Carlox RLópez, profile picture
Subido porCarlox RLópez
DOCX, PDF365 vistas

Crmr

El documento presenta los resultados de una auditoría realizada a la empresa OB SOFT S.A. de C.V. para evaluar el cumplimiento de su contrato y certificar la legalidad de los programas utilizados. La auditoría analizó objetivamente la calidad de los servicios emitidos por la empresa y propuso correcciones de problemáticas encontradas. Como parte de la auditoría, se aplicó un cuestionario que evaluó aspectos como la estructura organizativa, funciones, objetivos y cumplimiento de estos en la empresa. El cuestionario identificó varias áreas de oport

Incrustar presentación

Descargar para leer sin conexión
OB SOFT S.A. DE C.V. Ejecución de Auditoria Objetivo Realizar la auditoria pertinente en función del cumplimiento del contrato establecido para evaluar el funcionamiento de la empresa de desarrollo de software denominada OB SOFT, así como para lograr la certificación de legalidad en los programas utilizados en la institución. Alcance Se realizara un análisis objetivo y transparente que permita un dictamen preciso acerca de la calidad de los servicios emitidos por la institución, se darán propuestas de corrección de problemáticas y se emitirá un certificado de buen funcionamiento. Cuestionarios BASES JURÍDICAS ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? Si No No, ¿Por qué razón? En la organización del centro de cómputo no existe una organización bien definida ¿Cuáles son los ordenamientos legales en que se sustenta la dirección? No existe ningún ordenamiento legal Objetivo de la estructura ¿La estructura actual está encaminada a la consecución de los objetivos del área? Explique en qué forma. En el centro d cómputo no se tienen objetivos generales ni específicos 1
OB SOFT S.A. DE C.V. ¿Permite la estructura actual que se lleven a cabo con eficiencia: Las atribuciones encomendadas? Si No Las funciones establecidas? Si No La distribución del trabajo? Si No El control interno? Si No Si alguna de las respuestas es negativa, explique cuál es la razón. Niveles jerárquicos Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos. ¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del área? Si No ¿Cuáles y porque son sus recomendaciones? Los puestos con los que se cuentan son los necesarios para llevar un buen control ¿Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: Operación? Si No Supervisión? Si No Control? Si No ¿Permiten los niveles actuales que se tenga una ágil: Comunicación ascendente? Si No Comunicación descendente? Si No Toma de decisiones? Si No Si alguna de las respuestas es negativa, explique cuál es la razón. Considera que algunas áreas deberían tener: Mayor jerarquía? Si No Menor jerarquía? Si No ¿Por qué razón? Los puestos estan establecidos de acuerdo a las políticas de la institución Departamentalización 2
OB SOFT S.A. DE C.V. ¿Se consideran adecuados los departamentos, áreas y oficinas en que está dividida actualmente la estructura de la dirección? Si No No, ¿Por qué razón? ¿El área y sus subareas tienen delimitadas con claridad sus responsabilidades? Si No No, ¿Qué efectos provoca esta situación? Puestos Se debe tener cuidado de que estén bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusión en los nombres que se dan a los puestos dentro del medio de la informática. ¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones? Si No Solicite el manual de descripción de puestos de: Análisis Programación Técnicos Operación Captura Administración de bases de datos Comunicación y redes Dirección Administrativos Otros Pida la plantilla del personal. Se debe especificar el número de personas que reportan a las personas que a su vez reportan cada puesto, ya sea: Director Subdirector Jefes de departamento Jefes de sección Jefes de área ¿El número es el adecuado en cada uno de los puestos? Si No Si, ¿Por qué? 3
OB SOFT S.A. DE C.V. Existe un encargado del edificio, y por cada laboratorio existente hay una persona reponsable No, ¿Cuál es el número de personal que consideras adecuado? Señale el puesto o los puestos. Expectativas Dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas. ¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente? Si No ¿Sí? ¿Por qué razón? A pesar de que en el edifico se lleva un buen control, este puede mejorar ¿Cuál es la estructura que propondría? Se propondría un cambio en la estrategia del trabajo, que se fijen objetivos De realizar una modificación a la estructura, ¿Cuando considera que debe hacerse? Colocar personas más capacitadas para el puesto que están desarrollando Autoridad ¿Se encuentra definida adecuadamente la línea de autoridad? Si No ¿No, porque razón? ¿Su autoridad va de acuerdo a su responsabilidad? Si No ¿No, porque razón? El personal de menos jerarquía en algunas ocasiones quiere tomar más autoridad de la que tiene ¿En su área se han presentado conflictos por el ejercicio de la autoridad? Si No Si, explique en qué casos. ¿Existe en el área algún sistema de sugerencias y quejas por parte del personal? 4
OB SOFT S.A. DE C.V. Si No FUNCIONES Existencia ¿Se han establecido funciones del área? Si No ¿Por qué no? ¿Las funciones están de acuerdo con las atribuciones legales? Si No ¿Por qué no están de acuerdo? ¿Están por escrito en algún documento las funciones del área? Si No ¿Cuál es la causa de que no estén por escrito? No les pareció importante tener esto de manera escrita, solo se lo hicieron saber al personal ¿Cuál es la forma de darlas a conocer? De forma verbal ¿Quién elaboro las funciones? El encargado del edificio ¿Participo el área en su formulación? No ¿Por qué causas no participo? Los subordinaos solo acatan ordenes ¿Quién las autorizo o aprobó? El director de la carrera Coincidencias Se debe tener cuidado en que se conozcan las funciones del área. 5
OB SOFT S.A. DE C.V. ¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos? Si No No, ¿Por qué? ¿Las funciones de área están acordes al reglamento interior? Si No No, ¿en que considera que difieran? ¿A qué nivel se conocen las funciones del área? Las funciones de todas las áreas son muy específicas ¿Conocen otras áreas las funciones del área? Si No No, ¿Por qué? ¿Considera que se deben dar a conocer? Si No No, ¿Por qué? Adecuadas Debemos tener cuidado, ya que en esta área podemos detectar malestares de personal, debido a que si las funciones no son adecuadas a las necesidades pueden existir problemas de definición de funciones o bien de cargas de trabajo. ¿Son adecuadas a la realidad las funciones? Si No En caso negativo, ¿Por qué no son adecuadas? Cumplimiento Esta sección nos sirve para evaluar el grado de cumplimiento de las funciones del personal. ¿Están delimitadas las funciones? Si No ¿A nivel de departamento? Si No ¿A nivel de puesto? Si No 6
OB SOFT S.A. DE C.V. No, ¿Por qué? ¿Las actividades que realiza el personal son acordes a las funciones que tiene asignadas? Si No No, ¿Qué tipo de actividades realiza que no están acordes a las funciones asignadas? ¿Cuál es la causa? ¿Quién lo ordena? ¿Las actividades que realizan actualmente cumplen en su totalidad con las funciones conferidas? Si No No, ¿Cuál es el grado de cumplimiento? En algunas ocasiones no se pueden realizar por falta de material La falta de cumplimiento de sus funciones es por: Falta de personal Si No Personal no capacitado Si No Cargas excesivas de trabajo Si No Por que realiza otras actividades Si No La forma en que las ordena Si No ¿Cuáles funciones realiza en forma: Periódica? Instalación de software Eventual? Juntas con el encargado 7
OB SOFT S.A. DE C.V. Sistemática? Revisión de equipos de cómputo Otras? ¿Tiene programas y tareas encomendadas? Si No No, ¿por qué? ¿Permiten cumplir con los programas y tareas encomendadas (necesidades de operación)? Si No No, ¿Por qué causas? ¿Quién es el responsable de ordenar que se ejecuten las actividades? El director de la carrera de TIC En caso de realizar otras actividades, ¿Quién las ordena y las autoriza? El encargado del edificio el Ing. Erick Castellou En caso de no encontrarse el jefe inmediato, ¿Quién lo puede realizar? El encargado o alguno de los laboratoristas Apoyos ¿Para cumplir con sus funciones requiere de apoyos de otras aéreas? Si No ¿De qué tipo? ¿Cuál es el área que proporciona el apoyo? 8
OB SOFT S.A. DE C.V. ¿Se lo proporcionan con oportunidad? Si No No, ¿Qué le ocasiona? No, ¿Cómo resuelve esa falta de apoyo? ¿Con que frecuencia los solicita? Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas? Si No Si, ¿Qué tipo de apoyo proporciona? Existen otros laboratorios en las instalaciones ¿A cuántas areas? 2 áreas ¿Cuáles son? Laboratorios de cómputo en biblioteca y otro edificio Duplicidad ¿Existe duplicidad de funciones de la misma área? Si No Si, ¿Qué conflictos ocasiona y cuales funciones? Duplicidad de encargados de laboratorio pero cada uno tiene responsabilidad de un laboratorio ¿Existe duplicidad de funciones en otras aéreas? Si No Si, ¿Cuáles y en donde? ¿Qué conflictos ocasiona? 9
OB SOFT S.A. DE C.V. ¿La duplicidad de funciones se debe a que el área no puede realizarlas? Si No Si ¿Cuál es la razón? No, ¿Cuál es su opinión al respecto? El trabajo se mejora con la colaboración de todos los empleados ¿Se pueden eliminar funciones? Si No Si, ¿cuáles? ¿Se pueden transferir funciones? Si No Si, ¿cuáles y en donde? Las funciones que s realizan las puede realizar cualquier persona ¿Permite la duplicidad que se dé el control interno? Si No No, ¿por qué? OBJETIVOS Existencia ¿Se han establecido objetivos para el área? Si No ¿Quién los estableció? ¿Cuál fue el método para el establecimiento de los objetivos? ¿Participo el área en su establecimiento? Si No 10
OB SOFT S.A. DE C.V. ¿Cuáles fueron las principales razones de la selección de los objetivos? ¿Los objetivos son congruentes con Los de la dirección? Si No Los de la subdirección? Si No Los del departamento/oficina? Si No Los de otros departamentos/oficinas? Si No ¿Por qué no se han establecido objetivos para el área? No se cree necesario definir objetivos Nadie les exige establecerlos Si No Considera importante que se establezcan Si No Es responsabilidad de otra área establecer los objetivos Si No ¿Cuál? ¿De qué manera planea el trabajo el área? ¿Cómo afecta la operación del área el no tener establecidos los objetivos? Los avances que se tiene en el área no se ven claros Formales ¿Se han definido por escrito los objetivos del área? Si No ¿En qué documentos? (recábalos) 11
OB SOFT S.A. DE C.V. ¿Por qué no están definidos por escrito? No se cree necesario ¿Qué problemas se han derivado de esta situación? Ningún problema Conocimiento ¿Se han dado a conocer los objetivos? Si No ¿A quién se han dado a conocer? ¿Quién mas debería de conocerlos? ¿Qué método se ha utilizado para dar a conocer los objetivos? ¿Por qué no se han dado a conocer los objetivos? No se cuentan con objetivos ¿Considera importante que los conozca el personal? Si No ¿Cómo afecta a la operación del área el hecho de que los objetivos se hayan dado a conocer o que su conocimiento sea parcial? El personal sabría que se quiere lograr Adecuados ¿Abarcan los objetivos toda la operación del área? Si No ¿Qué aspectos no se cubren? No existen objetivos ¿Los objetivos son claros y precisos? Si No 12
OB SOFT S.A. DE C.V. ¿Son realistas? Si No ¿Se pueden alcanzar? Si No ¿Por qué? ¿Están de acuerdo con las funciones del área? Si No ¿Señalan cuales son las realizaciones esperadas? Si No ¿Son congruentes con los objetivos institucionales? Si No ¿Sirve de guía al personal? Si No ¿Sirve para motivar al personal? Si No ¿Se han establecido para el corto, mediano y largo plazo? Si No ¿Qué adecuaciones puede sugerir para los objetivos actuales? Que se propongan ideas de acuerdo a los logros y mejoras que se quieren hacer Cumplimiento ¿En qué grado se cumplen los objetivos? ¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos? Si No Si, ¿Cuáles? No, ¿De que manera se establece el grado de cumplimiento? No existe 13
