Plantilla unidad II

UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS

UNIDAD ACADÉMICA DE PINOS

TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

N

Auditoria de Sistemas de TI Unidad II. Desarrollo de la auditoria informática

2015

Autor: Ana Francisca Martínez Betancourt, José de Jesús Cisneros Morales,

Lizbeth Martínez Dávila.

Auditoria de Sistemas de TI - Valor Creativo 2

Contenido

Plan de auditoria .................................................................................................................................................. 3

Lista de verificación de seguridad de la información ........................................................................................... 5

Diagrama de proceso de selección de proveedores............................................................................................. 9

LISTA DE COMPROBACIÓN “APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO” ...............................10

LISTA DE COMPROBACIÓN “AUDITORIA DE LA FASE DE ANALISIS” ..................................................................14

LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE DISEÑO” ....................................................................17

LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE CONSTRUCCIÓN” ......................................................19

LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE IMPLANTACIÓN” .......................................................21

LISTA DE COMPROBACIÓN “AUDITANDO LA RED FISICA”.................................................................................24

LISTA DE COMPROBACIÓN “AUDITANDO LA RED LÓGICA” ..............................................................................27

Auditoria de Sistemas de TI


Plan de auditoria

FORMATO PLAN DE AUDITORIA INDEPENDIENTE DE CONTROL

INTERNO ANEXO 2

Código : SC-P-02-F-02

Versión: 01

Fecha elaboración: 19/06/2015

Vigente desde: 20/06/2015

Fecha de la auditoria 22/06/2015

Área/Actividad y/o tarea auditar

Auditores designados Los presentes auditores asignados son Ana Martínez Betancourt, José de Jesús Cisneros,

Mónica de los Ángeles y Sandra Montoya

Objetivo de la auditoria: El análisis de la eficiencia de los Sistemas Informáticos, La verificación del cumplimiento de la Normativa en este ámbito, La revisión de la eficaz gestión de los recursos informáticos.

Objetivos específicos: Participación en el desarrollo de nuevos sistemas: * Realizar una evaluación de controles,* Dar cumplimiento de la metodología que lleva la empresa. Evaluación de la seguridad en el área informática. Evaluación de suficiencia en los planes de contingencia. Cómo generar respaldos, prever qué va a pasar si se presentan fallas. Opinión de la utilización de los recursos informáticos. Tener un resguardo adecuado y protección de activos. Control de modificación a las aplicaciones existentes. Evitar fraudes y robo de información por parte de personal interno o externo. Tener un control a las modificaciones de los programas. Participación en la negociación de contratos con los proveedores de equipo o de software. Revisión de la utilización del sistema operativo y los programas utilitarios. Tener un adecuado control sobre la utilización de los sistemas operativos y dispositivos conectados a los equipos. Auditoría de la base de datos. Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de poder verificar si donde se está guardando la información se encuentra encriptada, niveles de seguridad, accesos, entre otros. Auditoría de la red de teleprocesos.

Alcance de la auditoria: El alcance de la Auditoría no es nada más que la precisión con que se define el entorno y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando cuales se omitieron.

Documentos de referencia (Norma y/o Procedimientos): ISO 9011 Indica como auditar los procesos que constituyen al sistema de gestión de la calidad. ISO 9126 Es estándar internacional para evaluación de calidad del software. ISO 10006 Sistemas de gerencia de la calidad

Reunión de apertura

22/06/2015


Actividad Fecha Horas requeridas Nombre del

auditado Cargo

Nombre auditor

Elaborar un listado de las máquinas y de los programas más usados, usando listado sugerido. 24/06/2015 48 Horas

José Luis Ontiveros

Administrador de laboratorio Ana Martínez

Especificar y documentar las observaciones especiales de las maquinas que requieren una apreciación exhaustiva

25/06/2015 12 Horas Marisol Rodríguez Gerente

Jesús Cisneros

Elaborar un diagrama de la estructura y conexiones de red con los correspondiente equipos 28/06/2015 8 Horas

