Cuestionario de Auditoría Informática

CUESTIONARIO PARA AUDITORIA INFORMATICA

CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS SI NO N/A OBSERVACIONES

1.- Se elabora periódicamente un plan de renovación de equipos

2.- Se lleva un control de inventario de hardware de la entidad

3.- El control de inventario contempla información detallada de las características y componentes del equipo inventariado

4.- El mantenimiento de los equipos de cómputo se da por funcionarios internos

5.- Se le da manteninieto de tipo preventivo a los equipos de cómputo

6.- El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente

7.- Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.

8.- Se cuenta con las licencias del software que se utiliza en la entidad

9.- Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad

10.- ¿Se evalúa el rendimiento del personal directivo y operativo?

11.- Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?

12.- ¿Cuál es la cobertura de los seguros contratados?

13.- ¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?

14.- ¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada

por el supervisor inmediato o el Gerente de sistemas?

15.- ¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?

16.- ¿Existen procedimientos escritos sobre la actualización de archivos?

17.- ¿Existen procedemientos por escrito sobre la utilización de las librerías?

18.- ¿Existen programas de control y revisión sobre los archivos manejados por el usuario?

19.- ¿Está prohibido la operación del equipo de analistas y programadores?

20.- ¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?

21.- ¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?


CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS SI NO N/A OBSERVACIONES

DE INFORMACIÓN1.- ¿Se ha determinado alguna metodología de los standares para diseño de sistemas?

2.- ¿Existen estudios de factibilidad?

3.- ¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?

4.- ¿Se han diseñado, sistemas integrados de información?

5.- ¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?

6.- ¿Cuál es la política de costo utilizada?

7.- ¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?

8.- ¿Participan los auditores internos en los procesos de planificación para expresar sus necesidades.?

9.- ¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?

10.- ¿Existen planes para adquisiciones futuras de equipos.?

11.- ¿Se aplican los procedimientos para planificar software?

12.- ¿Participa auditoría en el desarrollo de sistemas?

13.- ¿Se han diseñado procedimientos standares para todas las áreas usuarias?

14.- ¿Es el usuario el responsable del ingreso de los datos?

15.- ¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?

16.- ¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?

17.- ¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?

18.- ¿Se cumplen los planes de desarrollo de sistemas?

19.- ¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes?

20.- ¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación?

21.- ¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?

22.- ¿Existe documentación de los programas, cuales son los documentos que la forman?

23.- ¿Existe un procedimiento de actualización?

24.- ¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?

25.- ¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?

26.- ¿Existen normas estándares para la codificación de los programas?


CONTROLES A LAS BASES DE DATOS SI NO N/A OBSERVACIONES

1.- Se tiene definido un área o persona para la administración de la base de Datos en la entidad?

2.- Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?

3.- Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?

4.- Las bases de datos tienen definidas un password para lograr accerderlas?

5.-

6.-

ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN SI NO N/A OBSERVACIONES

1.- El sistema es desarrollado internamente

2.- El mantenimiento del Sistema lo dan funcionarios de la Entidad

3.- El Sistema es una aplicación desarrollada a la medida

4.- El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la Entidad

5.- El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidad

6.- El Sistema tiene menos de cinco años de funcionamiento

7.- El Sistema es integrado con otras aplicaicones automatizadas de la Entidad

8.- El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externa

9.- ¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?

10.- ¿Es adecuada la socumentación de los programas?

11.- ¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?.

12.- ¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.

13.- ¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.

14.- ¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de

la librería de programas en línea?.

15.- ¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.

16.- ¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.

17.- ¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.

18.- ¿Existe un plan para el desarrollo futuro de programas y aplicaciones?.

19.- ¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.

20.- ¿Se preparan manuales de cada programa para el usuario?.

21.- ¿Se da mantenimiento a los programas y aplicaciones en forma regular?.

22.- ¿Están integrados los programas y aplicaciones en un todo?.

23.- ¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.

24.- ¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?.

25.- ¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.

26.- ¿El acceso a las palabras claves o secretas es restringido?.

27.- Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el

procedimiento que se aplica sobre las claves de seguridad asignadas?

28.- ¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente?

29.- ¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?

30.- ¿Existen procedimientos escritos para descargar o restaurar información al computador?

31.- ¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios

respectivos ?

32.- ¿Existen estándares establecidos para la elaboración y documentación de los programas?

33.- ¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?

34.- ¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?

35.- Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?

36.- ¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.

Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificación a los datos de una base de datos en producción?

Se utilizan las fortalezas de validación de información que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?


CONTROLES A LOS RESPALDOS SI NO N/A OBSERVACIONES

1.- Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?

2.- Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?

3.- El procedimiento de respaldo está automatizado ?

4.- El respaldo se realiza periódicamente ?

5.- Se realizan varias copias del respaldo de datos y de la aplicación ?

6.- Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ?

7.- Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ?

8.- Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?

9.- La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una

contingencia la pérdida de información sea mínima ?

10.- Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?

11.- Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?

12.- Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para

asegurar su buen funcionamiento ?

13.- Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?

14.- Existen copias de los respaldos fuera del edificio?

15.- En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?

16.- ¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?

17.- ¿Está marcado o identificado perfectamente el material confidencial?

18.- ¿Se sacan suficientes copias de seguridad de los archivos principales?

19.- Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?

20.- ¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?

21.- Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?

22.- ¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?

23.- ¿Existe una destructura de papel y funciona adecuadamente?

24.- ¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?

25.-

26.- ¿Existe la probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas

en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo,

de existir algún contrato o convenio, menciónelo?

27.- Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también

sobre los posibles problemas que se presentan al operarlo.

28.- ¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado?

29.- ¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?

30.- ¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?

31.- ¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y

utilización de dicha información?

32.- ¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales?

¿Existe una bitácora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energía eléctrica?


CONTROLES DE ENTRADA DE DATOS SI NO N/A OBSERVACIONES

1.- Se tienen formularios preimpresos para la captura de la información que ingresa al sistema ?

2.- El formulario cuenta con copias ?

3.- Las copias en el formulario identifican claramente las áreas a las que se le debe entregar ?

4.- Los formularios son prenumerados ?

5.- El formulario preimpreso tiene el mismo orden de captura que el de ingreso de la información en el Sistema,

esta coincide con la forma del diseño de la pantalla ?

6.- En las pantallas de captura de datos se tienen definidos campos como obligatorios para ser digitados ?

7.- Se tiene control de tipos sobre los campos que se capturan ?

8.- Se permite ingresar transacciones con el mismo número de indentificación o clave primaria del documento ?

9.- Se tienen establecidos controles que permitan restringir rangos de acción de algún valor que se deba ingresar en el sistema ?

10.- Se controla el orden cronológico de ingreso de transacciones en el sistema, de tal forma que no permita realizar

operaciones en forma extemporánea o de períodos anteriores ?

CONTROLES DEL PROCESAMIENTO DE LOS DATOS SI NO N/A OBSERVACIONES

1.- El sistema deja rastro en la transacción de los usuarios que se vieron involucrados en su procesamiento

(creador, autorizador o aprobador ?

2.- El sistema lleva un consecutivo propio de las diferentes transacciones que permite realizar la aplicación ?

3.- El sistema cuenta con herramientas de auditoría que permitan dar seguimiento a una transacción a lo largo

de su procesamiento ?

4.- El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacción sigue el cilo normal

de procesamiento y que éste no se pueda alterar ?