OB SOFT S.A. DE C.V. ¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los objetivos? Si No ¿Para quién y con que frecuencia? (recaba los datos) ¿Quién elabora este reporte? ¿Qué se hace en caso de desviación en el cumplimiento de los objetivos? ¿Qué sugerencia puede hacer para lograr el cumplimiento total de los objetivos? Actualización ¿Se revisan los objetivos? Si No ¿Por qué sistema? ¿Quién revisa los objetivos? ¿De qué manera se lleva a cabo la revisión? ¿Participa el área en la actualización de los objetivos? Si No ¿Cuándo se hizo la última revisión de los objetivos? ¿De qué manera se incorporan las modificaciones derivadas de las revisiones? ¿Por qué no se revisan los objetivos? No existen objetivos definidos 14
OB SOFT S.A. DE C.V. ¿Qué sugerencias tiene para las actualizaciones de los objetivos sean más eficaces? Los empleados expresen sus ideas acerca de los objetivos EVALUACIÓN DE LOS RECURSOS HUMANOS Desempeño y Cumplimiento ¿Es suficiente el número de personal para el desarrollo de las funciones del área? Si No ¿Se deja de realizar alguna actividad por falta de personal? Si No ¿Está capacitado el personal para realizar con eficacia sus funciones? Si No No, ¿Por qué? ¿Es adecuada la calidad del trabajo del personal? Si No No, ¿Por qué? ¿Es frecuente la repetición de los trabajos encomendados? Si No ¿El personal es discreto en el manejo de información confidencial? Si No No, anote repercusiones. En general, ¿acata el personal las políticas, sistemas y procedimientos establecidos? Si No No, ¿Por qué? ¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo? 15
OB SOFT S.A. DE C.V. Si No Si, ¿Qué se hace al respecto? ¿Respeta el personal la autoridad establecida? Si No No, ¿Por qué? ¿Existe cooperación por parte del personal para la realización del trabajo? Si No No, ¿Por qué? ¿El personal tiene afán de superación? Si No ¿Presenta el personal sugerencias para mejorar el desempeño actual? Si No ¿Cómo considera las sugerencias? ¿Qué tratamiento se les da? ¿Se toman en cuenta las sugerencias de los empleados? Si No ¿En que forma? ¿Cómo se les da respuesta a las sugerencias? Capacitación 16
OB SOFT S.A. DE C.V. Uno de los puntos que se deben de evaluar con más detalle dentro del área de informática es la capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologías en el área. Los programas de capacitación incluye al personal de: Dirección ( ) Análisis ( ) Programación ( ) Operación ( ) Administración ( ) Administración de base de datos ( ) Comunicación de redes ( ) Captura ( ) Otros (especifique) ( ) _________________________________________________ ¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área? Si No No, ¿por qué? ¿Apoya la superioridad la realización de estos programas? Si No ¿Se evalúan los resultados de los programas de capacitación? Si No No, ¿Por qué? Solicite el plan de capacitación para el presente año. Supervisión ¿Cómo se lleva a cabo la supervisión del personal? 17
OB SOFT S.A. DE C.V. Revisando que el trabajo desempeñado se realice correctamente En caso de no realizarse, ¿Por qué no se realiza? ¿Cómo se controlan el ausentismo y los retardos del personal? Ese puesto se cubre con la ayuda de otra persona ¿Por qué nos se llevan controles? ¿Cómo se evalúa el desempeño del personal? Solo se verifica que cumplan con sus responsabilidades ¿Por qué nos se evalúa? No se cree necesario ¿Cuál es la finalidad de la evaluación del personal? Mejorar su desempeño Limitantes ¿Cuáles son los principales factores internos que limitan el desempeño del personal? Que no se tienen objetivos y el funcionamiento del centro de cómputo no se presta para desempeñar funciones más eficientes ¿Cuáles son los principales factores externos que limitan el desempeño del personal del área? El mismo que se especifican en la pregunta anterior ¿Cuál es el índice de rotación de personal en: Análisis? ( ) Operación? ( ) Administración? ( ) Captura? ( ) Programación? ( ) 18
OB SOFT S.A. DE C.V. Dirección? ( ) Administración de base de datos? ( ) Comunicación de redes? ( ) Técnicos? ( ) Otros? (especifique). ( ) _____________________________________________________ En términos generales, ¿se adapta el personal al mejoramiento administrativo (resistencia al cambio)? Si No ¿Cuál es el grado de disciplina del personal? El nivel es medio, no se les exige mucho ¿Cuál es el grado de asistencia y puntualidad del personal? El nivel es bueno ¿Existe una política uniforme y consistente para sancionar la indisciplina del personal? Si No ¿Se lleva a efecto esta política? Si No ¿Puede el personal presentar quejas y/o problemas? Si No Si, ¿Cómo se solucionan? ¿Otras aéreas externas presentan quejas sobre la capacidad y/o atención del personal del área? Si No Si, ¿Qué tratamiento se les da? ¿Cómo se otorgan los ascensos, promociones y aumentos salariales? Esto se otorga n base a su desempeño y eficiencia, además del tiempo 19
OB SOFT S.A. DE C.V. ¿Cómo se controlan las faltas y ausentismos? Esto se lleva a cabo a través de permisos ¿Cuáles son las principales causas de faltas y ausentismos? Enfermedad Condiciones de Trabajo Para poder trabajar se requiere que se tenga una adecuada área de trabajo, con mayor razón en un área en la que se debe de hacer un trabajo de investigación e intelectual. ¿Conoce el reglamento interior de trabajo el personal del área? Si No ¿Se apoyan en él para solucionar los conflictos laborales? Si No No, ¿Por qué? ¿Cómo son las relaciones laborales del área con el sindicato? ¿Se presentan problemas con frecuencia? Si No Si, ¿en qué aspectos? ¿Cómo se resuelven? Remuneraciones 20
OB SOFT S.A. DE C.V. Normalmente las personas están inconformes con su remuneración. Es importante evaluar que tan cierta esa esta inconformidad o si está dada por otros malestares aunque sean señalados como inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa a la personas para poder darle una mejor remuneración. ¿Está el personal adecuadamente remunerado con respecto a: Trabajo desempeñado? Si No Puestos similares en otras organizaciones? Si No Puestos similares en otras áreas? Si No Si, ¿Cómo repercute? No, ¿Cómo repercute? Conseguir información sobre los sueldos de los mismos niveles en otras organizaciones. Ambiente El ambiente en el área de informática, principalmente en programación, es muy importante para lograr un adecuado desarrollo. ¿El personal está integrado como grupo de trabajo? Si No No, ¿Por qué? ¿Cuál es el grado de convivencia del personal? ¿Cómo se aprovecha esto para mejorar el ambiente de trabajo? 21
OB SOFT S.A. DE C.V. ¿Son adecuadas las condiciones ambientales con respecto a: Espacio del área? Si No Iluminación? Si No Ventilación? Si No Equipo de oficina? Si No Mobiliario? Si No Ruido? Si No Limpieza y/o aseo? Si No Instalaciones sanitarias? Si No Instalaciones de comunicación? Si No Organización del Trabajo ¿Participa en la selección del personal? Si No No, ¿Por qué? ¿Qué repercusiones tiene? ¿Se prevén las necesidades de personal con anterioridad: En cantidad? Si No En calidad? Si No No, ¿Por qué? ¿Está prevista la sustitución del personal clave? Si No 22
OB SOFT S.A. DE C.V. No, ¿Por qué? Desarrollo y Motivación ¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área? No existe una introducción definida, estas se van cambiando de acuerdo al personal En caso de no realizarse, ¿Por qué no se realiza? ¿Cómo se realiza la motivación del personal del área? Se hacen reuniones con l encargado del edificio para que expresen sus ideas ¿Cómo se estimula y se recompensa al personal del área? Pueden ir subiendo puestos ¿Existe oportunidad de ascensos y promociones? Si No ¿Qué política hay al respecto? No existe ninguna política 23
OB SOFT S.A. DE C.V. HARDWARE  Objetivo Dar recomendaciones a la alta gerencia para mejorar y lograr un adecuado control de los equipos informáticos a fin llevar a cabo un buen funcionamiento del mismo.  Alcance Mejoramiento de los equipos informáticos y gracias a esto se dará un mejor servicio a quienes ocupen sus instalaciones.  Cuestionarios AUDITORIA FÍSICA PREGUNTAS SI NO N/A 1. ¿Existe procedimientos para la realización de las copias de seguridad? 2. ¿Existen procedimientos que aseguran que, de todos los ficheros con datos de carácter personal, se realiza copia al menos una vez cada semana? 3. ¿Hay procedimientos que aseguran la realización de copias de todos aquellos ficheros que han experimentado algún cambio en su contenido? 4. ¿Existen controles para la detección de incidencias en la realización de las pruebas? 5. ¿Existen controles sobre el acceso físico a las copias de seguridad? 6. ¿Solo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen las copias de seguridad? 7. ¿Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transforman fuera de las instalaciones? 24
OB SOFT S.A. DE C.V. 8. ¿Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las procesan? 9. ¿Existe un inventario de los soportes existentes? 10. ¿Dicho inventario incluye las copias de seguridad? 11. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de la instalación? 12. ¿Existen procedimientos de actualización de dicho inventario? 13. ¿Existen procedimientos de etiquetado e identificación del contenido de los soportes? 14. ¿Existen procedimientos en relación con la salida de soportes fuera de su almacenamiento habitual? 15. ¿Se evalúan los estándares de distribución y envío de estos soportes? 16. ¿Se obtiene una relación de los ficheros que se envían fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envío, el estamento que realiza el envío y el destinatario? 17. ¿Se comprueba que todos los soportes incluidos en esa relación se encuentran también en el inventario de soportes mencionado anteriormente? 18. ¿Se obtiene una copia del registro de entrada y salida de soportes y se comprueba que en él se incluyen: Los soportes incluidos en la relación del punto anterior (y viceversa) Los desplazamientos de soportes al almacenamiento Evaluación de la seguridad en el acceso al sistema 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Evaluar los atributos de acceso al sistema. Evaluar los niveles de acceso al sistema. Evaluar la administración de contraseñas al sistema. Evaluar el monitoreo en el acceso al sistema. Evaluar las funciones del administrador del acceso 25
OB SOFT S.A. DE C.V. al sistema. Evaluar las medidas preventivas o correctivas en caso de siniestros en el acceso. Evaluación de los planes de contingencias informáticos 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Evaluar la existencia, difusión, aplicación y uso de contra contingencias de sistemas. Evaluar la aplicación de simulacros, así como el plan de contingencias. Evaluar la confidencialidad, veracidad y oportunidad en la aplicación de las medidas del plan contra contingencias. Evaluación de la protección contra la piratería y robo de información 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Medidas preventivas. Protección de archivos. Limitación de accesos. Protección contra robos. Protección ante copias ilegales. 26
OB SOFT S.A. DE C.V. Evaluación de la protección contra virus informáticos 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Medidas preventivas y correctivas. Uso de vacunas y buscadores de virus. Protección de archivos, programas e información. Evaluación de la seguridad del hardware 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Realización de inventarios de hardware, equipos y periféricos asociados. Evaluar la configuración del equipo de computo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. Evaluar el estado físico del hardware, periféricos y equipos asociados. 27
OB SOFT S.A. DE C.V. SOFTWARE  Objetivo Conocer la evaluación técnica del software que se posee en términos generales y en términos específicos, la facilidad para su mantenimiento, su escalabilidad y su flexibilidad para satisfacer nuevos requerimientos.  Alcance Contar con una lista de líneas de acción posibles, para reconstrucciones, adaptaciones o cambios que intenten mitigar los riesgos que se encuentren en los software instalados en los equipos.  Cuestionarios AUDITORIA LÓGICA PREGUNTAS SI NO N/A 1. ¿Existen medidas, controles, procedimientos, normas y estándares de seguridad? 2. ¿Existe un documento donde este especificado la relación de las funciones y obligaciones del personal? 3. ¿Existe procedimientos de notificación y gestión de incidencias? 4. ¿Existe procedimientos de realización de copias de seguridad y de recuperación de datos? 5. ¿Existe una relación del personal autorizado a 28
