auditoria

UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS

UNIDAD ACADÉMICA DE PINOS

TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

N

Unidad II. Desarrollo de la Auditoría Informática

2023

Autor: Héctor Daniel Hernández Zapata

Daniel Torres Salas

Marycruz Santos Escareño

- 2

Contenido

Plan de Auditoria..............................................................................................................................................3

Lista de verificación de desarrollo de SW....................................................................................................5

Diagrama de Proceso de Selección de Proveedores.................................................................................6

Listas de Comprobación del área de desarrollo de software.....................................................................7

Listas de Control de la red física.................................................................................................................26

Listas de Control de la red lógica................................................................................................................28

Auditoria de Sistemas de TI

- 3

Plan de Auditoria

Objetivo: Entrevistar al personal de la organización con la finalidad de evaluar el

funcionamiento adecuado basado en la normatividad y estándares de calidad del área de

desarrollo de software, red física y lógica, para verificar el cumplimiento de los procesos que se

llevan a cabo en dichas áreas.

Auditor Líder:


Reunión de Apertura

Fecha: 22/junio/2015

Reunión de Cierre

Fecha: 22/junio /2015

Auditores:

Héctor Daniel Hernández Zapata

Daniel Torres Salas


Alcance: Este procedimiento es aplicable al sistema de

gestión de la calidad para verificar por medio de auditorías

internas, si se siguen los procedimientos de calidad de

manera eficaz.

Proceso: Designación del auditor jefe, definición de objetivos, alcance y criterios de auditoria, establecimiento del equipo auditor, revisión de la documentación d la empresa, elaboración del plan de auditoria, preparación de las actividades de auditoria, reunión de apertura, ejecución de auditoria, reunión de cierre, preparación del informe de auditoría, aprobación y comunicado de informe de auditoría, finalización de auditoria.

Criterios:

Procedimiento/Actividad Auditor AuditadoDeterminación del alcance de la

auditoria Daniel Torres Salas Jefe de oficina de control interno

Estudio de los documentos importantes


Jefe administrativo

Acordar el itinerario o programa de auditoria


Jefe de oficina de control interno

Preparación de listas de comprobación o cuestionarios



Realizar auditoria Daniel Torres Salas Personal del área de desarrollo, red física y red lógica

Realizar informe de auditoria Marycruz Santos Escareño


Observaciones:

- 4

Fecha: 22/junio/20015

_____________________ ____________________________

Auditor Jefe Oficina Control Interno

Lista de verificación de desarrollo de SW

- 5

Diagrama de Proceso de Selección de Proveedores

ASe necesitan

proveedores

NO

Inicio

Lista de verificaciónASPECTOS A

EVALUARSI NO

evaluación de los riesgos

Claridad de los diagramas

Cumplimiento de la metodologíaEvaluación de la seguridad lógica

Control de la modificación de las aplicaciones existentesControl de la utilización de los sistemas operativosEstandarización: estructura en la cual se desarrollan las aplicaciones

- 6

- 7

Listas de Comprobación del área de desarrollo de software

LISTA DE COMPROBACIÓN

“APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”.

Objetivo General:

El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.

Objetivos Específicos:

Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones y las unidades afectadas.

Deben designarse un responsable o director del proyecto. El proyecto debe ser catalogado y, en función de sus características, se debe

determinar el modelo del ciclo de vida QUE SE SIGUIRA. Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que

realizara el proyecto y determina el plan del proyecto.

1 Se debe Comprobar que : SI NO Observaciones2 Exista una orden de aprobación del proyecto

refrendada por un órgano competente. El estudio de viabilidad debe haber seguido el cauce establecido.

Si hay una orden de aprobación y mostro el estudio

de viabilidad

3 En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.)

me mostro el documento con los objetivos claros y precisos

4 Se ha identificado las unidades de la organización a las que afectan.

5 La designación se ha llevado acabo según el procedimiento establecido.

Si se a llevado acabo el

procedimiento establecido

6 Se le ha comunicado al director su nombramiento junto con la información relevante del proyecto.

Si si le cominico al director de su

nombraiento y se le dio la información

del proyecto

- 8

7 Se ha catalogado y dimensionado proyecto según las normas establecidas.

8 Se ha evaluado los riesgos asociados al proyecto, especialmente cuando se van usar tecnología no usaba hasta el momento.