CONTROLES DE LAS SALIDAS DE DATOS SI NO N/A OBSERVACIONES

1.- Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidencialidad ?

2.- Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y

responsabilidades de los usuarios ?

3.- Si el sistema emite archivos electrónicos como salida se graban en un área con acceso restringido ?

4.- Loa archivos electrónicos emitidos por el Sistema cuentan con un porcedimiento formal para su distribución ?

5.- Se tiene un responsable definido para la distribución de los archivos electrónicos ?

6.- Los reportes cuentan con nombre del reporte, fecha de emisión, usuario que lo emitió, programa que los

elaboró y vigencia consignada en ellos cada vez que son impresos ?

7.- Si tiene alguna disposición establecida en términos de manipulación, archivado o destrucción de los reportes

obsoletos que emite el sistema ?


SEGURIDADES LÓGICAS Y ACCESO LOS DATOS SI NO N/A OBSERVACIONES

1.- Se cuenta con servidores de archivos separados?

2.- Se cuenta con un servidor de aplicaciones separado?

3.- Se cuenta con un servidor o área para desarrollo separada ?

4.- Se cuenta con un servidor o área para producción separada ?

5.- Se cuenta con un servidor de base de datos ?

6.- Se cuenta con un servidor PROXY ?

7.- Se cuenta con un servidor de acceso remoto RAS ?

8.- Se cuenta habilitada la posibilidad de rellamado para las conexiones RAS ?

9.- El acceso por medio de RAS solicita password para autenticar la conexión ?

10.- El password del RAS tiene vencimiento periódico ?

11.- El password del RAS puede ser cambiado por los usuarios dueños de la cuenta ?

12.- Se tiene politicas definidas para determinar los funcionarios que son candidatos a tener acceso por medio RAS ?

13.- Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?

14.- Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?

15.- Se cuenta con un antivirus que esté corriendo en los clientes ?

16.- Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores ?

17.- Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir

cuando se detecta un virus en las estaciones de trabajo o en los servidores ?

CONTROLES DE ACCESO A LOS SISTEMAS SI NO N/A OBSERVACIONES

1.- El sistema cuenta con un mecanismo de control de acceso ?

2.- El mecanismo de control de acceso se basa en la política de autentificación por password ?

3.- La palabra de paso tiene un periodo de vencimiento establecido ?

4.- La palabra de paso tiene una longitud mínima para ser ingresada o definida ?

5.- Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando

este ingresada por primera vez a la aplicación ?

6.- Los usuarios pueden cambiar su palabra del paso personalmente una vez que se da su vencimiento ?

7.- La estructura de la palabra de paso es tal que requiere de una combinación de caracteres que no lo permite

ingresar palabras de fácil deducción ?

8.- La palabra de paso se almacena en forma encriptada ?

9.- El mecanismo de control de acceso se basa en la politica de identificación por medio del usuario ?

10.- Se tiene un procedimiento formal para la solicitud de ingreso, bloqueo o eliminación de un usuario al sistema ?

11.- Los usuarios definidos en el Sistema están asociados a un solo funcionario ?

12.- El sistema no permite que con un mismo usuario se ingrese simultáneamente a la aplicación desde dos estaciones diferentes ?

13.- Si una sesión en el sistema se queda abierta por un periodo determinado de tiempo sin actividad, la aplicación se bloquea

para que el sistema no sea utilizado ?

14.- El usuario de ingreso al sistema se bloquea después de un número determinado de intentos fallidos de ingreso ?

15.- Cuando un usuario se encuentra fuera de la entidad por vacaciones, incapacidad o permiso en Usuario es desactivado

para que no se pueda ingresar por el tiempo que este está fuera de la Institución ?

16.- El sistema presenta en pantalla el usuario que realizó el último acceso desde la estación del cliente ?

17.- Se cuenta con bitácoras que almacenen información relativa a la actividad de ingreso al Sistema ?

18.- En la bitácora de control de acceso por lo menos se lamacena la siguiente información: usuario y hora de igreso,

usuario y hora de salida, procesos utilizados por el usuario, transacciones de actualización en la BD, intentos

fallidos de acceso y desactivación ?

19.- Se hacen revisiones pedriódicas de la bitácoras de acceso al Sistema ?

20.- En caso de detectar desciaciones en el sistema por medio de la revisión de las bitácoras se cuenta con un

procedimiento formal que determine las acciones a tomar en estos casos?

21.- El sistema cuenta con la facilidad de definir perfiles de acceso ?

22.- Los perfiles de acceso definidos en el Sistema identifican en forma independiente las tareas y procesos a los

que tienen acceso los usuarios de acuerdo con sus funciones y responsabilidades ?

23.- Se tiene un procedimiento formal que permita solicitar la modificación, inclusión, desactivación de perfiles en el Sistema ?

24.- El área o persona encargada de la administración de los perfiles del Sistema es un funcionario que no pertenece a CPD ?

25.- Cuando un usuario tiene asignado un perfil determinado y se ingresa al sistema en la aplicación se muestra solo las

opciones a las que tiene acceso el funcionario con ese perfil ?

26.- Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabilidades ?


SEGURIDADES FISICAS SI NO N/A OBSERVACIONES

1.- Cuenta el sistema con un regulador de voltaje?

2.- Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente?

3.- ¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica?

4.- Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones

cuantos minutos de energía le da al computador.

5.- ¿La instalación eléctrica del CPD, tiene conexión a tierra?

6.- ¿Existe en el centro de cómputo extintor de incendio?

7.- Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?

8.- Cuenta el sistema con un equipo de aire acondicionado adecuado?

9.- ¿Se mide con frecuencia la temperatura y la humedad?

10.- ¿Las instalaciones de CPD se encuentran en un lugar funcional?

11.- ¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?

12.- ¿Tienen protección para sobre cargas?

13.- ¿Existe un sistema adecuado de detección de incendios?

14.- Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"

15.- ¿Está restringido el acceso al CPD?

16.- ¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?

17.- ¿Existe algún plan de seguridad de emergencia escrito y aprobado?

18.- ¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?

19.- ¿Existe un mantenimiento adecuado y periódico a los equipos de computación?

20.- ¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?

21.- ¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?

22.- ¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa,

en caso de algún siniestro?

23.- En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?

24.- ¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?

25.- Se tiene algún control de entrada/salida del personal No Autorizado?

26.- Se cuenta con alguna área definida deCintoteca o Discoteca?

27.- Esta área es de acceso restringido?

28.- Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?

Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]

30/Sep/2004Pág. 8 de 18

INFORME PORMENORIZADO DE RIESGOS DE CONTROL

EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO


30/Sep/2004Pág. 9 de 18


G02.- SEGURIDADES FISICAS SI NO N/A OBSERVACIONES

G02-01 Cuenta el sistema con un regulador de voltaje? √G02-02 Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente? √

G02-03 ¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica? √

G02-04 √G02-05 ¿La instalación eléctrica del CPD, tiene conexión a tierra?G02-06 ¿Existe en el centro de cómputo extintor de incendio?G02-07 Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?G02-08 Cuenta el sistema con un equipo de aire acondicionado adecuado?G02-09 ¿Se mide con frecuencia la temperatura y la humedad?G02-10 ¿Las instalaciones de CPD se encuentran en un lugar funcional?G02-11 ¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?G02-12 ¿Tienen protección para sobre cargas?G02-13 ¿Existe un sistema adecuado de detección de incendios?G02-14 Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"G02-15 ¿Está restringido el acceso al CPD?G02-16 ¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?G02-17 ¿Existe algún plan de seguridad de emergencia escrito y aprobado?G02-18 ¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?G02-19 ¿Existe un mantenimiento adecuado y periódico a los equipos de computación?G02-20 ¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?G02-21 ¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?

