1. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página1
INSTRUCCIONES
Por cada auditoria se debe colocar:
OBJETIVOS DE LA AUDITORÍA
ALCANCES DE LA AUDITORÍA
FECHA DE LA AUDITORA
IDENTIFICACIÓN Y FIRMADEL AUDITOR(ES)
2. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página2
AUDITORIA DE DESARROLLO
Preguntas Si No N/A Explique
1 ¿El sistema se encuentra regido por alguna metodología
de desarrollo?
2 Si la pregunta anterior aplica ¿Esta fue revisada por
algún experto en la materia?
3 ¿Dicha metodología cubre todas las fases del desarrollo
y es adaptable a distintos tipos de proyecto?
4 ¿Los roles de los desarrolladores fueron asignado según
sus experiencias y actitudes?
5 De ser correcta la anterior pregunta ¿Estos roles y
acciones fueron cumplidas por las personas asignadas al
cargo?
6 ¿Existe un documento en donde se encuentre detallado
las fases del proyecto?
7 ¿Existe un documento que rija requerimiento del
sistema?
8 ¿El cliente del sistema aprobó dicho documento?
9 ¿El cliente estuvo al tanto del sistema en su tiempo de
desarrollo?
10 ¿El sistema posee el modelo entidad relación de la BD?
11 De ser así, ¿Este se encuentra normalizado o fue
revisado por algún experto en la materia?
12 ¿El código del sistema se encuentra documentado
explicando la funcionalidad de cada clase y sus
métodos?
13 ¿El sistema posee algún documento en el cual se
detallen las pruebas realizadas al sistema?
14 ¿El sistema posee un manual de instalación del mismo?
15 Dicho manual explica cuáles son los mínimos
requerimientos para Software y hardware.
16 ¿Posee el sistema un manual en el cual se explique la
utilización del mismo?
17 ¿Se ha comprobado si el manejador de BD utilizado, es
el más óptimo para el sistema?
18 ¿Se ha comprobado si el entorno en el cual fue
desarrollado el sistema es el más óptimo?
19 ¿De igual manera se ha identificado si el lenguaje de
programación utilizado para el desarrollo del sistema fue
el adecuado?
20 ¿Se encuentra el sistema en ejecución del cliente?
21 ¿Se han realizado entrevistas al cliente del sistema para
comprobar que este cumpla con todas las exigencias y
trabaja de manera óptima?
3. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página3
AUDITORIA DE EXPLOTACIÓN
Preguntas Si No N/A Explique
1 ¿Existe un organigrama sobre el funcionamiento del
departamento?
2 ¿Posee privilegios de usuario para proteger la
información?
3 ¿La interfaz presenta fluidez y una organización
adecuada de los elementos que la componen?
4 ¿Los formularios del sistema solo solicitan
información relevante?
5 ¿El sistema realiza correctamente todas sus
funciones?
¿De no ser así son muy comunes tales fallos?
6 ¿Los datos e información que muestra el sistema
son correctos y confiables?
7 ¿Se asegura que no existe información incorrecta
sensible para su utilización de sistema?
8 ¿Se describen con detalle las funciones y
responsabilidades del personal?
9 ¿Los reportes muestran solo la información más
relevante?
10 ¿Permite exportar la información de los reportes?
11 De ser así. ¿Se permite exportar los datos en
distintos formatos?
12 ¿El funcionamiento del sistema permite que en
ningún punto de su ejecución se cuelgue la
realización de un proceso?
14 ¿Se realizan mantenciones periódicas al sistema?
15 ¿La información importante tiene algún tipo de
encriptación?
4. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página4
AUDITORIA DE REDES Y COMUNICACIONES
LISTADE CHEQUEO 1
Departamento: R/PT
Cuestionario de Control LC1 de internet
Dominio Redes y comunicaciones
Proceso Instalación y diseño de redes
Objetivo de Control Evaluación Infraestructura de redes de comunicación
Cuestionario
Pregunta SI NO N/A Explique
¿Todos los nodos se encuentran bajo un mismo
estándar de modo que no se reduzca la velocidad de
transmisión?