Me mostro un control donde

evalúa los riesgos asociados al

proyecto9 Se ha elegido el ciclo de vida más adecuado al

tipo del proyecto de que se trata. Me mostro el ciclo de vida adecuado al proyecto

10 Se ha hecho información histórica que se dispone tanto para dimensionar el proyecto y sus riesgos como para seleccionar el ciclo de vida.

11 Se prestaran atención si se elige un ciclo de vida basado en el prototipado. En este caso debe cumplirse los requisitos necesarios para aplicarse con éxito (dificultad para los usuarios para expresar los requisitos y disponibilidades de una herramienta de construcción rápida de prototipos) y debe existir un acuerdo con los usuarios sobre el alcance del prototipo y de los objetivos que se persiguen con el mismo.

12 La asignación del director del proyecto y el equipo de desarrollo que se ha llevado acabo según el procedimiento establecido.

13 Los participantes que permanezcan a otra área (sistemas, comunicaciones u ofimática, etc.)se han solicitado según el protocolo existente.

14 Si participan personal externo, los perfiles profesionales son adecuados a las funciones que van a realizar. El contrato suplente del protocolo de contratación.

15 Se ha comunicado a todos los miembros del equipo de desarrollo los objetivos del proyecto, la responsabilidad que tendrán en el mismo, las fechas en la que participaran y la dedicación (completa/parcial).

Si se informo a cada miembro del

equipo las resposabilidades y

fechas

16 El plan de proyectos realizado es realista y utiliza la información histórica de la que se disponga para realizar estimaciones

El plan del proyecto va acorde para la realización

- 9

del proyecto

Objetivo General:

El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en cuenta las restricciones de tiempo y recurso. Los criterios usados serán coherentes con los objetivos de las unidades afectadas


Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión del proyecto

Se debe establecer un mecanismo para la resolución de los problemas que pueden plantearse a lo largo del proyecto. Se debe comprobar que:

Debe existir un control de cambio de a lo largo del proyecto. Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el

modulo o fase, debe hacerse de forma adecuada. Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo

largo del proyecto

1 Se debe Comprobar que : SI NO Observaciones2 Se ha constituido formalmente el comité de

dirección del proyecto y en él están incluidos los responsables de todas las unidades afectadas.

me mostro un documento donde está formalmente

construido el comité.

3 El comité tiene una periodicidad de reunión mínima y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para la asignación de recursos, la revisión de la marcha del proyecto y para modificar el plan del proyecto en función de las revisiones.

Me mostro un informe de

reuniones donde revisan cómo va el

proyecto

4 Las reuniones se hacen con un orden del día y las decisiones tomadas quedan documentadas en las actas de dicho comité.

Se llevan a cabo las reuniones pero no se realizan documento acerca de esta

5 El número de reuniones y la duración de las mismas no superan un límite razonable

Solo se hacen las reuniones necesarias

6 Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepción, así como un procedimiento conocido de tramitación.

Si existen hojas de registro pero no ay

uno persona encargada

- 10

7 Hay un método para catalogar y dar prioridad a los problemas, así como para trasladarlos a la persona que los debe resolver, informando si es necesario al director del proyecto y al comité de dirección.

8 Se controla la solución del problema y se deja constancia de la misma.

Si se controla la solución de

problemas pero no hay constancia

9 Existe un mecanismo para registrar cambios que pudieran producirse así como para evaluar el impacto de los mismos.

No existe

10 La documentación afectada se actualiza de forma adecuada y se lleva un control de versiones de cada producto, consignado la última fecha de actualización.

Si se lleva la documentación pero no ay un

control de versiones

11 Se remite la nueva versión de los documentos actualizando a los participantes en el proyecto.

Si les dan a conocer la

documentación actualizada a los participantes del

proyecto12 Se respetan los límites temporales y

presupuestarios marcados al inicio del proyecto.

No existe

13 Se han tenido en cuenta los riesgos del reajuste.

14 Se notifica el cambio a todas las personas que de una u otra forma participen en el proyecto y se ven afectados.

Si Se les avisa pero no ay un

documento formal

15 Si existe un plan de sistemas, se actualiza en consecuencia.

No existe

16 Existe un procedimiento que permita registrar a los tiempos que cada participante del proyecto de dedica al mismo y que tarea realiza en este tiempo.

No existe

- 11

17 Las productividades que se obtienen para distintos empleados en las mismas tareas son similares y están en consonancia con la información histórica.

No existe

18 Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado, especialmente en las fases de análisis y diseño.

