El documento proporciona una lista de verificaciones para auditar la administración de sistemas de información en una institución universitaria. Se verificará si existe un manual de organización y funciones, la estructura organizacional, las contrataciones de personal de TI, los recursos provistos, la capacitación del personal, las políticas de acceso, las instalaciones, el control de operaciones, los usuarios externos, la infraestructura técnica, la operatividad de los programas, el inventario de equipos, las pruebas de sistemas, las licencias de software
3. MANUAL
Verificar si se ha
diseñado un manual de
organización y
funciones a ser
aplicado a los y por los
usuarios del área de
informática.
4. ESTRUCTURACIÓN
Conocer y analizar la
forma en que está
estructurado tanto desde
el punto de vista
organizacional y
administrativo, así
como el organigrama,
número y distribución
de empleados
5. CONTRATACIONES
Verificar si las contrataciones
del personal del área de
informática se han realizado
con base a los criterios
establecidos en el manual de
funciones y cumplen el perfil del
puesto.
6. RECURSOS
Verificar si la administración
provee oportunamente los
recursos necesarios para la
adquisición del software
actualizado para la protección
de los sistemas informáticos.
7. CAPACITACIÓN
Verificar si la
administración
promueve la
capacitación y
adiestramiento
constante del personal
del área de informática
8. ACCESO
Verificar si la
administración ha
establecido
políticas claras con
respecto a la
adjudicación de
claves de acceso a
las bases de datos.
9. Verificar que las
instalaciones donde
labora el personal del
área de informática estén
adecuadas a las
necesidades y no
representen peligro para
los empleados.
5 S
11. Control
Se verificará si se lleva un
control de las operaciones
realizadas y si queda un
registro de los usuarios del
área de informática y los
horarios en los cuales, han
utilizado el equipo del
centro.
12. Externo
Conocimiento e
identificación de los
usuarios del área de
informática, así como
de los proveedores de
materiales y accesorios
y otros clientes.
13. Infraestructura
Conocimiento de las
instalaciones físicas del
negocio, materiales, mobiliario,
inmuebles, equipos, inventarios
y otros que tienen relación al
área de informática y la
ubicación de sucursales, en caso
de que también utilicen dicho
sistema.
14. Operatividad
Verificar si los programas
utilizados dentro de la entidad
han sido diseñados
específicamente para la
empresa y hasta que punto
estos programas son
operativos y satisfacen las
necesidades de la entidad.
15. Inventario
Verificar si todo el equipo o
hardware se encuentra
debidamente inventariado y se ha
elaborado la respectiva tarjeta de
depreciación del mismo, a fin de
que en el momento en que se
vuelvan obsoletos se puedan dar
de baja.
16. Pruebas
Verificar por medio de pruebas
si los sistemas funcionan
correctamente, para ello será
necesario contratar a un perito
programador, para que efectúe
las pruebas correspondientes.
18. Verificación
Verificar quienes están
autorizados para realizar
modificaciones a los
sistemas informáticos y
quien autoriza cada una de
estas modificaciones.
19. Control a cambios
En el caso de que haya alguien de
nivel superior que autorice los
cambios y modificaciones a los
sistemas informáticos, verificar si
existe algún documento escrito por
medio del cual se autoricen dichas
modificaciones o si las órdenes se
efectúan solamente de manera
verbal.
20. Verificación de control
En el caso de que exista el registro
de las solicitudes de cambios
mencionados en el punto anterior,
realizar pruebas en el sistema para
verificar que se hayan realizado
correctamente y que respondan a la
solicitud de la gerencia o de quien lo
haya autorizado.
21. Jerarquía
Verificar quien es el responsable
de autorizar los niveles de
jerarquía y niveles de acceso a
utilizar dentro del sistema y si
existe algún registro escrito por
medio del cual se hayan emitido
dichas autorizaciones.
22. Backup
Verificar si en la entidad se han
establecido políticas con respecto
a la creación de respaldos de la
información más importante,
cuyo daño pudiera afectar el
funcionamiento general de la
entidad en el caso de darse
situaciones anómalas dentro del
sistema informático.
23. Procedimientos y políticas
Verificar si existen
procedimientos y políticas en
cuanto a la seguridad y
protección del personal que
trabaja como usuario de los
sistemas informáticos de la
entidad.
24. Control de acceso
Verificar si las claves
no permiten el
acceso de los
usuarios a niveles
superiores, a los
cuales no deberían
acceder.