Академический Документы
Профессиональный Документы
Культура Документы
8QLYHUVLGDG1DFLRQDO
-RVp)DXVWLQR6iQFKH]
&DUULyQ
)DFXOWDGGH,QJHQLHUtD
(VFXHOD$FDGpPLFR3URIHVLRQDO
GH,QJHQLHUtDGH6LVWHPDV
(VFXHOD$FDGpPLFR3URIHVLRQDO
GH,QJHQLHUtD,QIRUPiWLFD
&8562 7,78/$&,21
$8',725,$(17(&12/2*,$'(
/$,1)250$&,21
;,
7(0$ 6(0$1$
$8',725Ë$'(6(*85,'$'
7RPDGRSRU
(Indicado en la siguiente página)
Ing. Martín Figueroa Revilla
)XHQWH $8',725,$ (1 ,1)250È7,&$ 81 (1)248(
0(72'2/Ï*,&2 $XWRU (QULTXH +HUQiQGH]
+HUQiQGH](GLWRULDO&(&6$
/HFWXUD³$XGLWRUtDGH6HJXULGDG´SiJLQDV-
Ing. Martín Figueroa Revilla
$8',725,$'(6(*85,'$'
1. Hardware
2. Aplicaciones del software
3. Plan de contingencias y de recuperación
2EMHWLYRVGHHVWDUHYLVLyQ
• Verificar que existan los planes, políticas y procedimientos relativos a la
seguridad dentro de la organización.
• Confirmar que exista un análisis costo / beneficio de los controles y
procedimientos de seguridad antes de ser implantados.
• Comprobar que los planes y políticas de seguridad y de recuperación
sean difundidos y conocidos por la alta dirección.
• Evaluar el grado de compromiso por parte de la alta dirección, los depar-
tamentos usuarios y el personal de informática con el cumplimiento
satisfactorio de los planes, políticas y procedimientos relativos a la
seguridad.
• Asegurar la disponibilidad y continuidad del equipo de cómputo el tiempo
que requieran los usuarios para el procesamiento oportuno de sus aplica-
ciones.
• Asegurar que las políticas y procedimientos brinden confidenciabilidad a
la información manejada en el medio de desarrollo, implantación,
operación y mantenimiento.
• Verificar que exista la seguridad requerida para el aseguramiento de la
integridad de la información procesada en cuanto a totalidad y exactitud.
• Constatar que se brinde la seguridad necesaria a los diferentes equipos
de cómputo que existen en la organización.
• Comprobar que existan los contratos de seguro necesarios para el
hardware y software de la empresa (elementos requeridos para el
funcionamiento continuo de las aplicaciones básicas).
Ing. Martín Figueroa Revilla
3ULQFLSDOHVDFWLYLGDGHVSDUDDXGLWDUHVWDiUHD
1. Comparar proyectos con la planeación de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo
según necesidades específicas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
módulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la función de auditoria en informática.
8. Clasificar y almacenar la información de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las áreas
evaluadas.
10. Elaborar y documentar formalmente las conclusiones y recomendaciones
finales de esta revisión.
11. Anexar esta información al documento que contendrá el informe final.
5HTXHULPLHQWRVSDUDHOp[LWRGHODUHYLVLyQ
1. Formalizar el apoyo de la alta dirección al auditor en informática con el fin
de brindarle las facilidades necesarias para la ejecución de su trabajo.
Algunas acciones de apoyo serian:
Ing. Martín Figueroa Revilla
• La alta dirección hace del conocimiento de las áreas por auditar que
algunas de sus funciones serán revisadas y se requiere su apoyo.
• Proporcionar la información requerida por el auditor en informática.
• Externar comentarios y sugerencias al auditor.
+DUGZDUH
Aspectos por evaluar:
• Otros.
• Procedimientos y controles de seguridad para la evaluación, selección y
adquisición de hardware.
• Políticas enfocadas a comprobar que el software adquirido cubra los
siguientes puntos:
•Módulos de seguridad: acceso al hardware (llaves de seguridad, por
ejemplo); uso del hardware (facilidades de monitorear la operación) y
bitácoras de uso del hardware (quién, cuándo, para qué, entre otros
puntos).
• La actualización del hardware:
• Políticas orientadas a confirmar que el hardware actualizado cubra los
siguientes puntos:
• Autorización del hardware por medio de la justificación de la
actualización
• Impacto de la implantación del hardware en el medio de informática:
aplicaciones, software y costos
• Implicaciones de control en la implantación y uso del hardware
actualizado
• Reemplazo del hardware.