Me mostro la etapa previa

documentada

19 La documentación cumple con los estándares establecidos en el área.

Me mostro la documentación

cumpliendo con los estándares

establecidos20 Se respeta el plan establecido y en caso

contrario se toman las medidas oportunas o se procede a la aprobación de una modificación del plan

21 Se respeta el uso de recursos previamente establecido.

No existe

22 La documentación de proyecto es completa y está catalogada perfectamente para accesos posteriores.

Me mostro la documentación

completa

23 Los recursos, tanto personales como materiales, se ponen a disposición del área o departamento del que provienen.

No existe

24 El comité de dirección y el director del proyecto hacen balance del proyecto, estudiando los posibles problemas y sus causas, los cambios del plan, etc. Toda esta información se registra en los archivos históricos sobre estimaciones y problemas.

Si se hace balance pero no ay un

registro

25 La nueva aplicación se incorpora al catálogo de aplicaciones existentes con toda la información relevante de la misma

Basado en los requerimientos si

Lista de comprobación

- 12

“Auditoria De La Fase De Análisis”

Objetivo General:

Pretende obtener un conjunto de especificaciones formales que describan las necesidades de la información que debe ser cubierta por el nuevo sistema de una forma independiente del entorno técnico.


Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma clara los requisitos del mismo.

En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema cumpla los requisitos establecidos

El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando esta especificación con la aprobación de los usuarios

1 Se debe Comprobar que : SI NO Observaciones2 Existe un documento aprobado por el comité de

dirección en el que determinan formalmente el grupo de usuarios que participaran en el proyecto.

No existe un comité de dirección

3 Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema

Existen usuarios con los perfiles

requeridos

4 Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de que es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.

Se ha informado a los usuarios pero

se tiene la evidencia física

5 Existe un plan consensuado con el comité de dirección que detalla por cada entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guion de los aspectos que se van a preparar.

No existe

6 Se entrevista a todos los integrantes en el grupo de usuarios y a todos los responsables de las unidades afectadas.

No existe

7 Se remite el guion a los entrevistados con tiempo suficiente para que estos puedan preparar la entrevista y la documentación que deseen aportar a la misma.

No existe

8 El guion incluye todas las cuestiones necesarias para obtener información sobre las funciones que el entrevistado realiza en su unidad y los problemas que necesita resolver

No existe

- 13

9 Se ha realizado un modelo físico del sistema actual, incluyendo los objetivos y funciones de cada unidad, así como sus flujos de entrada y salida de información

Mostro la especificación de

requerimientos

10 Se han catalogado los problemas del sistema actual así como que estos problemas son reales

No existe evidencia

11 Se han realizado el modelo lógico de datos y el modelo lógico de proceso del sistema actual, así como que estos son correctos y que se han llevado a cabo con las técnicas usadas en el área

No existe

12 Existe el catálogo de requisitos que están justificados.


requerimientos

13 Los requisitos son concretos y cuantificables, de forma que pueda determinarse el grado de cumplimiento al final del proyecto


requerimientos14 Cada requisito tiene una prioridad y está

clasificado en funcional o no funcional.Mostro la

especificación de requerimientos

15 El catálogo de requisitos ha sido revisado y aprobado por el grupo de usuarios y por el comité de dirección, constituyendo a partir de este momento del “contrato” entre estos y el equipo de desarrollo del proyecto


requerimientos

16 De El procedimiento existe y está aprobadobe existir el diccionario de datos o repositorio

No existe

17 la especificación del nuevo sistema incluirá los requisitos de seguridad rendimiento, copias de seguridad y recuperación etc

No existe

18 Es coherente con el procedimiento de control de cambio general para el proyecto.

No existe

Objetivo del Control C2:

1 Se debe comprobar que: SI NO Observaciones

2 Existe un documento en que se describen las distintas alternativas.

No existe

3 Hay más de una alternativa y en caso contrario, que no existe realmente otra posible.

No existe

4 Cada alternativa está descrita desde un punto de vista lógico (al menos modelo

No existe

- 14

lógico de procesos) y es coherente con los requisitos establecidos.

5 Si existe en el mercado a un producto que cumpla con unas mínimas garantías los requisitos especificados, una de las alternativas debe ser su compra.

No existe

6 Si no lo impiden las características del proyecto una de las alternativas debe ser el desarrollo del sistema por parte de una empresa externa.

