Auditoría de sistemas de TI en la Universidad Tecnológica del Estado de Zacatecas
1. UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
N
Auditoria de Sistemas de TI
Unidad II. Desarrollo de la Auditoría Informática
2015
Autor:
Héctor Daniel Hernández Zapata
Daniel Torres Salas
Marycruz Santos Escareño
2. Auditoria de Sistemas de TI - Valor Creativo 2
Contenido
Plan de Auditoria.................................................................................................................................... 3
Lista de verificación de desarrollo de SW ............................................................................................. 5
Diagrama de Proceso de Selección de Proveedores ................................Error! Bookmark not defined.
Listas de Comprobación del área de desarrollo de software................................................................ 7
Listas de Control de la red física..........................................................................................................27
Listas de Control de la red lógica .........................................................................................................30
Auditoria de Sistemas de TI
3. Auditoria de Sistemas de TI - Valor Creativo 3
Plan de Auditoria
Objetivo: Entrevistar al personal de la organización con la finalidad de evaluar el
funcionamiento adecuado basado en la normatividad y estándares de calidad del área de
desarrollo de software, red física y lógica, para verificar el cumplimiento de los procesos que se
llevan a cabo en dichas áreas.
Auditor Líder:
Marycruz Santos Escareño
Reunión de Apertura
Fecha: 22/junio/2015
Reunión de Cierre
Fecha: 22/junio /2015
Auditores:
Héctor Daniel Hernández Zapata
Daniel Torres Salas
Marycruz Santos Escareño
Alcance: Este procedimiento es aplicable al sistema de
gestión de la calidad para verificar por medio de auditorías
internas, si se siguen los procedimientos de calidad de
manera eficaz.
Proceso: Designación del auditor jefe, definición de
objetivos, alcance y criterios de auditoria, establecimiento
del equipo auditor, revisión de la documentación d la
empresa, elaboración del plan de auditoria, preparación de
las actividades de auditoria, reunión de apertura, ejecución
de auditoria, reunión de cierre, preparación del informe de
auditoría, aprobación y comunicado de informe de auditoría,
finalización de auditoria.
Criterios:
Procedimiento/Actividad Auditor Auditado
Determinación del alcance de la
auditoria Daniel Torres Salas Jefe de oficina de control interno
Director / Gerente de Informática
Estudio de los documentos
importantes
Héctor Daniel Hernández
Zapata
Jefe administrativo
Acordar el itinerario o programa
de auditoria
Marycruz Santos
Escareño
Jefe de oficina de control interno
Preparación de listas de
comprobación o cuestionarios
Héctor Daniel Hernández
Zapata
Jefe de oficina de control interno
Realizar auditoria Daniel Torres Salas Personal del área de desarrollo, red
física y red lógica
4. Auditoria de Sistemas de TI - Valor Creativo 4
Observaciones:
Fecha: 22/junio/20015
_____________________ ____________________________
Auditor Jefe Oficina Control Interno
Realizar informe de auditoria Marycruz Santos
Escareño
Jefe de oficina de control interno
5. Auditoria de Sistemas de TI - Valor Creativo 5
Lista de verificación de desarrollo de SW
Lista de verificación
ASPECTOS A
EVALUAR
SI NO
evaluación de
los riesgos
Claridad de los
diagramas
Cumplimiento
de la
metodología
Evaluación de la
seguridad lógica
Control de la
modificación de
las aplicaciones
existentes
Control de la
utilización de
los sistemas
operativos
Estandarización:
estructura en la
cual se
desarrollan las
aplicaciones
6. Auditoria de Sistemas de TI - Valor Creativo 6
Diagrama de Proceso de Selección de Proveedores
Registrarlo como
posible proveedor
SI
NO
B
A
Escoger el que
más conviene
Crear
BD
FIN
Evaluarpropuestasde
cada uno de ellos
Solicitar información y
concretar cita
Preguntar que nos
ofrecen
¿Cumplen las
expectativas?
Inicio
NO
SI
Buscar informaciónde
proveedores
Se necesitan
proveedores A
B
7. Auditoria de Sistemas de TI - Valor Creativo 7
Listas de Comprobación del área de desarrollo de
software
LISTA DE COMPROBACIÓN
“APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”.
Objetivo General:
El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Objetivos Específicos:
Debe existir una orden de aprobación del proyecto que defina claramente los
objetivos, restricciones y las unidades afectadas.
Deben designarse un responsable o director del proyecto.
El proyecto debe ser catalogado y, en función de sus características, se debe
determinar el modelo del ciclo de vida QUE SE SIGUIRA.
Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que
realizara el proyecto y determina el plan del proyecto.
1 Se debe Comprobar que : SI NO Observaciones
2 Exista una orden de aprobación del proyecto
refrendada por un órgano competente. El
estudio de viabilidad debe haber seguido el
cauce establecido.
Si hay una orden
de aprobación y
mostro el estudio
de viabilidad
3 En el documento de aprobación están
definidos de forma clara y precisa los objetivos
del mismo y las restricciones de todo tipo que
deben tenerse en cuenta (temporales,
recursos técnicos, recursos humanos,
presupuesto, etc.)
me mostro el
documento con los
objetivos claros y
precisos
4 Se ha identificado las unidades de la
organización a las que afectan.
5 La designación se ha llevado acabo según el
procedimiento establecido.
Si se a llevado
acabo el
procedimiento
establecido
6 Se le ha comunicado al director su
nombramiento junto con la información
relevante del proyecto.