G02-22 ¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algún siniestro?

G02-23 En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?G02-24 ¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?G02-25 Se tiene algún control de entrada/salida del personal No Autorizado?G02-26 Se cuenta con alguna área definida de Cintoteca o Discoteca?G02-27 Esta área es de acceso restringido?G02-28 Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?

Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones cuantos minutos de energía le da al computador.


30/Sep/2004Pág. 10 de 18


G03.- SEGURIDADES LÓGICAS Y ACCESO A LOS DATOS SI NO N/A OBSERVACIONES

G03-01 Se cuenta con servidores de archivos separados?√

G03-03 Se cuenta con un servidor o área para desarrollo separada ?√

G03-06 Se cuenta con un servidor PROXY ?

G03-11 El password de las estaciones de trabajo puede ser cambiado por los usuarios dueños de la cuenta ?

G03-13 Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?

G03-14 Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?

G03-15 Se cuenta con un antivirus que esté corriendo en los clientes ?

G03-16

G03-17

Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores?

Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?


30/Sep/2004Pág. 11 de 18


G08.- CONTROLES A LOS RESPALDOS SI NO N/A OBSERVACIONES

G08-01 Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?G08-02 Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?G08-03 El procedimiento de respaldo está automatizado ?G08-04 El respaldo se realiza periódicamente ? √G08-05 Se realizan varias copias del respaldo de datos y de la aplicación ?G08-06 Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ? √G08-07 Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ? √G08-08 Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?

G08-09

G08-10 Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?G08-11 Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?

G08-12

G08-13 Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?G08-14 Existen copias de los respaldos fuera del edificio?G08-15 En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?G08-16 ¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?G08-17 ¿Está marcado o identificado perfectamente el material confidencial?G08-18 ¿Se sacan suficientes copias de seguridad de los archivos principales?G08-19 Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?G08-20 ¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?

G08-21 Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?

G08-22 ¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?G08-23 ¿Existe una destructura de papel y funciona adecuadamente?G08-24 ¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?

G08-25

G08-26

G08-27

G08-28 ¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado? √

G08-29 ¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?

G08-30 ¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?

G08-31

G08-32 ¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales? √

La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una contingencia la pérdida de información sea mínima ?

Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para asegurar su buen funcionamiento ?


¿Existe la probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo, de existir algún contrato o convenio, menciónelo?

Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también sobre los posibles problemas que se presentan al operarlo.

¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilización de dicha información?


30/Sep/2004Pág. 12 de 18


G09.- CONTROLES A LAS BASES DE DATOS SI NO N/A OBSERVACIONES

G09-01 Se tiene definido un área o persona para la administración de la base de Datos en la entidad?

G09-02 Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?

G09-03 Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?

G09-04 Las bases de datos tienen definidas un password para lograr accerderlas?

G09-05

G09-06




30/Sep/2004Pág. 13 de 18


G10.- ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN SI NO N/A OBSERVACIONES

G10-01 El sistema es desarrollado internamente √G10-02 El mantenimiento del Sistema lo dan funcionarios de la EntidadG10-03 El Sistema es una aplicación desarrollada a la medidaG10-04 El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la EntidadG10-05 El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidadG10-06 El Sistema tiene menos de cinco años de funcionamiento √G10-07 El Sistema es integrado con otras aplicaicones automatizadas de la Entidad √G10-08 El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externaG10-09 ¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?G10-10 ¿Es adecuada la socumentación de los programas?G10-11 ¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?. √G10-12 ¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.G10-13 ¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.

G10-14 √G10-15 ¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.G10-16 ¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.G10-17 ¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.G10-18 ¿Existe un plan para el desarrollo futuro de programas y aplicaciones?. √G10-19 ¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.G10-20 ¿Se preparan manuales de cada programa para el usuario?.G10-21 ¿Se da mantenimiento a los programas y aplicaciones en forma regular?. √G10-22 ¿Están integrados los programas y aplicaciones en un todo?. √G10-23 ¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.G10-24 ¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?. √G10-25 ¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.G10-26 ¿El acceso a las palabras claves o secretas es restringido?.

G10-27

G10-28 ¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente? √G10-29 ¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?G10-30 ¿Existen procedimientos escritos para descargar o restaurar información al computador?

G10-31 ¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ?

G10-32 ¿Existen estándares establecidos para la elaboración y documentación de los programas?G10-33 ¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?G10-34 ¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?G10-35 Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?

G10-36 ¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.

¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de la librería de programas en línea?.

Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el procedimiento que se aplica sobre las claves de seguridad asignadas?


30/Sep/2004Pág. 14 de 18


G11.- CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓNSI NO N/A OBSERVACIONES

G11-01 ¿Se ha determinado alguna metodología de los standares para diseño de sistemas? √

G11-02 ¿Existen estudios de factibilidad?

G11-03 ¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?

G11-04 ¿Se han diseñado, sistemas integrados de información?

G11-05 ¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?

G11-06 ¿Cuál es la política de costo utilizada?

G11-07 ¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?

G11-09 ¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?

G11-10 ¿Existen planes para adquisiciones futuras de equipos.? √

G11-11 ¿Se aplican los procedimientos para planificar software?

G11-12 ¿Participa auditoría en el desarrollo de sistemas?

G11-13 ¿Se han diseñado procedimientos standares para todas las áreas usuarias?

G11-14 ¿Es el usuario el responsable del ingreso de los datos? √

G11-15 ¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?

G11-16 ¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?

G11-17 ¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?

G11-18 ¿Se cumplen los planes de desarrollo de sistemas?

G11-19 ¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes? √

G11-20 ¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación? √

G11-21 ¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?

G11-22 ¿Existe documentación de los programas, cuales son los documentos que la forman?

G11-23 ¿Existe un procedimiento de actualización?

G11-24 ¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?

G11-25 ¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?

G11-26 ¿Existen normas estándares para la codificación de los programas? √


30/Sep/2004Pág. 15 de 18


G12.- CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS SI NO N/A OBSERVACIONES

G12-01 Se elabora periódicamente un plan de renovación de equipos

G12-02 Se lleva un control de inventario de hardware de la entidad √

G12-03 El control de inventario contempla información detallada de las características y componentes del equipo inventariado √

G12-04 El mantenimiento de los equipos de cómputo se da por funcionarios internos

G12-05 Se le da manteninieto de tipo preventivo a los equipos de cómputo

G12-06 El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente √

G12-07 Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.

G12-08 Se cuenta con las licencias del software que se utiliza en la entidad

G12-09 Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad

G12-10 ¿Se evalúa el rendimiento del personal directivo y operativo?

G12-11 Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?

G12-12 ¿Cuál es la cobertura de los seguros contratados?

G12-13 ¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?

G12-14

G12-15 ¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?

G12-16 ¿Existen procedimientos escritos sobre la actualización de archivos?

G12-17 ¿Existen procedemientos por escrito sobre la utilización de las librerías?