No existe

7 Se han evaluado las ventajas e inconvenientes de cada alternativa de forma objetiva (análisis coste/beneficio por ejemplo) así como los riesgos asociados.

No existe

8 El comité de dirección ha seleccionado una alternativa como la más ventajosa y es realmente la mejor para la organización.

No existe

OBJETIVO DE CONTROL D1

- 15

Se debe comprobar que: SI NO Observaciones1 Se ha partido de los modelos

realizados en el análisis de requisitos del sistema.

Se ha partido de los modelo pero no existe una evidencia

2 Existe el MLP, se ha realizado con la técnica adecuada (normalmente diagramas de flujo de datos) y es correcto técnicamente. Describirá que debe realizar el sistema sin entrar en la forma en que lo hará. Los procesos manuales deben estar diferenciados. Los usuarios deben entender las convenciones de símbolos usados.

3 En el diagrama de contexto están reflejados todos los agentes externos, incluidos otros sistemas con los que el sistema intercambia información. Para cada flujo de datos de entrada o de salida debe estar documentado el contenido, la frecuencia, suceso que lo origina, etc.

No existe la documentación

4 Existe el MLD se ha realizado con la técnica adecuada (normalmente modelo entidad-relación o diagramas de estructura de datos) y es correcto técnicamente. Debe estar normalizado al menos hasta la tercera forma normal.

Mostro el diagrama entidad relación

5 En el MLD están reflejadas todas las entidades con sus atributos y claves, así como las relaciones entre las mismas.

Mostro el diagrama relacional

6 El MLP y el MLD son coherentes entre sí. La consolidación se debe hacer usando técnicas adecuadas (historia de la vida de las entidades, por ejemplo).

Existe coherencia entre los modelos

7 El MLP y el MLD han sido aprobados por los usuarios y por el comité de dirección.

No tienen la evidencia de la aprobación

8 Existe el diccionario de datos, es correcto y se gestiona de forma automatizada.

Mostro el diccionario de datos

9 Se respetan en su gestión todos los procedimientos de control de cambios.

Se han descrito con suficiente detalle las pantallas atreves de las cuales el usuario navegara por la aplicación, incluyendo todos los campos significativos, teclas de función disponibles menús, botones, etc., si hay normas de diseño o estilo de pantallas en el área se verificara que se respetan

No existe

11 Se han escrito con suficiente detalle los informes que se obtendrán del sistema y los

No existe

- 16


“Auditoría De La Fase De Diseño”.

Objetivo General:

Se debe definir una arquitectura física para el sistema coherente con la

especificación funcional que se tenga y con el entorno tecnológico elegido.


El entorno tecnológico debe estar definido de forma clara y ser conforme a los

estándares del departamento de informática.

Se deben identificar todas las actividades físicas a realizar por el sistema y

descomponer las mismas de forma modular.

Se debe diseñar la estructura física de datos adaptando las especificaciones del

sistema al entorno tecnológico.

Se debe diseñar un plan de pruebas que permita la verificación de los distintos

componentes del sistema por separado, así como el funcionamiento de los distintos

subsistemas y del sistema en conjunto.

La actualización del plan de proyecto seguirá los criterios ya comentados.

Se debe Comprobar que : SI NO Observaciones1 Están perfectamente definidos todos los

elementos que configuran el entorno tecnológico para el proyecto (servidores, computadoras personales, periféricos, sistemas operativos, conexiones de red, protocolos de comunicación, sistemas gestores de bases de datos, compiladores, herramientas CASE, middleware en caso de programación cliente/servidor, librerías, etc).

Me mostro definidos todos los elementos a

utilizar

2 Se dispone de los elementos seleccionados, están dentro de los estándares del departamento de informática y son capaces de responder a los requisitos establecidos de volúmenes, tiempos de respuesta, seguridad, etc.

Me mostro que dispone de los

elementos seleccionados dentro de los

estándares del departamento de

informática3 Se han documentado todas las actividades Si se realizaron

- 17

físicas que debe realizar el sistema. las actividades pero no está documentas

4 El catálogo de actividades es coherente con las funciones identificadas en el MLP del módulo EFS.

Si están acorde

5 Se han identificado las actividades que son comunes, así como las que ya existen en las librerías generales del área.

Me mostraron las actividades comunes

6 Existe el documento con el diseño de la estructura modular del sistema, se ha realizado con una técnica adecuada y es correcto.

