O / 1
L, AE&iste una estandari#acin de las ordenes de rocesoB
SI / 1 6O / 1
M, AE&iste un control $ue asegure la 2ustificacin de los rocesos en el comutadorB
/Cue los rocesos $ue se estn autori#ados y tengan una ra#n de ser rocesados1,
SI / 1 6O / 1
N, ACmo rograman los oeradores los tra-a2os dentro del deartamento de cmutoB
Primero $ue entra* rimero $ue sale / 1
Se resetan las rioridades* / 1
Otra /esecifi$ue1 / 1
'O, ALos retrasos o incumlimiento con el rograma de oeracin diaria* se revisa y
anali#aB
SI / 1 6O / 1
'', ACui>n revisa este reorte en su casoB
'(, Analice la eficiencia con $ue se e2ecutan los tra-a2os dentro del deartamento de
cmuto* tomando en cuenta e$uio y oerador* a trav>s de inseccin visual* y
descri-a sus o-servaciones,
'), AE&isten rocedimientos escritos ara la recueracin del sistema en caso de fallaB
'I, ACmo se act4a en caso de erroresB
'J, AE&isten instrucciones esecificas ara cada roceso* con las indicaciones
ertinentesB
'K, ASe tienen rocedimientos esecficos $ue indi$uen al oerador $ue .acer cuando
un rograma interrume su e2ecucin u otras dificultades en rocesoB
'L, APuede el oerador modificar los datos de entradaB
'M, ASe ro.-e a analistas y rogramadores la oeracin del sistema $ue rogramo o
anali#oB
'N, ASe ro.-e al oerador modificar informacin de arc.ivos o -i-liotecas de
rogramasB
(O, AEl oerador reali#a funciones de mantenimiento diario en disositivos $ue as lo
re$uieranB
(', ALas intervenciones de los oeradores3
Son muy numerosasB SI / 1 6O / 1
Se limitan los mensa2es esencialesB SI / 1 6O / 1
Otras /esecifi$ue1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
((, ASe tiene un control adecuado so-re los sistemas y rogramas $ue estn en
oeracinB
SI / 1 6O / 1
(), ACmo controlan los tra-a2os dentro del deartamento de cmutoB
(I, ASe rota al ersonal de control de informacin con los oeradores rocurando un
entrenamiento cru#ado y evitando la maniulacin fraudulenta de datosB
SI / 1 6O / 1
(J, ACuentan los oeradores con una -itcora ara mantener registros de cual$uier
evento y accin tomada or ellosB
Si / 1
Por m$uina / 1
Escrita manualmente / 1
6O / 1
(K, <erificar $ue e&ista un registro de funcionamiento $ue muestre el tiemo de aros y
mantenimiento o instalaciones de soft0are,
(L,AE&isten rocedimientos ara evitar las corridas de rogramas no autori#adosB
SI / 1 6O / 1
(M, AE&iste un lan definido ara el cam-io de turno de oeraciones $ue evite el
descontrol y discontinuidad de la oeracin,
(N, <erificar $ue sea ra#ona-le el lan ara coordinar el cam-io de turno,
)O, ASe .acen insecciones eridicas de muestreoB
SI / 1 6O / 1
)', Enuncie los rocedimientos mencionados en el inciso anterior3
)(, ASe ermite a los oeradores el acceso a los diagramas de flu2o* rogramas fuente*
etc, fuera del deartamento de cmutoB
SI / 1 6O / 1
)), ASe controla estrictamente el acceso a la documentacin de rogramas o de
alicaciones rutinariasB
SI / 1 6O / 1
ACmoBRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
)I, <erifi$ue $ue los rivilegios del oerador se restrin2an a a$uellos $ue le son
asignados a la clasificacin de seguridad de oerador,
)J, AE&isten rocedimientos formales $ue se de-an o-servar antes de $ue sean
acetados en oeracin* sistemas nuevos o modificaciones a los mismosB
SI / 1 6O / 1
)K, AEstos rocedimientos incluyen corridas en aralelo de los sistemas modificados
con las versiones anterioresB
SI / 1 6O / 1
)L, ADurante cuanto tiemoB
)M, ACue recauciones se toman durante el eriodo de imlantacinB
)N, ACui>n da la aro-acin formal cuando las corridas de rue-a de un sistema
modificado o nuevo estn acordes con los instructivos de oeracin,
IO, ASe catalogan los rogramas li-erados ara roduccin rutinariaB
SI / 1 6O / 1
I', 5encione $ue instructivos se roorcionan a las ersonas $ue intervienen en la
oeracin rutinaria de un sistema,
I(, Indi$ue $ue tio de controles tiene so-re los arc.ivos magn>ticos de los arc.ivos de
datos* $ue aseguren la utili#acin de los datos recisos en los rocesos corresondientes,
I), AE&iste un lugar ara arc.ivar las -itcoras del sistema del e$uio de cmutoB
SI / 1 6O / 1
II, Indi$ue como est organi#ado este arc.ivo de -itcora,
Por fec.a / 1
Por fec.a y .ora / 1
Por turno de oeracin / 1
Otros / 1
IJ, ACul es la utili#acin sistemtica de las -itcorasB
IK, AAdems de las mencionadas anteriormente* $ue otras funciones o reas se
encuentran en el deartamento de cmuto actualmenteB
IL, <erifi$ue $ue se lleve un registro de utili#acin del e$uio diario* sistemas en lnea
y -atc.* de tal manera $ue se ueda medir la eficiencia del uso de e$uio,
IM, ASe tiene inventario actuali#ado de los e$uios y terminales con su locali#acinB
SI / 1 6O / 1
IN, ACmo se controlan los rocesos en lneaB
JO, ASe tienen seguros so-re todos los e$uiosB
SI / 1 6O / 1
J', ACon$ue comaaB
Solicitar li#as de seguros y verificar tio de seguro y montos,
J(, ACmo se controlan las llaves de acceso /Pass0ord1B,
CONTROLES DE SALIDA
', ASe tienen coias de los arc.ivos en otros localesB
(, ADnde se encuentran esos localesB
), ACue seguridad fsica se tiene en esos localesB
I, ACue confidencialidad se tiene en esos localesB
J, ACui>n entrega los documentos de salidaB
K, AEn $ue forma se entreganB
L, ACue documentosB
M, ACue controles se tienenB
N, ASe tiene un resonsa-le /usuario1 de la informacin de cada sistemaB ACmo se
atienden solicitudes de informacin a otros usuarios del mismo sistemaB
'O, ASe destruye la informacin utili#ada* o -ien $ue se .ace con ellaB
Destruye / 1 <ende / 1 7ira / 1 Otro RRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO
Los disositivos de almacenamiento reresentan* ara cual$uier centro de cmuto*
arc.ivos e&tremadamente imortantes cuya >rdida arcial o total odra tener
reercusiones muy serias* no slo en la unidad de informtica* sino en la deendencia de
la cual se resta servicio, "na direccin de informtica -ien administrada de-e tener
erfectamente rotegidos estos disositivos de almacenamiento* adems de mantener
registros sistemticos de la utili#acin de estos arc.ivos* de modo $ue servirn de -ase a
registros sistemticos de la utili#acin de estos arc.ivos* de modo $ue sirvan de -ase a
los rogramas de limie#a /-orrado de informacin1* rincialmente en el caso de las