G12-18 ¿Existen programas de control y revisión sobre los archivos manejados por el usuario?

G12-19 ¿Está prohibido la operación del equipo de analistas y programadores?

G12-20 ¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?

G12-21 ¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?

¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada por el supervisor inmediato o el Gerente de sistemas?


30/Sep/2004Pág. 16 de 18


G13.- CONTROLES EN REDES SI NO N/A OBSERVACIONES

G13-01 La Empresa tiene definida una LAN √

G13-02 La empresa tiene definida una WAN

G13-03 Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad

G13-04 Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red

G13-05 El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red

G13-06 Se realizan revisones periódicas de la bitácora disponibles por el software de red

G13-07 Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora

G13-08 Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red

G13-09 Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.

G13-10 Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor

G13-11

G13-12

G13-13 Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando

G13-14 Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados

G13-15 Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan

G13-16 Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD

G13-17

G13-18 Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema

G13-19 Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red

G13-20 Se define vencimiento periódico para los password de la red

G13-21 Se permite restringir el uso del mismo password al usuario después de que este se cambia

G13-22

G13-23 Se permite que el usuario cambie su contraseña en forma personalizada

Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administración cuando este se instala

El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.

Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos para proceder ante estas situaciones

Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta


30/Sep/2004Pág. 17 de 18


G14.- CONTROLES EN COMUNICACIONES SI NO N/A OBSERVACIONES

G14-01 Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones

G14-02 Se tiene definidas formalmente sus funciones y responsabilidades

G14-03 Se cuenta con cableado estructurado en el edificio de la entidad √

G14-04 El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló

G14-05 La entidad cuenta con un muro de fuego

G14-06 El mantenimiento y programación del muro de fuego es efectuado por personal interno

G14-07 El mantenimiento y programación del muro de fuego es efectuado por terceros

G14-08

G14-09 El muro de fuego de la entidad es por hardware

G14-10 Se cuenta con enrutadores en la entidad

G14-11 Los routers de la empresa son por hardware

G14-12 Las configuraciones de los equipos de comunicación se hacen intrenamente

G14-13

G14-14 Se tienen restringidos los puertos de acceso al Inside de la red de la entidad

G14-15 Se tiene restringida la posibilidad de realizar FTP

G14-16 Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto

G14-17 Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)

G14-18

G14-19 Se tiene comunicación establecidas con entidades ajenas a la organización

G14-20 Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa

G14-21 Se cuenta con un sistema de detección de intrusos (IDS)

G14-22 El sistema de detección de instrusos es basado en Red

G14-23 El IDS está basado en detección de anomalías

G14-24 Se tiene políticas definidas cuando el IDS arroja una anomalía detectada

Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuración de este equipo

Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de acceso público de la entidad

Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en línea a estaciones de radio, TV o video


30/Sep/2004Pág. 18 de 18


G15.- MANEJO DE CONTINGENCIAS SI NO N/A OBSERVACIONES

G15-01 Se tiene definido un plan de contingencia y continuidad en la entidad

G15-02

G15-03 Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan

G15-04 Se realiza algún tipo de análisis de resultado de las pruebas realizadas

G16.- MANEJO DE INTERNET SI NO N/A OBSERVACIONES

G16-01 Se cuenta con un servidor de Internet para la entidad

G16-02 Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet

G16-03 Se tiene definida una página de Internet propia de la entidad √

G16-04 En esta página se puede consultar información relacionado con los afiliados

G16-05 Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados

G16-06 Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red

G16-07 Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados

G16-08 El afiliado puede hacer cambio de esta contraseña

G16-09 El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso

G16-10 Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar

G16-11 Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa

G16-13 Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad

G16-14 Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet

G16-15 Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota

Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio


SI NO N/A OBSERVACIONES

4.- Retenciones Judiciales

5.- Pensiones para Jubilados.

6.- Impuesto a la Renta.

7.- Interface Contable.

8.- Generación de Acumulados e históricos.

9.- Liquidación Individuales.

10.- Consultas a períodos escogidos a detalle.

11.- Control de deudas del personal.

12.- Consultas, Históricos de liquidación.

13.- Estadísticas históricas y de proyección.

14.- Simulación y manejo de costos Contrato Colectivo.

15.- Reliquidaciones de Pago.

16.- Programación de vacaciones.

17.- Manejo de Cargas Familiares.

18.- Orientado a manejar costos por Centro y Sub-centro.


AREA TECNICA: SI NO N/A OBSERVACIONES

1.- Sistema de administración de Proyectos para control de obras de inversión

2.- Programas para Estadísticas de operación y mantenimiento del Sistema de subadministración y distribución de la empresa

3.- Activos Fijos.

4.- Sistema para liquidación de transacciones con el MEM y generadores

5.-

6.-

7.-

AREA FINANCIERA - CONTABILIDAD: SI NO N/A OBSERVACIONES

1.- Orientada al manejo de costos.

AREA FINANCIERA - TESORERÍA: SI NO N/A OBSERVACIONES

1.- Orientada al manejo de costos.

2.- Integrada con: Control Presupuestal, Compras, Comercial, Ordenes de Pago, Emisión de Cheques y sus comprobantes,

Flujo de Caja, Bancos y Conciliación, Parametrizada y con Manejo de centros y subcentros de costos

CUENTAS POR PAGAR Y COBRARAREA FINANCIERA - PRESUPUESTO: SI NO N/A OBSERVACIONES

1.- Control Presupuestal.

AREA FINANCIERA - BODEGA: SI NO N/A OBSERVACIONES

1.- Control de Bodega.

2.- Soportando Ordenes de Trabajo por Proyecto.

3.- Considerar Puntos de Cargos y Conceptos de Gastos para Costos.

AREA FINANCIERA - COMISARIATO: SI NO N/A OBSERVACIONES

1.- Integrado con inventarios, compras, contabilidad, Recurso Humano.

2.- Ciclo de compras sistematizado e integrado con requisiciones, Ordenes de Compras, Cotizaciones, Proveedores, Integrado con Inventarios (máxima y mínima), Tesorería, Pagos. Clientes (Internet) Contabilidad (Registros con centros y subcentros de Costos)

AREA RECURSOS HUMANOS: SI NO N/A OBSERVACIONES

1.- Mayor confiabilidad, flexibilidad, seguridad, dinamismo, paramétrico orientado al servicio al cliente interno y externo.

2.- Independizar del área de Sistemas la aplicación.

3.- Integrado con las demás áreas.

AREA RECURSOS HUMANOS - LIQUIDACION DE HABERES: SI NO N/A OBSERVACIONES

1.- Roles de Pago.

2.- Planillas de aportes.

3.- Descuentos al IESS.

4.- Retenciones Judiciales

Soporte para estudios técnicos con el Conelec u otros Organismos.

Estudios para la conexión en línea con las subestaciones.

Sistema para la administración y control de tarea vía Correo Electrónico.


AREA COMERCIAL - RECAUDACION: SI NO N/A OBSERVACIONES

1.- Búsqueda del cliente por nombre, cedula, cuenta.

2.- Recaudación en línea o en lote de facturas y otros servicios prestados

3.- Claves individuales por recaudador.

4.- Eliminación de cobros.

5.- Impresión del soporte o recibo de pago.

6.- Permite pagos o abonos parciales.

