Manual Auditoria Sistemas

8/18/2019 Manual Auditoria Sistemas

1/37

BHC

MANUAL DE AUDITORIA DE SISTEMAS

I. AUDITORIA DE SISTEMAS

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de losequipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de lainformación, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de lainformación que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento

específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos,controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporcionalos controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. demás, debe evaluar todo!informática, organización de centros de información, hard"are y soft"are#.

II. PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirándimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de losdos obetivos!

• Evaluación de los sistemas y procedimientos.

• Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre lafunción de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con baseen esto planear el programa de trabao, el cual deberá incluir tiempo, costo, personal necesario y documentos au"iliares asolicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

#e deberá observar el estado general del área, su situación dentro de la organización, si e"iste la información solicitada, si es o

no necesaria y la fecha de su $ltima actualización.

#e debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en lossiguientes puntos!

ADMINISTRACIÓN

#e recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistaspreliminares y solicitud de documentos para poder definir el obetivo y alcances del departamento.

PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:

A NIVEL DEL ÁREA DE INFORMÁTICA%betivos a corto y largo plazo.

RECURSOS MATERIALES Y TECNICOS #olicitar documentos sobre los equipos, n$mero de ellos, localización y características.

• Estudios de viabilidad.

• &$mero de equipos, localización y las características 'de los equipos instalados y por instalar y programados(

• )echas de instalación de los equipos y planes de instalación.

• *ontratos vigentes de compra, renta y servicio de mantenimiento.

1


2/37

BHC

• *ontratos de seguros.

• *onvenios que se tienen con otras instalaciones.

• *onfiguración de los equipos y capacidades actuales y má"imas.

• Planes de e"pansión.

• +bicación general de los equipos.

• Políticas de operación.

• Políticas de uso de los equipos.

SISTEMASescripción general de los sistemas instalados y de los que est-n por instalarse que contengan vol$menes de información.

• anual de formas.

• anual de procedimientos de los sistemas.

• escripción gen-rica.

• iagramas de entrada, archivos, salida.

• #alidas.

• )echa de instalación de los sistemas.

• Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realización, debemos evaluar que pueden presentarse lassiguientes situaciones.

#e solicita la información y se ve que!

• &o tiene y se necesita.

• &o se tiene y no se necesita.

#e tiene la información, pero!

• &o se usa.

• Es incompleta.

• &o está actualizada.

• &o es la adecuada.

• #e usa, está actualizada, es la adecuada y está completa.

En el caso de &o se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de &o se tiene, peroes necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso deque se tenga la información, pero no se utilice, se debe analizar por qu- no se usa. En caso de que se tenga la información, sedebe analizar si se usa, si está actualizada, si es la adecuada y si está completa.

El -"ito del análisis crítico depende de las consideraciones siguientes!

• Estudiar hechos y no opiniones 'no se toman en cuenta los rumores ni la información sin fundamento(2


3/37

BHC

• /nvestigar las causas, no los efectos.

• 0tender razones, no e"cusas.

• &o confiar en la memoria, preguntar constantemente.

• *riticar obetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE

+na de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar ysus características.

+no de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est-debidamente capacitado, con alto sentido de moralidad, al cual se le e"ia la optimización de recursos 'eficiencia( y se leretribuya o compense ustamente por su trabao.

*on estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener elpersonal que intervendrá en la auditoría. En primer lugar, se debe pensar que hay personal asignado por la organización, con elsuficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar lasreuniones y entrevistas requeridas.

1ste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en e

cual est-n presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con lascaracterísticas deseadas.

2ambi-n se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien seefect$e alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen elgrupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino tambi-n el delusuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientescaracterísticas!

• 2-cnico en informática.

• E"periencia en el área de informática.

• E"periencia en operación y análisis de sistemas.

• *onocimientos de los sistemas más importantes.

En caso de sistemas compleos se deberá contar con personal con conocimientos y e"periencia en áreas específicas como basede datos, redes, etc. 3o anterior no significa que una sola persona tenga los conocimientos y e"periencias señaladas, pero sideben intervenir una o varias personas con las características apuntadas.

+na vez que se ha hecho la planeación, se puede utilizar el formato señalado en el ane"o 4, en el figura el organismo, las fases ysubfases que comprenden la descripción de la actividad, el n$mero de personas participantes, las fechas estimadas de inicio yterminación, el n$mero de días hábiles y el n$mero de días5hombre estimado. El control del avance de la auditoría lo podemosllevar mediante el ane"o 6, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabao se estállevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el trabao elaborado por cualquiera de los asistentes. *omoeemplo de propuesta de auditoría en informática v-ase el ane"o 7.

III. EVALUACIÓN DE SISTEMAS

3a elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si e"isten realmente sistemasentrelazados como un todo o bien si e"isten programas aislados. %tro de los factores a evaluar es si e"iste un plan estrat-gicopara la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de obetivos.

El plan estrat-gico deberá establecer los servicios que se presentarán en un futuro contestando preguntas como las siguientes!

3


4/37

BHC

• 8*uáles servicios se implementarán9

• 8*uándo se pondrán a disposición de los usuarios9

• 8:u- características tendrán9

• 8*uántos recursos se requerirán9

3a estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en que estarán fundamentados!

• 8:u- aplicaciones serán desarrolladas y cuándo9

• 8:u- tipo de archivos se utilizarán y cuándo9

• 8:u- bases de datos serán utilizarán y cuándo9

• 8:u- lenguaes se utilizarán y en que soft;are9

• 8:u- tecnología será utilizada y cuando se implementará9

• 8*uántos recursos se requerirán apro"imadamente9

• 8*uál es apro"imadamente el monto de la inversión en hard;are y soft;are9

En lo referente a la consulta a los usuarios, el plan estrat-gico debe definir los requerimientos de información de la dependencia.

• 8:u- estudios van a ser realizados al respecto9

• 8:u- metodología se utilizará para dichos estudios9

• 8:ui-n administrará y realizará dichos estudios9

En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los controles establecidos.

Por $ltimo, el plan estrat-gico determina la planeación de los recursos.

• 8*ontempla el plan estrat-gico las ventaas de la nueva tecnología9

• 8*uál es la inversión requerida en servicios, desarrollo y consulta a los usuarios9

El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos est-n claramente identificados enel plan de desarrollo de aplicaciones y datos. Estos recursos 'hard;are, soft;are y comunicaciones( deberán ser compatibles conla arquitectura y la tecnología, conque se cuenta actualmente.

3os sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen! requerimientos del usuario, estudio defactibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones,instalación, meoras. < se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.

3a primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse,cuál es su relación costo5beneficio y si es recomendable elaborarlo.

#e deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que est-nen la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos ylenguaes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios quereportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que -stos tendrán sobre el sistema y la congruenciade los diferentes sistemas.

En el caso de sistemas que est-n funcionando, se deberá comprobar si e"iste el estudio de factibilidad con los puntos señaladosy compararse con la realidad con lo especificado en el estudio de factibilidad

4


5/37

BHC

Por eemplo, en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con lasnecesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas comobeneficios del sistema.

Para investigar el costo de un sistema se debe considerar, con una e"actitud razonable, el costo de los programas, el uso de losequipos 'compilaciones, programas, pruebas, paralelos(, tiempo, personal y operación, cosa que en la práctica son costosdirectos, indirectos y de operación.

3os beneficios que ustifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción deltiempo de proceso de un sistema. ayor e"actitud, meor servicio, una meoría en los procedimientos de control, mayor

confiabilidad y seguridad.

IV. EVALUACIÓN DEL ANÁLISIS

En esta etapa se evaluarán las políticas, procedimientos y normas que se tienen para llevar a cabo el análisis.

#e deberá evaluar la planeación de las aplicaciones que pueden provenir de tres fuentes principales!

• 3a planeación estrat-gica! agrupadas las aplicaciones en conuntos relacionados entre sí y no como programas aislados.3as aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia,independientemente de los recursos que impliquen su desarrollo y ustificación en el momento de la planeación.

• 3os requerimientos de los usuarios.

• El inventario de sistemas en proceso al recopilar la información de los cambios que han sido solicitados, sin importar sise efectuaron o se registraron.

3a situación de una aplicación en dicho inventario puede ser alguna de las siguientes!

• Planeada para ser desarrollada en el futuro.

• En desarrollo.

• En proceso, pero con modificaciones en desarrollo.

• En proceso con problemas detectados.

• En proceso sin problemas.

• En proceso esporádicamente.

&ota! #e deberá documentar detalladamente la fuente que generó la necesidad de la aplicación. 3a primera parte será evaluar laforma en que se encuentran especificadas las políticas, los procedimientos y los estándares de análisis, si es que se cumplen y sison los adecuados para la dependencia.

