1. UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
Unidad III. Auditoria de Sistemas
2015
Guadalupe del Rosario López Guerrero
María de Jesús Reyes Betancourt
Mónica de los Ángeles Ramirez Moreno
Monica de los Angeles Ramirez MO
2. 2
PLAN DE AUDITORIA
Objetivos de la
auditoria
1. Valorarla situaciónactual de cada una de las áreasde la
organización.
2. Realizarunacomparaciónde la situaciónactual de la
empresaconla situaciónanteriorde lamisma.
3. Identificarlasnoconformidadesencontradasencadaunade
lasáreas de la organización.
4. Proponeraccionescorrectivasparalasno conformidades.
Alcance de la
auditoria
En estaauditoría a diferenciade muchasel auditorfue quienbusco
al cliente yle ofrecióel serviciode auditoriaparaproponerun
sistemade calidadbasadaenla normaISO 9001:2000.
Las áreas a auditarson lassiguientes:
1. Dirección general
2. Administrativa
3. Operativa
4. Desarrollode aplicaciones
Plande desarrollode aplicaciones
Documentaciónde referencia
Propuestasde accionescorrectivas
Personas
involucradas
Mónica de losÁngelesRamírezMoreno.(Directorgeneral)
María de JesúsReyesBetancourt.(Gerente administrativo)
Documentos
referencia
Se tomara como referenciael documentode lanormade calidadISO
9001:2000.
Miembros equipo
auditor
La personaque realzaralaauditoriaesRosarioLópez.Esta persona
se encargara de elaborarel plande auditoria,aplicarlaslistasde
verificaciónyfinalmente realizarel reporte final.
Idioma auditoria El idiomaenel que se realizaralaauditoriaseráenespañol.
Unidades
organizacionales
auditadas
Las unidadesorganizacionalesde divulgaaauditarson:
1. Direccióngeneral
2. Administrativa
3. Operativa
4. Desarrollode aplicaciones
Plande desarrollode aplicaciones
Documentaciónde referencia
Propuestasde accionescorrectivas
Fecha estimada y
duración de las
actividades
La fechaaplicable paralalistade verificaciónserá:
1. Direccióngeneral: Junio23
2. Administrativa: junio24
3. Operativa:junio25
4. Desarrollode aplicaciones: junio29
Plande desarrollode aplicaciones
Documentaciónde referencia
Propuestasde accionescorrectivas
La duraciónde lasactividadesseránomás de treshoras para cada
área.
3. 3
Programar las
reuniones con la
administración
Las reunionesconlaadministraciónserándos,unaal iniciode la
auditoriayotra al final de lamisma.
Requisitos de
confidencialidad
La organizaciónhasolicitadouncuidadoespecial de la
documentaciónsobre todoaquelloque implicalosprocedimientos
para la realizacióndel servicio.
Distribución del
informe de
auditoría y fecha
de emisión
La entregadel reporte final seráparaprincipiosdelmesde Julio.El
reporte incluye lasnoconformidadesdetectadasasícomo también
la propuestaalas accionescorrectivas.
4. 4
Lista de Verificaciòn
Proceso Auditado
Identificaciòn documento registro: Caracterizaciòn de Proceso.
Norma CUMPLE
SI NO COMENTARIO
Planificaciòn X Sus objetivos se enmarcan según los objetivos
estratégicos del sistema.
Relaciòn con
otros procesos
X Se evidencia relación con otros procesos.
Cambios y
version actual
X Se evidencia fechas y revisión de actualizaciones
Accesibilidad X Es accesible al público pertinente.
Legibilidad e
Identificaciòn
X Se identifica fácilmente y está en perfectas
condiciones.
Documentos
Externos
N/A No posee relación con documentos externos.
Documentos
Obsoletos
X Se previene el uso de documentos obsoletos.
6. 6
LISTAS DE COMPROBACION
LISTA DE COMPROBACIÓN
“Auditoria de la fase de análisis”
Objetivo General:
Pretende obtenerunconjuntode especificacionesformalesque describanlasnecesidadesde la
informaciónque debe sercubiertaporel nuevosistemade unaformaindependientedel entorno
técnico.
Objetivos Específicos:
Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma
clara los requisitos del mismo.
En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema
cumpla los requisitos establecidos
El nuevosistemadebe especificarse de formacompletadesde el puntode vista funcional, contando
esta especificación con la aprobación de los usuarios
1 Se debe Comprobar que : SI NO Observaciones
2 Existe un documento aprobado por el comité de
direcciónenel que determinanformalmenteel grupode
usuarios que participaran en el proyecto.
x Al momento de que a
la persona se le
cuestiono en la
auditoria, mostro la
documentación
comprobada donde
participan los usuarios
en el proyecto.
3 Los usuarios elegidos son suficientemente
representativosde lasdistintasfuncionesque se llevana
cabo en las unidades afectadas por el nuevo sistema
x
4 Se les ha comunicado a los usuarios su participación en
el proyecto, informándoles del ámbito del mismo y de
que es lo que se espera de ellos, así como la dedicación
estimada que les supondrá esta tarea.
x Existe la
documentación
validada,donde todos
estáninformados,así
como sudedicacióna
la misma.