Alberto González Diseñador

Sandra Montoya

Realizar un análisis preliminar sobre el estado general del laboratorio

28/06/2015 24 Horas Isamar Louis Analista Mónica de los ángeles

Solicitud de manuales y documentaciones

02/07/2015 18 Horas Marisol Rodríguez

Director administrativo

Sandra Montoya

Recopilación de la información 04/07/2015 10 Horas Eraldi Montés Analista Ana Martínez

aplicación de cuestionario a personal 07/07/2015 7 Horas

Jonathan Muñoz Analista Ana Martínez

análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos

08/07/2015 28 Horas Israel Núñez Programador Jesús Cisneros

Evaluación de los sistemas : relevamiento de hw y sw

09/07/2015 12 Horas Juan Morquecho

Administrador de laboratorio

Mónica de los ángeles

Revisión de paneles de trabajo 10/07/2015 07 Horas

Isabela Monte claro Gerente

Jesús Cisneros

Observaciones: Ninguna

Firma de aprobación jefe de control interno

22/06/2015


Lista de verificación de seguridad de la información

LISTA DE VERIFICACIÓN

Fecha: Viernes 19 de Junio 2015

1- Información General.

Empresa: Softsecury

Domicilio: Calle Constitución #2A, Colonia Centro, Pinos Zac

Teléfono: 496-117-23-99

E-Mail: [email protected]

Persona de contacto: Ing. en TIC. José de Jesús Cisneros Morales

Auditores: Ing. en TIC. Ana Francisca Martínez Betancourt, Ing. en TIC. Sandra Montoya Reyes, Mónica de los

Ángeles Ramírez

Personas presentes y posiciones que ocupan: Jefe del Departamento de Desarrollo de Software Ing. en TIC.

José de Jesús Cisneros Morales, Responsable de la Empresa Softsecury Ing. en TIC. Mónica de los Ángeles

Ramírez

Cantidad de empleados: 15 empleados

Alcance: Verificar cada uno de los puntos relevantes en el desarrollo de software para eliminar las mermas

que impiden el éxito rotundo del producto final y proporcionar recomendaciones para su mejora en un

tiempo de medio año.


Diagrama de proceso de selección de proveedores


LISTA DE COMPROBACIÓN “APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”

Objetivo General:

El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.

Objetivos Específicos:

Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones

y las unidades afectadas.

Deben designarse un responsable o director del proyecto.

El proyecto debe ser catalogado y, en función de sus características, se debe determinar el modelo

del ciclo de vida QUE SE SIGUIRA.

Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizara el

proyecto y determina el plan del proyecto.

1 Se debe Comprobar que : SI NO Observaciones

2

Exista una orden de aprobación del proyecto refrendada por un órgano competente. El estudio de viabilidad debe haber seguido el cauce establecido.

X Presenta la estructura

del proyecto

3

En el documento de aprobación están definidos de forma clara y precisa los objetivos del mismo y las restricciones de todo tipo que deben tenerse en cuenta (temporales, recursos técnicos, recursos humanos, presupuesto, etc.)

X Se encuentran dentro de la documentación

4 Se ha identificado las unidades de la organización a las

que afectan. No Aplica

5 La designación se ha llevado acabo según el

procedimiento establecido. X Se encuentran dentro de la documentación

6 Se le ha comunicado al director su nombramiento junto

con la información relevante del proyecto. No Aplica

7 Se ha catalogado y dimensionado proyecto según las

normas establecidas. X Se encuentran dentro de la documentación

8

Se ha evaluado los riesgos asociados al proyecto,

especialmente cuando se van usar tecnología no usaba

hasta el momento. X

Se encuentran dentro de la documentación

9

Se ha elegido el ciclo de vida más adecuado al tipo del

proyecto de que se trata.


10

Se ha hecho información histórica que se dispone tanto

para dimensionar el proyecto y sus riesgos como para

seleccionar el ciclo de vida. X


11

Se prestaran atención si se elige un ciclo de vida basado

en el prototipado. En este caso debe cumplirse los

requisitos necesarios para aplicarse con éxito (dificultad



para los usuarios para expresar los requisitos y

disponibilidades de una herramienta de construcción

rápida de prototipos) y debe existir un acuerdo con los

usuarios sobre el alcance del prototipo y de los objetivos

que se persiguen con el mismo.

12

La asignación del director del proyecto y el equipo de

desarrollo que se ha llevado acabo según el

procedimiento establecido. X


13

Los participantes que permanezcan a otra área

(sistemas, comunicaciones u ofimática, etc.)se han

solicitado según el protocolo existente. X


14

Si participan personal externo, los perfiles profesionales

son adecuados a las funciones que van a realizar. El

contrato suplente del protocolo de contratación. X

Se desarrollaran con el personal interno

15

Se ha comunicado a todos los miembros del equipo de

desarrollo los objetivos del proyecto, la responsabilidad

que tendrán en el mismo, las fechas en la que

participaran y la dedicación (completa/parcial).