Es importante revisar la situación en que se encuentran los manuales de análisis y si están acordes con las necesidades de ladependencia. En algunas ocasiones se tiene una microcomputadora, con sistemas sumamente sencillos y se solicita que se llevea cabo una serie de análisis que despu-s hay que plasmar en documentos señalados en los estándares, lo cual hace que estafase sea muy complea y costosa. 3os sistemas y su documentación deben estar acordes con las características y necesidades deuna dependencia específica.

#e debe evaluar la obtención de datos sobre la operación, fluo, nivel, erarquía de la información que se tendrá a trav-s delsistema. #e han de comparar los obetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de laeecución deseada corresponde al actual.

3a auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema, así como todas lassalidas y reportes, la descripción de las actividades de fluo de la información y de procedimientos, los archivos almacenados, suuso y su relación con otros archivos y sistemas, su frecuencia de acceso, su conservación, su seguridad y control, ladocumentación propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.

*on la información obtenida podemos contestar a las siguientes preguntas!

• 8#e está eecutando en forma correcta y eficiente el proceso de información9

5


6/37

BHC

• 8Puede ser simplificado para meorar su aprovechamiento9

• 8#e debe tener una mayor interacción con otros sistemas9

• 8#e tiene propuesto un adecuado control y seguridad sobre el sistema9

• 8Está en el análisis la documentación adecuada9

V. EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA

En esta etapa se deberán analizar las especificaciones del sistema.

8:u- deberá hacer9, 8*ómo lo deberá hacer9, 8#ecuencia y ocurrencia de los datos, el proceso y salida de reportes9

+na vez que hemos analizado estas partes, se deberá estudiar la participación que tuvo el usuario en la identificación del nuevosistema, la participación de auditoría interna en el diseño de los controles y la determinación de los procedimientos de operacióny decisión.

0l tener el análisis del diseño lógico del sistema debemos compararlo con lo que realmente se está obteniendo en la cualdebemos evaluar lo planeado, cómo fue planeado y lo que realmente se está obteniendo.

3os puntos a evaluar son!

• Entradas.

• #alidas.

• Procesos.

• Especificaciones de datos.

• Especificaciones de proceso.

• -todos de acceso.

• %peraciones.

• anipulación de datos 'antes y despu-s del proceso electrónico de datos(.

• Proceso lógico necesario para producir informes.

• /dentificación de archivos, tamaño de los campos y registros.

• Proceso en línea o lote y su ustificación.

• )recuencia y vol$menes de operación.

• #istemas de seguridad.

• #istemas de control.

• =esponsables.

• &$mero de usuarios.

entro del estudio de los sistemas en uso se deberá solicitar!

• anual del usuario.• escripción de fluo de información y5o procesos.

6


7/37

BHC

• escripción y distribución de información.• anual de formas.• anual de reportes.• 3ista de archivos y especificaciones.

3o que se debe determinar en el sistema!

En el procedimiento!

• 8:ui-n hace, cuando y cómo9• 8:u- formas se utilizan en el sistema9

• 8#on necesarias, se usan, están duplicadas9

• 8El n$mero de copias es el adecuado9

• 8E"isten puntos de control o faltan9

En la gráfica de fluo de información!

• 8Es fácil de usar9• 8Es lógica9• 8#e encontraron lagunas9• 8>ay faltas de control9

En el diseño!

• 8*ómo se usará la herramienta de diseño si e"iste9

• 8:u- tambi-n se austa la herramienta al procedimiento9

VI. EVALUACIÓN DEL DESARROLLO DEL SISTEMA

En esta etapa del sistema se deberán auditar los programas, su diseño, el lenguae utilizado, intercone"ión entre los programas ycaracterísticas del hard;are empleado 'total o parcial( para el desarrollo del sistema. 0l evaluar un sistema de información setendrá presente que todo sistema debe proporcionar información para planear, organizar y controlar de manera eficaz yoportuna, para reducir la duplicidad de datos y de reportes y obtener una mayor seguridad en la forma más económica posible.e ese modo contará con los meores elementos para una adecuada toma de decisiones. 0l tener un proceso distribuido, espreciso considerar la seguridad del movimiento de la información entre nodos. El proceso de planeación de sistemas debe definir

la red óptima de comunicaciones, los tipos de mensaes requeridos, el trafico esperado en las líneas de comunicación y otrosfactores que afectan el diseño. Es importante considerar las variables que afectan a un sistema! ubicación en los niveles de laorganización, el tamaño y los recursos que utiliza. 3as características que deben evaluarse en los sistemas son!

• inámicos 'susceptibles de modificarse(.

• Estructurados 'las interacciones de sus componentes o subsistemas deben actuar como un todo(

• /ntegrados 'un solo obetivo(. En -l habrá sistemas que puedan ser interrelacionados y no programas aislados.

• 0ccesibles 'que est-n disponibles(.

7


8/37

BHC

• &ecesarios 'que se pruebe su utilización(.

• *omprensibles 'que contengan todos los atributos(.

• %portunos 'que est- la información en el momento que se requiere(.

• )uncionales 'que proporcionen la información adecuada a cada nivel(.

• Estándar 'que la información tenga la misma interpretación en los distintos niveles(.

• odulares 'facilidad para ser e"pandidos o reducidos(.

• ?erárquicos 'por niveles funcionales(.

• #eguros 'que sólo las personas autorizadas tengan acceso(.

• @nicos 'que no duplique información(.

VII. CONTROL DE PROYECTOS

ebido a las características propias del análisis y la programación, es muy frecuente que la implantación de los sistemas seretrase y se llegue a suceder que una persona lleva trabaando varios años dentro de un sistema o bien que se presentenirregularidades en las que los programadores se ponen a realizar actividades aenas a la dirección de informática. Para podercontrolar el avance de los sistemas, ya que -sta es una actividad de difícil evaluación, se recomienda que se utilice la t-cnica deadministración por proyectos para su adecuado control.

Para tener una buena administración por proyectos se requiere que el analista o el programador y su efe inmediato elaboren unplan de trabao en el cual se especifiquen actividades, metas, personal participante y tiempos. Este plan debe ser revisadoperiódicamente 'semanal, mensual, etc.( para evaluar el avance respecto a lo programado. 3a estructura estándar de laplaneación de proyectos deberá incluir la facilidad de asignar fechas predefinidas de terminación de cada tarea. entro de estasfechas debe estar el calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.

CUESTIONARIO

4. 8E"iste una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedanser considerados como plan maestro96. 8Está relacionado el plan maestro con un plan general de desarrollo de la dependencia97. 8%frece el plan maestro la atención de solicitudes urgentes de los usuarios9A. 80signa el plan maestro un porcentae del tiempo total de producción al reproceso o fallas de equipo9B. Escribir la lista de proyectos a corto plazo y largo plazo.C. Escribir una lista de sistemas en proceso periodicidad y usuarios.D. 8:ui-n autoriza los proyectos9. 8*ómo se asignan los recursos9F. 8*ómo se estiman los tiempos de duración94G. 8:ui-n interviene en la planeación de los proyectos944. 8*ómo se calcula el presupuesto del proyecto946. 8:u- t-cnicas se usan en el control de los proyectos947. 8:ui-n asigna las prioridades94A. 8*ómo se asignan las prioridades94B. 8*ómo se controla el avance del proyecto94C. 8*on qu- periodicidad se revisa el reporte de avance del proyecto94D. 8*ómo se estima el rendimiento del personal94. 8*on que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado94F. 8:u- acciones correctivas se toman en caso de desviaciones96G. 8:u- pasos y t-cnicas siguen en la planeación y control de los proyectos9Enum-relos secuencialmente.' ( eterminación de los obetivos.' ( #eñalamiento de las políticas.' ( esignación del funcionario responsable del proyecto.' ( /ntegración del grupo de trabao.' ( /ntegración de un comit- de decisiones.' ( esarrollo de la investigación.' ( ocumentación de la investigación.' ( )actibilidad de los sistemas.

8


9/37

BHC

' ( 0nálisis y valuación de propuestas.' ( #elección de equipos.

64. 8#e llevan a cabo revisiones periódicas de los sistemas para determinar si a$n cumplen con los obetivos para los cualesfueron diseñados9e análisis #H ' ( &% ' (e programación #H ' ( &% ' (%bservaciones

66. /ncluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informática podría satisfacerlas necesidades de la dependencia, seg$n la situación actual.

VIII. CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN

El obetivo es asegurarse de que el sistema funcione conforme a las especificaciones funcionales, a fin de que el usuario tenga lasuficiente información para su maneo, operación y aceptación. 3as revisiones se efect$an en forma paralela desde el análisishasta la programación y sus obetivos son los siguientes!