5 Existe un plan consensuado con el comité de dirección
que detalla por cada entrevista la fecha, hora y lugar,
tipode entrevista(individual,engrupo,porescrito, etc.)
y un guion de los aspectos que se van a preparar.
x No se realizaron
entrevistas
6 Se entrevista a todos los integrantes en el grupo de
usuarios y a todos los responsables de las unidades
afectadas.
x
7 Se remite el guion a los entrevistados con tiempo
suficienteparaque estospuedanprepararlaentrevistay
x
7. 7
la documentación que deseen aportar a la misma.
8 El guion incluye todas las cuestiones necesarias para
obtener información sobre las funciones que el
entrevistado realiza en su unidad y los problemas que
necesita resolver
x Se muestra la
información necesaria
en cuanto funciones
que los entrevistados
van a contestar
9 Se ha realizado un modelo físico del sistema actual,
incluyendolosobjetivos y funciones de cada unidad, así
como sus flujos de entrada y salida de información
x
10 Se han catalogado los problemas del sistema actual así
como que estos problemas son reales
x
11 Se han realizado el modelo lógico de datos y el modelo
lógicode procesodel sistemaactual, así como que estos
son correctos y que se han llevado a cabo con las
técnicas usadas en el área
x Se mostro información
acerca de los modelos
bien diseñados para el
proyecto
12 Existe el catálogo de requisitos que están justificados. x
13 Los requisitos son concretos y cuantificables, de forma
que pueda determinarse el grado de cumplimiento al
final del proyecto
x Los requisitos fueron
mostrados en forma al
cumplimiento del
proyecto
14 Cada requisito tiene una prioridad y está clasificado en
funcional o no funcional.
x
15 El catálogode requisitoshasidorevisadoyaprobadopor
el grupo de usuarios y por el comité de dirección,
constituyendo a partir de este momento del “contrato”
entre estos y el equipo de desarrollo del proyecto
x
16 De El procedimiento existe y está aprobado
be existir el diccionario de datos o repositorio
x Se mostro información
acerca del diccionario
de datos para el
proyecto.
17 la especificacióndelnuevosistemaincluirálosrequisitos
de seguridad rendimiento, copias de seguridad y
recuperación etc
x
18 Es coherente conel procedimientode control de cambio
general para el proyecto.
x
19
8. 8
Objetivo del Control C2:
1 Se debe comprobar que: SI NO Observaciones
2 Existe undocumentoenque se describenlas
distintas alternativas.
x Se comprobóque
existe un
documentode
alternativas.
3 Hay más de una alternativa y en caso
contrario, que no existe realmente otra
posible.
x
4 Cada alternativa está descrita desde un
punto de vista lógico (al menos modelo
lógico de procesos) y es coherente con los
requisitos establecidos.
x En la auditoria
se mostraron
alternativas
coherentes.
5 Si existe en el mercado a un producto que
cumpla con unas mínimas garantías los
requisitos especificados, una de las
alternativas debe ser su compra.
x
6 Si no lo impiden las características del
proyecto una de las alternativas debe ser el
desarrollo del sistema por parte de una
empresa externa.
x
7 Se han evaluado las ventajas e
inconvenientesde cadaalternativade forma
objetiva (análisis coste/beneficio por
ejemplo) así como los riesgos asociados.
x Se encontraron
pruebas de
evaluación de
ventajas.
8 El comité de dirección ha seleccionado una
alternativa como la más ventajosa y es
realmente la mejor para la organización.
x
10. 10
OBJETIVODE CONTROL D1
Se debe comprobarque: SI NO Observaciones
1 Se ha partido de los modelos
realizados en el análisis de requisitos
del sistema.
x Cada integrante del
equiporealizaanálisisdel
sistema.
2 Existe el MLP, se ha realizado con
la técnica adecuada (normalmente
diagramas de flujo de datos) y es
correcto técnicamente. Describirá
que debe realizar el sistema sin
entrar en la forma en que lo hará.
Los procesos manuales deben
estar diferenciados. Los usuarios
deben entender las convenciones
de símbolos usados.
x
3 En el diagrama de contexto están
reflejados todos los agentes
externos, incluidos otros sistemas
con los que el sistema intercambia
información. Para cada flujo de
datos de entrada o de salida debe
estar documentado el contenido, la
frecuencia, suceso que lo origina,
etc.
x Se establecieronlos
diagramasadecuadoscon
lascaracterísticas
correspondientes.
4 Existe el MLD se ha realizado con
la técnica adecuada (normalmente
modelo entidad-relación o
diagramas de estructura de datos)
y es correcto técnicamente. Debe
estar normalizado al menos hasta
la tercera forma normal.
x
5 En el MLD están reflejadas todas
las entidades con sus atributos y
claves, así como las relaciones
entre las mismas.
x Dentrodel proyectose
reflejaronentidadesy
atributos.
6 El MLP y el MLD son coherentes
entre sí. La consolidación se debe
hacer usando técnicas adecuadas
(historia de la vida de las
entidades, por ejemplo).
x
7 El MLP y el MLD han sido
aprobados por los usuarios y por
el comité de dirección.
x
8 Existe el diccionario de datos, es
correcto y se gestiona de forma
automatizada.
x El diccionariode datosse
mostroen momentode la
auditoria.
9 Se respetan en su gestión todos
los procedimientos de control de
x
11. 11
cambios.