16

El plan de proyectos realizado es realista y utiliza la

información histórica de la que se disponga para realizar

estimaciones X


Objetivo General:

El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en

cuenta las restricciones de tiempo y recurso. Los criterios usados serán coherentes con los objetivos

de las unidades afectadas


Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión

del proyecto

Se debe establecer un mecanismo para la resolución de los problemas que pueden plantearse a lo

largo del proyecto. Se debe comprobar que:

Debe existir un control de cambio de a lo largo del proyecto.

Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el modulo o fase, debe

hacerse de forma adecuada.

Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo largo del proyecto


2

Se ha constituido formalmente el comité de dirección del proyecto y en él están incluidos los responsables de todas las unidades afectadas.


3

El comité tiene una periodicidad de reunión mínima y en cualquier caso siempre que lo exija el desarrollo del proyecto, debe tener competencia para la asignación de recursos, la revisión de la marcha del proyecto y para modificar el plan del proyecto en función de las



revisiones.

4

Las reuniones se hacen con un orden del día y las decisiones tomadas quedan documentadas en las actas de dicho comité.


5 El número de reuniones y la duración de las mismas no

superan un límite razonable X Se encuentran dentro de la documentación

6

Existen hojas de registro de problemas y hay alguna persona del proyecto encargada de su recepción, así como un procedimiento conocido de tramitación.


7

Hay un método para catalogar y dar prioridad a los problemas, así como para trasladarlos a la persona que los debe resolver, informando si es necesario al director del proyecto y al comité de dirección.


8 Se controla la solución del problema y se deja constancia

de la misma. X Se encuentran dentro de la documentación

9

Existe un mecanismo para registrar cambios que pudieran producirse así como para evaluar el impacto de los mismos.

X No presenta pruebas , ya que no se utiliza el

proceso evaluado

10

La documentación afectada se actualiza de forma adecuada y se lleva un control de versiones de cada producto, consignado la última fecha de actualización.


11

Se remite la nueva versión de los documentos actualizando a los participantes en el proyecto.


12 Se respetan los límites temporales y presupuestarios

marcados al inicio del proyecto. X Se encuentran dentro de la documentación

13 Se han tenido en cuenta los riesgos del reajuste. X


14

Se notifica el cambio a todas las personas que de una u otra forma participen en el proyecto y se ven afectados.


15 Si existe un plan de sistemas, se actualiza en

consecuencia. X No presenta pruebas , ya que no se utiliza el

proceso evaluado

16

Existe un procedimiento que permita registrar a los tiempos que cada participante del proyecto de dedica al mismo y que tarea realiza en este tiempo.


17

Las productividades que se obtienen para distintos

empleados en las mismas tareas son similares y están

en consonancia con la información histórica. X


18 Antes de comenzar una nueva etapa se ha documentado la etapa previa y se ha revisado y aceptado,



especialmente en las fases de análisis y diseño.

19 La documentación cumple con los estándares establecidos en el área.


20 Se respeta el plan establecido y en caso contrario se toman las medidas oportunas o se procede a la aprobación de una modificación del plan


21 Se respeta el uso de recursos previamente establecido.


22 La documentación de proyecto es completa y está catalogada perfectamente para accesos posteriores.

X No presenta pruebas , ya que no se utiliza el

proceso evaluado

23

Los recursos, tanto personales como materiales, se ponen a disposición del área o departamento del que provienen.


24

El comité de dirección y el director del proyecto hacen balance del proyecto, estudiando los posibles problemas y sus causas, los cambios del plan, etc. Toda esta información se registra en los archivos históricos sobre estimaciones y problemas.

X Solo estudia los

problemas pero no los registra

25

La nueva aplicación se incorpora al catálogo de aplicaciones existentes con toda la información relevante de la misma



LISTA DE COMPROBACIÓN “AUDITORIA DE LA FASE DE ANALISIS”

Objetivo General:

Pretende obtener un conjunto de especificaciones formales que describan las necesidades de la

información que debe ser cubierta por el nuevo sistema de una forma independiente del entorno

técnico.


Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma

clara los requisitos del mismo.

En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema

cumpla los requisitos establecidos

El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando

esta especificación con la aprobación de los usuarios


2

Existe un documento aprobado por el comité de dirección en el que determinan formalmente el grupo de usuarios que participaran en el proyecto.