cintas,
Adems se de-en tener erfectamente identificados los carretes ara reducir la
osi-ilidad de utili#acin errnea o destruccin de la informacin,
"n mane2o adecuado de estos disositivos ermitir una oeracin ms eficiente y
segura* me2orando adems los tiemos de rocesos,
CONTROL DE ALMACENAMIENTO MASIVO
O;GE7I<OS
El o-2etivo de este cuestionario es evaluar la forma como se administran los disositivos
de almacenamiento -sico de la direccin,
', Los locales asignados a la cintoteca y discoteca tienen3
Aire acondicionado / 1
Proteccin contra el fuego / 1
/sealar $ue tio de roteccin 1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
Cerradura esecial / 1
Otra
(, A7ienen la cintoteca y discoteca roteccin automtica contra el fuegoB
SI / 1 6O / 1
/sealar de $ue tio1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
), ACue informacin mnima contiene el inventario de la cintoteca y la discotecaB
64mero de serie o carrete / 1
64mero o clave del usuario / 1
64mero del arc.ivo lgico / 1
6om-re del sistema $ue lo genera / 1
!ec.a de vreacion del arc.ivo / 1
!ec.a de e&iracin del arc.ivo / 1
64mero de volumen / 1
Otros
I, ASe verifican con frecuencia la valide# de los inventarios de los arc.ivos magn>ticosB
SI / 1 6O / 1
J, En caso de e&istir discreancia entre las cintas o discos y su contenido* se resuelven y
e&lican satisfactoriamente las discreanciasB
SI / 1 6O / 1
K, ACue tan frecuentes son estas discreanciasB
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
L, ASe tienen rocedimientos $ue ermitan la reconstruccin de un arc.ivo en cinta a
disco* el cual fue inadvertidamente destruidoB
SI / 1 6O / 1
M, ASe tienen identificados los arc.ivos con informacin confidencial y se cuenta con
claves de accesoB
SI / 1 6O / 1
ACmoBRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
N, AE&iste un control estricto de las coias de estos arc.ivosB
SI / 1 6O / 1
'O, ACue medio se utili#a ara almacenarlosB
5ue-le con cerradura / 1
;veda / 1
Otro/esecifi$ue1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
'', Este almac>n esta situado3
En el mismo edificio del deartamento / 1
En otro lugar / 1
ACualBRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
'(, ASe -orran los arc.ivos de los disositivos de almacenamiento* cuando se desec.an
estosB
SI / 1 6O / 1
'), ASe certifica la destruccin o -a2a de los arc.ivos defectuososB
SI / 1 6O / 1
'I, ASe registran como arte del inventario las nuevas cintas $ue reci-e la -i-liotecaB
SI / 1 6O / 1
'J ASe tiene un resonsa-le* or turno* de la cintoteca y discotecaB
SI / 1 6O / 1
'K, ASe reali#an auditoras eridicas a los medios de almacenamientoB
SI / 1 6O / 1
'L, ACue medidas se toman en el caso de e&travo de alg4n disositivo de
almacenamientoB
'M, ASe restringe el acceso a los lugares asignados ara guardar los disositivos de
almacenamiento* al ersonal autori#adoB
SI / 1 6O / 1
'N, ASe tiene relacin del ersonal autori#ado ara firmar la salida de arc.ivos
confidencialesB
SI / 1 6O / 1
(O, AE&iste un rocedimiento ara registrar los arc.ivos $ue se restan y la fec.a en $ue
se devolvernB
SI / 1 6O / 1
(', ASe lleva control so-re los arc.ivos restados or la instalacinB
SI / 1 6O / 1
((, En caso de r>stamo ACon$ue informacin se documentanB
6om-re de la institucin a $ui>n se .ace el r>stamo,
fec.a de rececin / 1
fec.a en $ue se de-e devolver / 1
arc.ivos $ue contiene / 1
formatos / 1
cifras de control / 1
cdigo de gra-acin / 1
nom-re del resonsa-le $ue los resto / 1
otros
(), Indi$ue $u> rocedimiento se sigue en el reemla#o de las cintas $ue contienen los
arc.ivos maestros3
(I, ASe conserva la cinta maestra anterior .asta desu>s de la nueva cintaB
SI / 1 6O / 1
(J, AEl cintotecario controla la cinta maestra anterior reviendo su uso incorrecto o su
eliminacin rematuraB
SI / 1 6O / 1
(K, ALa oeracin de reemla#o es controlada or el cintotecarioB
SI / 1 6O / 1
(L, ASe utili#a la oltica de conservacin de arc.ivos .i2oSadreSa-ueloB
SI / 1 6O / 1
(M, En los rocesos $ue mane2an arc.ivos en lnea* AE&isten rocedimientos ara
recuerar los arc.ivosB
SI / 1 6O / 1
(N, AEstos rocedimientos los conocen los oeradoresB
SI / 1 6O / 1
)O, ACon $ue eriodicidad se revisan estos rocedimientosB
5E6S"AL / 1 A6"AL / 1
SE5ES7%AL / 1 O7%A / 1
)', AE&iste un resonsa-le en caso de fallaB
SI / 1 6O / 1
)(, AE&li$ue $ue olticas se siguen ara la o-tencin de arc.ivos de resaldoB
)), AE&iste un rocedimiento ara el mane2o de la informacin de la cintotecaB
SI / 1 6O / 1
)I, ALo conoce y lo sigue el cintotecarioB
SI / 1 6O / 1
)J, ASe distri-uyen en forma eridica entre los 2efes de sistemas y rogramacin
informes de arc.ivos ara $ue li-eren los disositivos de almacenamientoB
SI / 1 6O / 1
ACon $u> frecuenciaB
CONTROL DE MANTENIMIENTO
Como se sa-e e&isten -sicamente tres tios de contrato de mantenimiento3 El contrato
de mantenimiento total $ue incluye el mantenimiento correctivo y reventivo* el cual a
su ve# uede dividirse en a$uel $ue incluye las artes dentro del contrato y el $ue no
incluye artes, El contrato $ue incluye refacciones es roiamente como un seguro* ya
$ue en caso de descomostura el roveedor de-e roorcionar las artes sin costo
alguno, Este tio de contrato es normalmente mas caro* ero se de2a al roveedor la
resonsa-ilidad total del mantenimiento a e&cecin de daos or negligencia en la
utili#acin del e$uio, /Este tio de mantenimiento normalmente se emlea en e$uios
grandes1,
El segundo tio de mantenimiento es Tor llamadaT* en el cual en caso de
descomostura se le llama al roveedor y >ste co-ra de acuerdo a una tarifa y al tiemo
$ue se re$uiera ara comonerlo /casi todos los roveedores incluyen* en la coti#acin
de comostura* el tiemo de traslado de su oficina a donde se encuentre el e$uio y
viceversa1, Este tio de mantenimiento no incluye refacciones,
El tercer tio de mantenimiento es el $ue se conoce como Ten -ancoT* y es a$uel en el
cual el cliente lleva a las oficinas del roveedor el e$uio* y este .ace una coti#acin de
acuerdo con el tiemo necesario ara su comostura mas las refacciones /este tio de
mantenimiento uede ser el adecuado ara comutadoras ersonales1,
Al evaluar el mantenimiento se de-e rimero anali#ar cual de los tres tios es el $ue