Se han descrito con suficiente
detalle las pantallas atraves de las
cuales el usuario navegara por la
aplicación, incluyendo todos los
campos significativos, teclas de
función disponibles menús,
botones, etc., si hay normas de
diseño o estilo de pantallas en el
área se verificara que se respetan
11 Se han escrito con suficiente
detalle los informes que se
obtendrán del sistema y los
formularios asociados, si estos
existen si hay normas de diseño o
estilo de informes y formularios en
el área se verificara que se
respetan
x Se mostro de manera
detalladainformesde
sistemadel proyectocon
dichosformularios.
12 La interfaz de usuario se ha
aprobado por el grupo de usuarios
y el comité de dirección
x Los integrantesdel equipo
estánde acuerdocon la
aprobaciónde interfaz.
13 Que esta información se ha
solicitado a los usuarios en las
entrevistas correspondientes a
este módulo se ha documentado y
contrastado
x
14 Se han añadido estos requisitos al
dialogo de requisitos ya realizados
en el ARS.
x
15 Se ha elaborado el plan de
pruebas de aceptación de sistema
que este es coherente con el
catálogo de requisitos y con la
especificación funcional del
sistema y que es aceptado por el
grupo de usuarios y por el comité
de dirección
x Se realizaronplande
pruebaspara el
funcionamientodel
sistemade manera
actualizadaycoherente.
16 El plan de prueba de aceptación
tiene en cuenta todos los recursos
necesarios
x
12. 12
LISTA DE COMPROBACIÓN
“APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”.
Objetivo General:
El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Objetivos Específicos:
Debe existir una orden de aprobación del proyecto que defina claramente los
objetivos, restricciones y las unidades afectadas.
Deben designarse un responsable o director del proyecto.
El proyecto debe ser catalogado y, en función de sus características, se debe
determinar el modelo del ciclo de vida QUE SE SIGUIRA.
Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que
realizara el proyecto y determina el plan del proyecto.
1 Se debe Comprobar que : SI NO Observaciones
2 Exista una orden de aprobación del proyecto
refrendada por un órgano competente. El
estudio de viabilidad debe haber seguido el
cauce establecido.
x se comprobó la
validación del
proyecto por el
órgano competente
3 En el documento de aprobación están definidos
de forma clara y precisa los objetivos del
mismo y las restricciones de todo tipo que
deben tenerse en cuenta (temporales, recursos
técnicos, recursos humanos, presupuesto, etc.)
x
4 Se ha identificado las unidades de la
organización a las que afectan.
x
5 La designación se ha llevado acabo según el
procedimiento establecido.
x Se han designado
procedimientos
establecidos, con
acuerdo de los
usuarios.
6 Se le ha comunicado al director su
nombramiento junto con la información
relevante del proyecto.
x
7 Se ha catalogado y dimensionado proyecto
según las normas establecidas.
x
8 Se ha evaluado los riesgos asociados al
proyecto, especialmente cuando se van usar
tecnología no usaba hasta el momento.
x Más o menos.
9 Se ha elegido el ciclo de vida más adecuado al x Si contiene la
13. 13
tipo del proyecto de que se trata. documentación
10 Se ha hecho información histórica que se
dispone tanto para dimensionar el proyecto y
sus riesgos como para seleccionar el ciclo de
vida.
x
11 Se prestaran atención si se elige un ciclo de
vida basado en el prototipado. En este caso
debe cumplirse los requisitos necesarios para
aplicarse con éxito (dificultad para los usuarios
para expresar los requisitos y disponibilidades
de una herramienta de construcción rápida de
prototipos) y debe existir un acuerdo con los
usuarios sobre el alcance del prototipo y de los
objetivos que se persiguen con el mismo.
x
12 La asignación del director del proyecto y el
equipo de desarrollo que se ha llevado acabo
según el procedimiento establecido.
x Si contiene la
documentación.
13 Los participantes que permanezcan a otra área
(sistemas, comunicaciones u ofimática, etc.)se
han solicitado según el protocolo existente.
x
14 Si participan personal externo, los perfiles
profesionales son adecuados a las funciones
que van a realizar. El contrato suplente del
protocolo de contratación.
x Si existe la
documentación
15 Se ha comunicado a todos los miembros del
equipo de desarrollo los objetivos del proyecto,
la responsabilidad que tendrán en el mismo, las
fechas en la que participaran y la dedicación
(completa/parcial).
x
16 El plan de proyectos realizado es realista y
utiliza la información histórica de la que se
disponga para realizar estimaciones
x Si existe la
documentación
Objetivo General:
El proyecto se debe gestionar de forma que se consigan los mejores resultados
posibles teniendo en cuenta las restricciones de tiempo y recurso. Los criterios
usados serán coherentes con los objetivos de las unidades afectadas
14. 14
Objetivos Específicos:
Los responsables de las unidades o áreas afectadas por el proyecto deben
participar en la gestión del proyecto
Se debe establecer un mecanismo para la resolución de los problemas que pueden
plantearse a lo largo del proyecto. Se debe comprobar que:
Debe existir un control de cambio de a lo largo del proyecto.
Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el
modulo o fase, debe hacerse de forma adecuada.
Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo
largo del proyecto
1 Se debe Comprobar que : SI NO Observaciones
2 Se ha constituido formalmente el comité de
dirección del proyecto y en él están incluidos
los responsables de todas las unidades
afectadas.
x Si existe la
documentación
3 El comité tiene una periodicidad de reunión
mínima y en cualquier caso siempre que lo
exija el desarrollo del proyecto, debe tener
competencia para la asignación de recursos, la
revisión de la marcha del proyecto y para
modificar el plan del proyecto en función de las
revisiones.
x
4 Las reuniones se hacen con un orden del día y
las decisiones tomadas quedan documentadas
en las actas de dicho comité.
x No existe dicho
documento.