7.- Manejar opciones de pago: cheque, tarjetas, transferencias Bancarias

8.- Manejo en línea y fuera de línea en Agencia.

9.- Convenios de Pago.

10.- Controles de cartera vencida y por vencer parametrizable.

11.- Reportes de Análisis de cartera.

12.- Reportes de recaudación diaria, parciales a una hora.

13.- Actualiza acumulados de deuda en línea.

AREA COMERCIAL - CORTES Y RECONEXIÓN DEL SERVICIO: SI NO N/A OBSERVACIONES

1.- Integración automática en base a parámetros con la facturación y su antigüedad para el corte y recaudación y sus convenios

para la reconexión

2.- Proceso de optimización automática de rutas de corte y reconexión

3.- Proceso de verificación y control de las mismas.

4.- Integración convenios de pago.

5.- Pagos a reconectores por reconexión.

AREA COMERCIAL - CONTROL DE MEDIDORES Y TRANSFORMADORES: SI NO N/A OBSERVACIONES

1.- La asignación a un abonado .

2.- El estado del mismo; nuevo, dañado, en reparación.

3.- Manejo del historial.

4.- La relación alimentadora, subestación, transformadores y medidores

5.- Todo lo anterior con Interfaces del Area Técnica.

AREA COMERCIAL - CONTROL DE PERDIDAS DE ENERGÍA: SI NO N/A OBSERVACIONES

1.- En base a lecturas promedio, se abrirá un caso de Investigación hacia ese cliente medidor

2.- Se le dará seguimiento, hasta darle una solución definitiva.

AREA COMERCIAL - LIQUIDACION DE COMPRA VS VENTA DE ENERGÍA: SI NO N/A OBSERVACIONES

1.- Comparará la energía comprada vs la energía vendida en un rango o periódo de fechas que se establezca

2.- Con esto se determinará los índices del balance energético.

AREA COMERCIAL - GENERACIÓN DE FACTURAS POR OTROS CONCEPTOS: SI NO N/A OBSERVACIONES

1.- Se facturará por ejemplo por bases de concursos, daños a la empresa, devoluciones, derechos de cobros, multas y todo lo que

no sea consumo o facturado anteriormente

2.- El tratamiento sería el mismo que las facturas anteriores.


AREA COMERCIAL - MANEJO DE TOMAS DE LECTURAS: SI NO N/A OBSERVACIONES

1.- Manejo de lectores y rutas automatizados.

2.- Control diario a lectores su eficiencia y eficacia.

3.- Registro de novedades de los lectores.

AREA COMERCIAL - MANEJO DE DIGITACION DE LECTURAS: SI NO N/A OBSERVACIONES

1.- Asignación y control automatizado de digitadores y sectores rutas entregados

2.- Control diario a digitadores de su eficiencia y eficacia.

3.- Registro de novedades de los digitadores.

AREA COMERCIAL - MANEJO VERIFICACION Y CORRECCION DE LECTURAS: SI NO N/A OBSERVACIONES

1.- Validación en línea y lote de lecturas.

2.- Parámetrización de las validaciones con opción de cambiar a los controles que se deseen.

3.- Filtros de validaciones especiales para los grandes consumidores

4.- Corrección interactivas o en lote.

AREA COMERCIAL - FACTURACION: SI NO N/A OBSERVACIONES

1.- Parametrizada en lo que respecta a pliegos tarifarios, intereses, subsido

2.- Facturación individualizada por agencias, sector, ruta.

3.- Utiliza Prorrateo con varios pliegos.

4.- Generación de intereses diarios.

5.- No se facturarán a abonados dados de baja o pendientes de por algún problema

6.- Mensaje Parametrizado en la Planilla.

7.- Generación de reportes y estadísticos

AREA COMERCIAL - EMISION DE AVISOS: SI NO N/A OBSERVACIONES

1.- No se emitirán si el proceso detectó problemas en su generación a menos que se autorice su emisión

2.- Se emitirán a través de parámetros es decir por agencias, sector, ruta, cliente u otros

3.- Emite gráficos de Historia de Consumos.

4.- No necesitaría Formulario Preimpreso.

5.- El Sistema contempla envío de avisos por e-mail.

6.- Se podría implementar un sistema automático de llamadas directas a los clientes avisándoles el valor de su faturación

reciente y estado de cuenta

AREA COMERCIAL - REFACTURACION: SI NO N/A OBSERVACIONES

1.- Rectificar errores en planillas por datos como lecturas, otros y cálculos

2.- Se pueden refacturar años anteriores, desde cuando.

3.- Se alimentaría automáticamente de los filtros en la facturación (en caso de necesitarse)

4.- Usa el criterio de varios pliegos.

5.- Se genera una nueva planilla cuando esta todavía no ha sido cancelada

6.- Se genera una N/C o N/D al cliente cuando esta ya ha sido cancelada

7.- Actualiza la historia de facturas del cliente.

8.- Se debe llevar un histórico de antes y después, usuarios que intervienen y frecuencia de clientes

9.- Permite refacturar al mismo cliente; y misma planilla más de una vez


MANEJO DE CONTINGENCIAS SI NO N/A OBSERVACIONES

1.- Se tiene definido un plan de contingencia y continuidad en la entidad

2.- Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan

de contingencia y continuidad del negocio

3.- Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan

4.- Se realiza algún tipo de análisis de resultado de las pruebas realizadas

MANEJO DE INTERNET SI NO N/A OBSERVACIONES

1.- Se cuenta con un servidor de Internet para la entidad

2.- Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet

3.- Se tiene definida una página de Internet propia de la entidad

4.- En esta página se puede consultar información relacionado con los afiliados

5.- Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados

6.- Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red

7.- Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados

8.- El afiliado puede hacer cambio de esta contraseña

9.- El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso

10.- Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar

que realmente fueron solicitados por esta persona

11.- Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa

12.- La página WEB de la empresa corre en la DMZ

13.- Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad

14.- Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet

15.- Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota

EVALUACIÓN DEL ALCANCE DE LOS PRINCIPALES APLICATIVOS DE LA EMPRESA AREA COMERCIAL - ATENCION AL CLIENTE SI NO N/A OBSERVACIONES

1.- Novedades al abonado, Altas/bajas y cambios

2.- Estados de Cuenta.

3.- Solicitud de Servicios

4.- Emisión de Contratos.

5.- Seguimiento a los requisitos y situación del cliente

6.- Interfaces con el resto de sistemas.