OB SOFT S.A. DE C.V. conceder, alterar o anular el acceso sobre datos y recursos? 6. ¿Existe una relación de controles periódicos a realizar para verificar el cumplimiento del documento? 7. ¿Existen medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado? 8. ¿Existe una relación del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que tratan datos personales? 9. ¿Existe una relación de personal autorizado a acceder a los soportes de datos? 10. ¿Existe un periodo máximo de vida de las contraseñas? 11. ¿Existe una relación de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos? 12. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar documentadas en el Documento de Seguridad? 13. ¿Hay dadas de alta en el sistema cuentas de usuarios genéricas, es decir, utilizadas por más de una persona, no permitiendo por tanto la identificación de la persona física que las ha utilizado? 14. ¿En la práctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad? 15. ¿El sistema de autenticación de usuarios guarda las contraseñas encriptadas? 16. ¿En el sistema están habilitadas para todas las cuentas de usuario las opciones que permiten establecer: Un número máximo de intentos de conexión. Un periodo máximo de vigencia para la contraseña, coincidente con el establecido en el Documento de Seguridad. 17. ¿Existen procedimientos de asignación y distribución de contraseñas? 29
OB SOFT S.A. DE C.V. SEGURIDAD  Objetivo Evaluar la configuración de los equipos de computo, tomando en cuenta las aplicaciones y el nivel de uso de los sistemas, evaluar el grado de eficiencia con el cual las instalaciones satisface las necesidades de los usuarios y revisar las políticas usadas en el centro de computo.  Alcance Garantizar la seguridad tanto de la información que se maneja en el centro de computo, asi como de las personas que hacen uso de este, teniendo en cuenta que puede ocurrir algún siniestro.  Cuestionarios RECURSOS MATERIALES Programación ¿Existe un programa sobre los requerimientos del área? Si No ¿Qué personas del área intervienen en su elaboración? ¿Se respetan los planteamientos del área? Si No No, ¿en qué aspectos no se respetan? Adecuación ¿Los recursos materiales que se proporcionan al área, son suficientes para cumplir con las funciones encomendadas? Si No No, ¿en que no son suficientes? 30
OB SOFT S.A. DE C.V. ¿Los recursos materiales se proporcionan oportunamente? Si No ¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos materiales? Que se tiene que esperar la autorización de compra de otra área del edificio ¿Qué sugerencias harían para superar las limitaciones actuales? Que estos trámites se hagan con mayor rapidez Servicios Generales ¿Existe un programa sobre los servicios generales que requiere el área? Si No ¿Considera los servicios generales que se proporcionan al área: Adecuados? Si No Suficientes? Si No Oportunos? Si No En caso de que alguna de las respuestas sea negativa especifique cual es la deficiencia. No existe ningún programa sobre los servicios generales ¿Qué sugerencia harían para superar las limitaciones actuales? Realizar un documento con la información de este programa Mobiliario y equipo ¿Se cuenta con el equipo y mobiliario adecuados y en cada cantidad suficiente para desarrollar su trabajo? Si No ¿Por qué? Algunos de los software que se utilizan son difíciles de adquirir ¿Están adecuadamente distribuidos en el área de trabajo? Los que se tienen si están distribuidos adecuadamente 31
OB SOFT S.A. DE C.V. ¿Actualmente se están dejando de realizar actividades por falta de material y equipo? Si No ¿Qué se hace para solucionar este problema? ¿Conoce esta situación el jefe de la unidad? ¿Qué medidas se han tomado? ¿Existe el servicio de mantenimiento del equipo? Si ¿Existen medidas de seguridad? Si No ¿Cuáles? Actualmente se está realizando un plan de contingencia con las medidas de seguridad en cuestión de sismos, incendios, etc. No, ¿Por qué? ¿Qué se hace con el equipo en desuso? Se ocupa para hacer equipo ensamblado ¿Sobre quien recae la responsabilidad del equipo? El director de la carrera ¿Con que frecuencia se renuevan en equipo y mobiliario? Cada 2 años 32
OB SOFT S.A. DE C.V. ¿Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos? No Auditoria a los Sistemas de Redes si No No aplica 1. ¿La gerencia de redes tiene una política definida de planeamiento X de tecnología de red? 2. Esta política es acorde con el plan de calidad de la organización X 3. ¿La gerencia de redes tiene un plan que permite modificar en X forma oportuna el plan a largo plazo de tecnología de redes, teniendo en cuenta los posibles cambios tecnológicos o en la organización? 4. ¿Existe un inventario de equipos y software asociados a las redes X de datos? 6. ¿Existe un plan de infraestructura de redes? X 7. ¿El plan de compras de hardware y software para el sector redes X está de acuerdo con el plan de infraestructura de redes? 8. ¿La responsabilidad operativa de las redes está separada de las de X operaciones del computador? 9. Están establecidos controles especiales para salvaguardar la X confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados 10. ¿Existen controles especiales para mantener la disponibilidad de X los servicios de red y computadoras conectadas? 33
OB SOFT S.A. DE C.V. 11. ¿Existen controles y procedimientos de gestión para proteger el X acceso a las conexiones y servicios de red? 12. Existen protocolos de comunicaron establecida X 13. Existe una topología estandarizada en toda la organización X 14. ¿Existen normas que detallan que estándares que deben cumplir X el hardware y el software de tecnología de redes? 15. ¿La transmisión de la información en las redes es segura? X 16. ¿El acceso a la red tiene password? X Física si No No aplica 1. ¿Existe un informe técnico en el que se justifique la adquisición X del equipo, software y servicios de computación, incluyendo un estudio costo beneficio? 2. ¿Existe un comité que coordine y se responsabilice de todo el X proceso de adquisición e instalación? 3. ¿Han elaborado un instructivo con procedimientos a seguir para X la selección y adquisición de equipos, programas y servicios computacionales? 4. ¿se cuenta con software de oficina? X 5. ¿Se han efectuado las acciones necesarias para una mayor X participación de proveedores? 6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia X técnica? 7. ¿El acceso al centro de cómputo cuenta con las seguridades X necesarias para reservar el ingreso al personal autorizado? 8. ¿Se han implantado claves o password para garantizar operación X 34
OB SOFT S.A. DE C.V. de consola y equipo central (mainframe), a personal autorizado? 9. ¿Se han formulado políticas respecto a seguridad, privacidad y X protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación? 10. ¿Se mantiene un registro permanente (bitácora) de todos los X procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? 11. ¿Los operadores del equipo central están entrenados para X recuperar o restaurar información en caso de destrucción de archivos? 12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en X lugares seguros y adecuados, preferentemente en bóvedas de bancos? 13. ¿Se han implantado calendarios de operación a fin de establecer X prioridades de proceso? 14. ¿Todas las actividades del Centro de Computo están normadas X mediante manuales, instructivos, normas, reglamentos, etc.? 15. ¿Las instalaciones cuentan con sistema de alarma por presencia X de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras? 16. ¿Se han instalado equipos que protejan la información y los X dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía? 17. ¿Se han contratado pólizas de seguros para proteger la X información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación? 18. ¿Se han Adquirido equipos de protección como supresores de X pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo? 35
OB SOFT S.A. DE C.V. 19. ¿Si se vence la garantía de mantenimiento del proveedor se X contrata mantenimiento preventivo y correctivo? 20. ¿Se establecen procedimientos para obtención de backups de X paquetes y de archivos de datos? 21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del X disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa? 22. ¿Se mantiene programas y procedimientos de detección e X inmunización de virus en copias no autorizadas o datos procesados en otros equipos? 23. ¿Se propende a la estandarización del Sistema Operativo, X software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitación sobre modificaciones incluidas? 24. ¿Existen licencias de software que se utilizan? X Mantenimiento si No No aplica 1. Existe un contrato de mantenimiento. X 2. ¿Existe un programa de mantenimiento preventivo para cada X dispositivo del sistema de cómputo? 3. ¿Se lleva a cabo tal programa? X 4. ¿Existen tiempos de respuesta y de compostura estipulados en los X contratos? 5. Si los tiempos de reparación son superiores a los estipulados en el X contrato, ¿Qué acciones correctivas se toman para ajustarlos a lo 36
OB SOFT S.A. DE C.V. convenido? 6. Existe plan de mantenimiento preventivo. ? X 7. ¿Este plan es proporcionado por el proveedor? X 8. ¿Se notifican las fallas? X 9. ¿Se les da seguimiento? X 10. ¿Tiene un plan logístico para dar soporte al producto software? X 11. ¿Los requerimientos de mantenibilidad se incluyen en la X Actividad de Iniciación durante el Proceso de Adquisición (ISO 12207) y se evalúa durante el Proceso de Desarrollo? 12. ¿Las variaciones en el diseño son supervisadas durante el X desarrollo para establecer su impacto sobre la mantenibilidad? 13. ¿Se realizan varios tipos de medidas para poder estimar la calidad X del software? 14. ¿La mantenibilidad se tiene en cuenta antes de empezar a X desarrollar? 15. ¿El desarrollador prepara un Plan de Mantenibilidad que X establece prácticas específicas de mantenibilidad, así como recursos y secuencias relevantes de actividades? 16. ¿Durante el análisis de requerimientos, los siguientes aspectos que afectan a la mantenibilidad, son tomados en cuenta? _ Identificación y definición de funciones, especialmente las X opcionales. _ Exactitud y organización lógica de los datos. X _ Los Interfaces (de máquina y de usuario). X _ Requerimientos de rendimiento. X _ Requerimientos impuestos por el entorno (presupuesto). X _ Granularidad (detalle) de los requerimientos y su impacto sobre la X trazabilidad. _ Énfasis del Plan de Aseguramiento de Calidad del X 37
OB SOFT S.A. DE C.V. Software (SQAP) en el cumplimiento de las normas de X Documentación X 17. ¿La transición del software consiste en una secuencia controlada y X coordinada de acciones para trasladar un producto software desde la organización que inicialmente ha realizado el desarrollo a la encargada del mantenimiento? 18. ¿La responsabilidad del mantenimiento se transfiere a una X organización distinta, se elabora un Plan de Transición? ¿Qué es lo que incluye este plan? _ La transferencia de hardware, software, datos y experiencia desde X el desarrollador al mantenedor. _ Las tareas necesarias para que el mantenedor pueda implementar X una estrategia de mantenimiento del software. 19. ¿El mantenedor a menudo se encuentra con un producto software X con documentación? 20. ¿Si no hay documentación, el mantenedor deberá crearla? X ¿Realiza lo siguiente? a. Comprender el dominio del problema y operar con el producto X software. b. Aprender la estructura y organización del producto software. X c. Determinar qué hace el producto software. Revisar las X especificaciones (si las hubiera) 21. ¿Documentos como especificaciones, manuales de X mantenimiento para programadores, manuales de usuario o guías de instalación pueden ser modificados o creados si fuese necesario? 22. El Plan de Mantenimiento es preparado por el mantenedor X durante el desarrollo del software. 23. ¿Los elementos software reflejan la documentación de diseño? X 24. ¿Los productos software fueron suficientemente probados y sus X 38
OB SOFT S.A. DE C.V. especificaciones cumplidas? 25. ¿Los informes de pruebas son correctos y las discrepancias entre X resultados actuales y esperados han sido resueltas? 26. ¿La documentación de usuario cumple los estándares X especificados? 27. ¿Los costes y calendarios se ajustan a los planes establecidos? X FIRMAS DE CONFORMIDAD LAE. ENRIQUE ARELLANO SILVA ING. CARLOS J. SÁNCHEZ ARGUELLES AUDITOR EN JEFE GERENTE GENERAL OB-SOFT EL AUDITOR EL CLIENTE 39