5 El número de reuniones y la duración de las
mismas no superan un límite razonable
x
6 Existen hojas de registro de problemas y hay
alguna persona del proyecto encargada de su
recepción, así como un procedimiento conocido
de tramitación.
x
7 Hay un método para catalogar y dar prioridad a
los problemas, así como para trasladarlos a la
persona que los debe resolver, informando si
es necesario al director del proyecto y al comité
de dirección.
x Si existe la
documentación
8 Se controla la solución del problema y se deja
constancia de la misma.
x
15. 15
9 Existe un mecanismo para registrar cambios
que pudieran producirse así como para evaluar
el impacto de los mismos.
x Si existe la
documentación
10 La documentación afectada se actualiza de
forma adecuada y se lleva un control de
versiones de cada producto, consignado la
última fecha de actualización.
x
11 Se remite la nueva versión de los documentos
actualizando a los participantes en el proyecto.
x
12 Se respetan los límites temporales y
presupuestarios marcados al inicio del
proyecto.
x Si existe la
documentación
13 Se han tenido en cuenta los riesgos del
reajuste.
x
14 Se notifica el cambio a todas las personas que
de una u otra forma participen en el proyecto y
se ven afectados.
x Si existe la
documentación
15 Si existe un plan de sistemas, se actualiza en
consecuencia.
x
16 Existe un procedimiento que permita registrar a
los tiempos que cada participante del proyecto
de dedica al mismo y que tarea realiza en este
tiempo.
x
17 Las productividades que se obtienen para
distintos empleados en las mismas tareas son
similares y están en consonancia con la
información histórica.
x Si existe la
documentación
18 Antes de comenzar una nueva etapa se ha
documentado la etapa previa y se ha revisado y
aceptado, especialmente en las fases de
análisis y diseño.
x
19 La documentación cumple con los estándares
establecidos en el área.
x Si existe la
documentación
20 Se respeta el plan establecido y en caso x
16. 16
contrario se toman las medidas oportunas o se
procede a la aprobación de una modificación
del plan
21 Se respeta el uso de recursos previamente
establecido.
x
22 La documentación de proyecto es completa y
está catalogada perfectamente para accesos
posteriores.
x Si existe la
documentación
23 Los recursos, tanto personales como
materiales, se ponen a disposición del área o
departamento del que provienen.
x
24 El comité de dirección y el director del proyecto
hacen balance del proyecto, estudiando los
posibles problemas y sus causas, los cambios
del plan, etc. Toda esta información se registra
en los archivos históricos sobre estimaciones y
problemas.
x
25 La nueva aplicación se incorpora al catálogo de
aplicaciones existentes con toda la información
relevante de la misma
x Si existe la
documentación
LISTA DE COMPROBACIÓN
“AUDITORÍA DE LA FASE DE DISEÑO”.
Objetivo General:
Se debe definir una arquitectura física para el sistema coherente con la
especificación funcional que se tenga y con el entorno tecnológico elegido.
Objetivos Específicos:
El entorno tecnológico debe estar definido de forma clara y ser conforme a los
estándares del departamento de informática.
Se deben identificar todas las actividades físicas a realizar por el sistema y
descomponer las mismas de forma modular.
17. 17
Se debe diseñar la estructura física de datos adaptando las especificaciones del
sistema al entorno tecnológico.
Se debe diseñar un plan de pruebas que permita la verificación de los distintos
componentes del sistema por separado, así como el funcionamiento de los distintos
subsistemas y del sistema en conjunto.
La actualización del plan de proyecto seguirá los criterios ya comentados.
Se debe Comprobar que : SI NO Observaciones
1 Están perfectamente definidos todos los
elementos que configuran el entorno
tecnológico para el proyecto (servidores,
computadoras personales, periféricos, sistemas
operativos, conexiones de red, protocolos de
comunicación, sistemas gestores de bases de
datos, compiladores, herramientas CASE,
middleware en caso de programación
cliente/servidor, librerías, etc).
x Se demostró en la
parte de diseño,
los elementos
necesarios que
configuran el
entorno.
2 Se dispone de los elementos seleccionados,
están dentro de los estándares del
departamento de informática y son capaces de
responder a los requisitos establecidos de
volúmenes, tiempos de respuesta, seguridad,
etc.
x
3 Se han documentado todas las actividades
físicas que debe realizar el sistema.
x
4 El catálogo de actividades es coherente con las
funciones identificadas en el MLP del módulo
EFS.
x
5 Se han identificado las actividades que son
comunes, así como las que ya existen en las
librerías generales del área.
x
6 Existe el documento con el diseño de la
estructura modular del sistema, se ha realizado
con una técnica adecuada y es correcto.
x se mostro el
documento
correcto del
diseño de la
estructura.
7 El tamaño de los módulos es adecuado, el
factor de acoplamiento entre ellos es mínimo y
la cohesión interna de cada módulo es máxima.
x
8 Los módulos se diseñan para poder ser usados
por otras aplicaciones si fuera necesario.
x Me contesto :
porque si
9 Los componentes o programas del nuevo
sistema se han definido con detalle a partir del
diseño modular, la definición es correcta y
sigue los estándares del área. La descripción
de los componentes es suficiente para permitir
x
18. 18
su programación por parte de un programador
sin conocimiento previo del sistema.