X Presenta las pruebas en la documentación

del proyecto

3 Los usuarios elegidos son suficientemente representativos de las distintas funciones que se llevan a cabo en las unidades afectadas por el nuevo sistema


del proyecto

4

Se les ha comunicado a los usuarios su participación en el proyecto, informándoles del ámbito del mismo y de que es lo que se espera de ellos, así como la dedicación estimada que les supondrá esta tarea.


del proyecto

5

Existe un plan consensuado con el comité de dirección que detalla por cada entrevista la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guion de los aspectos que se van a preparar.

X No aplica debido al

tipo de procesos que sigue

6 Se entrevista a todos los integrantes en el grupo de usuarios y a todos los responsables de las unidades afectadas.


del proyecto

7

Se remite el guion a los entrevistados con tiempo

suficiente para que estos puedan preparar la entrevista y

la documentación que deseen aportar a la misma.


del proyecto

8

El guion incluye todas las cuestiones necesarias para obtener información sobre las funciones que el entrevistado realiza en su unidad y los problemas que necesita resolver


del proyecto

9 Se ha realizado un modelo físico del sistema actual, incluyendo los objetivos y funciones de cada unidad, así como sus flujos de entrada y salida de información


del proyecto

10 Se han catalogado los problemas del sistema actual así



como que estos problemas son reales del proyecto

11

Se han realizado el modelo lógico de datos y el modelo

lógico de proceso del sistema actual, así como que estos

son correctos y que se han llevado a cabo con las

técnicas usadas en el área

X

12 Existe el catálogo de requisitos que están justificados. X

Presenta las pruebas en la documentación

del proyecto

13 Los requisitos son concretos y cuantificables, de forma que pueda determinarse el grado de cumplimiento al final del proyecto


del proyecto

14 Cada requisito tiene una prioridad y está clasificado en

funcional o no funcional. X Presenta las pruebas en la documentación

del proyecto

15

El catálogo de requisitos ha sido revisado y aprobado por

el grupo de usuarios y por el comité de dirección,

constituyendo a partir de este momento del “contrato”

entre estos y el equipo de desarrollo del proyecto


del proyecto

16 De El procedimiento existe y está aprobado existir el diccionario de datos o repositorio X

No aplica debido al tipo de procesos que

sigue

17

la especificación del nuevo sistema incluirá los requisitos

de seguridad rendimiento, copias de seguridad y

recuperación etc X

Presenta las pruebas en la documentación

del proyecto

18

Es coherente con el procedimiento de control de cambio general para el proyecto.


del proyecto

Objetivo del Control C2:

1 Se debe comprobar que: SI NO Observaciones

2 Existe un documento en que se describen las distintas alternativas. X


sigue

3 Hay más de una alternativa y en caso contrario, que no existe realmente otra posible. X


sigue

4 Cada alternativa está descrita desde un punto de vista lógico (al menos modelo lógico de procesos) y es coherente con los requisitos establecidos.



5 Si existe en el mercado a un producto que cumpla con unas mínimas garantías los requisitos especificados, una de las alternativas debe ser su compra.



6 Si no lo impiden las características del proyecto una de las alternativas debe ser el desarrollo del sistema por parte de una empresa externa.



7 Se han evaluado las ventajas e inconvenientes de cada alternativa de forma objetiva (análisis coste/beneficio por


tipo de procesos que


ejemplo) así como los riesgos asociados. sigue

8 El comité de dirección ha seleccionado una alternativa como la más ventajosa y es realmente la mejor para la organización.




LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE DISEÑO”

Objetivo General:

Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que

se tenga y con el entorno tecnológico elegido.


El entorno tecnológico debe estar definido de forma clara y ser conforme a los estándares del

departamento de informática.

Se deben identificar todas las actividades físicas a realizar por el sistema y descomponer las mismas

de forma modular.

Se debe diseñar la estructura física de datos adaptando las especificaciones del sistema al entorno

tecnológico.

Se debe diseñar un plan de pruebas que permita la verificación de los distintos componentes del

sistema por separado, así como el funcionamiento de los distintos subsistemas y del sistema en

conjunto.

La actualización del plan de proyecto seguirá los criterios ya comentados.

Se debe Comprobar que : SI NO Observaciones

1

Están perfectamente definidos todos los elementos que configuran el entorno tecnológico para el proyecto (servidores, computadoras personales, periféricos, sistemas operativos, conexiones de red, protocolos de comunicación, sistemas gestores de bases de datos, compiladores, herramientas CASE, middleware en caso de programación cliente/servidor, librerías, etc).