Más contenido relacionado

PPTX
Marco rivera chazatar
pormarcostc2698
 
PDF
Curso Gestión Pyme
porclaudiocarter
 
DOCX
La mafia del narcotrafico
porpaolapinzon
 
PPT
Conejos
porgema161
 
PPTX
Psicología de piggy y opiniones de la violencia
portopgus26
 
PPTX
Tabla periodica de los elementos quimicos
pormishel43
 
PPTX
Normas de protocolo de internet
porguillermoandresbreton
 
DOCX
creacion de empresa
porcarmenvanesa1
 
Marco rivera chazatar
pormarcostc2698
 
Curso Gestión Pyme
porclaudiocarter
 
La mafia del narcotrafico
porpaolapinzon
 
Conejos
porgema161
 
Psicología de piggy y opiniones de la violencia
portopgus26
 
Tabla periodica de los elementos quimicos
pormishel43
 
Normas de protocolo de internet
porguillermoandresbreton
 
creacion de empresa
porcarmenvanesa1
 

Destacado

PDF
Gsm
porjcbp_peru
 
PPTX
Cartilla de yois pedagogoa del movimiento
porViviana Acosta Macea
 
PDF
Tutorial blogger
poratnomrls
 
DOC
Ficha de actividad lúdica
porDavid Gustinez
 
PPTX
Presentación1 jaky
porverycalapucha1600540387
 
DOCX
F004 p006 gfpi guìa de aprendizaje 3-v2
porMarceliTha Cardozzo
 
PDF
Work the way you live abril 24 2013 - net universe - pharma
porMarketingySistemas
 
PPTX
Examen de segundo bimestre
porNenis-yekis Prinsx
 
PPT
T.P
porLautaro Orz
 
PPTX
Inteligencia colectiva
porsiul-97
 
PDF
“L’empresa cultural en la Web 2.0. Anàlisi d’un cas real del sector editorial”
porAndrea R. Lluch
 
PPT
Impresionismo
porJulián Jesús Pérez Fernández
 
PPTX
Primer indicador 2do periodo
porPeter Rincon
 
PPTX
Librosmasvendidos
porAlberto Berenguer Ferrández
 
PPTX
Librosmasvendidos
porAlberto Berenguer Ferrández
 
PPS
Efectos ópticos
porideasresponsables
 
PPTX
Biologia 201101 grupo_73
porPaula Patiño
 
PPTX
Llibres marqueting castellano conjunto
porsefedllibresrevistesedb2
 
PPTX
Culturas
porNatalia Blanco
 
PPTX
Presentación 10 1
porYina111
 
Gsm
porjcbp_peru
 
Cartilla de yois pedagogoa del movimiento
porViviana Acosta Macea
 
Tutorial blogger
poratnomrls
 
Ficha de actividad lúdica
porDavid Gustinez
 
Presentación1 jaky
porverycalapucha1600540387
 
F004 p006 gfpi guìa de aprendizaje 3-v2
porMarceliTha Cardozzo
 
Work the way you live abril 24 2013 - net universe - pharma
porMarketingySistemas
 
Examen de segundo bimestre
porNenis-yekis Prinsx
 
T.P
porLautaro Orz
 
Inteligencia colectiva
porsiul-97
 
“L’empresa cultural en la Web 2.0. Anàlisi d’un cas real del sector editorial”
porAndrea R. Lluch
 
Impresionismo
porJulián Jesús Pérez Fernández
 
Primer indicador 2do periodo
porPeter Rincon
 
Librosmasvendidos
porAlberto Berenguer Ferrández
 
Librosmasvendidos
porAlberto Berenguer Ferrández
 
Efectos ópticos
porideasresponsables
 
Biologia 201101 grupo_73
porPaula Patiño
 
Llibres marqueting castellano conjunto
porsefedllibresrevistesedb2
 
Culturas
porNatalia Blanco
 
Presentación 10 1
porYina111
 

Similar a Crmr

PDF
Cuestionario para evaluar el control interno
porArnel Gomez
 
PDF
Pauta auditoria ohsas 18001 2007
porMeinzul ND
 
PDF
2do trabajo - Contabilidad Gerencial.pdf
porgcrodriguezv
 
PPTX
2do trabajo - Contabilidad Gerencial y Financiera.pptx
porgcrodriguezv
 
PPTX
Presentación de resultados del proyecto
poroaca54
 
PDF
Sesion03
porMarco Sánchez
 
PPTX
Analisis Situacional COPYCANON Ags
porhttps://goo.gl/maps/DvAp2fukcyJ2
 
DOCX
Proceso administrativo: organización, control y dirección
porAlfredo Humberto Escalante Godinez
 