ETAPA DE ANÁLISIS /dentificar ine"actitudes, ambigIedades y omisiones en las especificaciones.

ETAPA DE DISEÑO escubrir errores, debilidades, omisiones antes de iniciar la codificación.

ETAPA DE PROGRAMACIÓN Juscar la claridad, modularidad y verificar con base en las especificaciones.

Esta actividad es muy importante ya que el costo de corregir errores es directamente proporcional al momento que se detectan!si se descubren en el momento de programación será más alto que si se detecta en la etapa de análisis. Esta función tiene unagran importancia en el ciclo de evaluación de aplicaciones de los sistemas de información y busca comprobar que la aplicacióncumple las especificaciones del usuario, que se haya desarrollado dentro de lo presupuestado, que tenga los controles necesariosy que efectivamente cumpla con los obetivos y beneficios esperados.

El siguiente cuestionario se presenta como eemplo para la evaluación del diseño y prueba de los sistemas!

4. 8:ui-nes intervienen al diseñar un sistema9

• +suario.

• 0nalista.

• Programadores.

• %peradores.

• Kerente de departamento.

• 0uditores internos.

• 0sesores.

• %tros.

6. 83os analistas son tambi-n programadores9#H ' ( &% ' (

7. 8:u- lenguae o lenguaes conocen los analistas9

A. 8*uántos analistas hay y qu- e"periencia tienen9

B. 8:u- lenguae conocen los programadores9

C. 8*ómo se controla el trabao de los analistas9

9


10/37

BHC

D. 8*ómo se controla el trabao de los programadores9

. /ndique qu- pasos siguen los programadores en el desarrollo de un programa!

• Estudio de la definición ' (

• iscusión con el analista ' (

• iagrama de bloques ' (

• 2abla de decisiones ' (

• Prueba de escritorio ' (

• *odificación ' (

• 8Es enviado a captura o los programadores capturan9 ' (

• 8:ui-n los captura9LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

• *ompilación ' (

• Elaborar datos de prueba ' (

• #olicitar datos al analista ' (

• *orrer programas con datos ' (

• =evisión de resultados ' (

• *orrección del programa ' (

• ocumentar el programa ' (

• #ometer resultados de prueba ' (

• Entrega del programa ' (

F. 8:u- documentación acompaña al programa cuando se entrega9

ifícilmente se controla realmente el fluo de la información de un sistema que desde su inicio ha sido mal analizado, maldiseñado, mal programado e incluso mal documentado. El e"cesivo mantenimiento de los sistemas generalmente ocasionado porun mal desarrollo, se inicia desde que el usuario establece sus requerimientos 'en ocasiones sin saber qu- desea( hasta lainstalación del mismo, sin que se haya establecido un plan de prueba del sistema para medir su grado de confiabilidad en laoperación que efectuará. Para verificar si e"iste esta situación, se debe pedir a los analistas y a los programadores lasactividades que están desarrollando en el momento de la auditoría y evaluar si están efectuando actividades de mantenimiento ode realización de nuevos proyectos. En ambos casos se deberá evaluar el tiempo que llevan dentro del mismo sistema, laprioridad que se le asignó y cómo está en el tiempo real en relación al tiempo estimado en el plan maestro.

XI. INSTRUCTIVOS DE OPERACIÓN

#e debe evaluar los instructivos de operación de los sistemas para evitar que los programadores tengan acceso a los sistemas enoperación, y el contenido mínimo de los instructivos de operación se puedan verificar mediante el siguiente cuestionario.

El instructivo de operación deberá comprender.

M iagrama de fluo por cada programa. ' (M iagrama particular de entrada5salida ' (M ensae y su e"plicación ' (M Parámetros y su e"plicación ' (M iseño de impresión de resultados ' (

10


11/37

BHC

M *ifras de control ' (M )órmulas de verificación ' (M %bservaciones ' (M /nstrucciones en caso de error ' (M *alendario de proceso y resultados ' (

X. FORMA DE IMPLEMENTACIÓN

3a finalidad de evaluar los trabaos que se realizan para iniciar la operación de un sistema, esto es, la prueba integral delsistema, adecuación, aceptación por parte del usuario, entrenamiento de los responsables del sistema etc.

/ndicar cuáles puntos se toman en cuenta para la prueba de un sistema!

Prueba particular de cada programa ' (Prueba por fase validación, actualización ' (Prueba integral del paralelo ' (Prueba en paralelo sistema ' (%tros 'especificar(LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

XI. ENTREVISTA A USUARIOS

3a entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamentode #istemas de /nformación.

#u obeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la difusión de lasaplicaciones de la computadora y de los sistemas en operación.

3as entrevistas se deberán hacer, en caso de ser posible, a todos los asuarios o bien en forma aleatoria a algunos de losusuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del equipo.

esde el punto de vista del usuario los sistemas deben!

• *umplir con los requerimientos totales del usuario.

• *ubrir todos los controles necesarios.

• &o e"ceder las estimaciones del presupuesto inicial.

• #erán fácilmente modificables.

Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación completa entre usuarios yresponsable del desarrollo del sistema.

En esta misma etapa debió haberse definido la calidad de la información que será procesada por la computadora,estableci-ndose los riesgos de la misma y la forma de minimizarlos. Para ello se debieron definir los controles adecuados,estableci-ndose además los niveles de acceso a la información, es decir, qui-n tiene privilegios de consulta, modificar o inclusoborrar información.

Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informática,para comprobar que se logro una adecuada comprensión de los requerimientos del usuario y un control satisfactorio deinformación.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en formaadecuada, cuando menos será preciso considerar la siguiente información.

• escripción de los servicios prestados.

• *riterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.

• =eporte periódico del uso y concepto del usuario sobre el servicio.

• =egistro de los requerimientos planteados por el usuario.

11


12/37

BHC

*on esta información se puede comenzar a realizar la entrevista para determinar si los servicios proporcionados y planeados porla dirección de /nformática cubren las necesidades de información de las dependencias.

0 continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el usuario.

4. 8*onsidera que el epartamento de #istemas de /nformación de los resultados esperados9.M#i ' ( &o ' (8Por que9

6. 8*ómo considera usted, en general, el servicio proporcionado por el epartamento de #istemas de /nformación9

eficiente ' (0ceptable ' (#atisfactorio ' (E"celente ' (8Por que9

7. 8*ubre sus necesidades el sistema que utiliza el departamento de cómputo9&o las cubre ' (Parcialmente ' (3a mayor parte ' (2odas ' (8Por que9

A. 8>ay disponibilidad del departamento de cómputo para sus requerimientos9Keneralmente no e"iste ' (>ay ocasionalmente ' (=egularmente ' (#iempre ' (8Por que9

B. 8#on entregados con puntualidad los trabaos9&unca ' (=ara vez ' (%casionalmente ' (Keneralmente ' (#iempre ' (8Por que9

C. 8:ue piensa de la presentación de los trabaadores solicitados al departamento de cómputo9eficiente ' (0ceptable ' (#atisfactorio ' (E"celente ' (8Por que9

D. 8:u- piensa de la asesoría que se imparte sobre informática9&o se proporciona ' (Es insuficiente ' (#atisfactoria ' (E"celente ' (8Por qu-9

. 8:u- piensa de la seguridad en el maneo de la información proporcionada por el sistema que utiliza9&ula ' (

=iesgosa ' (#atisfactoria ' (E"celente ' (3o desconoce ' (8Por qu-9

F. 8E"isten fallas de e"actitud en los procesos de información98*uáles9

4G. 8*ómo utiliza los reportes que se le proporcionan9

44. 8*uáles no +tiliza9

12


13/37

BHC

46. e aquellos que no utiliza 8por qu- razón los recibe9

47. 8:u- sugerencias presenta en cuanto a la eliminación de reportes modificación, fusión, división de reporte9

4A. 8#e cuenta con un manual de usuario por #istema9#/ ' ( &% ' (

4B. 8Es claro y obetivo el manual del usuario9#/ ' ( &% ' (

4C. 8:u- opinión tiene el manual9&%20! Pida el manual del usuario para evaluarlo.

4D. 8:ui-n interviene de su departamento en el diseño de sistemas9

4. 8:u- sistemas desearía que se incluyeran9

4F. %bservaciones!

XII. CONTROLES

3os datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados yauditados con el mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener presente!

a( 3a responsabilidad de los datos es compartida conuntamente por alguna función determinada y el departamento de cómputo.

b( +n problema de dependencia que se debe considerar es el que se origina por la duplicidad de los datos y consiste en poderdeterminar los propietarios o usuarios posibles 'principalmente en el caso de redes y banco de datos( y la responsabilidad de suactualización y consistencia.

c( 3os datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad yredundancia dentro de una aplicación y de todas las aplicaciones en general.

d( #e deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes ygrupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL

3a mayoría de los elitos por computadora son cometidos por modificaciones de datos fuente al!