ms nos conviene y en segundo lugar edir los contratos y revisar con detalles $ue las
clusulas est>n erfectamente definidas en las cuales se elimine toda la su-2etividad y
con enali#acin en caso de incumlimiento* ara evitar contratos $ue sean arciales,
Para oder e&igirle el cumlimiento del contrato de de-e tener un estricto control so-re
las fallas* frecuencia* y el tiemo de rearacin,
Para evaluar el control $ue se tiene so-re el mantenimiento y las fallas se ueden
utili#ar los siguientes cuestionarios3
', Esecifi$ue el tio de contrato de mantenimiento $ue se tiene /solicitar coia del
contrato1,
(, AE&iste un rograma de mantenimiento reventivo ara cada disositivo del sistema
de comutoB
SI / 1 6O / 1
), ASe lleva a ca-o tal rogramaB
SI / 1 6O / 1
I, AE&isten tiemos de resuesta y de comostura estiulados en los contratosB
SI / 1 6O / 1
J, Si los tiemos de rearacin son sueriores a los estiulados en el contrato* ACu>
acciones correctivas se toman ara a2ustarlos a lo convenidoB
SI / 1 6O / 1
K, Solicite el lan de mantenimiento reventivo $ue de-e ser roorcionado or el
roveedor,S
SI / 1 6O / 1
ACualB
M, ACmo se notifican las fallasB
N, ACmo se les da seguimientoB
ORDEN EN EL CENTRO DE CMPUTO
"na direccin de Sistemas de Informacin -ien administrada de-e tener y o-servar
reglas relativas al orden y cuidado del deartamento de cmuto, Los disositivos del
sistema de cmuto* los arc.ivos magn>ticos* ueden ser daados si se mane2an en
forma inadecuada y eso uede traducirse en erdidas irreara-les de informacin o en
costos muy elevados en la reconstruccin de arc.ivos, Se de-en revisar las
disosiciones y reglamentos $ue coadyuven al mantenimiento del orden dentro del
deartamento de cmuto,
', Indi$ue la eriodicidad con $ue se .ace la limie#a del deartamento de cmuto y
de la cmara de aire $ue se encuentra a-a2o del iso falso si e&iste y los ductos de aire3
Semanalmente / 1 Cuincenalmente / 1
5ensualmente / 1 ;imestralmente / 1
6o .ay rograma / 1 Otra /esecifi$ue1 / 1
(, E&iste un lugar asignado a las cintas y discos magn>ticosB
SI / 1 6O / 1
), ASe tiene asignado un lugar esecifico ara aelera y utensilios de tra-a2oB
SI / 1 6O / 1
I, ASon funcionales los mue-les asignados ara la cintoteca y discotecaB
SI / 1 6O / 1
J, ASe tienen disosiciones ara $ue se acomoden en su lugar corresondiente* desu>s
de su uso* las cintas* los discos magn>ticos* la aelera* etc,B
SI / 1 6O / 1
K, Indi$ue la eriodicidad con $ue se limian las unidades de cinta3
Al cam-io de turno / 1
Cada semana / 1
Cada da / 1
Otra /esecificar1 / 1
L, AE&isten ro.i-iciones ara fumar* tomar alimentos y refrescos en el deartamento de
cmutoB
SI / 1 6O / 1
M, ASe cuenta con carteles en lugares visi-les $ue recuerdan dic.a ro.i-icinB
SI / 1 6O / 1
N, ASe tiene restringida la oeracin del sistema de cmuto al ersonal eseciali#ado de
la Direccin de InformticaB
SI / 1 6O / 1
'O, 5encione los casos en $ue ersonal a2eno al deartamento de oeracin oera el
sistema de cmuto3
EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO
Los o-2etivos son evaluar la configuracin actual tomando en consideracin las
alicaciones y el nivel de uso del sistema* evaluar el grado de eficiencia con el cual el
sistema oerativo satisface las necesidades de la instalacin y revisar las olticas
seguidas or la unidad de informtica en la conservacin de su rogramoteca,
Esta seccin esta orientada a3
a1 Evaluar osi-les cam-ios en el .ard0are a fin de nivelar el sistema de cmuto con
la carga de tra-a2o actual o de comarar la caacidad instalada con los lanes de
desarrollo a mediano y lago la#o,
-1 Evaluar las osi-ilidades de modificar el e$uio ara reducir el costo o -ien el
tiemo de roceso,
c1 Evaluar la utili#acin de los diferentes disositivos erif>ricos,
', De acuerdo con los tiemos de utili#acin de cada disositivo del sistema de
cmuto* Ae&iste e$uioB
ACon oco usoB SI / 1 6O / 1
AOciosoB SI / 1 6O / 1
ACon caacidad suerior a la necesariaB SI / 1 6O / 1
Descri-a cual es RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(, AEl e$uio mencionado en el inciso anterior uede reemla#arse or otro mas lento y
de menor costoB
SI / 1 6O / 1
), Si la resuesta al inciso anterior es negativa* Ael e$uio uede ser canceladoB
SI / 1 6O / 1
I, De ser negativa la resuesta al inciso anterior* e&li$ue las causas or las $ue no
uede ser cancelado o cam-iado,
RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
J, AEl sistema de cmuto tiene caacidad de telerocesoB
SI / 1 6O / 1
K, ASe utili#a la caacidad de telerocesoB
SI / 1 6O / 1
L, AEn caso negativo* e&onga los motivos or los cuales no utili#a el telerocesoB
SI / 1 6O / 1
M, ACuantas terminales se tienen conectadas al sistema de cmutoB
N, ASe .a investigado si ese tiemo de resuesta satisface a los usuariosB
SI / 1 6O / 1
'O, ALa caacidad de memoria y de almacenamiento m&imo del sistema de cmuto es
suficiente ara atender el roceso or lotes y el roceso remotoB
SI / 1 6O / 1
SEGURIDAD LGICA $ CONFIDENCIAL
La comutadora es un instrumento $ue estructura gran cantidad de informacin* la cual
uede ser confidencial ara individuos* emresas o instituciones* y uede ser mal
utili#ada o divulgada a ersonas $ue .agan mal uso de esta, 7am-i>n uede ocurrir
ro-os* fraudes o sa-ota2es $ue rovo$uen la destruccin total o arcial de la actividad
comutacional,
Esta informacin uede ser de suma imortancia* y el no tenerla en el momento reciso
uede rovocar retrasos sumamente costosos, Antes esta situacin* en el transcurso del
siglo UU* el mundo .a sido testigo de la transformacin de algunos asectos de
seguridad y de derec.o,
En la actualidad y rincialmente en las comutadoras ersonales* se .a dado otro
factor $ue .ay $ue considerar el llamado TTvirusT de las comutadoras* el cual aun$ue
tiene diferentes intenciones se encuentra rincialmente ara a$uetes $ue son coiados
sin autori#acin /TiratasT1 y -orra toda la informacin $ue se tiene en un disco,
Al auditar los sistemas se de-e tener cuidado $ue no se tengan coias TiratasT o -ien
$ue* al conectarnos en red con otras comutadoras* no e&ista la osi-ilidad de
transmisin del virus,
El uso inadecuado de la comutadora comien#a desde la utili#acin de tiemo de