X

Presenta pruebas dentro de la

documentación del Proyecto

2

Se dispone de los elementos seleccionados, están dentro de los estándares del departamento de informática y son capaces de responder a los requisitos establecidos de volúmenes, tiempos de respuesta, seguridad, etc.

X



3

Se han documentado todas las actividades físicas que debe realizar el sistema.

X



4

El catálogo de actividades es coherente con las funciones identificadas en el MLP del módulo EFS.

X



5

Se han identificado las actividades que son comunes, así como las que ya existen en las librerías generales del área.

X



6

Existe el documento con el diseño de la estructura modular del sistema, se ha realizado con una técnica adecuada y es correcto.

X




7

El tamaño de los módulos es adecuado, el factor de acoplamiento entre ellos es mínimo y la cohesión interna de cada módulo es máxima.

X



8

Los módulos se diseñan para poder ser usados por otras aplicaciones si fuera necesario.

X



9

Los componentes o programas del nuevo sistema se han definido con detalle a partir del diseño modular, la definición es correcta y sigue los estándares del área. La descripción de los componentes es suficiente para permitir su programación por parte de un programador sin conocimiento previo del sistema.

X



10

Se han detallado las interfaces de datos y control con otros módulos y sistemas, asá como la interfaz de usuario ya especificada en el módulo EFS.

X



11

El módulo físico de datos está basado en el MLD obtenido en el módulo EFS e incluye todas las entidades, relaciones, claves, vistas, etc.

X



12 Tiene en cuenta el entorno tecnológico y los requisitos de rendimiento para los volúmenes y frecuencias de acceso estimados.


proceso que no sigue

13

Existe el plan de pruebas y contempla todos los recursos necesarios para llevarlas a efecto.

X



14

Las personas que realizarán las pruebas de verificación son distintas a las que han desarrollado el sistema.

X



15

Existe el plan para validar cada uno de los componentes del sistema, incluyendo pruebas del tipo caja blanca para cada módulo. Tendrán en cuenta todas las posibles condiciones lógicas de ejecución, además de posibles fallos del hardware o software de base.

X



16

Permite validar la integración de los distintos componentes y el sistema en conjunto.

X




LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE CONSTRUCCIÓN”

OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando técnicas de

programación correctas.

C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así como los

procedimientos de operación, antes de iniciar el desarrollo.

C-FI-2: se debe programar, probar y documentar cada uno de los componentes identificados en el

diseño del sistema.

C-F1-3: deben realizarse las pruebas de integración para asegurar que las interfaces, entre los

componentes o módulos funcionan correctamente. Se debe comprobar que.

OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar capacitados y

disponer de todos los medios para hacer uso del sistema.

C-G1-1: el desarrollo de los componentes de usuario debe estar planificado

C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema

C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de estándares del

área

C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los procesos de formación o

selección de personal necesario

C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el

nuevo sistema

Se Debe Comprobar Que: Si No Observaciones

1

Se han creado e inicializado las bases de datos o archivos necesarios y que cumplen las especificaciones realizadas en el módulo de diseño.

X

Presenta pruebas en la


2 En ningún momento se trabaja con información que se encuentra en explotación.

X No se ha realizado

el proceso

3

Se han preparado los procedimientos de copia de seguridad.

X



4 Se han preparado los editores, compiladores, herramientas, etc. Necesarios.


el proceso

5

Están disponibles los puestos de trabajo y el acceso a los equipos, redes etc.

X



6

Están disponibles todos los elementos lógicos y físicos para realizar las pruebas unitarias de los componentes y las pruebas de integración.

X



7 Están documentados todos los procedimientos de operación para cuando el sistema esté en explotación.


el proceso

8

Los procedimientos se llevan a cabo después de tener la especificación funcional del sistema y antes de la implementación del mismo.

X



9 Están definidos los distintos perfiles de usuario requerido X Presenta pruebas


para la implantación y explotación del nuevo sistema. en la documentación

del Proyecto

10

Se han desarrollados todos los componentes y módulos

X



11

Se han seguido los estándares de programación, documentación del área , código es estructurado , está bien sangrado y contiene comentarios suficiente

X



12

Se han probado cada componentes y se a generado e informe de prueba. Si los resultados de las pruebas no san satisfactorio se modifica el código y se vuelve a realizar la prueba. Si se detecta una falla de especificación o diseño, el proyecto se actualizara según el procedimiento establecido para ello

X



13

Las pruebas de integración se han llevado acabo según lo especificado en el plan de pruebas realizado en el módulo de diseño

X



14 Se han evaluado las pruebas y se han tomado las acciones correctivas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia


el proceso

15

No han participado los usuarios. En las pruebas de integración solo debe participar el equipo de desarrollo

X



16

El plan del proyecto está incluido el plan de desarrollo de los procedimientos de usuario e incluye todo las actividades y recursos necesarios

X



17

Para cada perfil se ha definido el rango de fechas y la dedicación necesaria.