Si si le cominico al
director de su
nombraiento y se le
dio la información
del proyecto
8. Auditoria de Sistemas de TI - Valor Creativo 8
7 Se ha catalogado y dimensionado proyecto
según las normas establecidas.
8 Se ha evaluado los riesgos asociados al
proyecto, especialmente cuando se van usar
tecnología no usaba hasta el momento.
Me mostro un
control donde
evalúa los riesgos
asociados al
proyecto
9 Se ha elegido el ciclo de vida más adecuado al
tipo del proyecto de que se trata. Me mostro el ciclo
de vida adecuado
al proyecto
10 Se ha hecho información histórica que se
dispone tanto para dimensionar el proyecto y
sus riesgos como para seleccionar el ciclo de
vida.
11 Se prestaran atención si se elige un ciclo de
vida basado en el prototipado. En este caso
debe cumplirse los requisitos necesarios para
aplicarse con éxito (dificultad para los usuarios
para expresar los requisitos y disponibilidades
de una herramienta de construcción rápida de
prototipos) y debe existir un acuerdo con los
usuarios sobre el alcance del prototipo y de los
objetivos que se persiguen con el mismo.
12 La asignación del director del proyecto y el
equipo de desarrollo que se ha llevado acabo
según el procedimiento establecido.
13 Los participantes que permanezcan a otra
área (sistemas, comunicaciones u ofimática,
etc.)se han solicitado según el protocolo
existente.
14 Si participan personal externo, los perfiles
profesionales son adecuados a las funciones
que van a realizar. El contrato suplente del
protocolo de contratación.
15 Se ha comunicado a todos los miembros del
equipo de desarrollo los objetivos del proyecto,
la responsabilidad que tendrán en el mismo,
las fechas en la que participaran y la
dedicación (completa/parcial).
Si se informo a
cada miembro del
equipo las
resposabilidades y
fechas
16 El plan de proyectos realizado es realista y
utiliza la información histórica de la que se
El plan del
proyecto va acorde
para la realización
9. Auditoria de Sistemas de TI - Valor Creativo 9
disponga para realizar estimaciones del proyecto
Objetivo General:
El proyecto se debe gestionar de forma que se consigan los mejores resultados
posibles teniendo en cuenta las restricciones de tiempo y recurso. Los criterios
usados serán coherentes con los objetivos de las unidades afectadas
Objetivos Específicos:
Los responsables de las unidades o áreas afectadas por el proyecto deben
participar en la gestión del proyecto
Se debe establecer un mecanismo para la resolución de los problemas que pueden
plantearse a lo largo del proyecto. Se debe comprobar que:
Debe existir un control de cambio de a lo largo del proyecto.
Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el
modulo o fase, debe hacerse de forma adecuada.
Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo
largo del proyecto
1 Se debe Comprobar que : SI NO Observaciones
2 Se ha constituido formalmente el comité de
dirección del proyecto y en él están incluidos
los responsables de todas las unidades
afectadas.
me mostro un
documento donde
está formalmente
construido el
comité.
3 El comité tiene una periodicidad de reunión
mínima y en cualquier caso siempre que lo
exija el desarrollo del proyecto, debe tener
competencia para la asignación de recursos,
la revisión de la marcha del proyecto y para
modificar el plan del proyecto en función de
las revisiones.
Me mostro un
informe de
reuniones donde
revisan cómo va el
proyecto
4 Las reuniones se hacen con un orden del día
y las decisiones tomadas quedan
documentadas en las actas de dicho comité.
Se llevan a cabo
las reuniones pero
no se realizan
documento acerca
de esta
5 El número de reuniones y la duración de las
mismas no superan un límite razonable
Solo se hacen las
reuniones
necesarias
6 Existen hojas de registro de problemas y hay
alguna persona del proyecto encargada de su
recepción, así como un procedimiento
Si existen hojas de
registro pero no ay
uno persona
10. Auditoria de Sistemas de TI - Valor Creativo 10
conocido de tramitación. encargada
7 Hay un método para catalogar y dar prioridad
a los problemas, así como para trasladarlos a
la persona que los debe resolver, informando
si es necesario al director del proyecto y al
comité de dirección.
8 Se controla la solución del problema y se deja
constancia de la misma.
Si se controla la
solución de
problemas pero no
hay constancia
9 Existe un mecanismo para registrar cambios
que pudieran producirse así como para
evaluar el impacto de los mismos.
No existe
10 La documentación afectada se actualiza de
forma adecuada y se lleva un control de
versiones de cada producto, consignado la
última fecha de actualización.
Si se lleva la
documentación
pero no ay un
control de
versiones
11 Se remite la nueva versión de los documentos
actualizando a los participantes en el
proyecto.
Si les dan a
conocer la
documentación
actualizada a los
participantes del
proyecto
12 Se respetan los límites temporales y
presupuestarios marcados al inicio del
proyecto.
No existe
13 Se han tenido en cuenta los riesgos del
reajuste.
14 Se notifica el cambio a todas las personas
que de una u otra forma participen en el
proyecto y se ven afectados.
Si Se les avisa
pero no ay un
documento formal
15 Si existe un plan de sistemas, se actualiza en
consecuencia.
No existe
16 Existe un procedimiento que permita registrar
a los tiempos que cada participante del
proyecto de dedica al mismo y que tarea
realiza en este tiempo.