¿Se gestiona la infraestructura de la red inalámbrica en
base a los recursos de radiofrecuencia de los clientes?
¿Los enlaces de la red se testean frecuentemente?
¿La longitud de los tramos de cableado horizontal
no excede de los 90 metros?
¿El armado del patch panel cumple con los
requerimientos básicos del estándar 568- A y 568-B?
¿El etiquetado implementado en la organización
cuenta con un código de colores para facilitar su
identificación?
¿Cuenta con un mapa arquitectónico para la verificación
del sembrado de nodos?
¿El cable cuenta con los recorridos horizontales
correctos para el backbone y sus subsistemas?
¿El cableado estructurado del interior del edificio viaja
dentro de canaleta o ducto?
¿Las direcciones IP ́S de los equipos de cómputo son
implementadas de forma fija?
¿Cuentan con conmutadores en red, para la expansión
de redes locales?
5. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página5
¿Se tiene conexión a tierra física para protección de
equipos ante posibles descargas eléctricas que puedan
afectar?
¿Se tiene implementado un sistema de control de acceso
a los centros de cableado y dispositivos?
¿Los equipos se encuentran instalados en áreas con
temperaturas adecuadas para su funcionamiento?
¿Esta implementado un modelo de QoS en la red?
¿Existen planes de contingencia y continuidad que
garanticen el buen funcionamiento de la red?
¿Las terminaciones del cable de red están
correctamente configuradas en base al código de colores
de los pares trenzados?
¿Se tienen suficientes nodos en la red para conectar
todos los equipos que lo requieren?
¿Cuenta con un análisis de vulnerabilidades en la
implementación y configuración de los dispositivos de
red?
En cuanto a las pruebas del cableado, ¿el departamento
de TI, genera sus propios ataques para probar la solidez
de la red y encontrar posibles fallas?
Cuentan con administración interna de la red es decir,
¿cuentan con VLAN’s creadas en el servidor para tener
una mayor administración en cada una de las oficinas
que se dedican a diferentes actividades?
Para evitar vulnerabilidades en las WLAN ¿Usan
protocolos de autenticación, como está establecido en el
estándar IEEE 802.11?
¿La cantidad de dispositivos Access Point es la
adecuada en función del número de usuarios que se
conectan, como lo establece el estándar 802.11?
¿La red inalámbrica proporciona velocidades de
transmisión de 54Mbps en distancias cortas?
6. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página6
LISTADE CHEQUEO 2
Departamento: R/PT
Cuestionario de Control LC2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Evaluación de Nuevo Hardware
Cuestionario
Pregunta SI NO N/A Explique
¿Se cuenta con un inventario de todos los equipos
que integran el centro de cómputo?
¿Se posee de bitácoras de fallas detectadas en los
equipos?
Características de la bitácora (señale las
opciones).
● ¿La bitácora es llenada por personal
especializado?
● ¿Señala fecha de detección de la falla?
● ¿Señala fecha de corrección de la falla y
revisión de que el equipo funcione
correctamente?
● ¿Se poseen registros individuales de los
equipos?
● ¿La bitácora hace referencia a hojas de
servicio, en donde se detalla la falla, y las
causas que la originaron, así como las
refacciones utilizadas?
¿Se tiene plenamente identificada cada estación de
trabajo dentro de la empresa?
¿Se cuenta con procedimientos definidos para la
adquisición de nuevos equipos?
¿Se tienen criterios de evaluación para determinar el
rendimiento de los equipos a adquirir y así elegir el
mejor?
¿El rack donde se colocan los dispositivos cuenta con
espacio libre para agregar más dispositivos?
7. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página7
LISTADE CHEQUEO 3
Departamento: R/PT
Cuestionario de Control LC2
Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para Hardware
Cuestionario
Pregunta SI NO N/A Explique
¿Se lleva un control de los equipos en garantía, para
que a la finalización de ésta, se integren a algún
programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos
los equipos?
¿Cuenta con dispositivos para la regulación del
voltaje?
¿Los equipos se encuentran instalados en áreas con
temperaturas adecuadas para su funcionamiento?
¿Existen planes de contingencia y continuidad que
garanticen el buen funcionamiento de la red?
8. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página8
LISTADE CHEQUEO 4
Departamento: R/PT
Cuestionario de Control LC4 de internet
Dominio Redes y comunicaciones
Proceso Infraestructura
Objetivo de Control Evaluación de estructura de la red
Cuestionario
Pregunta SI NO N/A Explique
¿Se cuenta con un servidor?
¿Existe un diagrama de red, que muestra las
conexiones físicas y lógicas entre los equipos de
red?
¿Existe un inventario de actualizado de equipo de
comunicaciones: Módems, Hubs, Terminales,
Routers, Firewalls, etc. ?
¿Existe un inventario del software instalado en
la red, por ejemplo: sistema operativo,
lenguajes, programas, paqueterías, utilerías y
demás software institucional.?
¿Existe control y monitoreo de las conexiones
a fin de deshabilitar aquellas que no estén en
uso?
¿Son los códigos de acceso periódicamente
cambiado?
·¿Existe una lista de usuarios autorizados del
acceso al servidor?
9. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página9
CUESTIONARIO
1. ¿Cuál es la versión del servidor instalado?
2. ¿Se cuenta con un computador asignado exclusivamente para el servidor?
3. ¿Se utiliza un computador distinto al servidor usado exclusivamente para BD?
4. ¿Con qué tipo de topología de red cuenta?
5. ¿Considera que la velocidad para mover/consultar archivos en la red es buena?
6. ¿Considera que la velocidad de descarga de imágenes, videos información y archivos es la
más adecuada?
7. ¿Existe un inventario de las direcciones ip asignadas para los equipos del departamento?
8. ¿Con cuánta frecuencia se realiza mantenimiento a los equipos?
9. ¿Qué compañía de internet se tiene contratada?
10. ¿Cuál es la velocidad del servicio de internet designado para el departamento?
11. ¿El departamento cuenta con un servidor SMTP propio?
12. ¿Cuántos equipos están conectados a la red?
13. ¿Considera que los usuarios que concurren a los servicios de la red afectan su rendimiento?
14. ¿Qué tipo de cable es el utilizado en la red? (coaxial, trenzado ,fibra óptica, etc.)?
15. ¿Existe fibra óptica en algún punto específico de la red para el mejor rendimiento de un
área?
16. ¿Ha observado problemas de conexión con equipos u otros dispositivos de red?
17. ¿Está definida la política del perímetro de los Firewalls para el uso de Internet?
18. ¿Los equipos de comunicación disponen de claves de acceso, así como la activación
de log. o bitácoras de auditoría sobre los accesos realizados.?
19. ¿Personas ajenas al departamento tienen acceso a la clave wifi del mismo? De ser así,
justifique.
20. ¿Con cuánta frecuencia se revisa el inventario?
10. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página10
AUDITORIA DE SISTEMAS
LISTADE CHEQUEO 1
Departamento: R/PT
Cuestionario de Control LC1
Dominio Plataforma Tecnológica
Proceso PT: Mantenimiento del software de aplicación
Objetivo de Control Gestión de capacidad
Cuestionario
Pregunta SI NO N/A Explique
¿Se asegura el servicio continuo del
sistema?
¿El sistema controla a los usuarios mediante
autentificación y cuenta de usuario creada?
¿El sistema funciona en base al detalle de
requisitos?
¿El sistema responde en tiempo real?
¿El sistema soporta modificaciones?
¿Existe una persona que se encarga de
llevar a cabo dichas modificaciones?
¿Se cuenta con manual de usuario?
¿Se cuenta con manual de operaciones?
¿Proporciona un enfoque sistemático para la
seguridad de la información (realización de
copias de seguridad)?
¿Los administradores encargados de realizar
las modificaciones tienen la formación y
conocimientos adecuados?
¿Se pueden modificar los campos del
sistema?
¿El sistema funciona en diferentes sistemas
operativos?
¿Se realizan pruebas a los módulos antes de
11. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página11
liberarlos?
¿El sistema realiza los procesos y
operaciones de forma segura?
¿Se cuenta con diferentes perfiles para el
sistema?
¿En caso de una modificación accidental se
puede recuperar el registro modificado?