X



18

Están desarrollados todos los procedimientos de usuario, recopilados, formando el manual de usuario, y son coherentes con las actividades descritas en EFS.

X



19

Cada procedimiento describe claramente que realiza, el perfil de usuario asociado, asi como los recursos que son necesarios (equipos, consumibles, periféricos especiales, espacio, etc.).

X



20

Los manuales de usuario y el resto de procedimientos cumplen los estándares del área y llevan asociado su control de versiones.

X



21

La comparación de perfiles de usuarios y recursos requeridos con los actuales es realista y los procedimientos que se derivan son adecuados y están aprobados por los responsables de las unidades afectadas.

No Aplica


LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE IMPLANTACIÓN”

Objetivo General:

El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.


Se de ben realizar las pruebas del sistema que se especificaron en el diseño del mismo.

El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.

El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.

Se debe comprobar que: SI NO Observaciones

1

Se prepara el entorno y los recursos necesarios para realizar las pruebas. X

Las Pruebas suficientes se

encuentran en la Documentación del

Proyecto

2

Las pruebas se realizan y permiten verificar si el sistema cumple con las especificaciones funcionales y si interactúa correctamente con el entorno, incluyendo interfaces con otros programas, recuperación ante fallos, copias de seguridad, tiempos de respuesta, etc.

X



Proyecto

3

Se han evaluado los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

X



Proyecto

4 Se revisa el plan de implantación original y se documenta adecuadamente.


5

Está incluida la instalación de todos los componentes desarrollados, así como los elementos adicionales (librerías, utilidades, etc.).

X



Proyecto

6

Incluye la inicialización de datos y la conversión si es necesaria. X



Proyecto

7

Especifica los recursos necesarios para cada actividad, así como que el orden marcado para las actividades es compatible.

X



Proyecto

8

Se ha tenido en cuenta la información histórica sobre estimaciones. X



Proyecto

9 Se sigue el plan de pruebas de aceptación aprobado en la fase de análisis, que debe incluir la conversión de datos y la explotación.

X Las Pruebas

suficientes se encuentran en la


Documentación del Proyecto

10

Las pruebas de aceptación son realizadas por los usuarios. X



Proyecto

11

Se evalúan los resultados de las pruebas y se han tomado las acciones correctas necesarias para solventar las incidencias encontradas, actualizándose el proyecto en consecuencia.

X



Proyecto

12

El grupo de usuarios y el comité de dirección firman su conformidad con las pruebas de aceptación. X



Proyecto

Objetivo General:

El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento solo cuando

haya sido aceptado y esté preparado todo el entorno en el que se ejecutará.


Se deben instalar todos los procedimientos de explotación.

Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma coordinada con la

retirada del antiguo, migrando los datos si es necesario.

Debe firmarse el final de la implantación por parte de los usuarios.

Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para

evitar situaciones de abandono de uso del sistema.

Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.

Se debe comprobar que: SI NO Observaciones

1

Se han instalado además del sistema principal todos los procedimientos auxiliares, por ejemplo copias, recuperación, etc., tanto manuales como automáticos.

X

Las Pruebas suficientes se encuentran en la Documentación del

Proyecto

2

Están documentados de forma correcta.

X


Proyecto

3

Los usuarios han recibido la formación necesaria y tienen en su poder toda la documentación necesaria, fundamentalmente manuales de usuario.

X


Proyecto

4 Se han eliminado procedimientos antiguos que sean incompatibles con el nuevo sistema.


5

Hay un periodo de funcionamiento en paralelo de los dos sistemas, hasta que el nuevo sistema esté funcionando con todas las garantías. Esta situación no debe prolongarse más tiempo del necesario.


6 Si el sistema antiguo se va a mantener para obtener información se debe dejar en explotación el modo de sólo consulta.

No Aplica


7

Los datos se convierten de acuerdo al procedimiento desarrollado y se verifica la consecuencia de la información entre el sistema nuevo y el antiguo.

No Aplica

8 Existe el documento y que han sido firmados por el comité de dirección y por el grupo de usuarios.


9 Contiene de forma explícita la aceptación de la implantación correcta del sistema.


10

El índice de utilización del sistema es adecuado a los volúmenes que se esperaban para cada una de las áreas afectadas por el nuevo sistema.