No existe
11. Auditoria de Sistemas de TI - Valor Creativo 11
17 Las productividades que se obtienen para
distintos empleados en las mismas tareas son
similares y están en consonancia con la
información histórica.
No existe
18 Antes de comenzar una nueva etapa se ha
documentado la etapa previa y se ha revisado
y aceptado, especialmente en las fases de
análisis y diseño.
Me mostro la etapa
previa
documentada
19 La documentación cumple con los estándares
establecidos en el área.
Me mostro la
documentación
cumpliendo con los
estándares
establecidos
20 Se respeta el plan establecido y en caso
contrario se toman las medidas oportunas o
se procede a la aprobación de una
modificación del plan
21 Se respeta el uso de recursos previamente
establecido.
No existe
22 La documentación de proyecto es completa y
está catalogada perfectamente para accesos
posteriores.
Me mostro la
documentación
completa
23 Los recursos, tanto personales como
materiales, se ponen a disposición del área o
departamento del que provienen.
No existe
24 El comité de dirección y el director del
proyecto hacen balance del proyecto,
estudiando los posibles problemas y sus
causas, los cambios del plan, etc. Toda esta
información se registra en los archivos
históricos sobre estimaciones y problemas.
Si se hace balance
pero no ay un
registro
25 La nueva aplicación se incorpora al catálogo
de aplicaciones existentes con toda la
información relevante de la misma
Basado en los
requerimientos si
12. Auditoria de Sistemas de TI - Valor Creativo 12
Lista de comprobación
“Auditoria De La Fase De Análisis”
Objetivo General:
Pretende obtener un conjunto de especificaciones formales que describan las necesidades
de la información que debe ser cubierta por el nuevo sistema de una forma independiente
del entorno técnico.
Objetivos Específicos:
Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de
forma clara los requisitos del mismo.
En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el
sistema cumpla los requisitos establecidos
El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional,
contando esta especificación con la aprobación de los usuarios
1 Se debe Comprobar que : SI NO Observaciones
2 Existe un documento aprobado por el comité de
dirección en el que determinan formalmente el
grupo de usuarios que participaran en el proyecto.
No existe un
comité de dirección
3 Los usuarios elegidos son suficientemente
representativos de las distintas funciones que se
llevan a cabo en las unidades afectadas por el
nuevo sistema
Existen usuarios
con los perfiles
requeridos
4 Se les ha comunicado a los usuarios su
participación en el proyecto, informándoles del
ámbito del mismo y de que es lo que se espera de
ellos, así como la dedicación estimada que les
supondrá esta tarea.
Se ha informado a
los usuarios pero
se tiene la
evidencia física
5 Existe un plan consensuado con el comité de
dirección que detalla por cada entrevista la fecha,
hora y lugar, tipo de entrevista (individual, en
grupo, por escrito, etc.) y un guion de los aspectos
que se van a preparar.
No existe
6 Se entrevista a todos los integrantes en el grupo
de usuarios y a todos los responsables de las
unidades afectadas.
No existe
7 Se remite el guion a los entrevistados con tiempo
suficiente para que estos puedan preparar la
entrevista y la documentación que deseen aportar
a la misma.
No existe
8 El guion incluye todas las cuestiones necesarias No existe
13. Auditoria de Sistemas de TI - Valor Creativo 13
para obtener información sobre las funciones que
el entrevistado realiza en su unidad y los
problemas que necesita resolver
9 Se ha realizado un modelo físico del sistema
actual, incluyendo los objetivos y funciones de
cada unidad, así como sus flujos de entrada y
salida de información
Mostro la
especificación de
requerimientos
10 Se han catalogado los problemas del sistema
actual así como que estos problemas son reales
No existe
evidencia
11 Se han realizado el modelo lógico de datos y el
modelo lógico de proceso del sistema actual, así
como que estos son correctos y que se han
llevado a cabo con las técnicas usadas en el área
No existe
12 Existe el catálogo de requisitos que están
justificados.
Mostro la
especificación de
requerimientos
13 Los requisitos son concretos y cuantificables, de
forma que pueda determinarse el grado de
cumplimiento al final del proyecto
Mostro la
especificación de
requerimientos
14 Cada requisito tiene una prioridad y está
clasificado en funcional o no funcional.
Mostro la
especificación de
requerimientos
15 El catálogo de requisitos ha sido revisado y
aprobado por el grupo de usuarios y por el comité
de dirección, constituyendo a partir de este
momento del “contrato” entre estos y el equipo de
desarrollo del proyecto
Mostro la
especificación de
requerimientos
16 De El procedimiento existe y está aprobado
be existir el diccionario de datos o repositorio
No existe
17 la especificación del nuevo sistema incluirá los
requisitos de seguridad rendimiento, copias de
seguridad y recuperación etc
No existe
18 Es coherente con el procedimiento de control de
cambio general para el proyecto.
No existe
Objetivo del Control C2:
1 Se debe comprobar que: SI NO Observaciones
2 Existe un documento en que se
describen las distintas alternativas.
No existe
3 Hay más de una alternativa y en caso
contrario, que no existe realmente otra
posible.
No existe
14. Auditoria de Sistemas de TI - Valor Creativo 14
4 Cada alternativa está descrita desde un
punto de vista lógico (al menos modelo
lógico de procesos) y es coherente con
los requisitos establecidos.
No existe
5 Si existe en el mercado a un producto
que cumpla con unas mínimas garantías
los requisitos especificados, una de las
alternativas debe ser su compra.