Me mostraron el diseño estructura

modular del sistema

7 El tamaño de los módulos es adecuado, el factor de acoplamiento entre ellos es mínimo y la cohesión interna de cada módulo es máxima.

No existe

8 Los módulos se diseñan para poder ser usados por otras aplicaciones si fuera necesario.

9 Los componentes o programas del nuevo sistema se han definido con detalle a partir del diseño modular, la definición es correcta y sigue los estándares del área. La descripción de los componentes es suficiente para permitir su programación por parte de un programador sin conocimiento previo del sistema.

la definición es correcta y sigue los estándares

del área

10 Se han detallado las interfaces de datos y control con otros módulos y sistemas, asá como la interfaz de usuario ya especificada en el módulo EFS.

Me mostraron las interfaces

especificadas

11 El módulo físico de datos está basado en el MLD obtenido en el módulo EFS e incluye todas las entidades, relaciones, claves, vistas, etc.

Si incluye todas las entidades

12 Tiene en cuenta el entorno tecnológico y los requisitos de rendimiento para los volúmenes y frecuencias de acceso estimados.

Tiene en cuenta el entorno

tecnológico y los requisitos de rendimiento

13 Existe el plan de pruebas y contempla todos los recursos necesarios para llevarlas a efecto.

No existe

14 Las personas que realizarán las pruebas de verificación son distintas a las que han desarrollado el sistema.

Son las mismas personas

15 Existe el plan para validar cada uno de los componentes del sistema, incluyendo pruebas del tipo caja blanca para cada módulo. Tendrán en cuenta todas las posibles condiciones lógicas de ejecución, además de posibles fallos

- 18

del hardware o software de base.

16 Permite validar la integración de los distintos componentes y el sistema en conjunto.

- 19


“Auditoria De La Fase De Construcción “

OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando técnicas de programación correctas.

C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así como los procedimientos de operación, antes de iniciar el desarrollo.

C-FI-2: se debe programar, probar y documentar cada uno de los componentes identificados en el diseño del sistema.

C-F1-3: deben realizarse las pruebas de integración para asegurar que las interfaces, entre los componentes o módulos funcionan correctamente. Se debe comprobar que.

OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar capacitados y disponer de todos los medios para hacer uso del sistema.

C-G1-1: el desarrollo de los componentes de usuario debe estar planificado C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de

estándares del área C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los

procesos de formación o selección de personal necesario C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los

usuarios con el nuevo sistema

Se Debe Comprobar Que: Si No Observaciones

1 Se han creado e inicializado las bases de datos o archivos necesarios y que cumplen las especificaciones realizadas en el módulo de diseño.

mostro la base de datos

2 En ningún momento se trabaja con información que se encuentra en explotación.

En ningún momento

3 Se han preparado los procedimientos de copia de seguridad.

4 Se han preparado los editores, compiladores, herramientas, etc. Necesarios.

Si se han preparado

- 20

5 Están disponibles los puestos de trabajo y el acceso a los equipos, redes etc.

Si están disponibles

6 Están disponibles todos los elementos lógicos y físicos para realizar las pruebas unitarias de los componentes y las pruebas de integración.

Si están disponibles

7 Están documentados todos los procedimientos de operación para cuando el sistema esté en explotación.

No están documentadas

8 Los procedimientos se llevan a cabo después de tener la especificación funcional del sistema y antes de la implementación del mismo.

No se llevan acabo

9 Están definidos los distintos perfiles de usuario requerido para la implantación y explotación del nuevo sistema.

Si están definidos los perfiles

10 Se han desarrollados todos los componentes y módulos

No se han desarrollado

11 Se han seguido los estándares de programación, documentación del área , código es estructurado , está bien sangrado y contiene comentarios suficiente

Si están siguiendo los estándares de programación

12 Se han probado cada componente y se ha generado e informe de prueba. Si los resultados de las pruebas no san satisfactorio se modifica el código y se vuelve a realizar la prueba. Si se detecta una falla de especificación o diseño, el proyecto se actualizara según el procedimiento establecido para ello

Se actualiza pero no hay evidencia física

13 Las pruebas de integración se han llevado acabo según lo especificado en el plan de pruebas realizado en el módulo de diseño

Me mostro la prueba de integración según las especiaciones

14 Se han evaluado las pruebas y se han tomado las acciones correctivas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia

No se han evaluado

15 No han participado los usuarios. En las pruebas de integración solo debe participar

Nada más participa el

- 21

el equipo de desarrollo equipo de desarrollo

16 El plan del proyecto está incluido el plan de desarrollo de los procedimientos de usuario e incluye todo las actividades y recursos necesarios

Si está incluido el plan del proyecto en el plan de desarrollo

17 Para cada perfil se ha definido el rango de fechas y la dedicación necesaria.

No se ha definido el rango

18 Están desarrollados todos los procedimientos de usuario, recopilados, formando el manual de usuario, y son coherentes con las actividades descritas en EFS.