11 Se ha comprobado, al menos informalmente, la impresión de los usuarios respecto al nuevo sistema.


12

El mecanismo existe y está aprobado por el director del proyecto, por el comité de dirección y por el área de mantenimiento, si ésta existiese.

X


Proyecto

13 Tiene en cuenta los tiempos de respuesta máximos que se pueden permitir ante situaciones de no funcionamiento.


14

El procedimiento a seguir ante cualquier problema o para el mantenimiento del sistema será conocido por todos los usuarios. Incluirá al menos la persona de contacto, teléfono, esquema de información a aportar, etc.



LISTA DE COMPROBACIÓN “AUDITANDO LA RED FISICA”

Objetivo General:

Áreas controladas por los equipos de comunicaciones previniendo el acceso

inadecuado.


Protección y tendido adecuado de cables y líneas de comunicaciones para evitar

para evitar accesos físicos.

Controles de utilización de equipos de prueba de comunicaciones para monitorizar

la red y su tráfico, que implica su utilización inadecuada.

Atención específica a la recuperación de los sistemas de comunicación de datos en

el plan de recuperación de desastres en sistemas de información.

Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la

red de datos para prevenir accesos no autorizados al sistema o a la red.


2 El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas.

Si Solo personal autorizado

3 La seguridad física de los equipos de comunicaciones tales, como controladores de comunicaciones, dentro de las salas de computadoras sea adecuado.

si Están organizados

4 Solo personas con responsabilidad y

conocimiento están incluidas en la lista de

personas permanentemente autorizadas para

entrar en las salas de equipos de

comunicaciones.

Si Solo personal autorizado

5 Se toman medidas para separar las actividades

de electricistas y personal de tendido y

mantenimiento de tendido de líneas

telefónicas, así como sus autorizaciones de

acceso , de aquellas de personal bajo control

de la gerencia de comunicaciones

si Cada quien tiene su trabajo

6 En las zonas adyacentes a la sala de

comunicaciones, todas las líneas de

comunicaciones fuera de la vista.

No todo va instalado


7 Las líneas de comunicaciones, en las salas de

comunicaciones, armarios distribuidores y

terminaciones de los despachos, estarán

etiquetadas con un código gestionado por la

gerencia de comunicaciones, y no por su

descripción física o métodos sin coherencia.

no

8 Existen procedimientos para la protección de

cables y bocas de conexión que dificulten el

que sea conectados por personas no

autorizadas.

No Porque hay reglamento

9 Se revisa periódicamente la red de

comunicaciones, buscando intercepciones

activas o pasivas.

no Porque es publica

10 Los equipos de prueba de comunicaciones

usados para resolver los problemas de

comunicaciones de datos deben tener

propósitos y funciones definidos.

no

11 Existen controles adecuados sobre los quipo de

prueba de comunicaciones usados para

monitorizar líneas y fijar problemas

no aplica

12 Existe procedimiento restringido el uso de estos equipos a personal autorizado.

si Solo persona adecuado sabe su

movimiento

13 Existe facilidades de traza y registro del tráfico de datos que poseen los equipos de monitorización.

no No existen equipos de monitoreo

14 Existen procedimientos de aprobación y registro ante las conexiones a líneas de comunicaciones en la detección y corrección de problemas.

No

15 El plan general de recuperación de desastres para servicios de información presta adecuada atención recuperación y vuelta al servicio de los sistemas de comunicación de datos

no

16 Existen planes de contingencia para desastres

que solo afecten a las comunicaciones, como el

fallo de una sala completa de comunicaciones

No aplica

17 Las alternativas de respaldo de

comunicaciones, bien sea como las mismas

salas o con salas de respaldo, consideran la

no aplica


seguridad física de estos lugares.

18 Las líneas telefónicas usadas para datos,

cuyos números no deben ser públicos, tienen

dispositivos procedimientos de seguridad como

retrollamada, código de conexión o

interruptores para impedir accesos no

autorizados al sistema informático.

no Aplica


LISTA DE COMPROBACIÓN “AUDITANDO LA RED LÓGICA”

Objetivo General:

Es necesario monitorear la red, revisar los errores o situaciones anómalas que se

producen y tener establecidos los procedimientos para detectar y aislar equipos en

situación anómala. En general, si se quiere que la información que viaja por la red

no pueda ser espiada, la única solución totalmente efectiva en la encriptación.