No existe
6 Si no lo impiden las características del
proyecto una de las alternativas debe
ser el desarrollo del sistema por parte de
una empresa externa.
No existe
7 Se han evaluado las ventajas e
inconvenientes de cada alternativa de
forma objetiva (análisis coste/beneficio
por ejemplo) así como los riesgos
asociados.
No existe
8 El comité de dirección ha seleccionado
una alternativa como la más ventajosa y
es realmente la mejor para la
organización.
No existe
OBJETIVO DE CONTROL D1
15. Auditoria de Sistemas de TI - Valor Creativo 15
Se debe comprobar que: SI NO Observaciones
1 Se ha partido de los modelos
realizados en el análisis de requisitos
del sistema.
Se ha partido de los
modelo pero no existe
una evidencia
2 Existe el MLP, se ha realizado con
la técnica adecuada (normalmente
diagramas de flujo de datos) y es
correcto técnicamente. Describirá
que debe realizar el sistema sin
entrar en la forma en que lo hará.
Los procesos manuales deben
estar diferenciados. Los usuarios
deben entender las convenciones
de símbolos usados.
3 En el diagrama de contexto están
reflejados todos los agentes
externos, incluidos otros sistemas
con los que el sistema intercambia
información. Para cada flujo de
datos de entrada o de salida debe
estar documentado el contenido, la
frecuencia, suceso que lo origina,
etc.
No existe la
documentación
4 Existe el MLD se ha realizado con
la técnica adecuada (normalmente
modelo entidad-relación o
diagramas de estructura de datos)
y es correcto técnicamente. Debe
estar normalizado al menos hasta
la tercera forma normal.
Mostro el diagrama
entidad relación
5 En el MLD están reflejadas todas
las entidades con sus atributos y
claves, así como las relaciones
entre las mismas.
Mostro el diagrama
relacional
6 El MLP y el MLD son coherentes
entre sí. La consolidación se debe
hacer usando técnicas adecuadas
(historia de la vida de las
entidades, por ejemplo).
Existe coherencia entre
los modelos
7 El MLP y el MLD han sido
aprobados por los usuarios y por
el comité de dirección.
No tienen la evidencia
de la aprobación
8 Existe el diccionario de datos, es
correcto y se gestiona de forma
automatizada.
Mostro el diccionario de
datos
9 Se respetan en su gestión todos
los procedimientos de control de
cambios.
Se han descrito con suficiente
No existe
16. Auditoria de Sistemas de TI - Valor Creativo 16
detalle las pantallas atreves de las
cuales el usuario navegara por la
aplicación, incluyendo todos los
campos significativos, teclas de
función disponibles menús,
botones, etc., si hay normas de
diseño o estilo de pantallas en el
área se verificara que se respetan
11 Se han escrito con suficiente
detalle los informes que se
obtendrán del sistema y los
formularios asociados, si estos
existen si hay normas de diseño o
estilo de informes y formularios en
el área se verificara que se
respetan
No existe
12 La interfaz de usuario se ha
aprobado por el grupo de usuarios
y el comité de dirección
No existe evidencia de
aprobación
13 Que esta información se ha
solicitado a los usuarios en las
entrevistas correspondientes a
este módulo se ha documentado y
contrastado
No se ha documentado
14 Se han añadido estos requisitos al
dialogo de requisitos ya realizados
en el ARS.
No existe
15 Se ha elaborado el plan de
pruebas de aceptación de sistema
que este es coherente con el
catálogo de requisitos y con la
especificación funcional del
sistema y que es aceptado por el
grupo de usuarios y por el comité
de dirección
No existe
16 El plan de prueba de aceptación
tiene en cuenta todos los recursos
necesarios
No existe
17. Auditoria de Sistemas de TI - Valor Creativo 17
LISTA DE COMPROBACIÓN
“Auditoría De La Fase De Diseño”.
Objetivo General:
Se debe definir una arquitectura física para el sistema coherente con la
especificación funcional que se tenga y con el entorno tecnológico elegido.
Objetivos Específicos:
El entorno tecnológico debe estar definido de forma clara y ser conforme a los
estándares del departamento de informática.
Se deben identificar todas las actividades físicas a realizar por el sistema y
descomponer las mismas de forma modular.
Se debe diseñar la estructura física de datos adaptando las especificaciones del
sistema al entorno tecnológico.
Se debe diseñar un plan de pruebas que permita la verificación de los distintos
componentes del sistema por separado, así como el funcionamiento de los distintos
subsistemas y del sistema en conjunto.
La actualización del plan de proyecto seguirá los criterios ya comentados.
Se debe Comprobar que : SI NO Observaciones
1 Están perfectamente definidos todos los
elementos que configuran el entorno
tecnológico para el proyecto (servidores,
computadoras personales, periféricos, sistemas
operativos, conexiones de red, protocolos de
comunicación, sistemas gestores de bases de
datos, compiladores, herramientas CASE,
middleware en caso de programación
cliente/servidor, librerías, etc).
Me mostro
definidos todos
los elementos a
utilizar
2 Se dispone de los elementos seleccionados,
están dentro de los estándares del
departamento de informática y son capaces de
responder a los requisitos establecidos de
volúmenes, tiempos de respuesta, seguridad,
etc.