10 Se han detallado las interfaces de datos y
control con otros módulos y sistemas, asá
como la interfaz de usuario ya especificada en
el módulo EFS.
x
11 El módulo físico de datos está basado en el
MLD obtenido en el módulo EFS e incluye
todas las entidades, relaciones, claves, vistas,
etc.
x
12 Tiene en cuenta el entorno tecnológico y los
requisitos de rendimiento para los volúmenes y
frecuencias de acceso estimados.
x No hay
comentarios
13 Existe el plan de pruebas y contempla todos los
recursos necesarios para llevarlas a efecto.
x
14 Las personas que realizarán las pruebas de
verificación son distintas a las que han
desarrollado el sistema.
x Cada integrante
realizo su
correspondencia
de trabajo en el
proyecto.
15 Existe el plan para validar cada uno de los
componentes del sistema, incluyendo pruebas
del tipo caja blanca para cada módulo. Tendrán
en cuenta todas las posibles condiciones
lógicas de ejecución, además de posibles fallos
del hardware o software de base.
x
16 Permite validar la integración de los distintos
componentes y el sistema en conjunto.
x Se demostró la
validación del
proyecto.
LISTA DE COMPROBACIÓN (Parte 1)
“AUDITORÍA DE LA FASE DE IMPLANTACIÓN”
Objetivo General:
El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en
explotación.
Objetivos Específicos:
Se de ben realizar las pruebas del sistema que se especificaron en el diseño del
mismo.
19. 19
El plan de implantación y aceptación se debe revisar para adaptarlo a la situación
final del proyecto.
El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.
Se debe comprobar que: SI NO Observaciones
1
Se prepara el entorno y los recursos
necesarios para realizar las pruebas.
x Se demostró la
preparación del
entorno necesario
en el sistema.
2
Las pruebas se realizan y permiten verificar si
el sistema cumple con las especificaciones
funcionales y si interactúa correctamente con el
entorno, incluyendo interfaces con otros
programas, recuperación ante fallos, copias de
seguridad, tiempos de respuesta, etc.
x
3
Se han evaluado los resultados de las pruebas
y se han tomado las acciones correctas
necesarias para solventar las incidencias
encontradas, actualizándose el proyecto en
consecuencia.
x Se mostraron las
evaluaciones
correspondientes de
las pruebas de
proyecto.
4
Se revisa el plan de implantación original y se
documenta adecuadamente.
x
5
Está incluida la instalación de todos los
componentes desarrollados, así como los
elementos adicionales (librerías, utilidades,
etc.).
x
6
Incluye la inicialización de datos y la
conversión si es necesaria.
x Desconoce el
contenido
7
Especifica los recursos necesarios para cada
actividad, así como que el orden marcado para
las actividades es compatible.
x
8
Se ha tenido en cuenta la información histórica
sobre estimaciones.
x No existen
muestras
9
Se sigue el plan de pruebas de aceptación
aprobado en la fase de análisis, que debe
incluir la conversión de datos y la explotación.
x
10
Las pruebas de aceptación son realizadas por
los usuarios.
x Los usuarios
realizaron pruebas
correspondientes.
11
Se evalúan los resultados de las pruebas y se
han tomado las acciones correctas necesarias
x
20. 20
para solventar las incidencias encontradas,
actualizándose el proyecto en consecuencia.
12
El grupo de usuarios y el comité de dirección
firman su conformidad con las pruebas de
aceptación.
x
LISTA DE COMPROBACIÓN (Parte 2)
“AUDITORÍA DE LA FASE DE IMPLANTACIÓN”
Objetivo General:
El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento
solo cuando haya sido aceptado y esté preparado todo el entorno en el que se
ejecutará.
Objetivos Específicos:
Se deben instalar todos los procedimientos de explotación.
Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma
coordinada con la retirada del antiguo, migrando los datos si es necesario.
Debe firmarse el final de la implantación por parte de los usuarios.
Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras
semanas para evitar situaciones de abandono de uso del sistema.
Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.
Se debe comprobar que: SI NO Observaciones
1
Se han instalado además del sistema principal
todos los procedimientos auxiliares, por ejemplo
copias, recuperación, etc., tanto manuales como
automáticos.
x Al momento de
realizar la auditoria se
mostro la instalación
del sistema.
2 Están documentados de forma correcta. x
3
Los usuarios han recibido la formación
necesaria y tienen en su poder toda la
documentación necesaria, fundamentalmente
manuales de usuario.
x
4
Se han eliminado procedimientos antiguos que
sean incompatibles con el nuevo sistema.
x Se ha realizado
correctamente el
procedimiento
actualizado.
5 Hay un periodo de funcionamiento en paralelo x
21. 21
de los dos sistemas, hasta que el nuevo sistema
esté funcionando con todas las garantías. Esta
situación no debe prolongarse más tiempo del
necesario.
6
Si el sistema antiguo se va a mantener para
obtener información se debe dejar en
explotación el modo de sólo consulta.
x
7
Los datos se convierten de acuerdo al
procedimiento desarrollado y se verifica la
consecuencia de la información entre el sistema
nuevo y el antiguo.
x
No había ningún
sistema antiguo
8
Existe el documento y que han sido firmados
por el comité de dirección y por el grupo de
usuarios.
x
9
Contiene de forma explícita la aceptación de la
implantación correcta del sistema.
x Se ha comprobado
que la información es
explicita y real.