7.- Tiene control de ubicación : Ejemplo (Geocódigo)

AREA COMERCIAL - ATENCION Y SEGUIMIENTO A RECLAMOS: SI NO N/A OBSERVACIONES

1.- · Seguimiento a los diferentes tipos de reclamos de un cliente desde su presentación hasta su solución, inclusive dando

paso refacturaciones con N/D o N/C al cliente

AREA COMERCIAL - EXTENSIONES DE REDES: SI NO N/A OBSERVACIONES

1.- Se maneja el contrato para extensiones de red a grupos de usuarios que solicitan el servicio


CONTROLES EN COMUNICACIONES SI NO N/A OBSERVACIONES

1.- Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones

2.- Se tiene definidas formalmente sus funciones y responsabilidades

3.- Se cuenta con cableado estructurado en el edificio de la entidad

4.- El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló

5.- La entidad cuenta con un muro de fuego

6.- El mantenimiento y programación del muro de fuego es efectuado por personal interno

7.- El mantenimiento y programación del muro de fuego es efectuado por terceros

8.- Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la

confidencialidad de la configuración de este equipo

9.- El muro de fuego de la entidad es por hardware

10.- Se cuenta con enrutadores en la entidad

11.- Los routers de la empresa son por hardware

12.- Las configuraciones de los equipos de comunicación se hacen intrenamente

13.- Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de

acceso público de la entidad

14.- Se tienen restringidos los puertos de acceso al Inside de la red de la entidad

15.- Se tiene restringida la posibilidad de realizar FTP

16.- Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto

17.- Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)

18.- Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse

en línea a estaciones de radio, TV o video

19.- Se tiene comunicación establecidas con entidades ajenas a la organización

20.- Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa

21.- Se cuenta con un sistema de detección de intrusos (IDS)

22.- El sistema de detección de instrusos es basado en Red

23.- El IDS está basado en detección de anomalías

24 Se tiene políticas definidas cuando el IDS arroja una anomalía detectada

INFORME PORMENORIZADO DE RIESGOS DE CONTROLEN EL ÁREA INFORMÁTICA DE EMAPAM


G01-01

√

G01-02

G01-03

G01.- ASPECTOS ORGANIZACIONALES

Se cuenta con un comité informático ?

El comité informático está funcionando y se reúne periódicamente?

Se emiten actas formales de las resoluciones y disposiciones tomadas en el Comité Informático?

G01-04

G01-05

G01-06

Se cuenta con representación de la Presidencia en el Comité Informático?

Se tiene definido formalmente el Plan estratégico informático para la Institución?

El Plan Estrátegico informático se evalúa con regularidad para determinar si este se apega a los objetivos de la entidad, su misión y visión?

G01-07

G01-08

G01-09

Se tiene definido un Plan Anual Operativo para el área de sistemas de información?

Se hace una revisión periódica del cumplimiento del Plan Anual Operativo y se emiten resultados formales?

¿Se selecciona, motiva y capacita adecuada y contínuamente al personal de CPD ?

G01-10

G01-11

G01-12

G01-13

Se tiene definido un plan de capacitación tecnológico formal para los diferentes grupos de usuarios de la entidad?

Se define periódicamente un plan de inversión para el CPD?

Se tienen definidos procedimientos formales de operación para CPD?

Se cuenta con un organigrama formalmente definido para el Area de CPD?

G01-14

G01-15

G01-16

G01-17

G01-18

Se tiene un manual de puestos y funciones formalmente definido para el área CPD?

Se tiene definida una metodología de desarrollo de sistemas formal?

Esta metodología de desarrollo es de uso obligatorio?

Se cuenta con contratos de mantenimiento de equipos ?

Se cuenta con un seguro contra robo, hurto o daños para el equipo de cómputo?

G01-19

G01-20

Se tiene una politica que obligue a separar los ambientes de desarrollo y producción de sistemas en la organización?

Se tiene un procedimiento formal que indique a los funcionarios de mantenimiento y desarrollo de sistemas qué se debe hacer para poner en producción una modificación a los sistemas?

G01-21

G01-22

G01-23

Se tienen definidos politicas y procedimientos formales para la revisión de la calidad de los productos entregados por CPD?

Se cuenta con un oficial o encargado de la Seguridad Electrónica a nivel institucional ?

¿Está el personal de operación del computador adecuadamente formado en técnicas de determinación de problemas y averías?

G01-24

G01-25

G01-26


¿Está informado el personal de seguridad sobre medidas y cuidados específicos relativos a la seguridad del departamento de CPD ?

¿Existen políticas de vacaiones obligatorias para el personal de CPD?

¿Tiene Auditoría un alcance sin restricciones para investigar cualquier aspecto referente al CPD?

G02.- SEGURIDADES FISICAS

G02-01

√

G02-02

√

G02-03

√

Cuenta el sistema con un regulador de voltaje?

Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente?

¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica?

G02-04

√

G02-05

G02-06

Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones cuantos minutos de energía le da al computador.

¿La instalación eléctrica del CPD, tiene conexión a tierra?

¿Existe en el centro de cómputo extintor de incendio?

G02-07

G02-08

G02-09

G02-10

Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?

Cuenta el sistema con un equipo de aire acondicionado adecuado?

¿Se mide con frecuencia la temperatura y la humedad?

¿Las instalaciones de CPD se encuentran en un lugar funcional?

G02-11

G02-12

G02-13

G02-14

G02-15

¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?

¿Tienen protección para sobre cargas?

¿Existe un sistema adecuado de detección de incendios?

Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"

¿Está restringido el acceso al CPD?

G02-16

G02-17

G02-18

G02-19

¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?

¿Existe algún plan de seguridad de emergencia escrito y aprobado?

¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?

¿Existe un mantenimiento adecuado y periódico a los equipos de computación?

G02-20

G02-21

G02-22

¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?

¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?

¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algún siniestro?

G02-23

G02-24

G02-25

En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?

¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?

Se tiene algún control de entrada/salida del personal No Autorizado?

G02-26

G02-27

G02-28


G03-01

√

Se cuenta con alguna área definida de Cintoteca o Discoteca?

Esta área es de acceso restringido?

Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?

G03.- SEGURIDADES LÓGICAS Y ACCESO A LOS DATOS

Se cuenta con servidores de archivos separados?

G03-02

√

G03-03

√

G03-04

√

G03-05

G03-06

G03-07

Se cuenta con un servidor de aplicaciones separado?

Se cuenta con un servidor o área para desarrollo separada ?

Se cuenta con un servidor o área para producción separada ?

Se cuenta con un servidor de base de datos ?

Se cuenta con un servidor PROXY ?

Se cuenta con un servidor de acceso remoto RAS ?

G03-08

G03-09

G03-10

G03-11

Se cuenta habilitada la posibilidad de rellamado para las conexiones RAS ?

El acceso por medio de RAS solicita password para autenticar la conexión ?

El password del RAS tiene vencimiento periódico ?

El password del RAS puede ser cambiado por los usuarios dueños de la cuenta ?

G03-12

G03-13

G03-14

G03-15

Se tiene politicas definidas para determinar los funcionarios que son candidatos a tener acceso por medio RAS ?

Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?

Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?

Se cuenta con un antivirus que esté corriendo en los clientes ?

G03-16

G03-17

Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores ?

Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?


G04-01

√

G04-02

√

G04-03

G04.- CONTROLES DE ACCESO A LOS SISTEMAS

El sistema cuenta con un mecanismo de control de acceso ?

El mecanismo de control de acceso se basa en la política de autentificación por password ?

La palabra de paso tiene un periodo de vencimiento establecido ?

G04-04

√

G04-05

G04-06

La palabra de paso tiene una longitud mínima para ser ingresada o definida ?

Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando este ingresada por primera vez a la aplicación ?

Los usuarios pueden cambiar su palabra del paso personalmente una vez que se da su vencimiento ?

G04-07

G04-08

G04-09

La estructura de la palabra de paso es tal que requiere de una combinación de caracteres que no lo permite ingresar palabras de fácil deducción ?

La palabra de paso se almacena en forma encriptada ?

El mecanismo de control de acceso se basa en la politica de identificación por medio del usuario ?