Me mostro que
dispone de los
elementos
seleccionados
dentro de los
estándares del
departamento de
informática
3 Se han documentado todas las actividades Si se realizaron
18. Auditoria de Sistemas de TI - Valor Creativo 18
físicas que debe realizar el sistema. las actividades
pero no está
documentas
4 El catálogo de actividades es coherente con las
funciones identificadas en el MLP del módulo
EFS.
Si están acorde
5 Se han identificado las actividades que son
comunes, así como las que ya existen en las
librerías generales del área.
Me mostraron las
actividades
comunes
6 Existe el documento con el diseño de la
estructura modular del sistema, se ha realizado
con una técnica adecuada y es correcto.
Me mostraron el
diseño estructura
modular del
sistema
7 El tamaño de los módulos es adecuado, el
factor de acoplamiento entre ellos es mínimo y
la cohesión interna de cada módulo es máxima.
No existe
8 Los módulos se diseñan para poder ser usados
por otras aplicaciones si fuera necesario.
9 Los componentes o programas del nuevo
sistema se han definido con detalle a partir del
diseño modular, la definición es correcta y
sigue los estándares del área. La descripción
de los componentes es suficiente para permitir
su programación por parte de un programador
sin conocimiento previo del sistema.
la definición es
correcta y sigue
los estándares
del área
10 Se han detallado las interfaces de datos y
control con otros módulos y sistemas, asá
como la interfaz de usuario ya especificada en
el módulo EFS.
Me mostraron las
interfaces
especificadas
11 El módulo físico de datos está basado en el
MLD obtenido en el módulo EFS e incluye
todas las entidades, relaciones, claves, vistas,
etc.
Si incluye todas
las entidades
12 Tiene en cuenta el entorno tecnológico y los
requisitos de rendimiento para los volúmenes y
frecuencias de acceso estimados.
Tiene en cuenta
el entorno
tecnológico y los
requisitos de
rendimiento
13 Existe el plan de pruebas y contempla todos los
recursos necesarios para llevarlas a efecto.
No existe
14 Las personas que realizarán las pruebas de
verificación son distintas a las que han
desarrollado el sistema.
Son las mismas
personas
15 Existe el plan para validar cada uno de los
componentes del sistema, incluyendo pruebas
del tipo caja blanca para cada módulo. Tendrán
en cuenta todas las posibles condiciones
lógicas de ejecución, además de posibles fallos
19. Auditoria de Sistemas de TI - Valor Creativo 19
del hardware o software de base.
16 Permite validar la integración de los distintos
componentes y el sistema en conjunto.
20. Auditoria de Sistemas de TI - Valor Creativo 20
LISTA DE COMPROBACIÓN
“Auditoria De La Fase De Construcción “
OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando
técnicas de programación correctas.
C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así
como los procedimientos de operación, antes de iniciar el desarrollo.
C-FI-2: se debe programar, probar y documentar cada uno de los componentes
identificados en el diseño del sistema.
C-F1-3: deben realizarse las pruebas de integración para asegurar que las
interfaces, entre los componentes o módulos funcionan correctamente. Se debe
comprobar que.
OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar
capacitados y disponer de todos los medios para hacer uso del sistema.
C-G1-1: el desarrollo de los componentes de usuario debe estar planificado
C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema
C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de
estándares del área
C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los
procesos de formación o selección de personal necesario
C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los
usuarios con el nuevo sistema
Se Debe Comprobar Que: Si No Observaciones
1 Se han creado e inicializado las bases de
datos o archivos necesarios y que cumplen
las especificaciones realizadas en el
módulo de diseño.
mostro la base
de datos
2 En ningún momento se trabaja con
información que se encuentra en
explotación.
En ningún
momento
3 Se han preparado los procedimientos de
copia de seguridad.
4 Se han preparado los editores,
compiladores, herramientas, etc.
Necesarios.
Si se han
preparado
21. Auditoria de Sistemas de TI - Valor Creativo 21
5 Están disponibles los puestos de trabajo y
el acceso a los equipos, redes etc.
Si están
disponibles
6 Están disponibles todos los elementos
lógicos y físicos para realizar las pruebas
unitarias de los componentes y las pruebas
de integración.
Si están
disponibles
7 Están documentados todos los
procedimientos de operación para cuando
el sistema esté en explotación.
No están
documentadas
8 Los procedimientos se llevan a cabo
después de tener la especificación
funcional del sistema y antes de la
implementación del mismo.
No se llevan
acabo
9 Están definidos los distintos perfiles de
usuario requerido para la implantación y
explotación del nuevo sistema.
Si están
definidos los
perfiles
10 Se han desarrollados todos los
componentes y módulos
No se han
desarrollado
11 Se han seguido los estándares de
programación, documentación del área ,
código es estructurado , está bien
sangrado y contiene comentarios suficiente
Si están
siguiendo los
estándares de
programación
12 Se han probado cada componente y se ha
generado e informe de prueba. Si los
resultados de las pruebas no san
satisfactorio se modifica el código y se
vuelve a realizar la prueba. Si se detecta
una falla de especificación o diseño, el
proyecto se actualizara según el
procedimiento establecido para ello
Se actualiza
pero no hay
evidencia física
13 Las pruebas de integración se han llevado
acabo según lo especificado en el plan de
pruebas realizado en el módulo de diseño
Me mostro la
prueba de
integración
según las
especiaciones
14 Se han evaluado las pruebas y se han
tomado las acciones correctivas
necesarias para solventar las incidencias
encontradas, actualizándose el proyecto
en consecuencia
No se han
evaluado
15 No han participado los usuarios. En las Nada más
22. Auditoria de Sistemas de TI - Valor Creativo 22
pruebas de integración solo debe participar
el equipo de desarrollo
participa el
equipo de
desarrollo
16 El plan del proyecto está incluido el plan de
desarrollo de los procedimientos de
usuario e incluye todo las actividades y
recursos necesarios
Si está incluido
el plan del
proyecto en el
plan de
desarrollo
17 Para cada perfil se ha definido el rango de
fechas y la dedicación necesaria.