• #uprimir u omitir datos.

• 0dicionar atos.

• 0lterar datos.

• uplicar procesos.

Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea, en los que los usuarios son los

responsables de la captura y modificación de la información al tener un adecuado control con señalamiento de responsables delos datos 'uno de los usuarios debe ser el $nico responsable de determinado dato(, con claves de acceso de acuerdo a niveles.

El primer nivel es el que puede hacer $nicamente consultas. El segundo nivel es aquel que puede hacer captura, modificaciones yconsultas y el tercer nivel es el que solo puede hacer todos lo anterior y además puede realizar baas.

NOTA: ebido a que se denomina de diferentes formas la actividad de transcribir la información del dato fuente a lacomputadora, en el presente trabao se le denominará captura o captación considerándola como sinónimo de digitalizar'capturista, digitalizadora(.

3o primero que se debe evaluar es la entrada de la información y que se tengan las cifras de control necesarias para determinarla veracidad de la información, para lo cual se puede utilizar el siguiente cuestionario!

13


14/37

BHC

4. /ndique el porcentae de datos que se reciben en el área de captación6. /ndique el contenido de la orden de trabao que se recibe en el área de captación de datos!&$mero de folio ' ( &$mero's( de formato's( ' ()echa y hora de &ombre, epto. ' (=ecepción ' ( +suario ' (&ombre del documento ' ( &ombre responsable ' (Nolumen apro"imado *lave de cargode registro ' ( '&$mero de cuenta( ' (&$mero de registros ' ( )echa y hora de entrega de*lave del capturista ' ( documentos y registros captados ' ()echa estimada de entrega ' (

7. /ndique cuál'es( control'es( interno's( e"iste'n( en el área de captación de datos!)irmas de autorización ' (=ecepción de trabaos ' ( *ontrol de trabaos atrasados ' (=evisión del documento ' ( 0vance de trabaos ' (fuente 'legibilidad, verificación de datos completos, etc.( ' (Prioridades de captación ' ( Errores por trabao ' (Producción de trabao ' ( *orrección de errores ' (Producción de cada operador ' ( Entrega de trabaos ' (Nerificación de cifras *osto ensual por trabao ' (de control de entrada conlas de salida. ' (

A. 8E"iste un programa de trabao de captación de datos9a( 8#e elabora ese programa para cada turno9

iariamente ' (#emanalmente ' (ensualmente ' (

b( 3a elaboración del programa de trabaos se hace!/nternamente ' (#e les señalan a los usuarios las prioridades ' (

c( 8:ue acción'es( se toma'n( si el trabao programado no se recibe a tiempo9

B. 8:ui-n controla las entradas de documentos fuente9

C. 8En que forma las controla9

D. 8:ue cifras de control se obtienen9

F. 8#e anota que persona recibe la información y su volumen9#/ &%

4G. 8#e anota a que capturista se entrega la información, el volumen y la hora9#/ &%

44. 8#e verifica la cantidad de la información recibida para su captura9#/ &%

46. 8#e revisan las cifras de control antes de enviarlas a captura9

#/ &%

47. 8Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la información escompleta y valida9#/ &%

4A. 8E"iste un procedimiento escrito que indique como tratar la información inválida 'sin firma ilegible, no corresponden las cifrasde control(9

4B. En caso de resguardo de información de entrada en sistemas, 8#e custodian en un lugar seguro9

4C. #i se queda en el departamento de sistemas, 8Por cuanto tiempo se guarda9

14


15/37

BHC

4D. 8E"iste un registro de anomalías en la información debido a mala codificación9

4. 8E"iste una relación completa de distribución de listados, en la cual se indiquen personas, secuencia y sistemas a los quepertenecen9

4F. 8#e verifica que las cifras de las validaciones concuerden con los documentos de entrada9

6G. 8#e hace una relación de cuando y a qui-n fueron distribuidos los listados9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

64. 8#e controlan separadamente los documentos confidenciales9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

66. 8#e aprovecha adecuadamente el papel de los listados inservibles9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

67. 8E"iste un registro de los documentos que entran a capturar9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

6A. 8#e hace un reporte diario, semanal o mensual de captura9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

6B. 8#e hace un reporte diario, semanal o mensual de anomalías en la información de entrada9

6C. 8#e lleva un control de la producción por persona9

6D. 8:ui-n revisa este control9

6. 8E"isten instrucciones escritas para capturar cada aplicación o, en su defecto e"iste una relación de programas9

CONTROL DE OPERACIÓN

3a eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de ladocumentación requerida para el proceso en la computadora.

El obetivo del presente eemplo de cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su

estandarización y evaluar el cumplimiento de los mismos.

4. 8E"isten procedimientos formales para la operación del sistema de cómputo9#/ ' ( &% ' (

6. 8Están actualizados los procedimientos9#/ ' ( &% ' (

7. /ndique la periodicidad de la actualización de los procedimientos!

#emestral ' (0nual ' (*ada vez que haya cambio de equipo ' (

A. /ndique el contenido de los instructivos de operación para cada aplicación!

/dentificación del sistema ' (/dentificación del programa ' (Periodicidad y duración de la corrida ' (Especificación de formas especiales ' (Especificación de cintas de impresoras ' (Etiquetas de archivos de salida, nombre, ' (archivo lógico, y fechas de creación y e"piración/nstructivo sobre materiales de entrada y salida ' (0ltos programados y la acciones requeridas ' (/nstructivos específicos a los operadores en caso de falla del equipo ' (/nstructivos de reinicio ' (Procedimientos de recuperación para proceso de gran duración o criterios ' (

15


16/37

BHC

/dentificación de todos los dispositivos de la máquina a ser usados ' (Especificaciones de resultados 'cifras de control, registros de salida por archivo, etc. ( ' (

B. 8E"isten órdenes de proceso para cada corrida en la computadora 'incluyendo pruebas, compilaciones y producción(9#/ ' ( &% ' (

C. 8#on suficientemente claras para los operadores estas órdenes9#/ ' ( &% ' (

D. 8E"iste una estandarización de las ordenes de proceso9

#/ ' ( &% ' (

. 8E"iste un control que asegure la ustificación de los procesos en el computador9 ':ue los procesos que se están autorizados ytengan una razón de ser procesados.#/ ' ( &% ' (

F. 8*ómo programan los operadores los trabaos dentro del departamento de cómputo9Primero que entra, primero que sale ' (se respetan las prioridades, ' (%tra 'especifique( ' (

4G. 83os retrasos o incumplimiento con el programa de operación diaria, se revisa y analiza9#/ ' ( &% ' (

44. 8:ui-n revisa este reporte en su caso9

46. 0nalice la eficiencia con que se eecutan los trabaos dentro del departamento de cómputo, tomando en cuenta equipo yoperador, a trav-s de inspección visual, y describa sus observaciones.

47. 8E"isten procedimientos escritos para la recuperación del sistema en caso de falla9

4A. 8*ómo se act$a en caso de errores9

4B. 8E"isten instrucciones específicas para cada proceso, con las indicaciones pertinentes9

4C. 8#e tienen procedimientos específicos que indiquen al operador que hacer cuando un programa interrumpe su eecución uotras dificultades en proceso9

4D. 8Puede el operador modificar los datos de entrada9

4. 8#e prohíbe a analistas y programadores la operación del sistema que programo o analizo9

4F. 8#e prohíbe al operador modificar información de archivos o bibliotecas de programas9

6G. 8El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran9

64. 83as intervenciones de los operadores!

8#on muy numerosas9 #/ ' ( &% ' (#e limitan los mensaes esenciales9 #/ ' ( &% ' (

%tras 'especifique(LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

66. 8#e tiene un control adecuado sobre los sistemas y programas que están en operación9#/ ' ( &% ' (

67. 8*ómo controlan los trabaos dentro del departamento de cómputo9

6A. 8#e rota al personal de control de información con los operadores procurando un entrenamiento cruzado y evitando lamanipulación fraudulenta de datos9#/ ' ( &% ' (

6B. 8*uentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos9#i ' (

16


17/37

BHC

por máquina ' (escrita manualmente ' (&% ' (

6C. Nerificar que e"ista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones desoft;are.

6D. 8E"isten procedimientos para evitar las corridas de programas no autorizados9#/ ' ( &% ' (

6. 8E"iste un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operación9

6F. Nerificar que sea razonable el plan para coordinar el cambio de turno.