PPTX
Caso de estudio
poradrianjosv
 
PPTX
Caso de estudio
poradrianjosv
 
PDF
Direccion de personal trabajo final
porHenry Rosillo Gonsalez
 
PPTX
Presentación de resultados del proyecto
poroaca54
 
PPTX
Presentación de resultados del proyecto
poroaca54
 
PPTX
Presentación de resultados del proyecto
poroaca54
 
PDF
Guia de herramientas_casos_apace_2012
porEvelyn Galicia Maeve
 
PDF
Auditoria informatica
porJhonathan Edgardo Velazquez Orenday
 
PDF
Auditoria sistemas estudiar
poralexandra carranza
 
PPTX
Personal rh
pordjelektro
 
DOCX
Proyecto auditoria
porKatherine Andrea Mendoza
 
PDF
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
porUNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Cuestionario para evaluar el control interno
porArnel Gomez
 
Pauta auditoria ohsas 18001 2007
porMeinzul ND
 
2do trabajo - Contabilidad Gerencial.pdf
porgcrodriguezv
 
2do trabajo - Contabilidad Gerencial y Financiera.pptx
porgcrodriguezv
 
Presentación de resultados del proyecto
poroaca54
 
Sesion03
porMarco Sánchez
 
Analisis Situacional COPYCANON Ags
porhttps://goo.gl/maps/DvAp2fukcyJ2
 
Proceso administrativo: organización, control y dirección
porAlfredo Humberto Escalante Godinez
 
Caso de estudio
poradrianjosv
 
Caso de estudio
poradrianjosv
 
Direccion de personal trabajo final
porHenry Rosillo Gonsalez
 
Presentación de resultados del proyecto
poroaca54
 
Presentación de resultados del proyecto
poroaca54
 
Presentación de resultados del proyecto
poroaca54
 
Guia de herramientas_casos_apace_2012
porEvelyn Galicia Maeve
 
Auditoria informatica
porJhonathan Edgardo Velazquez Orenday
 
Auditoria sistemas estudiar
poralexandra carranza
 
Personal rh
pordjelektro
 
Proyecto auditoria
porKatherine Andrea Mendoza
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
porUNIVERSIDAD TECNICA PARTICULAR DE LOJA
 