m$uina ara usos a2enos de la organi#acin* la coia de rogramas ara fines de
comerciali#acin sin reortar los derec.os de autor .asta el acceso or va
telecomunicaciones a -ases de datos a fin de modificar la informacin con rositos
fraudulentos,
"n m>todo efica# ara roteger sistemas de comutacin es el soft0are de control de
acceso, Dic.o simlemente* los a$uetes de control de acceso rotegen contra el acceso
no autori#ado* ues iden del usuario una contrasea antes de ermitirle el acceso a
informacin confidencial, Dic.os a$uetes .an sido oulares desde .ace muc.os aos
en el mundo de las comutadoras grandes* y los rinciales roveedores onen a
disosicin de clientes algunos de estos a$uetes,
El sistema integral de seguridad de-e comrender3
Elementos administrativos
Definicin de una oltica de seguridad
Organi#acin y divisin de resonsa-ilidades
Seguridad fsica y contra catstrofes /incendio* terremotos* etc,1
Prcticas de seguridad del ersonal
Elementos t>cnicos y rocedimientos
Sistemas de seguridad /de e$uios y de sistemas* incluyendo todos los
elementos* tanto redes como terminales1,
Alicacin de los sistemas de seguridad* incluyendo datos y arc.ivos
El ael de los auditores* tanto internos como e&ternos
Planeacin de rogramas de desastre y su rue-a,
Se de-e evaluar el nivel de riesgo $ue uede tener la informacin ara oder .acer un
adecuado estudio costo@-eneficio entre el costo or >rdida de informacin y el costo de
un sistema de seguridad* ara lo cual se de-e considerar lo siguiente3
Clasificar la instalacin en t>rminos de riesgo /alto* mediano* e$ueo1,
Identificar a$uellas alicaciones $ue tengan un alto riesgo,
Cuantificar el imacto en el caso de susensin del servicio en a$uellas
alicaciones con un alto riesgo,
!ormular las medidas de seguridad necesarias deendiendo del nivel de
seguridad $ue se re$uiera,
La 2ustificacin del costo de imlantar las medidas de seguridad ara oder
clasificar el riesgo e identificar las alicaciones de alto riesgo* se de-e reguntar
lo siguiente3
o Cue sucedera si no se uede usar el sistemaB
o Si la contestacin es $ue no se odra seguir tra-a2ando* esto nos sit4a en
un sistema de alto riego,
La siguiente regunta es3
o ACue imlicaciones tiene el $ue no se o-tenga el sistema y cuanto tiemo
odramos estar sin utili#arloB
o AE&iste un rocedimiento alterno y $ue ro-lemas nos ocasionaraB
o ACue se .a .ec.o ara un caso de emergenciaB
"na ve# $ue se .a definido* el grado de riesgo* .ay $ue ela-orar una lista de los
sistemas con las medias reventivas $ue se de-en tomar* as como las correctivas en
caso de desastre sealndole a cada uno su rioridad,
Fay $ue tener muc.o cuidado con la informacin $ue sale de la oficina* su utili#acin y
$ue sea -orrada al momento de de2ar la instalacin $ue est dando resaldo,
Para clasificar la instalacin en t>rminos de riesgo se de-e3
Clasificar los datos* informacin y rogramas $ue contienen informacin
confidencial $ue tenga un alto valor dentro del mercado de cometencia de una
organi#acin* e informacin $ue sea de difcil recueracin,
Identificar a$uella informacin $ue tenga un gran costo financiero en caso de
>rdida o -ien uede rovocar un gran imacto en la toma de decisiones,
Determinar la informacin $ue tenga una gran >rdida en la organi#acin y*
consecuentemente* uedan rovocar .asta la osi-ilidad de $ue no ueda
so-revivir sin esa informacin,
Para cuantificar el riesgo es necesario $ue se efect4en entrevistas con los altos niveles
administrativos $ue sean directamente afectados or la susensin en el rocesamiento
y $ue cuantifi$uen el imacto $ue les uede causar este tio de situaciones,
Para evaluar las medidas de seguridad se de-e3
Esecificar la alicacin* los rogramas y arc.ivos,
Las medidas en caso de desastre* >rdida total* a-uso y los lanes necesarios,
Las rioridades $ue se de-en tomar en cuanto a las acciones a corto y largo
la#o,
En cuanto a la divisin del tra-a2o se de-e evaluar $ue se tomen las siguientes
recauciones* las cuales deendern del riesgo $ue tenga la informacin y del
tio y tamao de la organi#acin,
o El ersonal $ue reara la informacin no de-e tener acceso a la
oeracin,
o Los analistas y rogramadores no de-en tener acceso al rea de
oeraciones y viceversa,
o Los oeradores no de-e tener acceso irrestringido a las li-reras ni a los
lugares donde se tengan los arc.ivos almacenados+ es imortante searar
las funciones de li-rera y de oeracin,
o Los oeradores no de-en ser los 4nicos $ue tengan el control so-re los
tra-a2os rocesados y no de-en .acer las correcciones a los errores
detectados,
Al imlantar sistemas de seguridad uede* reducirse la fle&i-ilidad en el tra-a2o* ero no
de-e reducir la eficiencia,
SEGURIDAD FSICA
El o-2etivo es esta-lecer olticas* rocedimientos y rcticas ara evitar las
interruciones rolongadas del servicio de rocesamiento de datos* informacin, De-ido
a contingencias como incendio* inundaciones* .uelgas* distur-ios* sa-ota2e* etc, y
continuar en medio de emergencia .asta $ue sea restaurado el servicio comleto,
Entre las recauciones $ue se de-en revisar estn3
Los ductos del aire acondicionado de-en estar limios* ya $ue son una de las
rinciales causas del olvo y se .a-r de contar con detectores de .umo $ue
indi$uen la osi-le resencia de fuego,
En las instalaciones de alto riesgo se de-e tener e$uio de fuente no
interrumi-le* tanto en la comutadora como en la red y los e$uios de
teleroceso,
En cuanto a los e&tintores* se de-e revisar en n4mero de estos* su caacidad*
fcil acceso* eso y tio de roducto $ue utili#an, Es muy frecuente $ue se
tengan los e&tintores* ero uede suceder $ue no se encuentren recargados o
-ien $ue sean de difcil acceso de un eso tal $ue sea difcil utili#arlos,
Esto es com4n en lugares donde se encuentran tra-a2ando .om-res y mu2eres y
los e&tintores estn a tal altura o con un eso tan grande $ue una mu2er no uede
utili#arlos,
Otro de los ro-lemas es la utili#acin de e&tintores inadecuados $ue ueden
rovocar mayor er2uicio a las m$uinas /e&tintores l$uidos1 o $ue roducen
gases t&icos,
7am-i>n se de-e ver si el ersonal sa-e usar los e$uios contra incendio y si .a
.a-ido rcticas en cuanto a su uso,
Se de-e verificar $ue e&istan suficientes salidas de emergencia y $ue est>n