Me mostro el manual de usuario

19 Cada procedimiento describe claramente que realiza, el perfil de usuario asociado, asi como los recursos que son necesarios (equipos, consumibles, periféricos especiales, espacio, etc.).

Cada procedimiento describe claramente que realiza

20 Los manuales de usuario y el resto de procedimientos cumplen los estándares del área y llevan asociado su control de versiones.

Me mostro los manuales de usuario y si cumple los estándares del área

21 La comparación de perfiles de usuarios y recursos requeridos con los actuales es realista y los procedimientos que se derivan son adecuados y están aprobados por los responsables de las unidades afectadas.

No existe

LISTA DE COMPROBACIÓN (Parte 1)

- 22

“Auditoría De La Fase De Implantación”

Objetivo General:

El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.


Se de ben realizar las pruebas del sistema que se especificaron en el diseño del mismo.

El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.

El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.

Se debe comprobar que: SI NO Observaciones

1Se prepara el entorno y los recursos necesarios para realizar las pruebas.

No se preparó el entorno para las pruebas

2

Las pruebas se realizan y permiten verificar si el sistema cumple con las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallos, copias de seguridad, tiempos de respuesta, etc.

Las pruebas se realizaron y si cumplen con las especificaciones

3

Se han evaluado los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

Si se han evaluado los resultados de las pruebas

4Se revisa el plan de implantación original y se documenta adecuadamente.

Si se revisa pero no ay documentación

5

Está incluida la instalación de todos los componentes desarrollados, así como los elementos adicionales (librerías, utilidades, etc.).

Me mostro los lineamentos de la instalación

6Incluye la inicialización de datos y la conversión si es necesaria.

No existe

7

Especifica los recursos necesarios para cada actividad, así como que el orden marcado para las actividades es compatible.

Mostro la especificación de las actividades

8 Se ha tenido en cuenta la información histórica sobre estimaciones.

Me mostro la información

- 23

histórica

9

Se sigue el plan de pruebas de aceptación aprobado en la fase de análisis, que debe incluir la conversión de datos y la explotación.

No se sigue el plan de pruebas

10

Las pruebas de aceptación son realizadas por los usuarios.

Me mostro las pruebas de aceptación son realizadas por los usuarios.

11

Se evalúan los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

Si se han evaluado los resultados de las pruebas

12

El grupo d usuarios y el comité de dirección firman su conformidad con las pruebas de aceptación.

Me mostro las firmas del grupo de usuarios donde están conformes

LISTA DE COMPROBACIÓN (Parte 2)

- 24

“Auditoría De La Fase De Implantación”

Objetivo General:

El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento solo cuando haya sido aceptado y esté preparado todo el entorno en el que se ejecutará.


Se deben instalar todos los procedimientos de explotación. Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma

coordinada con la retirada del antiguo, migrando los datos si es necesario. Debe firmarse el final de la implantación por parte de los usuarios. Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras

semanas para evitar situaciones de abandono de uso del sistema. Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.

Se debe comprobar que: SI NO Observaciones

1

Se han instalado además del sistema principal todos los procedimientos auxiliares, por ejemplo copias, recuperación, etc., tanto manuales como automáticos.

No existe

2 Están documentados de forma correcta. Algunas cosas

3

Los usuarios han recibido la formación necesaria y tienen en su poder toda la documentación necesaria, fundamentalmente manuales de usuario.

Los usuarios han recibido la formación necesaria

4Se han eliminado procedimientos antiguos que sean incompatibles con el nuevo sistema.

No se han eliminado los procedimientos

5

Hay un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema esté funcionando con todas las garantías. Esta situación no debe prolongarse más tiempo del necesario.

No existe

6

Si el sistema antiguo se va a mantener para obtener información se debe dejar en explotación el modo de sólo consulta.