Más de Carlox RLópez

DOCX
Carta de informe final
porCarlox RLópez
 
DOCX
Matriz de riesgos
porCarlox RLópez
 
DOCX
Plantilla de contrato
porCarlox RLópez
 
DOCX
Manual de la organizacion
porCarlox RLópez
 
DOCX
Matriz foda
porCarlox RLópez
 
DOCX
Entregable 3
porCarlox RLópez
 
DOCX
Checklist
porCarlox RLópez
 
DOCX
Entregable 1
porCarlox RLópez
 
DOCX
Entregable 2
porCarlox RLópez
 
DOCX
Tecnicas de auditoria avance
porCarlox RLópez
 
DOCX
Cuestionario
porCarlox RLópez
 
PDF
Diagrama gant crmr
porCarlox RLópez
 
Carta de informe final
porCarlox RLópez
 
Matriz de riesgos
porCarlox RLópez
 
Plantilla de contrato
porCarlox RLópez
 
Manual de la organizacion
porCarlox RLópez
 
Matriz foda
porCarlox RLópez
 
Entregable 3
porCarlox RLópez
 
Checklist
porCarlox RLópez
 
Entregable 1
porCarlox RLópez
 
Entregable 2
porCarlox RLópez
 
Tecnicas de auditoria avance
porCarlox RLópez
 
Cuestionario
porCarlox RLópez
 
Diagrama gant crmr
porCarlox RLópez
 

Crmr

  • 1.
    OB SOFT S.A.DE C.V. Ejecución de Auditoria Objetivo Realizar la auditoria pertinente en función del cumplimiento del contrato establecido para evaluar el funcionamiento de la empresa de desarrollo de software denominada OB SOFT, así como para lograr la certificación de legalidad en los programas utilizados en la institución. Alcance Se realizara un análisis objetivo y transparente que permita un dictamen preciso acerca de la calidad de los servicios emitidos por la institución, se darán propuestas de corrección de problemáticas y se emitirá un certificado de buen funcionamiento. Cuestionarios BASES JURÍDICAS ¿Se ajusta la estructura orgánica actual a las disposiciones jurídicas vigentes? Si No No, ¿Por qué razón? En la organización del centro de cómputo no existe una organización bien definida ¿Cuáles son los ordenamientos legales en que se sustenta la dirección? No existe ningún ordenamiento legal Objetivo de la estructura ¿La estructura actual está encaminada a la consecución de los objetivos del área? Explique en qué forma. En el centro d cómputo no se tienen objetivos generales ni específicos 1
  • 2.
    OB SOFT S.A.DE C.V. ¿Permite la estructura actual que se lleven a cabo con eficiencia: Las atribuciones encomendadas? Si No Las funciones establecidas? Si No La distribución del trabajo? Si No El control interno? Si No Si alguna de las respuestas es negativa, explique cuál es la razón. Niveles jerárquicos Es conveniente conocer los niveles jerárquicos para poder evaluar si son los necesarios y si están bien definidos. ¿Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del área? Si No ¿Cuáles y porque son sus recomendaciones? Los puestos con los que se cuentan son los necesarios para llevar un buen control ¿Permiten los niveles jerárquicos actuales que se desarrolle adecuadamente la: Operación? Si No Supervisión? Si No Control? Si No ¿Permiten los niveles actuales que se tenga una ágil: Comunicación ascendente? Si No Comunicación descendente? Si No Toma de decisiones? Si No Si alguna de las respuestas es negativa, explique cuál es la razón. Considera que algunas áreas deberían tener: Mayor jerarquía? Si No Menor jerarquía? Si No ¿Por qué razón? Los puestos estan establecidos de acuerdo a las políticas de la institución Departamentalización 2
  • 3.
    OB SOFT S.A.DE C.V. ¿Se consideran adecuados los departamentos, áreas y oficinas en que está dividida actualmente la estructura de la dirección? Si No No, ¿Por qué razón? ¿El área y sus subareas tienen delimitadas con claridad sus responsabilidades? Si No No, ¿Qué efectos provoca esta situación? Puestos Se debe tener cuidado de que estén bien definidas las funciones de cada puesto, ya que desafortunadamente existe mucha confusión en los nombres que se dan a los puestos dentro del medio de la informática. ¿Los puestos actuales son adecuados a las necesidades que tiene el área para llevar a cabo sus funciones? Si No Solicite el manual de descripción de puestos de: Análisis Programación Técnicos Operación Captura Administración de bases de datos Comunicación y redes Dirección Administrativos Otros Pida la plantilla del personal. Se debe especificar el número de personas que reportan a las personas que a su vez reportan cada puesto, ya sea: Director Subdirector Jefes de departamento Jefes de sección Jefes de área ¿El número es el adecuado en cada uno de los puestos? Si No Si, ¿Por qué? 3
  • 4.
    OB SOFT S.A.DE C.V. Existe un encargado del edificio, y por cada laboratorio existente hay una persona reponsable No, ¿Cuál es el número de personal que consideras adecuado? Señale el puesto o los puestos. Expectativas Dentro de las expectativas se pueden detectar, en algunas ocasiones, deficiencias y frustraciones de las personas. ¿Considera que debe revisarse la estructura actual, a fin de hacerla más eficiente? Si No ¿Sí? ¿Por qué razón? A pesar de que en el edifico se lleva un buen control, este puede mejorar ¿Cuál es la estructura que propondría? Se propondría un cambio en la estrategia del trabajo, que se fijen objetivos De realizar una modificación a la estructura, ¿Cuando considera que debe hacerse? Colocar personas más capacitadas para el puesto que están desarrollando Autoridad ¿Se encuentra definida adecuadamente la línea de autoridad? Si No ¿No, porque razón? ¿Su autoridad va de acuerdo a su responsabilidad? Si No ¿No, porque razón? El personal de menos jerarquía en algunas ocasiones quiere tomar más autoridad de la que tiene ¿En su área se han presentado conflictos por el ejercicio de la autoridad? Si No Si, explique en qué casos. ¿Existe en el área algún sistema de sugerencias y quejas por parte del personal? 4
  • 5.
    OB SOFT S.A.DE C.V. Si No FUNCIONES Existencia ¿Se han establecido funciones del área? Si No ¿Por qué no? ¿Las funciones están de acuerdo con las atribuciones legales? Si No ¿Por qué no están de acuerdo? ¿Están por escrito en algún documento las funciones del área? Si No ¿Cuál es la causa de que no estén por escrito? No les pareció importante tener esto de manera escrita, solo se lo hicieron saber al personal ¿Cuál es la forma de darlas a conocer? De forma verbal ¿Quién elaboro las funciones? El encargado del edificio ¿Participo el área en su formulación? No ¿Por qué causas no participo? Los subordinaos solo acatan ordenes ¿Quién las autorizo o aprobó? El director de la carrera Coincidencias Se debe tener cuidado en que se conozcan las funciones del área. 5
  • 6.
    OB SOFT S.A.DE C.V. ¿Las funciones están encaminadas a la consecución de los objetivos institucionales e internos? Si No No, ¿Por qué? ¿Las funciones de área están acordes al reglamento interior? Si No No, ¿en que considera que difieran? ¿A qué nivel se conocen las funciones del área? Las funciones de todas las áreas son muy específicas ¿Conocen otras áreas las funciones del área? Si No No, ¿Por qué? ¿Considera que se deben dar a conocer? Si No No, ¿Por qué? Adecuadas Debemos tener cuidado, ya que en esta área podemos detectar malestares de personal, debido a que si las funciones no son adecuadas a las necesidades pueden existir problemas de definición de funciones o bien de cargas de trabajo. ¿Son adecuadas a la realidad las funciones? Si No En caso negativo, ¿Por qué no son adecuadas? Cumplimiento Esta sección nos sirve para evaluar el grado de cumplimiento de las funciones del personal. ¿Están delimitadas las funciones? Si No ¿A nivel de departamento? Si No ¿A nivel de puesto? Si No 6
  • 7.
    OB SOFT S.A.DE C.V. No, ¿Por qué? ¿Las actividades que realiza el personal son acordes a las funciones que tiene asignadas? Si No No, ¿Qué tipo de actividades realiza que no están acordes a las funciones asignadas? ¿Cuál es la causa? ¿Quién lo ordena? ¿Las actividades que realizan actualmente cumplen en su totalidad con las funciones conferidas? Si No No, ¿Cuál es el grado de cumplimiento? En algunas ocasiones no se pueden realizar por falta de material La falta de cumplimiento de sus funciones es por: Falta de personal Si No Personal no capacitado Si No Cargas excesivas de trabajo Si No Por que realiza otras actividades Si No La forma en que las ordena Si No ¿Cuáles funciones realiza en forma: Periódica? Instalación de software Eventual? Juntas con el encargado 7
  • 8.
    OB SOFT S.A.DE C.V. Sistemática? Revisión de equipos de cómputo Otras? ¿Tiene programas y tareas encomendadas? Si No No, ¿por qué? ¿Permiten cumplir con los programas y tareas encomendadas (necesidades de operación)? Si No No, ¿Por qué causas? ¿Quién es el responsable de ordenar que se ejecuten las actividades? El director de la carrera de TIC En caso de realizar otras actividades, ¿Quién las ordena y las autoriza? El encargado del edificio el Ing. Erick Castellou En caso de no encontrarse el jefe inmediato, ¿Quién lo puede realizar? El encargado o alguno de los laboratoristas Apoyos ¿Para cumplir con sus funciones requiere de apoyos de otras aéreas? Si No ¿De qué tipo? ¿Cuál es el área que proporciona el apoyo? 8
  • 9.
    OB SOFT S.A.DE C.V. ¿Se lo proporcionan con oportunidad? Si No No, ¿Qué le ocasiona? No, ¿Cómo resuelve esa falta de apoyo? ¿Con que frecuencia los solicita? Para cumplir con sus funciones, ¿proporciona apoyos a otras áreas? Si No Si, ¿Qué tipo de apoyo proporciona? Existen otros laboratorios en las instalaciones ¿A cuántas areas? 2 áreas ¿Cuáles son? Laboratorios de cómputo en biblioteca y otro edificio Duplicidad ¿Existe duplicidad de funciones de la misma área? Si No Si, ¿Qué conflictos ocasiona y cuales funciones? Duplicidad de encargados de laboratorio pero cada uno tiene responsabilidad de un laboratorio ¿Existe duplicidad de funciones en otras aéreas? Si No Si, ¿Cuáles y en donde? ¿Qué conflictos ocasiona? 9
  • 10.
    OB SOFT S.A.DE C.V. ¿La duplicidad de funciones se debe a que el área no puede realizarlas? Si No Si ¿Cuál es la razón? No, ¿Cuál es su opinión al respecto? El trabajo se mejora con la colaboración de todos los empleados ¿Se pueden eliminar funciones? Si No Si, ¿cuáles? ¿Se pueden transferir funciones? Si No Si, ¿cuáles y en donde? Las funciones que s realizan las puede realizar cualquier persona ¿Permite la duplicidad que se dé el control interno? Si No No, ¿por qué? OBJETIVOS Existencia ¿Se han establecido objetivos para el área? Si No ¿Quién los estableció? ¿Cuál fue el método para el establecimiento de los objetivos? ¿Participo el área en su establecimiento? Si No 10
  • 11.
    OB SOFT S.A.DE C.V. ¿Cuáles fueron las principales razones de la selección de los objetivos? ¿Los objetivos son congruentes con Los de la dirección? Si No Los de la subdirección? Si No Los del departamento/oficina? Si No Los de otros departamentos/oficinas? Si No ¿Por qué no se han establecido objetivos para el área? No se cree necesario definir objetivos Nadie les exige establecerlos Si No Considera importante que se establezcan Si No Es responsabilidad de otra área establecer los objetivos Si No ¿Cuál? ¿De qué manera planea el trabajo el área? ¿Cómo afecta la operación del área el no tener establecidos los objetivos? Los avances que se tiene en el área no se ven claros Formales ¿Se han definido por escrito los objetivos del área? Si No ¿En qué documentos? (recábalos) 11
  • 12.
    OB SOFT S.A.DE C.V. ¿Por qué no están definidos por escrito? No se cree necesario ¿Qué problemas se han derivado de esta situación? Ningún problema Conocimiento ¿Se han dado a conocer los objetivos? Si No ¿A quién se han dado a conocer? ¿Quién mas debería de conocerlos? ¿Qué método se ha utilizado para dar a conocer los objetivos? ¿Por qué no se han dado a conocer los objetivos? No se cuentan con objetivos ¿Considera importante que los conozca el personal? Si No ¿Cómo afecta a la operación del área el hecho de que los objetivos se hayan dado a conocer o que su conocimiento sea parcial? El personal sabría que se quiere lograr Adecuados ¿Abarcan los objetivos toda la operación del área? Si No ¿Qué aspectos no se cubren? No existen objetivos ¿Los objetivos son claros y precisos? Si No 12
  • 13.
    OB SOFT S.A.DE C.V. ¿Son realistas? Si No ¿Se pueden alcanzar? Si No ¿Por qué? ¿Están de acuerdo con las funciones del área? Si No ¿Señalan cuales son las realizaciones esperadas? Si No ¿Son congruentes con los objetivos institucionales? Si No ¿Sirve de guía al personal? Si No ¿Sirve para motivar al personal? Si No ¿Se han establecido para el corto, mediano y largo plazo? Si No ¿Qué adecuaciones puede sugerir para los objetivos actuales? Que se propongan ideas de acuerdo a los logros y mejoras que se quieren hacer Cumplimiento ¿En qué grado se cumplen los objetivos? ¿Existen mecanismos para conocer el grado de cumplimiento de los objetivos? Si No Si, ¿Cuáles? No, ¿De que manera se establece el grado de cumplimiento? No existe 13
  • 14.