de-idamente controladas ara evitar ro-os or medio de estas salidas,
Los materiales mas eligrosos son las cintas magn>ticas $ue al $uemarse*
roducen gases t&icos y el ael car-n $ue es altamente inflama-le,
7omando en cuenta lo anterior se ela-oro el siguiente cuestionario3
', ASe .an adotado medidas de seguridad en el deartamento de sistemas de
informacinB
SI / 1 6O / 1
(, AE&isten una ersona resonsa-le de la seguridadB
SI / 1 6O / 1
), ASe .a dividido la resonsa-ilidad ara tener un me2or control de la seguridadB
SI / 1 6O / 1
I, AE&iste ersonal de vigilancia en la institucinB
SI / 1 6O / 1
J, ALa vigilancia se contrataB
a1 Directamente / 1
-1 Por medio de emresas $ue venden ese servicio / 1
K, AE&iste una clara definicin de funciones entre los uestos claveB
SI / 1 6O / 1
L, ASe investiga a los vigilantes cuando son contratados directamenteB
SI / 1 6O / 1
M, ASe controla el tra-a2o fuera de .orarioB
SI / 1 6O / 1
N, ASe registran las acciones de los oeradores ara evitar $ue realicen algunas rue-as
$ue uedan daar los sistemasB,
SI / 1 6O / 1
'O, AE&iste vigilancia en el deartamento de cmuto las (I .orasB
SI / 1 6O / 1
'', AE&iste vigilancia a la entrada del deartamento de cmuto las (I .orasB
a1 <igilante B / 1
-1 %ececionistaB / 1
c1 7ar2eta de control de acceso B / 1
d1 6adieB / 1
'(, ASe ermite el acceso a los arc.ivos y rogramas a los rogramadores* analistas y
oeradoresB
SI / 1 6O / 1
'), Se .a instruido a estas ersonas so-re $ue medidas tomar en caso de $ue alguien
retenda entrar sin autori#acinB
SI / 1 6O / 1
'I, El edificio donde se encuentra la comutadora esta situado a salvo de3
a1 InundacinB / 1
-1 7erremotoB / 1
c1 !uegoB / 1
d1 Sa-ota2eB / 1
'J, El centro de cmuto tiene salida al e&teriorB
SI / 1 6O / 1
'K, Descri-a -revemente la construccin del centro de cmuto* de referencia
roorcionando lanos y material con $ue construido y e$uio /mue-les* sillas etc,1
dentro del centro,
'L, AE&iste control en el acceso a este cuartoB
a1 Por identificacin ersonalB / 1
-1 Por tar2eta magn>ticaB / 1
c1 or claves ver-alesB / 1
d1 OtrasB / 1
'M, ASon controladas las visitas y demostraciones en el centro de cmutoB
SI / 1 6O / 1
'N, ASe registra el acceso al deartamento de cmuto de ersonas a2enas a la direccin
de informticaB
SI / 1 6O / 1
(O, ASe vigilan la moral y comortamiento del ersonal de la direccin de informtica
con el fin de mantener una -uena imagen y evitar un osi-le fraudeB
SI / 1 6O / 1
(', AE&iste alarma ara
a1 Detectar fuego/calor o .umo1 en forma automticaB / 1
-1 Avisar en forma manual la resencia del fuegoB / 1
c1 Detectar una fuga de aguaB / 1
d1 Detectar magn>ticosB / 1
e1 6o e&iste / 1
((, AEstas alarmas estn
a1 En el deartamento de cmutoB / 1
-1 En la cintoteca y discotecaB / 1
(), AE&iste alarma ara detectar condiciones anormales del am-ienteB
a1 En el deartamento de cmutoB / 1
-1 En la cntoteca y discotecaB / 1
c1 En otros lados / 1
(I, ALa alarma es erfectamente audi-leB
SI / 1 6O / 1
(J,AEsta alarma tam-i>n est conectada
a1 Al uesto de guardiasB / 1
-1 A la estacin de ;om-erosB / 1
c1 A ning4n otro ladoB / 1
OtroRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
(K, E&isten e&tintores de fuego
a1 5anualesB / 1
-1 AutomticosB / 1
c1 6o e&isten / 1
(L, ASe .a adiestrado el ersonal en el mane2o de los e&tintoresB
SI / 1 6O / 1
(M, ALos e&tintores* manuales o automticos a -ase de
7IPO SI 6O
a1 Agua* / 1 / 1
-1 EasB / 1 / 1
c1 Otros / 1 / 1
(N, ASe revisa de acuerdo con el roveedor el funcionamiento de los e&tintoresB
SI / 1 6O / 1
)O, ASi es $ue e&isten e&tintores automticos son activador or detectores automticos
de fuegoB
SI / 1 6O / 1
)', ASi los e&tintores automticos son a -ase de agua ASe .an tomado medidas ara
evitar $ue el agua cause mas dao $ue el fuegoB
SI / 1 6O / 1
)(, ASi los e&tintores automticos son a -ase de gas* ASe .a tomado medidas ara evitar
$ue el gas cause mas dao $ue el fuegoB
SI / 1 6O / 1
)), AE&iste un laso de tiemo suficiente* antes de $ue funcionen los e&tintores
automticos ara $ue el ersonal
a1 Corte la accin de los e&tintores or tratarse de falsas alarmasB SI / 1 6O / 1
-1 Pueda cortar la energa El>ctrica SI / 1 6O / 1
c1 Pueda a-andonar el local sin eligro
de into&icacin SI / 1 6O / 1
d1 Es inmediata su accinB SI / 1 6O / 1
)I, ALos interrutores de energa estn de-idamente rotegidos* eti$uetados y sin
o-stculos ara alcan#arlosB
SI / 1 6O / 1
)J, ASa-en $ue .acer los oeradores del deartamento de cmuto* en caso de $ue
ocurra una emergencia ocasionada or fuegoB
SI / 1 6O / 1
)K, AEl ersonal a2eno a oeracin sa-e $ue .acer en el caso de una emergencia
/incendio1B
SI / 1 6O / 1
)L, AE&iste salida de emergenciaB
SI / 1 6O / 1
)M, AEsta uerta solo es osi-le a-rirla3
a1 Desde el interior B / 1
-1 Desde el e&terior B / 1
c1 Am-os Lados / 1
)N, ASe revisa frecuentemente $ue no est> a-ierta o descomuesta la cerradura de esta
uerta y de las ventanas* si es $ue e&istenB
SI / 1 6O / 1
IO, ASe .a adiestrado a todo el ersonal en la forma en $ue se de-en desalo2ar las
instalaciones en caso de emergenciaB
SI / 1 6O / 1
I', ASe .a tomado medidas ara minimi#ar la osi-ilidad de fuego3
a1 Evitando artculos inflama-les en el deartamento de cmutoB / 1
-1 Pro.i-iendo fumar a los oeradores en el interiorB / 1
c1 <igilando y manteniendo el sistema el>ctricoB / 1
d1 6o se .a revisto / 1
I(, ASe .a ro.i-ido a los oeradores el consumo de alimentos y -e-idas en el interior
del deartamento de cmuto ara evitar daos al e$uioB
SI / 1 6O / 1
I), ASe limia con frecuencia el olvo acumulado de-a2o del iso falso si e&isteB
SI / 1 6O / 1
II, ASe controla el acceso y r>stamo en la
a1 DiscotecaB / 1
-1 CintotecaB / 1
c1 ProgramotecaB / 1
IJ, E&li$ue la forma como se .a clasificado la informacin vital* esencial* no esencial
etc,
IK, ASe cuenta con coias de los arc.ivos en lugar distinto al de la comutadoraB
SI / 1 6O / 1
IL, E&li$ue la forma en $ue estn rotegidas fsicamente estas coias /-veda* ca2as de
seguridad etc,1 $ue garantice su integridad en caso de incendio* inundacin* terremotos*
etc,
IM, ASe tienen esta-lecidos rocedimientos de actuali#acin a estas coiasB
SI / 1 6O / 1
IN, Indi$ue el n4mero de coias $ue se mantienen* de acuerdo con la forma en $ue se