No se ha
definido el rango
18 Están desarrollados todos los
procedimientos de usuario, recopilados,
formando el manual de usuario, y son
coherentes con las actividades descritas
en EFS.
Me mostro el
manual de
usuario
19 Cada procedimiento describe claramente
que realiza, el perfil de usuario asociado,
asi como los recursos que son necesarios
(equipos, consumibles, periféricos
especiales, espacio, etc.).
Cada
procedimiento
describe
claramente que
realiza
20 Los manuales de usuario y el resto de
procedimientos cumplen los estándares del
área y llevan asociado su control de
versiones.
Me mostro los
manuales de
usuario y si
cumple los
estándares del
área
21 La comparación de perfiles de usuarios y
recursos requeridos con los actuales es
realista y los procedimientos que se
derivan son adecuados y están aprobados
por los responsables de las unidades
afectadas.
No existe
23. Auditoria de Sistemas de TI - Valor Creativo 23
LISTA DE COMPROBACIÓN (Parte 1)
“Auditoría De La Fase De Implantación”
Objetivo General:
El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en
explotación.
Objetivos Específicos:
Se de ben realizar las pruebas del sistema que se especificaron en el diseño del
mismo.
El plan de implantación y aceptación se debe revisar para adaptarlo a la situación
final del proyecto.
El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.
Se debe comprobar que: SI NO Observaciones
1
Se prepara el entorno y los recursos
necesarios para realizar las pruebas.
No se preparó el
entorno para las
pruebas
2
Las pruebas se realizan y permiten verificar si
el sistema cumple con las especificaciones
funcionales y si interactúa correctamente con
el entorno, incluyendo interfaces con otros
programas, recuperación ante fallos, copias
de seguridad, tiempos de respuesta, etc.
Las pruebas se
realizaron y si
cumplen con las
especificaciones
3
Se han evaluado los resultados de las
pruebas y se han tomado las acciones
correctas necesarias para solventar las
incidencias encontradas, actualizándose el
proyecto en consecuencia.
Si se han evaluado
los resultados de
las pruebas
4
Se revisa el plan de implantación original y se
documenta adecuadamente.
Si se revisa pero no
ay documentación
5
Está incluida la instalación de todos los
componentes desarrollados, así como los
elementos adicionales (librerías, utilidades,
etc.).
Me mostro los
lineamentos de la
instalación
6
Incluye la inicialización de datos y la
conversión si es necesaria.
No existe
7
Especifica los recursos necesarios para cada
actividad, así como que el orden marcado
para las actividades es compatible.
Mostro la
especificación de
las actividades
24. Auditoria de Sistemas de TI - Valor Creativo 24
8
Se ha tenido en cuenta la información
histórica sobre estimaciones.
Me mostro la
información
histórica
9
Se sigue el plan de pruebas de aceptación
aprobado en la fase de análisis, que debe
incluir la conversión de datos y la explotación.
No se sigue el plan
de pruebas
10
Las pruebas de aceptación son realizadas
por los usuarios.
Me mostro las
pruebas de
aceptación son
realizadas por los
usuarios.
11
Se evalúan los resultados de las pruebas y
se han tomado las acciones correctas
necesarias para solventar las incidencias
encontradas, actualizándose el proyecto en
consecuencia.
Si se han evaluado
los resultados de
las pruebas
12
El grupo d usuarios y el comité de dirección
firman su conformidad con las pruebas de
aceptación.
Me mostro las
firmas del grupo de
usuarios donde
están conformes
25. Auditoria de Sistemas de TI - Valor Creativo 25
LISTA DE COMPROBACIÓN (Parte 2)
“Auditoría De La Fase De Implantación”
Objetivo General:
El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento
solo cuando haya sido aceptado y esté preparado todo el entorno en el que se
ejecutará.
Objetivos Específicos:
Se deben instalar todos los procedimientos de explotación.
Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma
coordinada con la retirada del antiguo, migrando los datos si es necesario.
Debe firmarse el final de la implantación por parte de los usuarios.
Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras
semanas para evitar situaciones de abandono de uso del sistema.
Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.
Se debe comprobar que: SI NO Observaciones
1
Se han instalado además del sistema principal
todos los procedimientos auxiliares, por
ejemplo copias, recuperación, etc., tanto
manuales como automáticos.
No existe
2
Están documentados de forma correcta. Algunas cosas
3
Los usuarios han recibido la formación
necesaria y tienen en su poder toda la
documentación necesaria, fundamentalmente
manuales de usuario.
Los usuarios han
recibido la formación
necesaria
4
Se han eliminado procedimientos antiguos que
sean incompatibles con el nuevo sistema.
No se han eliminado
los procedimientos
5
Hay un periodo de funcionamiento en paralelo
de los dos sistemas, hasta que el nuevo
sistema esté funcionando con todas las
garantías. Esta situación no debe prolongarse
más tiempo del necesario.
No existe
6
Si el sistema antiguo se va a mantener para
obtener información se debe dejar en
explotación el modo de sólo consulta.