10
El índice de utilización del sistema es adecuado
a los volúmenes que se esperaban para cada
una de las áreas afectadas por el nuevo
sistema.
x
11
Se ha comprobado, al menos informalmente, la
impresión de los usuarios respecto al nuevo
sistema.
x
12
El mecanismo existe y está aprobado por el
director del proyecto, por el comité de dirección
y por el área de mantenimiento, si ésta
existiese.
x El director de
proyecto ha aprobado
el mecanismo, del
sistema.
13
Tiene en cuenta los tiempos de respuesta
máximos que se pueden permitir ante
situaciones de no funcionamiento.
x
14
El procedimiento a seguir ante cualquier
problema o para el mantenimiento del sistema
será conocido por todos los usuarios. Incluirá al
menos la persona de contacto, teléfono,
esquema de información a aportar, etc.
x
22. 22
LISTA DE COMPROBACIÓN
“Auditoria De La Fase De Construcción “
OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando
técnicas de programación correctas.
C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así
como los procedimientos de operación, antes de iniciar el desarrollo.
C-FI-2: se debe programar, probar y documentar cada uno de los componentes
identificados en el diseño del sistema.
C-F1-3: deben realizarse las pruebas de integración para asegurar que las
interfaces, entre los componentes o módulos funcionan correctamente. Se debe
comprobar que.
OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar
capacitados y disponer de todos los medios para hacer uso del sistema.
C-G1-1: el desarrollo de los componentes de usuario debe estar planificado
C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema
C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de
estándares del área
C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los
procesos de formación o selección de personal necesario
C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los
usuarios con el nuevo sistema
Se Debe Comprobar Que: Si No Observaciones
1 Se han creado e inicializado las bases de
datos o archivos necesarios y que cumplen
las especificaciones realizadas en el
módulo de diseño.
x se mostraron pruebas
correspondientes
acerca de las bases
de datos en el modulo
de diseño.
2 En ningún momento se trabaja con
información que se encuentra en
explotación.
x
3 Se han preparado los procedimientos de
copia de seguridad.
x se mostro información
acerca de las copias de
seguridad del proyecto.
23. 23
4 Se han preparado los editores,
compiladores, herramientas, etc.
Necesarios.
x
5 Están disponibles los puestos de trabajo y
el acceso a los equipos, redes etc.
x
6 Están disponibles todos los elementos
lógicos y físicos para realizar las pruebas
unitarias de los componentes y las pruebas
de integración.
x al momento de realizar
la auditoria se mostraron
los elementos físicos y
lógicos del proyecto
7 Están documentados todos los
procedimientos de operación para cuando
el sistema esté en explotación.
x
8 Los procedimientos se llevan a cabo
después de tener la especificación
funcional del sistema y antes de la
implementación del mismo.
x
9 Están definidos los distintos perfiles de
usuario requerido para la implantación y
explotación del nuevo sistema.
x Se demostraron los
perfiles de usuario para
iniciar con el nuevo
sistema.
10 Se han desarrollados todos los
componentes y módulos
x
11 Se han seguido los estándares de
programación, documentación del área ,
código es estructurado , está bien
sangrado y contiene comentarios suficiente
x
12 Se han probado cada componentes y se a
generado e informe de prueba. Si los
resultados de las pruebas no san
satisfactorio se modifica el código y se
vuelve a realizar la prueba. Si se detecta
una falla de especificación o diseño, el
proyecto se actualizara según el
procedimiento establecido para ello
x se comprobó la
información acerca
componentes e informes
de prueba.
13 Las pruebas de integración se han llevado
acabo según lo especificado en el plan de
pruebas realizado en el módulo de diseño
x
14 Se han evaluado las pruebas y se han
tomado las acciones correctivas
necesarias para solventar las incidencias
encontradas, actualizándose el proyecto
x
24. 24
en consecuencia
15 No han participado los usuarios. En las
pruebas de integración solo debe participar
el equipo de desarrollo
x se le ha informado a los
usuarios en participación
solo de equipo de
desarrollo.
16 El plan del proyecto está incluido el plan de
desarrollo de los procedimientos de
usuario e incluye todo las actividades y
recursos necesarios
x
17 Para cada perfil se ha definido el rango de
fechas y la dedicación necesaria.
x se realizo el rango de
fechas para cada perfil.
18 Están desarrollados todos los
procedimientos de usuario, recopilados,
formando el manual de usuario, y son
coherentes con las actividades descritas
en EFS.
x
19 Cada procedimiento describe claramente
que realiza, el perfil de usuario asociado,
asi como los recursos que son necesarios
(equipos, consumibles, periféricos
especiales, espacio, etc.).
x
20 Los manuales de usuario y el resto de
procedimientos cumplen los estándares del
área y llevan asociado su control de
versiones.
x se comprobó que los
manuales están
correctamente
diseñados, además de
que cumplen con los
estándares.
21 La comparación de perfiles de usuarios y
recursos requeridos con los actuales es
realista y los procedimientos que se
derivan son adecuados y están aprobados
por los responsables de las unidades
afectadas.
x
25. 25
AUDITANDO LA RED FÍSICA
Es una primera división, se establecen distintos riesgos para los datos que circulan dentro
del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qué
punto de las instalaciones físicas del edificio ofrecen garantías y han sido estudiadas las
vulnerabilidades existentes.