clasifi$ue la informacin3
O ' ( )
JO, AE&iste deartamento de auditoria interna en la institucinB
SI / 1 6O / 1
J', AEste deartamento de auditoria interna conoce todos los asectos de los sistemasB
SI / 1 6O / 1
J(, ACue tios de controles .a rouestoB
J), ASe cumlenB
SI / 1 6O / 1
JI, ASe auditan los sistemas en oeracinB
SI / 1 6O / 1
JJ,ACon $ue frecuenciaB
a1 Cada seis meses / 1
-1 Cada ao / 1
c1 Otra /esecifi$ue1 / 1
JK,ACundo se efect4an modificaciones a los rogramas* a iniciativa de $ui>n esB
a1 "suario / 1
-1 Director de informtica / 1
c1 Gefe de anlisis y rogramacin / 1
d1 Programador / 1
e1 Otras / esecifi$ue1 RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
JL,ALa solicitud de modificaciones a los rogramas se .acen en formaB
a1 OralB / 1
-1 EscritaB / 1
En caso de ser escrita solicite formatos*
JM,"na ve# efectuadas las modificaciones* Ase resentan las rue-as a los interesadosB
SI / 1 6O / 1
JN,AE&iste control estricto en las modificacionesB
SI / 1 6O / 1
KO,ASe revisa $ue tengan la fec.a de las modificaciones cuando se .ayan efectuadoB
SI / 1 6O / 1
K',ASi se tienen terminales conectadas* Ase .a esta-lecido rocedimientos de oeracinB
SI / 1 6O / 1
K(,Se verifica identificacin3
a1 De la terminal / 1
-1 Del "suario / 1
c1 6o se ide identificacin / 1
K),ASe .a esta-lecido $ue informacin uede ser accesada y or $u> ersonaB
SI / 1 6O / 1
KI,ASe .a esta-lecido un n4mero m&imo de violaciones en sucesin ara $ue la
comutadora cierre esa terminal y se de aviso al resonsa-le de ellaB
SI / 1 6O / 1
KJ,ASe registra cada violacin a los rocedimientos con el fin de llevar estadsticas y
frenar las tendencias mayoresB
SI / 1 6O / 1
KK,AE&isten controles y medidas de seguridad so-re las siguientes oeracionesB
ACuales sonB
/ 1%ececin de documentosRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Informacin ConfidencialRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Catacin de documentosRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Cmuto ElectrnicoRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1ProgramasRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Discotecas y CintotecasRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Documentos de SalidaRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Arc.ivos 5agn>ticosRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Oeracin del e$uio de comutacinRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1En cuanto al acceso de ersonalRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Identificacin del ersonalRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1PoliciaRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Seguros contra ro-o e incendioRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Ca2as de seguridadRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
/ 1Otras /esecifi$ue1RRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRRR
SEGURIDAD EN LA UTILI&ACIN DEL E'UIPO
En la actualidad los rogramas y los e$uios son altamente sofisticados y slo algunas
ersonas dentro del centro de cmuto conocen al detalle el diseo* lo $ue uede
rovocar $ue uedan roducir alg4n deterioro a los sistemas si no se toman las
siguientes medidas3
'1 Se de-e restringir el acceso a los rogramas y a los arc.ivos,
(1 Los oeradores de-en tra-a2ar con oca suervisin y sin la articiacin de los
rogramadores* y no de-en modificar los rogramas ni los arc.ivos,
)1 Se de-e asegurar en todo momento $ue los datos y arc.ivos usados sean los
adecuados* rocurando no usar resaldos inadecuados,
I1 6o de-e ermitirse la entrada a la red a ersonas no autori#adas* ni a usar las
terminales,
J1 Se de-en reali#ar eridicamente una verificacin fsica del uso de terminales y de
los reortes o-tenidos,
K1 Se de-en monitorear eridicamente el uso $ue se le est dando a las terminales,
L1 Se de-en .acer auditoras eridicas so-re el rea de oeracin y la utili#acin de las
terminales,
M1 El usuario es el resonsa-le de los datos* or lo $ue de-e asegurarse $ue los datos
recolectados sean rocesados comletamente, Esto slo se lograr or medio de los
controles adecuados* los cuales de-en ser definidos desde el momento del diseo
general del sistema,
N1 De-en e&istir registros $ue refle2en la transformacin entre las diferentes funciones
de un sistema,
'O1 De-e controlarse la distri-ucin de las salidas /reortes* cintas* etc,1,
''1 Se de-e guardar coias de los arc.ivos y rogramas en lugares a2enos al centro de
cmuto y en las instalaciones de alta seguridad+ or e2emlo3 los -ancos,
'(1 Se de-e tener un estricto control so-re el acceso fsico a los arc.ivos,
')1 En el caso de rogramas* se de-e asignar a cada uno de ellos* una clave $ue
identifi$ue el sistema* su-sistema* rograma y versin,
7am-i>n evitar $ue el rogramador onga nom-res $ue nos signifi$uen nada y $ue
sean difciles de identificar* lo $ue evitar $ue el rogramador utilice la comutadora
ara tra-a2os ersonales, Otro de los untos en los $ue .ay $ue tener seguridad es en el
mane2o de informacin, Para controlar este tio de informacin se de-e3
'1 Cuidar $ue no se o-tengan fotocoias de informacin confidencial sin la de-ida
autori#acin,
(1 Slo el ersonal autori#ado de-e tener acceso a la informacin confidencial,
)1 Controlar los listados tanto de los rocesos correctos como a$uellos rocesos con
terminacin incorrecta,
I1 Controlar el n4mero de coias y la destruccin de la informacin y del ael car-n
de los reortes muy confidenciales,
El factor ms imortante de la eliminacin de riesgos en la rogramacin es $ue todos
los rogramas y arc.ivos est>n de-idamente documentados,
El siguiente factor en imortancia es contar con los resaldos* y dulicados de los
sistemas* rogramas* arc.ivos y documentacin necesarios ara $ue ueda funcionar el
lan de emergencia,
E$uio* rogramas y arc.ivos
Control de alicaciones or terminal
Definir una estrategia de seguridad de la red y de resaldos
%e$uerimientos fsicos,
Estndar de arc.ivos,
Auditora interna en el momento del diseo del sistema* su imlantacin y
untos de verificacin y control,
SEGURIDAD AL RESTAURAR EL E'UIPO
En un mundo $ue deende cada da mas de los servicios roorcionados or las
comutadoras* es vital definir rocedimientos en caso de una osi-le falta o siniestro,