G04-10

G04-11

√

G04-12

Se tiene un procedimiento formal para la solicitud de ingreso, bloqueo o eliminación de un usuario al sistema ?

Los usuarios definidos en el Sistema están asociados a un solo funcionario ?

El sistema no permite que con un mismo usuario se ingrese simultáneamente a la aplicación desde dos estaciones diferentes ?

G04-13

G04-14

√

Si una sesión en el sistema se queda abierta por un periodo determinado de tiempo sin actividad, la aplicación se bloquea para que el sistema no sea utilizado ?

El usuario de ingreso al sistema se bloquea después de un número determinado de intentos fallidos de ingreso ?

G04-15

G04-16

Cuando un usuario se encuentra fuera de la entidad por vacaciones, incapacidad o permiso en Usuario es desactivado para que no se pueda ingresar por el tiempo que este está fuera de la Institución ?

El sistema presenta en pantalla el usuario que realizó el último acceso desde la estación del cliente ?

G04-17

G04-18

Se cuenta con bitácoras que almacenen información relativa a la actividad de ingreso al Sistema ?

En la bitácora de control de acceso por lo menos se lamacena la siguiente información: usuario y hora de ingreso, usuario y hora de salida, procesos utilizados por el usuario, transacciones de actualización en la BD, intentos fallidos de acceso y desactivación ?

G04-19

G04-20

G04-21

√

Se hacen revisiones pedriódicas de la bitácoras de acceso al Sistema ?

En caso de detectar desciaciones en el sistema por medio de la revisión de las bitácoras se cuenta con un procedimiento formal que determine las acciones a tomar en estos casos?

El sistema cuenta con la facilidad de definir perfiles de acceso ?

G04-22

√

G04-23

Los perfiles de acceso definidos en el Sistema identifican en forma independiente las tareas y procesos a los que tienen acceso los usuarios de acuerdo con sus funciones y responsabilidades ?

Se tiene un procedimiento formal que permita solicitar la modificación, inclusión, desactivación de perfiles en el Sistema ?

G04-24

G04-25

El área o persona encargada de la administración de los perfiles del Sistema es un funcionario que no pertenece a CPD ?

Cuando un usuario tiene asignado un perfil determinado y se ingresa al sistema en la aplicación se muestra solo las opciones a las que tiene acceso el funcionario con ese perfil ?

G04-26


G05-01

G05-02

Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabilidades ?

G05.- CONTROLES DE ENTRADA DE DATOS

Se tienen formularios preimpresos para la captura de la información que ingresa al sistema ?

El formulario cuenta con copias ?

G05-03

G05-04

G05-05

Las copias en el formulario identifican claramente las áreas a las que se le debe entregar ?

Los formularios son prenumerados ?

El formulario preimpreso tiene el mismo orden de captura que el de ingreso de la información en el Sistema, esta coincide con la forma del diseño de la pantalla ?

G05-06

√

G05-07

√

G05-08

√

En las pantallas de captura de datos se tienen definidos campos como obligatorios para ser digitados ?

Se tiene control de tipos sobre los campos que se capturan ?

Se permite ingresar transacciones con el mismo número de indentificación o clave primaria del documento ?

G05-09

G05-10

Se tienen establecidos controles que permitan restringir rangos de acción de algún valor que se deba ingresar en el sistema ?

Se controla el orden cronológico de ingreso de transacciones en el sistema, de tal forma que no permita realizar operaciones en forma extemporánea o de períodos anteriores ?


G06-01

G06-02

√

G06.- CONTROLES DEL PROCESAMIENTO DE LOS DATOS

El sistema deja rastro en la transacción de los usuarios que se vieron involucrados en su procesamiento (creador, autorizador o aprobador ?

El sistema lleva un consecutivo propio de las diferentes transacciones que permite realizar la aplicación ?

G06-03

G06-04

El sistema cuenta con herramientas de auditoría que permitan dar seguimiento a una transacción a lo largo de su procesamiento ?

El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacción sigue el cilo normal de procesamiento y que éste no se pueda alterar ?


G07-01

G07-02

G07.- CONTROLES DE LAS SALIDAS DE DATOS

Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidencialidad ?

Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y responsabilidades de los usuarios ?

G07-03

G07-04

G07-05

Si el sistema emite archivos electrónicos como salida se graban en un área con acceso restringido ?

Loa archivos electrónicos emitidos por el Sistema cuentan con un porcedimiento formal para su distribución ?

Se tiene un responsable definido para la distribución de los archivos electrónicos ?

G07-06

G07-07

Los reportes cuentan con nombre del reporte, fecha de emisión, usuario que lo emitió, programa que los elaboró y vigencia consignada en ellos cada vez que son impresos ?

Si tiene alguna disposición establecida en términos de manipulación, archivado o destrucción de los reportes obsoletos que emite el sistema ?


G08-01

G08-02

G08-03

G08-04

√

G08.- CONTROLES A LOS RESPALDOS

Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?

Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?

El procedimiento de respaldo está automatizado ?

El respaldo se realiza periódicamente ?

G08-05

G08-06

√

G08-07

√

Se realizan varias copias del respaldo de datos y de la aplicación ?

Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ?

Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ?

G08-08

G08-09

Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?

La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una contingencia la pérdida de información sea mínima ?

G08-10

G08-11

G08-12

Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?

Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?

Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para asegurar su buen funcionamiento ?

G08-13

G08-14

G08-15

Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?

Existen copias de los respaldos fuera del edificio?

En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?

G08-16

G08-17

G08-18

G08-19

¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?

¿Está marcado o identificado perfectamente el material confidencial?

¿Se sacan suficientes copias de seguridad de los archivos principales?

Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?

G08-20

G08-21

G08-22

¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?

Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?

¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?

G08-23

G08-24

G08-25

¿Existe una destructura de papel y funciona adecuadamente?

¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?


G08-26

G08-27

probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo, de existir algún contrato o convenio, menciónel

Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también sobre los posibles problemas que se presentan al operarlo.

G08-28

√

G08-29

G08-30

¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado?

¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?

¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?

G08-31

G08-32

√


¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilización de dicha información?

¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales?

G09.- CONTROLES A LAS BASES DE DATOS

G09-01

G09-02

G09-03

G09-04

Se tiene definido un área o persona para la administración de la base de Datos en la entidad?

Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?

Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?

Las bases de datos tienen definidas un password para lograr accerderlas?

G09-05

G09-06




G10-01

√

G10-02

G10-03

G10.- ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN

El sistema es desarrollado internamente

El mantenimiento del Sistema lo dan funcionarios de la Entidad

El Sistema es una aplicación desarrollada a la medida

G10-04

G10-05

G10-06

√

El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la Entidad

El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidad

El Sistema tiene menos de cinco años de funcionamiento

G10-07

√

G10-08

G10-09

G10-10

El Sistema es integrado con otras aplicaicones automatizadas de la Entidad

El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externa

¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?

¿Es adecuada la socumentación de los programas?

G10-11

√

G10-12

G10-13

¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?.

¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.

¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.

G10-14

√

G10-15

G10-16

¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de la librería de programas en línea?.

¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.

¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.

G10-17

G10-18

√

G10-19

G10-20

¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.

¿Existe un plan para el desarrollo futuro de programas y aplicaciones?.

¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.