No existe sistema antiguo

7

Los datos se convierten de acuerdo al procedimiento desarrollado y se verifica la consecuencia de la información entre el sistema nuevo y el antiguo.

No existe sistema antiguo

- 25

8

Existe el documento y que han sido firmados por el comité de dirección y por el grupo de usuarios.

Me mostro el documento firmado por los miembros del proyecto

9Contiene de forma explícita la aceptación de la implantación correcta del sistema.

Me mostro la información correcta

10

El índice de utilización del sistema es adecuado a los volúmenes que se esperaban para cada una de las áreas afectadas por el nuevo sistema.

11

Se ha comprobado, al menos informalmente, la impresión de los usuarios respecto al nuevo sistema.

No se ha comprobado

12

El mecanismo existe y está aprobado por el director del proyecto, por el comité de dirección y por el área de mantenimiento, si ésta existiese.

No existe

13

Tiene en cuenta los tiempos de respuesta máximos que se pueden permitir ante situaciones de no funcionamiento.

No existe

14

El procedimiento a seguir ante cualquier problema o para el mantenimiento del sistema será conocido por todos los usuarios. Incluirá al menos la persona de contacto, teléfono, esquema de información a aportar, etc.

El procedimiento a seguir ante cualquier problema será conocido por todos los usuarios

Listas de Control de la red física

- 26

Lista De Control De La Red Física

Objetivos

Debe comprobarse que efectivamente los accesos físicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe también comprobarse que desde el interior del edificio no se intercepta físicamente el cableado.

Objetivos específicos

Áreas controladas por los equipos de comunicaciones previniendo el acceso inadecuado.

Protección y tendido adecuado de cables y líneas de comunicaciones para evitar para evitar accesos físicos.

Controles de utilización de equipos de prueba de comunicaciones para monitorizar la red y su tráfico, que implica su utilización inadecuada.

Atención específica a la recuperación de los sistemas de comunicación de datos en el plan de recuperación de desastres en sistemas de información.

Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red.

Se Debe Comprobar Que: Si No Observaciones1 El equipo de comunicaciones se mantiene en

habitaciones cerradas con acceso limitado a personas autorizadas.

El equipo si se mantiene en habitaciones cerradas

2 La seguridad física de los equipos de comunicaciones tales, como controladores de comunicaciones, dentro de las salas de computadoras sea adecuado.

Me mostro todo la seguridad física de los equipos

3 Solo personas con responsabilidad y conocimiento están incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones

Me mostro las listas con las personas responsables

4 Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de líneas telefónicas, así como sus autorizaciones de acceso , de aquellas de personal bajo control de la gerencia de comunicaciones

No ay una evidencia física pero si se separan las actividades según la función de cada persona

5 en las zonas adyacentes a la sala de Solo personal

- 27

comunicaciones, todas las líneas de comunicaciones fuera de la vista

autorizado conoce los detalles sobre las líneas de comunicación

6 Las líneas de comunicaciones, en las salas de comunicaciones, armarios distribuidores y terminaciones de los despachos, estarán etiquetadas con un código gestionado por la gerencia de comunicaciones, y no por su descripción física o métodos sin coherencia.

No existen etiquetas

7 Existen procedimientos para la protección de cables y bocas de conexión que dificulten el que sea conectados por personas no autorizadas

No hay procedimiento pero si hay confidencialidad, no cualquiera sabe dónde están los registros

8 Se revisa periódicamente la red de comunicaciones, buscando intercepciones activas o pasivas.

Se realiza la revisión pero no se tiene registro

9 Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicaciones de datos deben tener propósitos y funciones definidos.

No ay equipos ara hacer pruebas de fallas

10 Existen controles adecuados sobre los quipo de prueba de comunicaciones usados para monitorizar líneas y fijar problemas

Si se hace pero no tiene evidencia física

11 El plan general de recuperación de desastres para servicios de información presta adecuada atención recuperación y vuelta al servicio de los sistemas de comunicación de datos

No existe

12 Existen planes de contingencia para desastres que solo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones

No existe

13 Las alternativas de respaldo de comunicaciones, bien sea como las mismas salas o con salas de respaldo, consideran la seguridad física de estos lugares

No existe

14 Las líneas telefónicas usadas para datos, cuyos números no deben ser públicos, tienen dispositivos procedimientos de seguridad como retrollamada, código de conexión o interruptores para impedir accesos no autorizados al sistema informático.