Cuando ocurra una contingencia* es esencial $ue se cono#ca al detalle el motivo $ue la
origin y el dao causado* lo $ue ermitir recuerar en el menor tiemo osi-le el
roceso erdido, 7am-i>n se de-e anali#ar el imacto futuro en el funcionamiento de la
organi#acin y revenir cual$uier imlicacin negativa,
En todas las actividades relacionadas con las ciencias de la comutacin* e&iste un
riesgo aceta-le* y es necesario anali#ar y entender estos factores ara esta-lecer los
rocedimientos $ue ermitan anali#arlos al m&imo y en caso $ue ocurran* oder
rearar el dao y reanudar la oeracin lo mas ridamente osi-le,
En una situacin ideal* se de-eran ela-orar lanes ara mane2ar cual$uier contingencia
$ue se resente,
Anali#ando cada alicacin se de-en definir lanes de recueracin y reanudacin* ara
asegurarse $ue los usuarios se vean afectados lo menos osi-le en caso de falla o
siniestro, Las acciones de recueracin disoni-les a nivel oerativo ueden ser algunas
de las siguientes3
En algunos casos es conveniente no reali#ar ninguna accin y reanudar el
roceso,
5ediante coias eridicas de los arc.ivos se uede reanudar un roceso a artir
de una fec.a determinada,
El rocesamiento anterior comlementado con un registro de las transacciones
$ue afectaron a los arc.ivos ermitir retroceder en los movimientos reali#ados
a un arc.ivo al unto de tener la seguridad del contenido del mismo a artir de >l
reanudar el roceso,
Anali#ar el flu2o de datos y rocedimientos y cam-iar el roceso normal or un
roceso alterno de emergencia,
%econfigurar los recursos disoni-les* tanto de e$uio y sistemas como de
comunicaciones,
Cual$uier rocedimiento $ue se determine $ue es el adecuado ara un caso de
emergencia de-er ser laneado y ro-ado reviamente,
Este gruo de emergencia de-er tener un conocimiento de los osi-les rocedimientos
$ue uede utili#ar* adems de un conocimiento de las caractersticas de las alicaciones*
tanto desde el unto t>cnico como de su rioridad* el nivel de servicio laneado y su
influ2o en la oeracin de la organi#acin,
Adems de los rocedimientos de recueracin y reinicio de la informacin* se de-en
contemlar los rocedimientos oerativos de los recursos fsicos como .ard0are y
comunicaciones* laneando la utili#acin de e$uios $ue ermitan seguir oerando en
caso de falta de la corriente el>ctrica* caminos alternos de comunicacin y utili#acin de
instalaciones de cmuto similares, Estas y otras medidas de recueracin y reinicio
de-ern ser laneadas y ro-adas reviamente como en el caso de la informacin,
El o-2etivo del siguiente cuestionario es evaluar los rocedimientos de restauracin y
reeticin de rocesos en el sistema de cmuto,
'1 AE&isten rocedimientos relativos a la restauracin y reeticin de rocesos en el
sistema de cmutoB
SI / 1 6O / 1
(1 A Enuncie los rocedimientos mencionados en el inciso anteriorB
)1 ACuentan los oeradores con alguna documentacin en donde se guarden las
instrucciones actuali#adas ara el mane2o de restauracionesB
SI / 1 6O / 1
En el momento $ue se .acen cam-ios o correcciones a los rogramas y@o arc.ivos se
de-en tener las siguientes recauciones3
'1 Las correcciones de rogramas de-en ser de-idamente autori#adas y ro-adas, Con
esto se -usca evitar $ue se cam-ien or nueva versin $ue antes no .a sido
erfectamente ro-ada y actuali#ada,
(1 Los nuevos sistemas de-en estar adecuadamente documentos y ro-ados,
)1 Los errores corregidos de-en estar adecuadamente documentados y las correcciones
autori#adas y verificadas,
Los arc.ivos de nuevos registros o correcciones ya e&istentes de-en estar documentados
y verificados antes de o-tener reortes,,
PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE
Se de-e esta-lecer en cada direccin de informtica un lan de emergencia el cual .a de
ser aro-ado or la direccin de informtica y contener tanto rocedimiento como
informacin ara ayudar a la recueracin de interruciones en la oeracin del sistema
de cmuto,
El sistema de-e ser ro-ado y utili#ado en condiciones anormales* ara $ue en cas de
usarse en situaciones de emergencia* se tenga la seguridad $ue funcionar,
La rue-a del lan de emergencia de-e .acerse so-re la -ase de $ue la emergencia
e&iste y se .a de utili#ar resaldos,
Se de-en evitar suosiciones $ue* en un momento de emergencia* .agan inoerante el
resaldo* en efecto* aun$ue el e$uio de cmuto sea aarentemente el mismo* uede
.a-er diferencias en la configuracin* el sistema oerativo* en disco etc,
El lan de emergencia una ve# aro-ado* se distri-uye entre ersonal resonsa-le de su
oeracin* or recaucin es conveniente tener una coia fuera de la direccin de
informtica,
En virtud de la informacin $ue contiene el lan de emergencia* se considerar como
confidencial o de acceso restringido,
La ela-oracin del lan y de los comonentes uede .acerse en forma indeendiente de
acuerdo con los re$uerimientos de emergencia* La estructura del lan de-e ser tal $ue
facilite su actuali#acin,
Para la rearacin del lan se seleccionar el ersonal $ue realice las actividades
claves del lan, El gruo de recueracin en caso de emergencia de-e estar integrado
or ersonal de administracin de la direccin de informtica* de-e tener tareas
esecficas como la oeracin del e$uio de resaldo* la interfa# administrativa,
Los desastres $ue ueden suceder odemos clasificar as3
a1 Comleta destruccin del centro de cmuto,
-1 Destruccin arcial del centro de cmuto,
c1 Destruccin o mal funcionamiento de los e$uios au&iliares del centro de cmuto
/electricidad* aire* acondicionado* etc,1,
d1 Destruccin arcial o total de los e$uios descentrali#ados,
e1 P>rdida total o arcial de informacin* manuales o documentacin,
f1 P>rdida del ersonal clave,
g1 Fuelga o ro-lemas la-orales,
El lan en caso de desastre de-e incluir3
La documentacin de rogramacin y de oeracin,
Los e$uios3
o El e$uio comleto
o El am-iente de los e$uios
o Datos y arc.ivos
o Paelera y e$uio accesorio
o Sistemas /sistemas oerativos* -ases de datos* rogramas1,
El lan en caso de desastre de-e considerar todos los untos or searado y en forma
integral como sistema, La documentacin estar en todo momento tan actuali#ada como
sea osi-le* ya $ue en muc.as ocasiones no se tienen actuali#adas las 4ltimas