¿Se preparan manuales de cada programa para el usuario?.

G10-21

√

G10-22

√

G10-23

¿Se da mantenimiento a los programas y aplicaciones en forma regular?.

¿Están integrados los programas y aplicaciones en un todo?.

¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.

G10-24

√

G10-25

G10-26

¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?.

¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.

¿El acceso a las palabras claves o secretas es restringido?.

G10-27

G10-28

√

Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el procedimiento que se aplica sobre las claves de seguridad asignadas?

¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente?

G10-29

G10-30

G10-31

¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?

¿Existen procedimientos escritos para descargar o restaurar información al computador?

¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ?

G10-32

G10-33

G10-34

¿Existen estándares establecidos para la elaboración y documentación de los programas?

¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?

¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?

G10-35

G10-36

Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?

¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.


G11-01

√

G11-02

G11-03

G11.- CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN

¿Se ha determinado alguna metodología de los standares para diseño de sistemas?

¿Existen estudios de factibilidad?

¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?

G11-04

G11-05

G11-06

G11-07

G11-08

¿Se han diseñado, sistemas integrados de información?

¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?

¿Cuál es la política de costo utilizada?

¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?

¿Participan los auditores internos en los procesos de planificación para expresar sus necesidades.?

G11-09

G11-10

√

G11-11

G11-12

G11-13

¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?

¿Existen planes para adquisiciones futuras de equipos.?

¿Se aplican los procedimientos para planificar software?

¿Participa auditoría en el desarrollo de sistemas?

¿Se han diseñado procedimientos standares para todas las áreas usuarias?

G11-14

√

G11-15

G11-16

G11-17

¿Es el usuario el responsable del ingreso de los datos?

¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?

¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?

¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?

G11-18

G11-19

√

G11-20

√

G11-21

¿Se cumplen los planes de desarrollo de sistemas?

¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes?

¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación?

¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?

G11-22

G11-23

G11-24

G11-25

¿Existe documentación de los programas, cuales son los documentos que la forman?

¿Existe un procedimiento de actualización?

¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?

¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?

G11-26

√


G12-01

G12-02

√

¿Existen normas estándares para la codificación de los programas?

G12.- CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS

Se elabora periódicamente un plan de renovación de equipos

Se lleva un control de inventario de hardware de la entidad

G12-03

√

G12-04

G12-05

El control de inventario contempla información detallada de las características y componentes del equipo inventariado

El mantenimiento de los equipos de cómputo se da por funcionarios internos

Se le da manteninieto de tipo preventivo a los equipos de cómputo

G12-06

√

G12-07

G12-08

El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente

Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.

Se cuenta con las licencias del software que se utiliza en la entidad

G12-09

G12-10

G12-11

G12-12

Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad

¿Se evalúa el rendimiento del personal directivo y operativo?

Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?

¿Cuál es la cobertura de los seguros contratados?

G12-13

G12-14

¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?

¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada por el supervisor inmediato o el Gerente de sistemas?

G12-15

G12-16

G12-17

G12-18

¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?

¿Existen procedimientos escritos sobre la actualización de archivos?

¿Existen procedemientos por escrito sobre la utilización de las librerías?

¿Existen programas de control y revisión sobre los archivos manejados por el usuario?

G12-19

G12-20

G12-21


¿Está prohibido la operación del equipo de analistas y programadores?

¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?

¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?

G13.- CONTROLES EN REDES

G13-01

√

G13-02

G13-03

G13-04

La Empresa tiene definida una LAN

La empresa tiene definida una WAN

Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad

Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red

G13-05

G13-06

G13-07

El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red

Se realizan revisones periódicas de la bitácora disponibles por el software de red

Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora

G13-08

G13-09

G13-10

Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red

Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.

Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor

G13-11

Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administración cuando este se instala

G13-12

G13-13

El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.

Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando

G13-14

G13-15

G13-16

Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados

Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan

Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD

G13-17

G13-18

Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos para proceder ante estas situaciones

Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema

G13-19

G13-20

G13-21

Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red

Se define vencimiento periódico para los password de la red

Se permite restringir el uso del mismo password al usuario después de que este se cambia

G13-22

G13-23


Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta

Se permite que el usuario cambie su contraseña en forma personalizada

G14.- CONTROLES EN COMUNICACIONES

G14-01

G14-02

G14-03

√

G14-04

Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones

Se tiene definidas formalmente sus funciones y responsabilidades

Se cuenta con cableado estructurado en el edificio de la entidad

El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló

G14-05

G14-06

G14-07

La entidad cuenta con un muro de fuego

El mantenimiento y programación del muro de fuego es efectuado por personal interno

El mantenimiento y programación del muro de fuego es efectuado por terceros

G14-08

G14-09

G14-10

G14-11

Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuración de este equipo

El muro de fuego de la entidad es por hardware

Se cuenta con enrutadores en la entidad

Los routers de la empresa son por hardware

G14-12

G14-13

G14-14

Las configuraciones de los equipos de comunicación se hacen intrenamente

Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de acceso público de la entidad

Se tienen restringidos los puertos de acceso al Inside de la red de la entidad

G14-15

G14-16

G14-17

Se tiene restringida la posibilidad de realizar FTP

Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto

Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)

G14-18

G14-19

G14-20

Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en línea a estaciones de radio, TV o video

Se tiene comunicación establecidas con entidades ajenas a la organización

Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa

G14-21

G14-22

G14-23

G14-24


Se cuenta con un sistema de detección de intrusos (IDS)

El sistema de detección de instrusos es basado en Red

El IDS está basado en detección de anomalías

Se tiene políticas definidas cuando el IDS arroja una anomalía detectada

G15.- MANEJO DE CONTINGENCIAS

G15-01

G15-02

G15-03

Se tiene definido un plan de contingencia y continuidad en la entidad

Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio

Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan

G15-04


G16-01

G16-02

G16-03

√

Se realiza algún tipo de análisis de resultado de las pruebas realizadas

G16.- MANEJO DE INTERNET

Se cuenta con un servidor de Internet para la entidad

Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet

Se tiene definida una página de Internet propia de la entidad

G16-04

G16-05

G16-06

En esta página se puede consultar información relacionado con los afiliados

Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados

Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red

G16-07

G16-08

G16-09

Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados

El afiliado puede hacer cambio de esta contraseña

El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso

G16-10

G16-11

G16-12

Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar

Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa

La página WEB de la empresa corre en la DMZ

G16-13

G16-14

G16-15

Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad

Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet

Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota


CONTROLES EN REDES SI NO N/A OBSERVACIONES

1.- La Empresa tiene definida una LAN

2.- La empresa tiene definida una WAN

3.- Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad

4.- Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red

5.- El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red

6.- Se realizan revisones periódicas de la bitácora disponibles por el software de red

7.- Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora

8.- Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red

9.- Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.

10.- Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor

11.-Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de

administración cuando este se instala

12.- El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo

de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.

13.- Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando

14.- Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados

15.- Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan

16.- Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD

17.- Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos

para proceder ante estas situaciones

18.- Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema

19.- Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red

20.- Se define vencimiento periódico para los password de la red

21.- Se permite restringir el uso del mismo password al usuario después de que este se cambia

22.- Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de

crear su cuenta

23.- Se permite que el usuario cambie su contraseña en forma personalizada

Documents

Cuestionario de Auditoría Informática