7G. 8#e hacen inspecciones periódicas de muestreo9#/ ' ( &% ' (

74. Enuncie los procedimientos mencionados en el inciso anterior!

76. 8#e permite a los operadores el acceso a los diagramas de fluo, programas fuente, etc. fuera del departamento de cómputo9

#/ ' ( &% ' (

77. 8#e controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias9#/ ' ( &% ' (8*ómo9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

7A. Nerifique que los privilegios del operador se restrinan a aquellos que le son asignados a la clasificación de seguridad deoperador.

7B. 8E"isten procedimientos formales que se deban observar antes de que sean aceptados en operación, sistemas nuevos omodificaciones a los mismos9#/ ' ( &% ' (

7C. 8Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores9#/ ' ( &% ' (

7D. 8urante cuánto tiempo9

7. 8:ue precauciones se toman durante el periodo de implantación9

7F. 8:ui-n da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con losinstructivos de operación9

AG. 8#e catalogan los programas liberados para producción rutinaria9#/ ' ( &% ' (

A4. encione que instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema.

A6. /ndique que tipo de controles tiene sobre los archivos magn-ticos de los archivos de datos, que aseguren la utilización de losdatos precisos en los procesos correspondientes.

A7. 8E"iste un lugar para archivar las bitácoras del sistema del equipo de cómputo9#/ ' ( &% ' (

AA. /ndique como está organizado este archivo de bitácora.

• Por fecha ' (

• por fecha y hora ' (

• por turno de operación ' (

17


18/37

BHC

• %tros ' (

AB. 8*uál es la utilización sistemática de las bitácoras9

AC. 80demás de las mencionadas anteriormente, que otras funciones o áreas se encuentran en el departamento de cómputoactualmente9

AD. Nerifique que se lleve un registro de utilización del equipo diario, sistemas en línea y batch, de tal manera que se puedamedir la eficiencia del uso de equipo.

A. 8#e tiene inventario actualizado de los equipos y terminales con su localización9#/ ' ( &% ' (

AF. 8*ómo se controlan los procesos en línea9

BG. 8#e tienen seguros sobre todos los equipos9#/ ' ( &% ' (

B4. 8*onque compañía9#olicitar pólizas de seguros y verificar tipo de seguro y montos.

B6. 8*ómo se controlan las llaves de acceso 'Pass;ord(9

CONTROLES DE SALIDA

4. 8#e tienen copias de los archivos en otros locales9

6. 8ónde se encuentran esos locales9

7. 8:u- seguridad física se tiene en esos locales9

A. 8:ue confidencialidad se tiene en esos locales9

B. 8:ui-n entrega los documentos de salida9

C. 8En qu- forma se entregan9

D. 8:ue documentos9

. 8:ue controles se tienen9

F. 8#e tiene un responsable 'usuario( de la información de cada sistema9 8*ómo se atienden solicitudes de información a otrosusuarios del mismo sistema9

4G. 8#e destruye la información utilizada, o bien que se hace con ella9

estruye ' ( Nende ' ( 2ira ' ( %tro LLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO

3os dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos e"tremadamente importantes cuyap-rdida parcial o total podría tener repercusiones muy serias, no sólo en la unidad de informática, sino en la dependencia de lacual se presta servicio. +na dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos dealmacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de modo que servirán de base aregistros sistemáticos de la utilización de estos archivos, de modo que sirvan de base a los programas de limpieza 'borrado deinformación(, principalmente en el caso de las cintas.

0demás, se deben tener perfectamente identificados los carretes para reducir la posibilidad de utilización errónea o destrucciónde la información.

+n maneo adecuado de estos dispositivos permitirá una operación más eficiente y segura, meorando además los tiempos deprocesos.

18


19/37

BHC

CONTROL DE ALMACENAMIENTO MASIVO

%J?E2/N%#

El obetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento básico de ladirección.

4. 3os locales asignados a la cintoteca y discoteca tienen!

• 0ire acondicionado ' (

• Protección contra el fuego ' (

• 'señalar que tipo de protección( LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

• *erradura especial ' (

• %tra

6. 82ienen la cintoteca y discoteca protección automática contra el fuego9#/ ' ( &% ' ('señalar de que tipo( LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

7. 8:u- información mínima contiene el inventario de la cintoteca y la discoteca9

&$mero de serie o carrete ' (&$mero o clave del usuario ' (&$mero del archivo lógico ' (&ombre del sistema que lo genera ' ()echa de e"piración del archivo ' ()echa de e"piración del archivo ' (&$mero de volumen ' (%tros

A. 8#e verifican con frecuencia la validez de los inventarios de los archivos magn-ticos9#/ ' ( &% ' (

B. 8En caso de e"istir discrepancia entre las cintas o discos y su contenido, se resuelven y e"plican satisfactoriamente lasdiscrepancias9#/ ' ( &% ' (

C. 8:u- tan frecuentes son estas discrepancias9 LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

D. 8#e tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco, el cual fue inadvertidamentedestruido9#/ ' ( &% ' (

. 8#e tienen identificados los archivos con información confidencial y se cuenta con claves de acceso9#/ ' ( &% ' (8*ómo9LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

F. 8E"iste un control estricto de las copias de estos archivos9#/ ' ( &% ' (

4G. 8:ue medio se utiliza para almacenarlos9ueble con cerradura ' (Jóveda ' (%tro'especifique(LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

44. Este almac-n esta situado!En el mismo edificio del departamento ' (En otro lugar ' (8*ual9LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

19


20/37

BHC

46. 8#e borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos9#/ ' ( &% ' (

47. 8#e certifica la destrucción o baa de los archivos defectuosos9#/ ' ( &% ' (4A. 8#e registran como parte del inventario las nuevas cintas que recibe la biblioteca9#/ ' ( &% ' (

4B 8#e tiene un responsable, por turno, de la cintoteca y discoteca9#/ ' ( &% ' (

4C. 8#e realizan auditorías periódicas a los medios de almacenamiento9#/ ' ( &% ' (

4D. 8:ue medidas se toman en el caso de e"travío de alg$n dispositivo de almacenamiento9

4. 8#e restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado9#/ ' ( &% ' (

4F. 8#e tiene relación del personal autorizado para firmar la salida de archivos confidenciales9#/ ' ( &% ' (

6G. 8E"iste un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán9#/ ' ( &% ' (

64. 8#e lleva control sobre los archivos prestados por la instalación9#/ ' ( &% ' (

66. En caso de pr-stamo 8*onque información se documentan9&ombre de la institución a qui-n se hace el pr-stamo.

• fecha de recepción ' (

• fecha en que se debe devolver ' (

• archivos que contiene ' (

• formatos ' (

• cifras de control ' (

• código de grabación ' (

• nombre del responsable que los presto ' (

• otros

67. /ndique qu- procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros!

6A. 8#e conserva la cinta maestra anterior hasta despu-s de la nueva cinta9#/ ' ( &% ' (

6B. 8El cintotecario controla la cinta maestra anterior previendo su uso incorrecto o su eliminación prematura9#/ ' ( &% ' (

6C. 83a operación de reemplazo es controlada por el cintotecario9#/ ' ( &% ' (

6D. 8#e utiliza la política de conservación de archivos hioMpadreMabuelo9#/ ' ( &% ' (

20


21/37

BHC

6. En los procesos que manean archivos en línea, 8E"isten procedimientos para recuperar los archivos9#/ ' ( &% ' (

6F. 8Estos procedimientos los conocen los operadores9#/ ' ( &% ' (

7G. 8*on que periodicidad se revisan estos procedimientos9E+03 ' ( 0&+03 ' (#EE#2=03 ' ( %2=0 ' (

74. 8E"iste un responsable en caso de falla9#/ ' ( &% ' (

76. 8E"plique que políticas se siguen para la obtención de archivos de respaldo9

77. 8E"iste un procedimiento para el maneo de la información de la cintoteca9#/ ' ( &% ' (

7A. 83o conoce y lo sigue el cintotecario9#/ ' ( &% ' (

7B. 8#e distribuyen en forma periódica entre los efes de sistemas y programación informes de archivos para que liberen losdispositivos de almacenamiento9#/ ' ( &% ' (

8*on qu- frecuencia9

CONTRATO DE MANTENIMIENTO

*omo se sabe e"isten básicamente tres tipos de contrato de mantenimiento! El contrato de mantenimiento total que incluye elmantenimiento correctivo y preventivo, el cual a su vez puede dividirse en aquel que incluye las partes dentro del contrato y elque no incluye partes. El contrato que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura elproveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente mas caro, pero se dea alproveedor la responsabilidad total del mantenimiento a e"cepción de daños por negligencia en la utilización del equipo. 'Este tipode mantenimiento normalmente se emplea en equipos grandes(.