No existe

- 28

Listas de Control de la red lógica

Lista De Control De Red Lógica

Objetivos

Contraseñas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones.

- 29

Facilidades de control de errores para detectar errores de una transmisión y establecer las retransmisiones apropiadas.

Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.

Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar accesos no autorizados.

Técnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles.

Controles adecuados que cubran la importancia o exportación de datos a través de puertas, en cualquier punto de la red, a otros sistemas informáticos.

Se debe comprobar que: si no observaciones1 El software de comunicaciones, para permitir el

acceso, exige código de usuario y contraseña.Se requiere un usuario y una contraseña

2 Revisar el procedimiento de conexión de usuario y comprobar que:

Se realiza la revisión

Los usuarios no pueden acceder a ningún sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.

Es necesario identificarse para acceder al software de comunicaciones

Se inhabilita al usuario que sea incapaz de dar la contraseña después de un número determinado de intentos infructuosos.

Después de 3 intentos ya no le permite identificarse

Se obliga a cambiar la contraseña regularmente.

No se obliga pero si se realiza esta práctica de seguridad

Las contraseñas no son mostradas en pantalla cuando se teclean.

No se ven las contraseñas

Durante el procedimiento de identificación, los usuarios son informados de cuando fue su última conexión para ayudar a identificar potenciales suplantaciones o accesos no autorizados.

Se informa a los usuarios de su última conexión

- 30

3 Cualquier procedimiento del fabricante, mediante hardware o software, que permita libre acceso y que haya sido utilizado en la instalación original, ha de haber sido inhabilitado o cambiado.

No existe

4 Se toman estadísticas que incluyan tasas de errores y retransmisión.

No existe

5 Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente.

No existe

6 Los mensajes lógicos transmitidos identifican el originarte, la fecha, la hora y el receptor.

No existe

7 El software de comunicaciones ejecuta procedimientos de control y correctivos

Se ejecutan procedimientos automáticos

8 La arquitectura de comunicaciones utilizada indistintamente cualquier ruta disponible de transmisión para minimizar el impacto de una escucha de datos sensible en una ruta determinada.

La red cuenta con su ruta independiente

9 Existen controles para que los datos sensibles solo puedan ser impresos en las impresoras designadas y vistos desde lis terminales autorizados.

No existe

10 Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones.

Bitácoras

11 Los activos de registro son revisados, sea el posible a través de herramientas automáticas, diariamente, vigilando intentos impropios de acceso

Se hace la revisión pero no automáticamente

12 Existen análisis de riesgos para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado.

No existe

13 Si se utiliza cifrado: El transporte de las claves de cifrado

desde donde se generan a los equipos que las utilizan sigue un procedimiento adecuado.

Existe una red cifrada

Existen procedimientos de control sobre la generación e intercambio de claves.

No existe

Las claves de cifrado son cambiadas regularmente.

No existe

- 31

14 Si se utilizan canales de comunicación uniendo diversos edificios de la misma organización, y existen datos sensibles que circulen por ellos, comprobar que estos canales se cifran automáticamente, para evitar que una intercepción sistemática a un canal comprometa a todas las aplicaciones

No existe

15 Si la organización tiene canales de comunicación con otras organizaciones se analice la convención de cifrar estos canales.

No existe

16 Si se utiliza la transmisión de datos sensibles a través de redes abiertas como Internet, comprobar que estos datos viajan cifrados.

No existe

17 Si en una red local existen computadoras con módems, se han revisado los controles de seguridad asociados para impedir el acceso de equipos foráneos a la red local.

No existe

18 Existe una política de prohibición de introducir programas personales o conectar equipos privados a la red local

Solo el administrador de la red puede introducir programas a los equipos

19 Todas las “puertas traseras” y accesos no específicamente autorizados están bloqueados. En equipos activos de comunicaciones, como puentes, en caminadores, conmutadores, etc. Esto significa que los accesos para servicio remoto están inhabilitados o tienen procedimientos específicos de control.

No existe

20 Periódicamente se ejecutan, mediante los programas actualizados y adecuados, ataque para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas. Estos ataques deben realizarse independientemente a:

No existe

Servidores, desde la red interna. No existe

Servidores Web, específicamente. No existe

Intranet, desde dentro de ella No existe

Cortafuegos, desde dentro de ellos. No existe

Accesos desde el exterior y/o internet. No existe

Servidores, desde dentro del servidor. No existe

- 32

Documents

auditoria