En general, muchas veces se parte del supuesto que no existe acceso físico desde el
exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe
comprobarse que efectivamente los accesos físicos provenientes del exterior han sido
debidamente registrados, para evitar estos accesos. Debe también comprobarse que
desde el interior del edificio no se intercepta físicamente el cableado.
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál es la parte del
cableado que queda en condiciones de funcionar y que operatividad puede soportar. Ya
que el tendido de cables es una actividad irrealizable a muy corto plazo los planes de
recuperación de contingencias deben tener previamente la recuperación en
comunicaciones.
Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia
de comunicaciones y al gerencia de mantenimiento general de edificios que es quien suele
aportar electricistas y personal profesional para el tendido físico de cables y su
mantenimiento.
Como objetos de control, se debe marcar la existencia de:
Áreas controladas por los equipos de comunicaciones previniendo el acceso inadecuado.
Protección y tendido adecuado de cables y líneas de comunicaciones para evitar para
evitar accesos físicos.
Controles de utilización de equipos de prueba de comunicaciones para monitorizar la red y
su tráfico, que implica su utilización inadecuada.
Atención específica a la recuperación de los sistemas de comunicación de datos en el plan
de recuperación de desastres en sistemas de información.
Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la red de
datos para prevenir accesos no autorizados al sistema o a la red.
LISTA DE CONTROL SI NO Observaciones
26. 26
1 El equipo de comunicaciones se mantiene en
habitaciones cerradas con acceso limitado a
personas autorizadas.
Se comprobó la
documentación
necesaria.
2 La seguridad física de los equipos de
comunicaciones tales, como controladores de
comunicaciones, dentro de las salas de
computadoras sea adecuado.
Existe la documentación
3 Solo personas con responsabilidad y
conocimiento están incluidas en la lista de
personas permanentemente autorizadas para
entrar en las salas de equipos de
comunicaciones.
4 Se toman medidas para separar las actividades
de electricistas y personal de tendido y
mantenimiento de tendido de líneas telefónicas,
así como sus autorizaciones de acceso , de
aquellas de personal bajo control de la gerencia
de comunicaciones
Hay personal para el
cumplimiento de la
actividad.
5 En las zonas adyacentes a la sala de
comunicaciones, todas las líneas de
comunicaciones fuera de la vista.
6 Las líneas de comunicaciones, en las salas de
comunicaciones, armarios distribuidores y
terminaciones de los despachos, estarán
etiquetadas con un código gestionado por la
gerencia de comunicaciones, y no por su
descripción física o métodos sin coherencia.
x No aplica.
7 Existen procedimientos para la protección de
cables y bocas de conexión que dificulten el que
sea conectado por personas no autorizadas.
8 Se revisa periódicamente la red de
comunicaciones, buscando intercepciones
activas o pasivas.
Se realizan mejorías de
red.
Los equipos de prueba de comunicaciones
usados para resolver los problemas de
comunicaciones de datos deben tener propósitos
y funciones definidos.
9 Existen controles adecuados sobre los quipo de
prueba de comunicaciones usados para
monitorizar líneas y fijar problemas incluyendo:
Procedimiento restringido el uso de estos equipos
X No aplica
27. 27
a personal autorizado.
Facilidades de traza y registro del tráfico de datos
que poseen los equipos de monitorización.
Procedimientos de aprobación y registro ante las
conexiones a líneas de comunicaciones en la
detección y corrección de problemas.
10 El plan general de recuperación de desastres
para servicios de información presta adecuada
atención recuperación y vuelta al servicio de los
sistemas de comunicación de datos
X No aplica
11 Existen planes de contingencia para desastres
que solo afecten a las comunicaciones, como el
fallo de una sala completa de comunicaciones.
12 Las alternativas de respaldo de comunicaciones,
bien sea como las mismas salas o con salas de
respaldo, consideran la seguridad física de estos
lugares.
13 Las líneas telefónicas usadas para datos, cuyos
números no deben ser públicos, tienen
dispositivos procedimientos de seguridad como
retrollamada, código de conexión o interruptores
para impedir accesos no autorizados al sistema
informático.
Contiene seguridad
28. 28
AUDITANDOLA RED LÓGICA
Cada vezse tiende aque un equipopuedacomunicarse concualquierotroequipo,de maneraque sealared
de comunicacionesel substratocomúnque lesune.Leídoala inversa,laredhace que un equipopueda
accederlegítimamenteacualquierotro,incluyendoal tráficoque circule haciacualquierequipode lared.Y
todoellopormétodosexclusivamente lógicos,sinnecesidadde instalarfísicamenteningúndispositivo.
Simplementesi unequipo,porcualquiercircunstancia,se pone aenviarindiscriminadamente mensajes,
puede sercapaz de bloquearlaredcompletaypor tanto, al restode losequiposde la instalación.
Es necesario monitorearlared,revisarloserroresosituacionesanómalasque se producenytener
establecidoslosprocedimientosparadetectaryaislarequiposensituaciónanómala.Engeneral,si se quiere
que la informaciónque viajaporlaredno puedaserespiada,laúnicasolucióntotalmenteefectivaenla
encriptación.
Comoobjetivosde control,se debe marcarlaexistenciade:
Contraseñasyotros procedimientosparalimitarydetectarcualquierintentode accesono
autorizadoa la redde comunicaciones.