modificaciones y eso rovoca $ue el lan de emergencia no ueda ser utili#ado,
Cuando el lan sea re$uerido de-ido a una emergencia* el gruo de-er3
Asegurarse de $ue todos los miem-ros sean notificados*
informar al director de informtica*
Cuantificar el dao o >rdida del e$uio* arc.ivos y documentos ara definir $ue
arte del lan de-e ser activada,
Determinar el estado de todos los sistemas en roceso*
6otificar a los roveedores del e$uio cual fue el dao*
Esta-lecer la estrategia ara llevar a ca-o las oeraciones de emergencias
tomando en cuenta3
o Ela-oracin de una lista con los m>todos disoni-les ara reali#ar la
recueracin
o Sealamiento de la osi-ilidad de alternar los rocedimientos de
oeracin /or e2emlo* cam-ios en los disositivos* sustituciones de
rocesos en lnea or rocesos en lote1,
o Sealamiento de las necesidades ara armar y transortar al lugar de
resaldo todos los arc.ivos* rogramas* etc,* $ue se re$uieren,
o Estimacin de las necesidades de tiemo de las comutadoras ara un
eriodo largo,
Cuando ocurra la emergencia* se de-er reducir la carga de rocesos* anali#ando
alternativas como3
Posoner las alicaciones de rioridad ms -a2a*
Cam-iar la frecuencia del roceso de tra-a2os,
Susender las alicaciones en desarrollo,
Por otro lado* se de-e esta-lecer una coordinacin estrec.a con el ersonal de seguridad
a fin de roteger la informacin,
%esecto a la configuracin del e$uio .ay $ue tener toda la informacin
corresondiente al .ard0are y soft0are del e$uio roio y del resaldo,
De-ern tenerse todas las esecificaciones de los servicios au&iliares tales como energa
el>ctrica* aire acondicionado* etc, a fin de contar con servicios de resaldo adecuados y
reducir al mnimo las restricciones de rocesos* se de-ern tomar en cuenta las
siguientes consideraciones3
5nimo de memoria rincial re$uerida y el e$uio erif>rico $ue ermita
rocesar las alicaciones esenciales,
Se de-e tener documentados los cam-ios de soft0are,
En caso de resaldo en otras instituciones* reviamente se de-er conocer el
tiemo de comutadora disoni-le,
Es conveniente incluir en el acuerdo de soorte recroco los siguientes untos3
Configuracin de e$uios,
Configuracin de e$uios de catacin de datos,
Sistemas oerativos,
Configuracin de e$uios erif>ricos,
ANE(O )
P%OE%A5A DE A"DI7O%IA E6 SIS7E5AS
I6S7I7"CIO6RRRRRRRRRRRRRRRRRRRRRRRR FOGA 6o,RRRRRRRRRRRRRRRRRR
DERRRRRRRRRRRRR
!ECFA DE !O%5"LACIO6RRRRRRRRRRRR
!ASE DESC%IPCIO6
AC7I<I
DAD
6"5E%O DE
PE%SO6AL
PE%IODO
ES7I5ADO
DIAS
FA;
ES7,
DIAS
FO5,
ES7,
PA%7ICIPA67E
I6ICI
O
7E%5I6
O




ANE(O *
A<A6CE DEL C"5PLI5IE67O DEL P%OE%A5A
DE A"DI7O%IA E6 SIS7E5AS
I6S7I7"CIO6RRRRRRRRRRRRRRRRRRRRRRR 6"5E%ORRRRRRRRRRR FOGA
6o,RRRRRRR DERRRRRRR
PE%IODO C"E %EPO%7ARRRRRRRRRRRRRRRRRRRRRRRRRRRR
!A
SE
SI7"ACIO6 DE LA
A"DI7O%IA
PE%IODO %EAL
DE LA
A"DI7O%IA
DIAS
%EALES
"7ILI9A
DOS
E%AD
O DE
A<A6
CE
DIA
S
FO
5,
ES7
,
EUPLICAC
IO6 DE
LAS
<A%IACIO
6ES E6
%ELACIO
6 CO6 LO
P%OE%A5
ADO
6O
I6ICIA
DA
E6
P%OC
ESO
7E%5I6
ADA
I6ICIA
DA
7E%5I6
ADA




ANE(O +
E2emlo de Prouesta de Servicios de Auditoria en Informtica
I, ANTECEDENTES
/Anotar los antecedentes esecficos del royecto de Auditoria1
II, O,-ETIVOS
/Anotar el o-2etivo de la Auditoria1
III, ALCANCES DEL PRO$ECTO
El alcance del royecto comrende3
', Evaluacin de la Direccin de Informtica en lo $ue corresonde a3
Caacitacin
Planes de tra-a2o
Controles
Estndares
(, Evaluacin de los Sistemas
a, Evaluacin de los diferentes sistemas en oeracin /flu2o de informacin*
rocedimientos* documentacin* redundancia* organi#acin de arc.ivos*
estndares de rogramacin* controles* utili#acin de los sistemas1
-, Evaluacin del avance de los sistemas en desarrollo y congruencia con el
diseo general
c, Evaluacin de rioridades y recursos asignados /.umanos y e$uios de
cmuto1
d, Seguridad fsica y lgica de los sistemas* su confidencialidad y resaldos
), Evaluacin de los e$uios
Caacidades
"tili#acin
6uevos Proyectos
Seguridad fsica y lgica
Evaluacin fsica y lgica
I<, METODOLOGIA
La metodologa de investigacin a utili#ar en el royecto se resenta a continuacin3
', Para la evaluacin de la Direccin de Informtica se llevarn a ca-o las
siguientes actividades3
Solicitud de los estndares utili#ados y rograma de tra-a2o
Alicacin del cuestionario al ersonal
Anlisis y evaluacin del a informacin
Ela-oracin del informe
(, Para la evaluacin de los sistemas tanto en oeracin como en desarrollo se
llevarn a ca-o las siguientes actividades3
Solicitud del anlisis y diseo del los sistemas en desarrollo y en oeracin
Solicitud de la documentacin de los sistemas en oeracin /manuales
t>cnicos* de oeracin del usuario* diseo de arc.ivos y rogramas1
%ecoilacin y anlisis de los rocedimientos administrativos de cada
sistema /flu2o de informacin* formatos* reortes y consultas1
Anlisis de llaves* redundancia* control* seguridad* confidencial y resaldos
Anlisis del avance de los royectos en desarrollo* rioridades y ersonal
asignado
Entrevista con los usuarios de los sistemas
Evaluacin directa de la informacin o-tenida contra las necesidades y
re$uerimientos del usuario
Anlisis o-2etivo de la estructuracin y flu2o de los rogramas
Anlisis y evaluacin de la informacin recoilada
Ela-oracin del informe
), Para la evaluacin de los e$uios se llevarn a ca-o las siguientes actividades3
Solicitud de los estudios de via-ilidad y caractersticas de los e$uios
actuales* royectos so-re amliacin de e$uio* su actuali#acin
Solicitud de contratos de comra y mantenimientos de e$uio y sistemas
Solicitud de contratos y convenios de resaldo
Solicitud de contratos de Seguros
Ela-oracin de un cuestionario so-re la utili#acin de e$uios* memoria*
arc.ivos* unidades de entrada@salida* e$uios erif>ricos y su seguridad
<isita t>cnica de comro-acin de seguridad fsica y lgica de la
instalaciones de la Direccin de Informtica
Evaluacin t>cnica del sistema electrnico y am-iental de los e$uios y del
local utili#ado
Evaluacin de la informacin recoilada* o-tencin de grficas* orcenta2e
de utili#acin de los e$uios y su 2ustificacin
I, Ela-oracin y resentacin del informe final / conclusiones y recomendaciones1
<, TIEMPO $ COSTO
/Poner el tiemo en $ue se llevar a ca-o el royecto* de referencia indicando el
tiemo de cada una de las etaas* costo del royecto1