El segundo tipo de mantenimiento es Opor llamadaO, en el cual en caso de descompostura se le llama al proveedor y -ste cobrade acuerdo a una tarifa y al tiempo que se requiera para componerlo'casi todos los proveedores incluyen, en la cotización de

compostura, el tiempo de traslado de su oficina a donde se encuentre el equipo y viceversa(. Este tipo de mantenimiento noincluye refacciones.

El tercer tipo de mantenimiento es el que se conoce como Oen bancoO, y es aquel en el cual el cliente lleva a las oficinas delproveedor el equipo, y este hace una cotización de acuerdo con el tiempo necesario para su compostura mas las refacciones'este tipo de mantenimiento puede ser el adecuado para computadoras personales(.

0l evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que más nos conviene y en segundo lugar pedirlos contratos y revisar con detalles que las cláusulas est-n perfectamente definidas en las cuales se elimine toda la subetividad ycon penalización en caso de incumplimiento, para evitar contratos que sean parciales.

Para poder e"igirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas, frecuencia, y el tiempo dereparación.

Para evaluar el control que se tiene sobre el mantenimiento y las fallas se pueden utilizar los siguientes cuestionarios!

4. Especifique el tipo de contrato de mantenimiento que se tiene 'solicitar copia del contrato(.

6. 8E"iste un programa de mantenimiento preventivo para cada dispositivo del sistema de computo9#/ ' ( &% ' (

7. 8#e lleva a cabo tal programa9#/ ' ( &% ' (

A. 8E"isten tiempos de respuesta y de compostura estipulados en los contratos9#/ ' ( &% ' (

21


22/37

BHC

B. #i los tiempos de reparación son superiores a los estipulados en el contrato, 8:u- acciones correctivas se toman paraaustarlos a lo convenido9#/ ' ( &% ' (

C. #olicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.M#/ ' ( &% ' (8*ual9

. 8*ómo se notifican las fallas9

F. 8*ómo se les da seguimiento9

XIII. ORDEN EN EL CENTRO DE CÓMPUTO

+na dirección de #istemas de /nformación bien administrada debe tener y observar reglas relativas al orden y cuidado deldepartamento de cómputo. 3os dispositivos del sistema de cómputo, los archivos magn-ticos, pueden ser dañados si se maneanen forma inadecuada y eso puede traducirse en perdidas irreparables de información o en costos muy elevados en lareconstrucción de archivos. #e deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentrodel departamento de cómputo.

4. /ndique la periodicidad con que se hace la limpieza del departamento de cómputo y de la cámara de aire que se encuentraabao del piso falso si e"iste y los ductos de aire!

#emanalmente ' ( :uincenalmente ' (

ensualmente ' ( Jimestralmente ' (&o hay programa ' ( %tra 'especifique( ' (

6. E"iste un lugar asignado a las cintas y discos magn-ticos9#/ ' ( &% ' (

7. 8#e tiene asignado un lugar especifico para papelería y utensilios de trabao9#/ ' ( &% ' (

A. 8#on funcionales los muebles asignados para la cintoteca y discoteca9#/ ' ( &% ' (

B. 8#e tienen disposiciones para que se acomoden en su lugar correspondiente, despu-s de su uso, las cintas, los discosmagn-ticos, la papelería, etc.9

#/ ' ( &% ' (

C. /ndique la periodicidad con que se limpian las unidades de cinta!

0l cambio de turno ' ( cada semana ' (cada día ' ( otra 'especificar( ' (

D. 8E"isten prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cómputo9#/ ' ( &% ' (

. 8#e cuenta con carteles en lugares visibles que recuerdan dicha prohibición9#/ ' ( &% ' (

F. 8#e tiene restringida la operación del sistema de cómputo al personal especializado de la irección de /nformática9#/ ' ( &% ' (

4G. encione los casos en que personal aeno al departamento de operación opera el sistema de cómputo!

XIV. EVALUACIÓN DE LA CONFIGURACIÓN DEL SISTEMA DE CÓMPUTO

3os obetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluarel grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidaspor la unidad de informática en la conservación de su programoteca.

Esta sección esta orientada a!

22


23/37

BHC

a( Evaluar posibles cambios en el hard;are a fin de nivelar el sistema de cómputo con la carga de trabao actual o de compararla capacidad instalada con los planes de desarrollo a mediano y lago plazo.

b( Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.

c( Evaluar la utilización de los diferentes dispositivos perif-ricos.

4. e acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, 8e"iste equipo98*on poco uso9 #/ ' ( &% ' (8%cioso9 #/ ' ( &% ' (

8*on capacidad superior a la necesaria9 #/ ' ( &% ' (

escriba cual es LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

6. 8El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo9#/ ' ( &% ' (

7. #i la respuesta al inciso anterior es negativa, 8el equipo puede ser cancelado9#/ ' ( &% ' (

A. e ser negativa la respuesta al inciso anterior, e"plique las causas por las que no puede ser cancelado o cambiado. LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

B. 8El sistema de cómputo tiene capacidad de teleproceso9#/ ' ( &% ' (

C. 8#e utiliza la capacidad de teleproceso9#/ ' ( &% ' (

D. 8En caso negativo, e"ponga los motivos por los cuales no utiliza el teleproceso9#/ ' ( &% ' (

. 8*uantas terminales se tienen conectadas al sistema de cómputo9

F. 8#e ha investigado si ese tiempo de respuesta satisface a los usuarios9#/ ' ( &% ' (

4G. 83a capacidad de memoria y de almacenamiento má"imo del sistema de cómputo es suficientepara atender el proceso por lotes y el proceso remoto9#/ ' ( &% ' (

XV. SEGURIDAD LÓGICA Y CONFIDENCIAL

3a computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos,empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. 2ambi-n pueden ocurrirrobos, fraudes o sabotaes que provoquen la destrucción total o parcial de la actividad computacional.

Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamentecostosos. 0ntes esta situación, en el transcurso del siglo , el mundo ha sido testigo de la transformación de algunos aspectosde seguridad y de derecho.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamadoOOvirusO de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que soncopiados sin autorización 'OpiratasO( y borra toda la información que se tiene en un disco.

0l auditar los sistemas se debe tener cuidado que no se tengan copias OpiratasO o bien que, al conectarnos en red con otrascomputadoras, no e"ista la posibilidad de transmisión del virus.

El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos aenos de la organización, lacopia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a basesde datos a fin de modificar la información con propósitos fraudulentos.

23


24/37

BHC

+n m-todo eficaz para proteger sistemas de computación es el soft;are de control de acceso. icho simplemente, los paquetesde control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle elacceso a información confidencial. ichos paquetes han sido populares desde hace muchos años en el mundo de lascomputadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

El sistema integral de seguridad debe comprender!

• Elementos administrativos

• efinición de una política de seguridad

• %rganización y división de responsabilidades

• #eguridad física y contra catástrofes'incendio, terremotos, etc.(

• Prácticas de seguridad del personal

• Elementos t-cnicos y procedimientos

• #istemas de seguridad 'de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.

• 0plicación de los sistemas de seguridad, incluyendo datos y archivos

• El papel de los auditores, tanto internos como e"ternos

• Planeación de programas de desastre y su prueba.

#e debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo5beneficio entre elcosto por p-rdida de información y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente!

• *lasificar la instalación en t-rminos de riesgo 'alto, mediano, pequeño(.

• /dentificar aquellas aplicaciones que tengan un alto riesgo.

• *uantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo.

• )ormular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.

• 3a ustificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar lasaplicaciones de alto riesgo, se debe preguntar lo siguiente!

o :ue sucedería si no se puede usar el sistema9

o #i la contestación es que no se podría seguir trabaando, esto nos sit$a en un sistema de alto riego.

• 3a siguiente pregunta es!

o 8:ue implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo9

o 8E"iste un procedimiento alterno y que problemas nos ocasionaría9

o 8:ue se ha hecho para un caso de emergencia9

+na vez que se ha definido, el grado de riesgo, hay que elaborar una lista de los sistemas con las medias preventivas que sedeben tomar, así como las correctivas en caso de desastre señalándole a cada uno su prioridad .

>ay que tener mucho cuidado con la información que sale de la oficina, su utilización y que sea borrada al momento de dear lainstalación que está dando respaldo.

Para clasificar la instalación en t-rminos de riesgo se debe!

24


25/37

BHC

• *lasificar los datos, información y programas que contienen información confidencial que tenga un alto valor dentro delmercado de competencia de una organización, e información que sea de difícil recuperación.

• /dentificar aquella información que tenga un gran costo financiero en caso de p-rdida o bien puede provocar un granimpacto en la toma de decisiones.

• eterminar la información que tenga una gran p-rdida en la organización y, consecuentemente, puedan provocar hastala posibilidad de que no pueda sobrevivir sin esa información.