Facilidadesde control de erroresparadetectarerroresde unatransmisiónyestablecerlas
retransmisionesapropiadas.
Controlesparaasegurarque las transmisionesvansolamente ausuariosautorizadosyque los
mensajesnotienenporque seguirsiempre lamisma ruta.
Registrode laactividadde la redpara ayudar a reconstruirincidenciasydetectaraccesosno
autorizados.
Técnicasde cifradode datosdonde hayariesgosde accesosimpropiosatransmisionessensibles.
Controlesadecuadosque cubranlaimportancia oexportaciónde datosa travésde puertas, en
cualquierpuntode lared,a otros sistemasinformáticos
Comprobarque:
LISTA DE CONTROL SI NO Observaciones
1 El software de comunicaciones,parapermitirel acceso,
exige códigode usuarioy contraseña.
Existen
evidenciasde las
personas
autorizadas.
2 Revisarel procedimientode conexiónde usuarioy
comprobarque:
Los usuariosnopuedenaccederaningúnsistema,ni
siquierade ayuda,antesde haberse identificado
correctamente.
Se inhabilitaal usuarioque seaincapazde dar la
contraseñadespuésde unnúmerodeterminadode
intentosinfructuosos.
Se obligaa cambiar lacontraseñaregularmente.
Las contraseñasno sonmostradasenpantallacuando
se teclean.
Durante e procedimientode identificación,losusuarios
x No aplica
29. 29
son informadosde cuandofue suúltimaconexiónpara
ayudar a identificarpotencialessuplantacioneso
accesosno autorizados.
3 Cualquierprocedimientodelfabricante,mediante
hardware o software,que permitalibreaccesoyque
haya sidoutilizadoenlainstalaciónoriginal,hade
habersidoinhabilitadoocambiado.
4 Se toman estadísticasque incluyantasasde erroresy
retransmisión.
5 Los protocolosutilizados,revisadosconel personal
adecuadode comunicaciones,disponende
procedimientosde control de erroresconlaseguridad
suficiente.
6 Los mensajeslógicostransmitidosidentificanel
originarte,lafecha,lahora y el receptor.
x No aplica
7 El software de comunicacionesejecuta procedimientos
de control y correctivosente
x No aplica
8 Mensajesduplicados,fuerade órdenes,perdidos,o
retrasados.
X No aplica
9 La arquitecturade comunicacionesutilizada
indistintamente cualquierrutadisponible de
transmisiónparaminimizarel impactode unaescucha
de datos sensibleenunaruta determinada.
x No aplica
10 Existencontrolesparaque losdatossensiblessolo
puedanserimpresosenlasimpresorasdesignadasy
vistosdesde listerminalesautorizados.
x No aplica
11 Existenprocedimientosde registroparacapturar y
ayudar a reconstruirtodaslasactividadesde las
transacciones.
X No aplica
12 Los activosde registrosonrevisados,se el posiblea
travésde herramientasautomáticas,diariamente,
vigilandointentos impropiosde acceso.
Tiene uncontrol.
13 Existenanálisisde riesgosparalasaplicacionesde
procesode datos a finde identificaraquellasenlasque
el cifradoresulte apropiado.
Identificael
análisisde
riesgos.
14 Si se utilizacifrado:
Existenprocedimientosde control
sobre la generacióne intercambiode
claves.
Las clavesde cifradoson cambiadas
regularmente.
El transporte de lasclavesde cifrado
desde donde se generanalosequipos
que lasutilizansigue unprocedimiento
adecuado.
x No aplica
30. 30
15 Si se utilizancanalesde comunicaciónuniendodiversos
edificiosde lamismaorganización,yexistendatos
sensiblesque circulenporellos,comprobarque estos
canalesse cifranautomáticamente,paraevitarque una
intercepciónsistemáticaaun canal comprometaa
todaslas aplicaciones.
x No aplica
16 Si la organizacióntiene canalesde comunicacióncon
otras organizacionesse analice laconvenciónde cifrar
estoscanales.
17 Si se utilizalatransmisiónde datossensiblesatravés
de redesabiertascomoInternet,comprobarque
estosdatosviajancifrados.
Se presentaron
pruebasde que
contiene
transmisiónde
datos.
18 Si en una redlocal existencomputadorasconmódems,
se han revisadoloscontrolesde seguridadasociados
para impedirel accesode equiposforáneosalared
local.
Contiene
seguridadfiable.
19 Existe unapolíticade prohibiciónde introducir
programaspersonalesoconectarequiposprivadosala
redlocal.
20 Todas las“puertastraseras” y accesosno
específicamente autorizadosestánbloqueados.En
equiposactivosde comunicaciones,comopuentes,
encaminadores,conmutadores,etc.
X No aplica.
21 Esto significaque losaccesosparaservicioremotoestán
inhabilitadosotienenprocedimientos específicosde
control.
x
22 Periódicamente se ejecutan,mediante losprogramas
actualizadosyadecuados,ataque paradescubrir
vulnerabilidades,que losresultadosse documentany
se corrigenlas deficienciasobservadas.Estosataques
debenrealizarse independientemente a:
Servidores,desde dentrodel servidor.
Servidores,desde laredinterna.
ServidoresWeb,específicamente.
Intranet,desde dentrode ella.
Cortafuegos,desde dentrode ellos.
Accesosdesde el exteriory/ointernet.
Se estructura
buencontenido.