    OB SOFT S.A.DE C.V. ¿Se elabora algún reporte sobre el grado de avance en el cumplimiento de los objetivos? Si No ¿Para quién y con que frecuencia? (recaba los datos) ¿Quién elabora este reporte? ¿Qué se hace en caso de desviación en el cumplimiento de los objetivos? ¿Qué sugerencia puede hacer para lograr el cumplimiento total de los objetivos? Actualización ¿Se revisan los objetivos? Si No ¿Por qué sistema? ¿Quién revisa los objetivos? ¿De qué manera se lleva a cabo la revisión? ¿Participa el área en la actualización de los objetivos? Si No ¿Cuándo se hizo la última revisión de los objetivos? ¿De qué manera se incorporan las modificaciones derivadas de las revisiones? ¿Por qué no se revisan los objetivos? No existen objetivos definidos 14
  • 15.
    OB SOFT S.A.DE C.V. ¿Qué sugerencias tiene para las actualizaciones de los objetivos sean más eficaces? Los empleados expresen sus ideas acerca de los objetivos EVALUACIÓN DE LOS RECURSOS HUMANOS Desempeño y Cumplimiento ¿Es suficiente el número de personal para el desarrollo de las funciones del área? Si No ¿Se deja de realizar alguna actividad por falta de personal? Si No ¿Está capacitado el personal para realizar con eficacia sus funciones? Si No No, ¿Por qué? ¿Es adecuada la calidad del trabajo del personal? Si No No, ¿Por qué? ¿Es frecuente la repetición de los trabajos encomendados? Si No ¿El personal es discreto en el manejo de información confidencial? Si No No, anote repercusiones. En general, ¿acata el personal las políticas, sistemas y procedimientos establecidos? Si No No, ¿Por qué? ¿Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo? 15
  • 16.
    OB SOFT S.A.DE C.V. Si No Si, ¿Qué se hace al respecto? ¿Respeta el personal la autoridad establecida? Si No No, ¿Por qué? ¿Existe cooperación por parte del personal para la realización del trabajo? Si No No, ¿Por qué? ¿El personal tiene afán de superación? Si No ¿Presenta el personal sugerencias para mejorar el desempeño actual? Si No ¿Cómo considera las sugerencias? ¿Qué tratamiento se les da? ¿Se toman en cuenta las sugerencias de los empleados? Si No ¿En que forma? ¿Cómo se les da respuesta a las sugerencias? Capacitación 16
  • 17.
    OB SOFT S.A.DE C.V. Uno de los puntos que se deben de evaluar con más detalle dentro del área de informática es la capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologías en el área. Los programas de capacitación incluye al personal de: Dirección ( ) Análisis ( ) Programación ( ) Operación ( ) Administración ( ) Administración de base de datos ( ) Comunicación de redes ( ) Captura ( ) Otros (especifique) ( ) _________________________________________________ ¿Se han identificado las necesidades actuales y futuras de capacitación del personal del área? Si No No, ¿por qué? ¿Apoya la superioridad la realización de estos programas? Si No ¿Se evalúan los resultados de los programas de capacitación? Si No No, ¿Por qué? Solicite el plan de capacitación para el presente año. Supervisión ¿Cómo se lleva a cabo la supervisión del personal? 17
  • 18.
    OB SOFT S.A.DE C.V. Revisando que el trabajo desempeñado se realice correctamente En caso de no realizarse, ¿Por qué no se realiza? ¿Cómo se controlan el ausentismo y los retardos del personal? Ese puesto se cubre con la ayuda de otra persona ¿Por qué nos se llevan controles? ¿Cómo se evalúa el desempeño del personal? Solo se verifica que cumplan con sus responsabilidades ¿Por qué nos se evalúa? No se cree necesario ¿Cuál es la finalidad de la evaluación del personal? Mejorar su desempeño Limitantes ¿Cuáles son los principales factores internos que limitan el desempeño del personal? Que no se tienen objetivos y el funcionamiento del centro de cómputo no se presta para desempeñar funciones más eficientes ¿Cuáles son los principales factores externos que limitan el desempeño del personal del área? El mismo que se especifican en la pregunta anterior ¿Cuál es el índice de rotación de personal en: Análisis? ( ) Operación? ( ) Administración? ( ) Captura? ( ) Programación? ( ) 18
  • 19.
    OB SOFT S.A.DE C.V. Dirección? ( ) Administración de base de datos? ( ) Comunicación de redes? ( ) Técnicos? ( ) Otros? (especifique). ( ) _____________________________________________________ En términos generales, ¿se adapta el personal al mejoramiento administrativo (resistencia al cambio)? Si No ¿Cuál es el grado de disciplina del personal? El nivel es medio, no se les exige mucho ¿Cuál es el grado de asistencia y puntualidad del personal? El nivel es bueno ¿Existe una política uniforme y consistente para sancionar la indisciplina del personal? Si No ¿Se lleva a efecto esta política? Si No ¿Puede el personal presentar quejas y/o problemas? Si No Si, ¿Cómo se solucionan? ¿Otras aéreas externas presentan quejas sobre la capacidad y/o atención del personal del área? Si No Si, ¿Qué tratamiento se les da? ¿Cómo se otorgan los ascensos, promociones y aumentos salariales? Esto se otorga n base a su desempeño y eficiencia, además del tiempo 19
  • 20.
    OB SOFT S.A.DE C.V. ¿Cómo se controlan las faltas y ausentismos? Esto se lleva a cabo a través de permisos ¿Cuáles son las principales causas de faltas y ausentismos? Enfermedad Condiciones de Trabajo Para poder trabajar se requiere que se tenga una adecuada área de trabajo, con mayor razón en un área en la que se debe de hacer un trabajo de investigación e intelectual. ¿Conoce el reglamento interior de trabajo el personal del área? Si No ¿Se apoyan en él para solucionar los conflictos laborales? Si No No, ¿Por qué? ¿Cómo son las relaciones laborales del área con el sindicato? ¿Se presentan problemas con frecuencia? Si No Si, ¿en qué aspectos? ¿Cómo se resuelven? Remuneraciones 20
  • 21.
    OB SOFT S.A.DE C.V. Normalmente las personas están inconformes con su remuneración. Es importante evaluar que tan cierta esa esta inconformidad o si está dada por otros malestares aunque sean señalados como inconformidad en las remuneraciones, o bien puede deberse a que se desconoce cómo se evalúa a la personas para poder darle una mejor remuneración. ¿Está el personal adecuadamente remunerado con respecto a: Trabajo desempeñado? Si No Puestos similares en otras organizaciones? Si No Puestos similares en otras áreas? Si No Si, ¿Cómo repercute? No, ¿Cómo repercute? Conseguir información sobre los sueldos de los mismos niveles en otras organizaciones. Ambiente El ambiente en el área de informática, principalmente en programación, es muy importante para lograr un adecuado desarrollo. ¿El personal está integrado como grupo de trabajo? Si No No, ¿Por qué? ¿Cuál es el grado de convivencia del personal? ¿Cómo se aprovecha esto para mejorar el ambiente de trabajo? 21
  • 22.
    OB SOFT S.A.DE C.V. ¿Son adecuadas las condiciones ambientales con respecto a: Espacio del área? Si No Iluminación? Si No Ventilación? Si No Equipo de oficina? Si No Mobiliario? Si No Ruido? Si No Limpieza y/o aseo? Si No Instalaciones sanitarias? Si No Instalaciones de comunicación? Si No Organización del Trabajo ¿Participa en la selección del personal? Si No No, ¿Por qué? ¿Qué repercusiones tiene? ¿Se prevén las necesidades de personal con anterioridad: En cantidad? Si No En calidad? Si No No, ¿Por qué? ¿Está prevista la sustitución del personal clave? Si No 22
  • 23.
    OB SOFT S.A.DE C.V. No, ¿Por qué? Desarrollo y Motivación ¿Cómo se lleva a cabo la introducción y el desarrollo del personal del área? No existe una introducción definida, estas se van cambiando de acuerdo al personal En caso de no realizarse, ¿Por qué no se realiza? ¿Cómo se realiza la motivación del personal del área? Se hacen reuniones con l encargado del edificio para que expresen sus ideas ¿Cómo se estimula y se recompensa al personal del área? Pueden ir subiendo puestos ¿Existe oportunidad de ascensos y promociones? Si No ¿Qué política hay al respecto? No existe ninguna política 23
  • 24.
    OB SOFT S.A.DE C.V. HARDWARE  Objetivo Dar recomendaciones a la alta gerencia para mejorar y lograr un adecuado control de los equipos informáticos a fin llevar a cabo un buen funcionamiento del mismo.  Alcance Mejoramiento de los equipos informáticos y gracias a esto se dará un mejor servicio a quienes ocupen sus instalaciones.  Cuestionarios AUDITORIA FÍSICA PREGUNTAS SI NO N/A 1. ¿Existe procedimientos para la realización de las copias de seguridad? 2. ¿Existen procedimientos que aseguran que, de todos los ficheros con datos de carácter personal, se realiza copia al menos una vez cada semana? 3. ¿Hay procedimientos que aseguran la realización de copias de todos aquellos ficheros que han experimentado algún cambio en su contenido? 4. ¿Existen controles para la detección de incidencias en la realización de las pruebas? 5. ¿Existen controles sobre el acceso físico a las copias de seguridad? 6. ¿Solo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes que contienen las copias de seguridad? 7. ¿Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transforman fuera de las instalaciones? 24
  • 25.
    OB SOFT S.A.DE C.V. 8. ¿Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las procesan? 9. ¿Existe un inventario de los soportes existentes? 10. ¿Dicho inventario incluye las copias de seguridad? 11. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de la instalación? 12. ¿Existen procedimientos de actualización de dicho inventario? 13. ¿Existen procedimientos de etiquetado e identificación del contenido de los soportes? 14. ¿Existen procedimientos en relación con la salida de soportes fuera de su almacenamiento habitual? 15. ¿Se evalúan los estándares de distribución y envío de estos soportes? 16. ¿Se obtiene una relación de los ficheros que se envían fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envío, el estamento que realiza el envío y el destinatario? 17. ¿Se comprueba que todos los soportes incluidos en esa relación se encuentran también en el inventario de soportes mencionado anteriormente? 18. ¿Se obtiene una copia del registro de entrada y salida de soportes y se comprueba que en él se incluyen: Los soportes incluidos en la relación del punto anterior (y viceversa) Los desplazamientos de soportes al almacenamiento Evaluación de la seguridad en el acceso al sistema 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Evaluar los atributos de acceso al sistema. Evaluar los niveles de acceso al sistema. Evaluar la administración de contraseñas al sistema. Evaluar el monitoreo en el acceso al sistema. Evaluar las funciones del administrador del acceso 25
  • 26.
    OB SOFT S.A.DE C.V. al sistema. Evaluar las medidas preventivas o correctivas en caso de siniestros en el acceso. Evaluación de los planes de contingencias informáticos 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Evaluar la existencia, difusión, aplicación y uso de contra contingencias de sistemas. Evaluar la aplicación de simulacros, así como el plan de contingencias. Evaluar la confidencialidad, veracidad y oportunidad en la aplicación de las medidas del plan contra contingencias. Evaluación de la protección contra la piratería y robo de información 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Medidas preventivas. Protección de archivos. Limitación de accesos. Protección contra robos. Protección ante copias ilegales. 26
  • 27.
    OB SOFT S.A.DE C.V. Evaluación de la protección contra virus informáticos 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Medidas preventivas y correctivas. Uso de vacunas y buscadores de virus. Protección de archivos, programas e información. Evaluación de la seguridad del hardware 100% 80% 60% 40% 20% Preguntas Excelente Bueno Regular Mínimo No cumple Realización de inventarios de hardware, equipos y periféricos asociados. Evaluar la configuración del equipo de computo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. Evaluar el estado físico del hardware, periféricos y equipos asociados. 27
  • 28.
    OB SOFT S.A.DE C.V. SOFTWARE  Objetivo Conocer la evaluación técnica del software que se posee en términos generales y en términos específicos, la facilidad para su mantenimiento, su escalabilidad y su flexibilidad para satisfacer nuevos requerimientos.  Alcance Contar con una lista de líneas de acción posibles, para reconstrucciones, adaptaciones o cambios que intenten mitigar los riesgos que se encuentren en los software instalados en los equipos.  Cuestionarios AUDITORIA LÓGICA PREGUNTAS SI NO N/A 1. ¿Existen medidas, controles, procedimientos, normas y estándares de seguridad? 2. ¿Existe un documento donde este especificado la relación de las funciones y obligaciones del personal? 3. ¿Existe procedimientos de notificación y gestión de incidencias? 4. ¿Existe procedimientos de realización de copias de seguridad y de recuperación de datos? 5. ¿Existe una relación del personal autorizado a 28
  • 29.