¿El sistema cuenta con documentación de
diseño?
¿El diseño se realizó en base a un estándar?
¿El diseño del sistema es adaptable para la
inclusión de nuevos componentes?
¿El sistema cuenta con documentación que
compruebe su funcionamiento adecuado?
¿Los manuales están a la mano del
personal?
¿El sistema se mantiene disponible mientras
realiza operaciones complejas?
¿El sistema requiere de memoria o
capacidad de procesamiento razonable en
función de las operaciones que realiza?
¿El sistema es capaz de crecer conforme la
organización lo requiera?
¿Se puede capacitar fácilmente a un nuevo
usuario acerca del uso del sistema?
¿El sistema operativo con el que cuenta es el
adecuado para su sistema?
¿Las fallas que ha tenido el sistema han sido
corregidas de manera exitosa?
¿El sistema soporta conexión múltiple de
usuarios?
¿Está controlada la extracción de
información del sistema?
LISTADE CHEQUEO 2
12. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página12
Departamento: R/PT
Cuestionario de Control LC2
Dominio Plataforma Tecnológica
Proceso PT: Mantenimiento del software de aplicación
Objetivo de Control Gestión de la seguridad de la información
Cuestionario
Pregunta SI NO N/A Explique
¿Las bases de datos cuentan con un modelo o
esquema de organización de los datos?
¿Existe backup para respaldar información de
las bases de datos?
¿Se cuenta con un personal capacitado como
administrador del sistema?
¿El sistema fue creado bajo un modelo para la
mejora y evaluación de los procesos de
desarrollo y mantenimiento de sistemas?
¿Se cuenta con personal especializado para
que monitoree el rendimiento del sistema?
¿Se realiza adecuadamente la documentación
del sistema, manuales de usuario,
mantenimiento y recomendaciones?
¿Se utiliza encriptación para la información
que se almacena en las bases de datos?
¿El sistema es escalable para nuevas
aplicaciones?
¿Se realiza mantenimiento periódico a la BD?
13. Cuestionarios para Auditoria Informática
Recopilado por: Estudiantes UPTAEB – PNFI. Trayecto IV, Periodo II Página13
AUDITORÍA DE BASE DE DATOS
Nro
.
PREGUNTA SI NO
1 ¿El sistema cuenta con una administración que haga
corresponder los usuarios y sus privilegios de BD con sus
permisos en sistema?
2 ¿El sistema cuenta con las validaciones en los formularios sobre
tipos de datos y el filtrado de caracteres especiales para evitar
inyecciones de código SQL?
3 ¿El sistema cuenta con validaciones sobre tipos de datos en
campos sensibles del lado de servidor de BD?
4 ¿El sistema comparte la información de su Base de Datos con
otros sistemas (BD compartidas)?
5 De ser afirmativa la respuesta a la pregunta anterior, ¿Cuenta el
sistema un manejo de vistas y privilegios adecuados para
mantener la seguridad de la BD con usuarios no regulares?
6 ¿Existen rutinas periódicas para realizar respaldos de la base de
datos (backups)?
7 ¿El diseño de la Base de Datos cuenta con las restricciones
pertinentes que aseguren la integridad referencial de los datos
(PRIMARY KEY, FOREIGN KEY, DELETE/UPDATE CASCADE,
UNIQUE, NOT NULL. etc.)?
8 ¿Se realizan validaciones en la capa de Base de datos
(EXCEPTIONS, TRIGGERS)?
9 ¿Posee el sistema tablas que posean alta rata de crecimiento?
10 En el caso de que la respuesta anterior sea afirmativa, ¿Cuenta la
base de datos con el uso adecuado de TableSpaces para
optimizar el rendimiento de las dichas tablas?
11 ¿Se realizan periódicamente Vacuums a la base de datos?
12 ¿Cuenta el sistema con un registro de las acciones que se realizan
en la base de datos? (Bitácora)
13 ¿Se realizan actualizaciones periódicas del SGBD?
14 ¿Se tiene un manejo pertinente sobre la concurrencia de los
usuarios al acceso y/o interacción de los registros de la BD?
15 ¿Se Maneja un plan de recuperación de la información de la BD?