Para cuantificar el riesgo es necesario que se efect$en entrevistas con los altos niveles administrativos que sean directamenteafectados por la suspensión en el procesamiento y que cuantifíquen el impacto que les puede causar este tipo de situaciones.

Para evaluar las medidas de seguridad se debe!

• Especificar la aplicación, los programas y archivos.

• 3as medidas en caso de desastre, p-rdida total, abuso y los planes necesarios.

• 3as prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.

• En cuanto a la división del trabao se debe evaluar que se tomen las siguientes precauciones, las cuales dependerán delriesgo que tenga la información y del tipo y tamaño de la organización.

o El personal que prepara la información no debe tener acceso a la operación.

o 3os análisis y programadores no deben tener acceso al área de operaciones y viceversa.

o 3os operadores no debe tener acceso irrestringido a las librerías ni a los lugares donde se tengan los archivosalmacenadosQ es importante separar las funciones de librería y de operación.

o 3os operadores no deben ser los $nicos que tengan el control sobre los trabaos procesados y no deben hacerlas correcciones a los errores detectados.

0l implantar sistemas de seguridad puede, reducirse la fle"ibilidad en el trabao, pero no debe reducir la eficiencia.

XVI. SEGURIDAD FÍSICA

El obetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio deprocesamiento de datos, información debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotae, etc. ycontinuar en medio de emergencia hasta que sea restaurado el servicio completo.

Entre las precauciones que se deben revisar están!

• 3os ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del polvo y se habrá decontar con detectores de humo que indiquen la posible presencia de fuego.

• En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la computadora como en lared y los equipos de teleproceso.

•

En cuanto a los e"tintores, se debe revisar en n$mero de estos, su capacidad, fácil acceso, peso y tipo de producto queutilizan. Es muy frecuente que se tengan los e"tintores, pero puede suceder que no se encuentren recargados o bienque sean de difícil acceso de un peso tal que sea difícil utilizarlos.

• Esto es com$n en lugares donde se encuentran trabaando hombres y mueres y los e"tintores están a tal altura o conun peso tan grande que una muer no puede utilizarlos.

• %tro de los problemas es la utilización de e"tintores inadecuados que pueden provocar mayor peruicio a las máquinas'e"tintores líquidos( o que producen gases tó"icos.

• 2ambi-n se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en cuanto a su uso.

25


26/37

BHC

• #e debe verificar que e"istan suficientes salidas de emergencia y que est-n debidamente controladas para evitar robospor medio de estas salidas.

• 3os materiales mas peligrosos son las cintas magn-ticas que al quemarse, producen gases tó"icos y el papel carbón quees altamente inflamable.

2omando en cuenta lo anterior se elaboro el siguiente cuestionario!

4. 8#e han adoptado medidas de seguridad en el departamento de sistemas de información9#/ ' ( &% ' (

6. 8E"isten una persona responsable de la seguridad9#/ ' ( &% ' (

7. 8#e ha dividido la responsabilidad para tener un meor control de la seguridad9#/ ' ( &% ' (

A. 8E"iste personal de vigilancia en la institución9#/ ' ( &% ' (

B. 83a vigilancia se contrata9a( irectamente ' (b( Por medio de empresas que venden ese servicio ' (C. 8E"iste una clara definición de funciones entre los puestos clave9#/ ' ( &% ' (

D. 8#e investiga a los vigilantes cuando son contratados directamente9#/ ' ( &% ' (

. 8#e controla el trabao fuera de horario9#/ ' ( &% ' (

F. 8#e registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas9.#/ ' ( &% ' (

4G. 8E"iste vigilancia en el departamento de cómputo las 6A horas9#/ ' ( &% ' (

44. 8E"iste vigilancia a la entrada del departamento de cómputo las 6A horas9a( Nigilante 9 ' (b( =ecepcionista9 ' (c( 2areta de control de acceso 9 ' (d( &adie9 ' (

46. 8#e permite el acceso a los archivos y programas a los programadores, analistas y operadores9#/ ' ( &% ' (

47. #e ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización9#/ ' ( &% ' (

4A. El edificio donde se encuentra la computadora esta situado a salvo de!a( /nundación9 ' (b( 2erremoto9 ' (c( )uego9 ' (d( #abotae9 ' (

4B. El centro de cómputo tiene salida al e"terior al e"terior9#/ ' ( &% ' (

4C. escriba brevemente la construcción del centro de cómputo, de preferencia proporcionando planos y material con queconstruido y equipo 'muebles, sillas etc.( dentro del centro.

4D. 8E"iste control en el acceso a este cuarto9a( Por identificación personal9 ' (b( Por tareta magn-tica9 ' (

26


27/37

BHC

c( por claves verbales9 ' (d( %tras9 ' (

4. 8#on controladas las visitas y demostraciones en el centro de cómputo9#/ ' ( &% ' (

4F. 8#e registra el acceso al departamento de cómputo de personas aenas a la dirección de informática9#/ ' ( &% ' (

6G. 8#e vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y

evitar un posible fraude9#/ ' ( &% ' (

64. 8E"iste alarma paraa( etectar fuego'calor o humo( en forma automática9 ' (b( 0visar en forma manual la presencia del fuego9 ' (c( etectar una fuga de agua9 ' (d( etectar magn-ticos9 ' (e( &o e"iste ' (

66. 8Estas alarmas estána( En el departamento de cómputo9 ' (b( En la cintoteca y discoteca9 ' (

67. 8E"iste alarma para detectar condiciones anormales del ambiente9a( En el departamento de cómputo9 ' (b( En la cíntoteca y discoteca9 ' (c( En otros lados ' (6A. 83a alarma es perfectamente audible9#/ ' ( &% ' (

6B.8Esta alarma tambi-n está conectadaa( 0l puesto de guardias9 ' (b( 0 la estación de Jomberos9 ' (c( 0 ning$n otro lado9 ' (%troLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

6C. E"isten e"tintores de fuegoa( anuales9 ' (

b( 0utomáticos9 ' (c( &o e"isten ' (

6D. 8#e ha adiestrado el personal en el maneo de los e"tintores9#/ ' ( &% ' (

6. 83os e"tintores, manuales o automáticos a base de2/P% #/ &%a( 0gua, ' ( ' (b( Kas9 ' ( ' (c( %tros ' ( ' (6F. 8#e revisa de acuerdo con el proveedor el funcionamiento de los e"tintores9#/ ' ( &% ' (

7G. 8#i es que e"isten e"tintores automáticos son activador por detectores automáticos de fuego9#/ ' ( &% ' (

74. 8#i los e"tintores automáticos son a base de agua 8#e han tomado medidas para evitar que el agua cause mas daño que elfuego9#/ ' ( &% ' (

76. 8#i los e"tintores automáticos son a base de gas, 8#e ha tomado medidas para evitar que el gas cause mas daño que elfuego9#/ ' ( &% ' (

77. 8E"iste un lapso de tiempo suficiente, antes de que funcionen los e"tintores automáticos para que el personala( *orte la acción de los e"tintores portratarse de falsas alarmas9 #/ ' ( &% ' (

27


28/37

BHC

b( Pueda cortar la energía El-ctrica #/ ' ( &% ' (c( Pueda abandonar el local sin peligrode into"icación #/ ' ( &% ' (d( Es inmediata su acción9 #/ ' ( &% ' (

7A. 83os interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos9#/ ' ( &% ' (

7B. 8#aben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado porfuego9

#/ ' ( &% ' (

7C. 8El personal aeno a operación sabe que hacer en el caso de una emergencia 'incendio(9#/ ' ( &% ' (

7D. 8E"iste salida de emergencia9#/ ' ( &% ' (

7. 8Esta puerta solo es posible abrirla!a( esde el interior 9 ' (b( esde el e"terior 9 ' (c( 0mbos 3ados ' (

7F. 8#e revisa frecuentemente que no est- abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que

e"isten9#/ ' ( &% ' (

AG. 8#e ha adiestrado a todo el personal en la forma en que se deben desaloar las instalaciones en caso de emergencia9#/ ' ( &% ' (

A4. 8#e ha tomado medidas para minimizar la posibilidad de fuego!a( Evitando artículos inflamablesen el departamento de cómputo9 ' (b( Prohibiendo fumar a los operadoresen el interior9 ' (c( Nigilando y manteniendo elsistema el-ctrico9 ' (d( &o se ha previsto ' (

A6. 8#e ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitardaños al equipo9#/ ' ( &% ' (

A7. 8#e limpia con frecuencia el polvo acumulado debao del piso falso si e"iste9#/ ' ( &% ' (

AA. 8#e controla el acceso y pr-stamo en laa( iscoteca9 ' (b( *intoteca9 ' (c( Programoteca9 ' (

AB. E"plique la forma como se ha clasificado la información vital, esencial, no esencial etc.