    OB SOFT S.A.DE C.V. conceder, alterar o anular el acceso sobre datos y recursos? 6. ¿Existe una relación de controles periódicos a realizar para verificar el cumplimiento del documento? 7. ¿Existen medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado? 8. ¿Existe una relación del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que tratan datos personales? 9. ¿Existe una relación de personal autorizado a acceder a los soportes de datos? 10. ¿Existe un periodo máximo de vida de las contraseñas? 11. ¿Existe una relación de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos? 12. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar documentadas en el Documento de Seguridad? 13. ¿Hay dadas de alta en el sistema cuentas de usuarios genéricas, es decir, utilizadas por más de una persona, no permitiendo por tanto la identificación de la persona física que las ha utilizado? 14. ¿En la práctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad? 15. ¿El sistema de autenticación de usuarios guarda las contraseñas encriptadas? 16. ¿En el sistema están habilitadas para todas las cuentas de usuario las opciones que permiten establecer: Un número máximo de intentos de conexión. Un periodo máximo de vigencia para la contraseña, coincidente con el establecido en el Documento de Seguridad. 17. ¿Existen procedimientos de asignación y distribución de contraseñas? 29
  • 30.
    OB SOFT S.A.DE C.V. SEGURIDAD  Objetivo Evaluar la configuración de los equipos de computo, tomando en cuenta las aplicaciones y el nivel de uso de los sistemas, evaluar el grado de eficiencia con el cual las instalaciones satisface las necesidades de los usuarios y revisar las políticas usadas en el centro de computo.  Alcance Garantizar la seguridad tanto de la información que se maneja en el centro de computo, asi como de las personas que hacen uso de este, teniendo en cuenta que puede ocurrir algún siniestro.  Cuestionarios RECURSOS MATERIALES Programación ¿Existe un programa sobre los requerimientos del área? Si No ¿Qué personas del área intervienen en su elaboración? ¿Se respetan los planteamientos del área? Si No No, ¿en qué aspectos no se respetan? Adecuación ¿Los recursos materiales que se proporcionan al área, son suficientes para cumplir con las funciones encomendadas? Si No No, ¿en que no son suficientes? 30
  • 31.
    OB SOFT S.A.DE C.V. ¿Los recursos materiales se proporcionan oportunamente? Si No ¿Cuáles son las principales limitaciones que tiene el área en cuanto a los recursos materiales? Que se tiene que esperar la autorización de compra de otra área del edificio ¿Qué sugerencias harían para superar las limitaciones actuales? Que estos trámites se hagan con mayor rapidez Servicios Generales ¿Existe un programa sobre los servicios generales que requiere el área? Si No ¿Considera los servicios generales que se proporcionan al área: Adecuados? Si No Suficientes? Si No Oportunos? Si No En caso de que alguna de las respuestas sea negativa especifique cual es la deficiencia. No existe ningún programa sobre los servicios generales ¿Qué sugerencia harían para superar las limitaciones actuales? Realizar un documento con la información de este programa Mobiliario y equipo ¿Se cuenta con el equipo y mobiliario adecuados y en cada cantidad suficiente para desarrollar su trabajo? Si No ¿Por qué? Algunos de los software que se utilizan son difíciles de adquirir ¿Están adecuadamente distribuidos en el área de trabajo? Los que se tienen si están distribuidos adecuadamente 31
  • 32.
    OB SOFT S.A.DE C.V. ¿Actualmente se están dejando de realizar actividades por falta de material y equipo? Si No ¿Qué se hace para solucionar este problema? ¿Conoce esta situación el jefe de la unidad? ¿Qué medidas se han tomado? ¿Existe el servicio de mantenimiento del equipo? Si ¿Existen medidas de seguridad? Si No ¿Cuáles? Actualmente se está realizando un plan de contingencia con las medidas de seguridad en cuestión de sismos, incendios, etc. No, ¿Por qué? ¿Qué se hace con el equipo en desuso? Se ocupa para hacer equipo ensamblado ¿Sobre quien recae la responsabilidad del equipo? El director de la carrera ¿Con que frecuencia se renuevan en equipo y mobiliario? Cada 2 años 32
  • 33.
    OB SOFT S.A.DE C.V. ¿Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos? No Auditoria a los Sistemas de Redes si No No aplica 1. ¿La gerencia de redes tiene una política definida de planeamiento X de tecnología de red? 2. Esta política es acorde con el plan de calidad de la organización X 3. ¿La gerencia de redes tiene un plan que permite modificar en X forma oportuna el plan a largo plazo de tecnología de redes, teniendo en cuenta los posibles cambios tecnológicos o en la organización? 4. ¿Existe un inventario de equipos y software asociados a las redes X de datos? 6. ¿Existe un plan de infraestructura de redes? X 7. ¿El plan de compras de hardware y software para el sector redes X está de acuerdo con el plan de infraestructura de redes? 8. ¿La responsabilidad operativa de las redes está separada de las de X operaciones del computador? 9. Están establecidos controles especiales para salvaguardar la X confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados 10. ¿Existen controles especiales para mantener la disponibilidad de X los servicios de red y computadoras conectadas? 33
  • 34.
    OB SOFT S.A.DE C.V. 11. ¿Existen controles y procedimientos de gestión para proteger el X acceso a las conexiones y servicios de red? 12. Existen protocolos de comunicaron establecida X 13. Existe una topología estandarizada en toda la organización X 14. ¿Existen normas que detallan que estándares que deben cumplir X el hardware y el software de tecnología de redes? 15. ¿La transmisión de la información en las redes es segura? X 16. ¿El acceso a la red tiene password? X Física si No No aplica 1. ¿Existe un informe técnico en el que se justifique la adquisición X del equipo, software y servicios de computación, incluyendo un estudio costo beneficio? 2. ¿Existe un comité que coordine y se responsabilice de todo el X proceso de adquisición e instalación? 3. ¿Han elaborado un instructivo con procedimientos a seguir para X la selección y adquisición de equipos, programas y servicios computacionales? 4. ¿se cuenta con software de oficina? X 5. ¿Se han efectuado las acciones necesarias para una mayor X participación de proveedores? 6. ¿Se ha asegurado un respaldo de mantenimiento y asistencia X técnica? 7. ¿El acceso al centro de cómputo cuenta con las seguridades X necesarias para reservar el ingreso al personal autorizado? 8. ¿Se han implantado claves o password para garantizar operación X 34
  • 35.
    OB SOFT S.A.DE C.V. de consola y equipo central (mainframe), a personal autorizado? 9. ¿Se han formulado políticas respecto a seguridad, privacidad y X protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación? 10. ¿Se mantiene un registro permanente (bitácora) de todos los X procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? 11. ¿Los operadores del equipo central están entrenados para X recuperar o restaurar información en caso de destrucción de archivos? 12. ¿Los backups son mayores de dos (padres e hijos) y se guardan en X lugares seguros y adecuados, preferentemente en bóvedas de bancos? 13. ¿Se han implantado calendarios de operación a fin de establecer X prioridades de proceso? 14. ¿Todas las actividades del Centro de Computo están normadas X mediante manuales, instructivos, normas, reglamentos, etc.? 15. ¿Las instalaciones cuentan con sistema de alarma por presencia X de fuego, humo, así como extintores de incendio, conexiones eléctricas seguras, entre otras? 16. ¿Se han instalado equipos que protejan la información y los X dispositivos en caso de variación de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energía? 17. ¿Se han contratado pólizas de seguros para proteger la X información, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operación? 18. ¿Se han Adquirido equipos de protección como supresores de X pico, reguladores de voltaje y de ser posible UPS previo a la adquisición del equipo? 35
  • 36.
    OB SOFT S.A.DE C.V. 19. ¿Si se vence la garantía de mantenimiento del proveedor se X contrata mantenimiento preventivo y correctivo? 20. ¿Se establecen procedimientos para obtención de backups de X paquetes y de archivos de datos? 21. ¿Se hacen revisiones periódicas y sorpresivas del contenido del X disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa? 22. ¿Se mantiene programas y procedimientos de detección e X inmunización de virus en copias no autorizadas o datos procesados en otros equipos? 23. ¿Se propende a la estandarización del Sistema Operativo, X software utilizado como procesadores de palabras, hojas electrónicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitación sobre modificaciones incluidas? 24. ¿Existen licencias de software que se utilizan? X Mantenimiento si No No aplica 1. Existe un contrato de mantenimiento. X 2. ¿Existe un programa de mantenimiento preventivo para cada X dispositivo del sistema de cómputo? 3. ¿Se lleva a cabo tal programa? X 4. ¿Existen tiempos de respuesta y de compostura estipulados en los X contratos? 5. Si los tiempos de reparación son superiores a los estipulados en el X contrato, ¿Qué acciones correctivas se toman para ajustarlos a lo 36
  • 37.
    OB SOFT S.A.DE C.V. convenido? 6. Existe plan de mantenimiento preventivo. ? X 7. ¿Este plan es proporcionado por el proveedor? X 8. ¿Se notifican las fallas? X 9. ¿Se les da seguimiento? X 10. ¿Tiene un plan logístico para dar soporte al producto software? X 11. ¿Los requerimientos de mantenibilidad se incluyen en la X Actividad de Iniciación durante el Proceso de Adquisición (ISO 12207) y se evalúa durante el Proceso de Desarrollo? 12. ¿Las variaciones en el diseño son supervisadas durante el X desarrollo para establecer su impacto sobre la mantenibilidad? 13. ¿Se realizan varios tipos de medidas para poder estimar la calidad X del software? 14. ¿La mantenibilidad se tiene en cuenta antes de empezar a X desarrollar? 15. ¿El desarrollador prepara un Plan de Mantenibilidad que X establece prácticas específicas de mantenibilidad, así como recursos y secuencias relevantes de actividades? 16. ¿Durante el análisis de requerimientos, los siguientes aspectos que afectan a la mantenibilidad, son tomados en cuenta? _ Identificación y definición de funciones, especialmente las X opcionales. _ Exactitud y organización lógica de los datos. X _ Los Interfaces (de máquina y de usuario). X _ Requerimientos de rendimiento. X _ Requerimientos impuestos por el entorno (presupuesto). X _ Granularidad (detalle) de los requerimientos y su impacto sobre la X trazabilidad. _ Énfasis del Plan de Aseguramiento de Calidad del X 37
  • 38.
    OB SOFT S.A.DE C.V. Software (SQAP) en el cumplimiento de las normas de X Documentación X 17. ¿La transición del software consiste en una secuencia controlada y X coordinada de acciones para trasladar un producto software desde la organización que inicialmente ha realizado el desarrollo a la encargada del mantenimiento? 18. ¿La responsabilidad del mantenimiento se transfiere a una X organización distinta, se elabora un Plan de Transición? ¿Qué es lo que incluye este plan? _ La transferencia de hardware, software, datos y experiencia desde X el desarrollador al mantenedor. _ Las tareas necesarias para que el mantenedor pueda implementar X una estrategia de mantenimiento del software. 19. ¿El mantenedor a menudo se encuentra con un producto software X con documentación? 20. ¿Si no hay documentación, el mantenedor deberá crearla? X ¿Realiza lo siguiente? a. Comprender el dominio del problema y operar con el producto X software. b. Aprender la estructura y organización del producto software. X c. Determinar qué hace el producto software. Revisar las X especificaciones (si las hubiera) 21. ¿Documentos como especificaciones, manuales de X mantenimiento para programadores, manuales de usuario o guías de instalación pueden ser modificados o creados si fuese necesario? 22. El Plan de Mantenimiento es preparado por el mantenedor X durante el desarrollo del software. 23. ¿Los elementos software reflejan la documentación de diseño? X 24. ¿Los productos software fueron suficientemente probados y sus X 38
  • 39.
    OB SOFT S.A.DE C.V. especificaciones cumplidas? 25. ¿Los informes de pruebas son correctos y las discrepancias entre X resultados actuales y esperados han sido resueltas? 26. ¿La documentación de usuario cumple los estándares X especificados? 27. ¿Los costes y calendarios se ajustan a los planes establecidos? X FIRMAS DE CONFORMIDAD LAE. ENRIQUE ARELLANO SILVA ING. CARLOS J. SÁNCHEZ ARGUELLES AUDITOR EN JEFE GERENTE GENERAL OB-SOFT EL AUDITOR EL CLIENTE 39