No existe sistema
antiguo
7
Los datos se convierten de acuerdo al
procedimiento desarrollado y se verifica la
consecuencia de la información entre el
No existe sistema
antiguo
26. Auditoria de Sistemas de TI - Valor Creativo 26
sistema nuevo y el antiguo.
8
Existe el documento y que han sido firmados
por el comité de dirección y por el grupo de
usuarios.
Me mostro el
documento firmado
por los miembros del
proyecto
9
Contiene de forma explícita la aceptación de la
implantación correcta del sistema.
Me mostro la
información correcta
10
El índice de utilización del sistema es
adecuado a los volúmenes que se esperaban
para cada una de las áreas afectadas por el
nuevo sistema.
11
Se ha comprobado, al menos informalmente,
la impresión de los usuarios respecto al nuevo
sistema.
No se ha
comprobado
12
El mecanismo existe y está aprobado por el
director del proyecto, por el comité de
dirección y por el área de mantenimiento, si
ésta existiese.
No existe
13
Tiene en cuenta los tiempos de respuesta
máximos que se pueden permitir ante
situaciones de no funcionamiento.
No existe
14
El procedimiento a seguir ante cualquier
problema o para el mantenimiento del sistema
será conocido por todos los usuarios. Incluirá
al menos la persona de contacto, teléfono,
esquema de información a aportar, etc.
El procedimiento a
seguir ante cualquier
problema será
conocido por todos
los usuarios
27. Auditoria de Sistemas de TI - Valor Creativo 27
Listas de Control de la red física
Lista De Control De La Red Física
Objetivos
Debe comprobarse que efectivamente los accesos físicos provenientes del exterior han
sido debidamente registrados, para evitar estos accesos. Debe también comprobarse que
desde el interior del edificio no se intercepta físicamente el cableado.
Objetivos específicos
Áreas controladas por los equipos de comunicaciones previniendo el acceso
inadecuado.
Protección y tendido adecuado de cables y líneas de comunicaciones para evitar
para evitar accesos físicos.
Controles de utilización de equipos de prueba de comunicaciones para monitorizar
la red y su tráfico, que implica su utilización inadecuada.
Atención específica a la recuperación de los sistemas de comunicación de datos en
el plan de recuperación de desastres en sistemas de información.
Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la
red de datos para prevenir accesos no autorizados al sistema o a la red.
Se Debe Comprobar Que: Si No Observaciones
1 El equipo de comunicaciones se mantiene en
habitaciones cerradas con acceso limitado a
personas autorizadas.
El equipo si se
mantiene en
habitaciones
cerradas
2 La seguridad física de los equipos de
comunicaciones tales, como controladores de
comunicaciones, dentro de las salas de
computadoras sea adecuado.
Me mostro todo
la seguridad
física de los
equipos
3 Solo personas con responsabilidad y conocimiento
están incluidas en la lista de personas
permanentemente autorizadas para entrar en las
salas de equipos de comunicaciones
Me mostro las
listas con las
personas
responsables
4 Se toman medidas para separar las actividades de
electricistas y personal de tendido y mantenimiento
de tendido de líneas telefónicas, así como sus
autorizaciones de acceso , de aquellas de
No ay una
evidencia física
pero si se
separan las
28. Auditoria de Sistemas de TI - Valor Creativo 28
personal bajo control de la gerencia de
comunicaciones
actividades
según la
función de cada
persona
5 en las zonas adyacentes a la sala de
comunicaciones, todas las líneas de
comunicaciones fuera de la vista
Solo personal
autorizado
conoce los
detalles sobre
las líneas de
comunicación
6 Las líneas de comunicaciones, en las salas de
comunicaciones, armarios distribuidores y
terminaciones de los despachos, estarán
etiquetadas con un código gestionado por la
gerencia de comunicaciones, y no por su
descripción física o métodos sin coherencia.
No existen
etiquetas
7 Existen procedimientos para la protección de
cables y bocas de conexión que dificulten el que
sea conectados por personas no autorizadas
No hay
procedimiento
pero si hay
confidencialidad,
no cualquiera
sabe dónde
están los
registros
8 Se revisa periódicamente la red de
comunicaciones, buscando intercepciones activas
o pasivas.
Se realiza la
revisión pero no
se tiene registro
9 Los equipos de prueba de comunicaciones usados
para resolver los problemas de comunicaciones de
datos deben tener propósitos y funciones
definidos.
No ay equipos
ara hacer
pruebas de
fallas
10 Existen controles adecuados sobre los quipo de
prueba de comunicaciones usados para
monitorizar líneas y fijar problemas
Si se hace pero
no tiene
evidencia física
11 El plan general de recuperación de desastres para
servicios de información presta adecuada atención
recuperación y vuelta al servicio de los sistemas
de comunicación de datos
No existe
12 Existen planes de contingencia para desastres que
solo afecten a las comunicaciones, como el fallo
de una sala completa de comunicaciones
No existe
13 Las alternativas de respaldo de comunicaciones,
bien sea como las mismas salas o con salas de
respaldo, consideran la seguridad física de estos
lugares
No existe
29. Auditoria de Sistemas de TI - Valor Creativo 29
14 Las líneas telefónicas usadas para datos, cuyos
números no deben ser públicos, tienen dispositivos
procedimientos de seguridad como retrollamada,
código de conexión o interruptores para impedir
accesos no autorizados al sistema informático.