Contraseñas y otros procedimientos para limitar y detectar cualquier intento de

acceso no autorizado a la red de comunicaciones.

Facilidades de control de errores para detectar errores de una transmisión y

establecer las retransmisiones apropiadas.

Controles para asegurar que las transmisiones van solamente a usuarios

autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.

Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar

accesos no autorizados.

Técnicas de cifrado de datos donde haya riesgos de accesos impropios a

transmisiones sensibles.

Controles adecuados que cubran la importancia o exportación de datos a través de

puertas, en cualquier punto de la red, a otros sistemas informáticos.


2 El software de comunicaciones, para permitir el acceso, exige código de usuario y contraseña.

si

3 Los usuarios no pueden acceder a ningún sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.

si

4 Se inhabilita al usuario que sea incapaz de dar

la contraseña después de un número

determinado de intentos infructuosos.

si

5 Se obliga a cambiar la contraseña

regularmente.

no Por qué no hay tantos usuarios nada más uno

solo

6 Las contraseñas no son mostradas en pantalla

cuando se teclean.

no Es ilógico por que en cualquier

sistemas están ocultas

7 Durante el procedimiento de identificación, los

usuarios son informados de cuando fue su

si Por fechas ya registradas


última conexión para ayudar a identificar

potenciales suplantaciones o accesos no

autorizados.

8 Cualquier procedimiento del fabricante,

mediante hardware o software, que permita

libre acceso y que haya sido utilizado en la

instalación original, ha de haber sido

inhabilitado o cambiado.

si Algunos de los equipos si informan

9 Se toman estadísticas que incluyan tasas de

errores y retransmisión.

no N es necesario No se requiere es

procedimiento

10 Los protocolos utilizados, revisados con el

personal adecuado de comunicaciones,

disponen de procedimientos de control de

errores con la seguridad suficiente.

no No tienen un control

11 Los mensajes lógicos transmitidos identifican el

originarte, la fecha, la hora y el receptor.

no Encripta a la red

12 El software de comunicaciones ejecuta

procedimientos de control y correctivos ente

mensajes duplicados, fuera de órdenes,

perdidos, o retrasados.

No Hace enfoque a un servidor de

datos

13 La arquitectura de comunicaciones utilizada

indistintamente cualquier ruta disponible de

transmisión para minimizar el impacto de una

escucha de datos sensible en una ruta

determinada.

no El internen no lo probé

exteriormente

14 Existen controles para que los datos sensibles

solo puedan ser impresos en las impresoras

designadas y vistos desde lis terminales

autorizados.

no Las impresoras no se encuentran

el red

15 Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones.

si Se tiene un registro

16 Los activos de registro son revisados, se el posible a través de herramientas automáticas, diariamente, vigilando intentos impropios de acceso.

no Cuenta con seguridad

17 Existen análisis de riesgos para las

aplicaciones de proceso de datos a fin de

identificar aquellas en las que el cifrado resulte

apropiado.

no Se hace manual mente


18 Existen procedimientos de control sobre la

generación e intercambio de claves.

no Son permanentes

19 Las claves de cifrado son cambiadas

regularmente

no Son permanentes

20 El transporte de las claves de cifrado desde

donde se generan a los equipos que las utilizan

sigue un procedimiento adecuado.

No No aplica

21 Si se utilizan canales de comunicación uniendo

diversos edificios de la misma organización, y

existen datos sensibles que circulen por ellos,

comprobar que estos canales se cifran

automáticamente, para evitar que una

intercepción sistemática a un canal

comprometa a todas las aplicaciones.

no No aplica

22 Si la organización tiene canales de

comunicación con otras organizaciones se

analice la convención de cifrar estos canales.

No No aplica

23 Si se utiliza la transmisión de datos sensibles a

través de redes abiertas como Internet,

comprobar que estos datos viajan cifrados.

no

24 Si en una red local existen computadoras con

módems, se han revisado los controles de

seguridad asociados para impedir el acceso de

equipos foráneos a la red local.

Si Tiene dos divisiones de alumnos y de

docentes

25 Existe una política de prohibición de introducir

programas personales o conectar equipos

privados a la red local.

si En la de docentes se prohíbe

26 Periódicamente se ejecutan, mediante los

programas actualizados y adecuados, ataque

para descubrir vulnerabilidades, que los

resultados se documentan y se corrigen las

deficiencias observadas

no Solo están ejecutados los que se utilizan

Plantilla unidad II

Technology

Transcript of Plantilla unidad II