AC. 8#e cuenta con copias de los archivos en lugar distinto al de la computadora9#/ ' ( &% ' (

AD. E"plique la forma en que están protegidas físicamente estas copias 'bóveda, caas de seguridad etc.( que garantice suintegridad en caso de incendio, inundación, terremotos, etc.

A. 8#e tienen establecidos procedimientos de actualización a estas copias9#/ ' ( &% ' (

AF. /ndique el n$mero de copias que se mantienen, de acuerdo con la forma en que se clasifique la información!G 4 6 7

28


29/37

BHC

BG. 8E"iste departamento de auditoria interna en la institución9#/ ' ( &% ' (

B4. 8Este departamento de auditoria interna conoce todos los aspectos de los sistemas9#/ ' ( &% ' (

B6. 8:ue tipos de controles ha propuesto9

B7. 8#e cumplen9#/ ' ( &% ' (

BA. 8#e auditan los sistemas en operación9#/ ' ( &% ' (

BB.8*on que frecuencia9a( *ada seis meses ' (b( *ada año ' (c( %tra 'especifique( ' (

BC.8*uándo se efect$an modificaciones a los programas, a iniciativa de qui-n es9a( +suario ' (b( irector de informática ' (c( ?efe de análisis y programación ' (d( Programador ' (

e( %tras ' especifique( LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

BD.83a solicitud de modificaciones a los programas se hacen en forma9a( %ral9 ' (b( Escrita9 ' (En caso de ser escrita solicite formatos,

B.+na vez efectuadas las modificaciones, 8se presentan las pruebas a los interesados9#/ ' ( &% ' (

BF.8E"iste control estricto en las modificaciones9#/ ' ( &% ' (

CG.8#e revisa que tengan la fecha de las modificaciones cuando se hayan efectuado9

#/ ' ( &% ' (

C4.8#i se tienen terminales conectadas, 8se ha establecido procedimientos de operación9#/ ' ( &% ' (

C6.#e verifica identificación!a( e la terminal ' (b( el +suario ' (c( &o se pide identificación ' (C7.8#e ha establecido que información puede ser acezada y por qu- persona9#/ ' ( &% ' (

CA.8#e ha establecido un n$mero má"imo de violaciones en sucesión para que la computadora cierre esa terminal y se de avisoal responsable de ella9#/ ' ( &% ' (

CB.8#e registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores9#/ ' ( &% ' (

CC.8E"isten controles y medidas de seguridad sobre las siguientes operaciones98*uales son9' (=ecepción de documentosLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (/nformación *onfidencialLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (*aptación de documentosLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (*ómputo ElectrónicoLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (ProgramasLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (iscotecas y *intotecasLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (ocumentos de #alidaLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

29


30/37

BHC

' (0rchivos agn-ticosLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (%peración del equipo de computaciónLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (En cuanto al acceso de personalLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (/dentificación del personalLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (PoliciaLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (#eguros contra robo e incendioLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (*aas de seguridadLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL' (%tras 'especifique(LLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLL

XVII. SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas dentro del centro de cómputoconocen al detalle el diseño, lo que puede provocar que puedan producir alg$n deterioro a los sistemas si no se toman lassiguientes medidas!

4( #e debe restringir el acceso a los programas y a los archivos.

6( 3os operadores deben trabaar con poca supervisión y sin la participación de los programadores, y no deben modificar losprogramas ni los archivos.

7( #e debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldosinadecuados.A( &o debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.B( #e deben realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos.C( #e deben monitorear periódicamente el uso que se le está dando a las terminales.D( #e deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales.( El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesadoscompletamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento deldiseño general del sistema.F( eben e"istir registros que refleen la transformación entre las diferentes funciones de un sistema.4G( ebe controlarse la distribución de las salidas 'reportes, cintas, etc.(.44( #e debe guardar copias de los archivos y programas en lugares aenos al centro de cómputo y en las instalaciones de altaseguridadQ por eemplo! los bancos.46( #e debe tener un estricto control sobre el acceso físico a los archivos.47( En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa yversión.

2ambi-n evitará que el programador ponga nombres que nos signifiquen nada y que sean difíciles de identificar, lo que evitaráque el programador utilice la computadora para trabaos personales. %tro de los puntos en los que hay que tener seguridad es enel maneo de información. Para controlar este tipo de información se debe!

4( *uidar que no se obtengan fotocopias de información confidencial sin la debida autorización.6( #ólo el personal autorizado debe tener acceso a la información confidencial.7( *ontrolar los listados tanto de los procesos correctos como aquellos procesos con terminación incorrecta.A( *ontrolar el n$mero de copias y la destrucción de la información y del papel carbón de los reportes muy confidenciales.

El factor más importante de la eliminación de riesgos en la programación es que todos los programas y archivos est-ndebidamente documentados.

El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos ydocumentación necesarios para que pueda funcionar el plan de emergencia.

• Equipo, programas y archivos

• *ontrol de aplicaciones por terminal

• efinir una estrategia de seguridad de la red y de respaldos

• =equerimientos físicos.

• Estándar de archivos.

• 0uditoría interna en el momento del diseño del sistema, su implantación y puntos de verificación y control.

XVIII. SEGURIDAD AL RESTAURAR EL EQUIPO

30


31/37

BHC

En un mundo que depende cada día mas de los servicios proporcionados por las computadoras, es vital definir procedimientos encaso de una posible falta o siniestro. *uando ocurra una contingencia, es esencial que se conozca al detalle el motivo que laoriginó y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. 2ambi-n se debe analizar elimpacto futuro en el funcionamiento de la organización y prevenir cualquier implicación negativa.

En todas las actividades relacionadas con las ciencias de la computación, e"iste un riesgo aceptable, y es necesario analizar yentender estos factores para establecer los procedimientos que permitan analizarlos al má"imo y en caso que ocurran, poderreparar el daño y reanudar la operación lo más rápidamente posible.

En una situación ideal, se deberían elaborar planes para manear cualquier contingencia que se presente.

0nalizando cada aplicación se deben definir planes de recuperación y reanudación, para asegurarse que los usuarios se veanafectados lo menos posible en caso de falla o siniestro. 3as acciones de recuperación disponibles a nivel operativo pueden seralgunas de las siguientes!

• En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso.

• ediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha determinada.

• El procesamiento anterior complementado con un registro de las transacciones que afectaron a los archivos permitiráretroceder en los movimientos realizados a un archivo al punto de tener la seguridad del contenido del mismo a partirde -l reanudar el proceso.

• 0nalizar el fluo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de emergencia.

• =econfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

*ualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá ser planeado y probadopreviamente.

Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que puede utilizar, además de unconocimiento de las características de las aplicaciones, tanto desde el punto t-cnico como de su prioridad, el nivel de servicioplaneado y su influo en la operación de la organización.

0demás de los procedimientos de recuperación y reinicio de la información, se deben contemplar los procedimientos operativosde los recursos físicos como hard;are y comunicaciones, planeando la utilización de equipos que permitan seguir operando encaso de falta de la corriente el-ctrica, caminos alternos de comunicación y utilización de instalaciones de cómputo similares.

Estas y otras medidas de recuperación y reinicio deberán ser planeadas y probadas previamente como en el caso de lainformación.

El obetivo del siguiente cuestionario es evaluar los procedimientos de restauración y repetición de procesos en el sistema decómputo.

4( 8E"isten procedimientos relativos a la restauración y repetición de procesos en el sistema de cómputo9#/ ' ( &% ' (

6( 8Enuncie los procedimientos mencionados en el inciso anterior9

7( 8*uentan los operadores con alguna documentación en donde se guarden las instrucciones actualizadas para el maneo derestauraciones9#/ ' ( &% ' (

En el momento que se hacen cambios o correcciones a los programas y5o archivos se deben tener las siguientes precauciones!

4( 3as correcciones de programas deben ser debidamente autorizadas y probadas. *on esto se busca evitar que se cambien pornueva versión que antes no ha sido perfectamente probada y actualizada.

6( 3os nuevos sistemas deben estar adecuadamente documentos y probados.

7( 3os errores corregidos deben estar adecuadamente documentados y las correcciones autorizadas y verificadas.

3os archivos de nuevos registros o correcciones ya e"istentes deben estar documentados y verificados antes de obtener reportes.

XIX. PROCEDIMIENTOS DE RESPALDO EN CASO DE DESASTRE31


32/37

BHC

#e debe establecer en cada dirección de informática un plan de emergencia el cual ha de ser aprobado por la dirección deinformática y contener tanto proced

Manual Auditoria Sistemas

Documents

Transcript of Manual Auditoria Sistemas