No existe
30. Auditoria de Sistemas de TI - Valor Creativo 30
Listas de Control de la red lógica
Lista De Control De Red Lógica
Objetivos
Contraseñas y otros procedimientos para limitar y detectar cualquier intento de
acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de una transmisión y
establecer las retransmisiones apropiadas.
Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.
Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar
accesos no autorizados.
Técnicas de cifrado de datos donde haya riesgos de accesos impropios a
transmisiones sensibles.
Controles adecuados que cubran la importancia o exportación de datos a través de
puertas, en cualquier punto de la red, a otros sistemas informáticos.
Se debe comprobar que: si no observaciones
1 El software de comunicaciones, para permitir el
acceso, exige código de usuario y contraseña.
Se requiere un
usuario y una
contraseña
2 Revisar el procedimiento de conexión de usuario y
comprobar que:
Se realiza la
revisión
Los usuarios no pueden acceder a
ningún sistema, ni siquiera de ayuda,
antes de haberse identificado
correctamente.
Es necesario
identificarse
para acceder
al software de
comunicaciones
Se inhabilita al usuario que sea
incapaz de dar la contraseña después
de un número determinado de
intentos infructuosos.
Después de 3
intentos ya no
le permite
identificarse
Se obliga a cambiar la contraseña
regularmente.
No se obliga
pero si se
realiza esta
práctica de
seguridad
31. Auditoria de Sistemas de TI - Valor Creativo 31
Las contraseñas no son mostradas en
pantalla cuando se teclean.
No se ven las
contraseñas
Durante el procedimiento de
identificación, los usuarios son
informados de cuando fue su última
conexión para ayudar a identificar
potenciales suplantaciones o accesos no
autorizados.
Se informa a los
usuarios de su
última conexión
3 Cualquier procedimiento del fabricante, mediante
hardware o software, que permita libre acceso y que
haya sido utilizado en la instalación original, ha de haber
sido inhabilitado o cambiado.
No existe
4 Se toman estadísticas que incluyan tasas de errores y
retransmisión.
No existe
5 Los protocolos utilizados, revisados con el personal
adecuado de comunicaciones, disponen de
procedimientos de control de errores con la seguridad
suficiente.
No existe
6 Los mensajes lógicos transmitidos identifican el
originarte, la fecha, la hora y el receptor.
No existe
7 El software de comunicaciones ejecuta procedimientos
de control y correctivos
Se ejecutan
procedimientos
automáticos
8 La arquitectura de comunicaciones utilizada
indistintamente cualquier ruta disponible de transmisión
para minimizar el impacto de una escucha de datos
sensible en una ruta determinada.
La red cuenta
con su ruta
independiente
9 Existen controles para que los datos sensibles solo
puedan ser impresos en las impresoras designadas y
vistos desde lis terminales autorizados.
No existe
10 Existen procedimientos de registro para capturar y
ayudar a reconstruir todas las actividades de las
transacciones.
Bitácoras
11 Los activos de registro son revisados, sea el posible a
través de herramientas automáticas, diariamente,
vigilando intentos impropios de acceso
Se hace la
revisión pero no
automáticamente
12 Existen análisis de riesgos para las aplicaciones de
proceso de datos a fin de identificar aquellas en las que
el cifrado resulte apropiado.
No existe
13 Si se utiliza cifrado:
El transporte de las claves de cifrado
desde donde se generan a los equipos
Existe una red
cifrada
32. Auditoria de Sistemas de TI - Valor Creativo 32
que las utilizan sigue un procedimiento
adecuado.
Existen procedimientos de control sobre
la generación e intercambio de claves.
No existe
Las claves de cifrado son cambiadas
regularmente.
No existe
14 Si se utilizan canales de comunicación uniendo diversos
edificios de la misma organización, y existen datos
sensibles que circulen por ellos, comprobar que estos
canales se cifran automáticamente, para evitar que una
intercepción sistemática a un canal comprometa a todas
las aplicaciones
No existe
15 Si la organización tiene canales de comunicación con
otras organizaciones se analice la convención de cifrar
estos canales.
No existe
16 Si se utiliza la transmisión de datos sensibles a través
de redes abiertas como Internet, comprobar que estos
datos viajan cifrados.
No existe
17 Si en una red local existen computadoras con módems,
se han revisado los controles de seguridad asociados
para impedir el acceso de equipos foráneos a la red
local.
No existe
18 Existe una política de prohibición de introducir
programas personales o conectar equipos privados a la
red local
Solo el
administrador de
la red puede
introducir
programas a los
equipos
19 Todas las “puertas traseras” y accesos no
específicamente autorizados están bloqueados. En
equipos activos de comunicaciones, como puentes, en
caminadores, conmutadores, etc. Esto significa que los
accesos para servicio remoto están inhabilitados o
tienen procedimientos específicos de control.
No existe
20 Periódicamente se ejecutan, mediante los programas
actualizados y adecuados, ataque para descubrir
vulnerabilidades, que los resultados se documentan y
se corrigen las deficiencias observadas. Estos ataques
deben realizarse independientemente a:
No existe
Servidores, desde la red interna. No existe
33. Auditoria de Sistemas de TI - Valor Creativo 33
Servidores Web, específicamente. No existe
Intranet, desde dentro de ella No existe
Cortafuegos, desde dentro de ellos. No existe
Accesos desde el exterior y/o internet. No existe
Servidores, desde dentro del servidor. No existe