• Políticas para verificar que el hardware reemplazado cubra los siguientes
puntos:
• Autorización por medio de la justificación del reemplazo.
• Impacto de la implantación en el medio de informática: aplicaciones,
hardware y costos.
• Implicaciones de control en la implantación y uso del hardware nuevo.
$SOLFDFLRQHVGHOVRIWZDUH
6.3 ¿Cómo se aseguran que durante la operación de! sistema se den los
controles mencionados en el punto 6?
3,DQGHFRQWLQJHQFLDV\GHUHFXSHUDFLyQ
Aspectos clave por evaluar:
1. ¿Considera que tanto la alta dirección, usuarios como el personal de
informática están conscientes de que todos los recursos relacionados con
la informática son activos del negocio y deben protegerse de una manera
formal y permanente? ¿Por qué?
1.1 ¿Cuáles de los siguientes recursos vinculados con informática son
más importantes para la organización y cuáles tienen más y mejores
métodos de protección para seguir operando y apoyando los objetivos
del negocio en condiciones optimas?
+XPDQRV
Ing. Martín Figueroa Revilla
0DWHULDOHV
)LQDQFLHURV
7HFQROyJLFRV
'HLQIRUPDFLyQ
* — EiVLFR= LPSRUWDQWHN = QHFHVDULRM = PtQLPRNS — QRVHVDEH
1RWD Comprobar que los recursos considerados básicos, importantes o
necesarios tengan los métodos de seguridad para prevenir y enfrentar
contingencias; en caso de que no existan, se podrá observar que dichas
consideraciones son más teóricas que prácticas. En cuanto a los recursos de
importancia mínima o desconocida, se preguntará el por qué de tales
afirmaciones.
2. Evaluación e identificación
de riesgos
3. Elaboración de acciones, políticas
y procedimientos por tipo de riesgo
4. Documentación del plan
5. Aprobación y difusión del plan
6. Simulación del plan
7. Actualización del plan
* 'en desarrollo T = terminada 1O— no iniciada
2.1 ¿Se han presentado contingencias que hayan sido enfrentadas con el
plan de contingencias y de recuperación diseñado para la empresa?
¿Con qué resultados?
2.2 Si no tienen este plan, ¿qué acciones han tomado para enfrentar tales
eventualidades y quiénes han sido los responsable de ejecutarlas?
3. Señale si poseen una función responsable de seguridad que verifique y de
seguimiento a los siguientes puntos:
• Actualización formal de los planes
• Capacitación a los usuarios y personal de informática en cuanto a la
aplicación de los procedimientos contemplados en los planes
• Supervisión y orientación en la ejecución de simulacros
• Asignación de los responsables de la ejecución de las actividades
contempladas en los planes para:
• Prevención de contingencias.
• Apoyo a la empresa en casos de desastres o de contingencias con el
fin de reducir en lo posible las pérdidas humanas, equipos, datos, etc.
• Reinicio inmediato o en el tiempo mínimo posible de las operaciones de
la empresa.
• Otros.
3/$1($&,Ï1'(,1)250È7,&$
Metodología
Técnicas
Herramientas
Capacitación y actualización
2EMHWLYRVGHODUHYLVLyQ
• Detectar la existencia, formalización y conocimiento de la planeación de
informática en las áreas clave del negocio
• Verificar que la planeación de informática haya sido evaluada y aprobada
por la alta dirección.
• Comprobar que la planeación de informática se enfoque en el soporte de
los objetivos, planes, políticas y estrategias de la empresa.
• Evaluar el grado de compromiso por parte de la alta dirección con
informática para determinar si el apoyo que brinda a la planeación de
informática es el adecuado.
• Confirmar la existencia de una metodología en informática.
• Investigar si existen técnicas y herramientas de productividad para el
desarrollo del plan.
• Comprobar que exista un proceso formal de capacitación para el
entendimiento y manejo satisfactorio de la metodología de planeación en
informática.
• Evaluar el grado de cumplimiento de la metodología, técnicas y
herramientas en el proceso de planeación de informática.
• Comprobar si la alta dirección, los responsables de las áreas usuarias y
los responsables de informática se han involucrado en el proceso de
planeación de informática.
• Verificar si se da cumplimiento a los proyectos surgidos del plan de
informática.
Ing. Martín Figueroa Revilla
3ULQFLSDOHVDFWLYLGDGHVSDUDDXGLWDUHVWDiUHD
1. Comparar proyectos con la planeación de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo
según necesidades especificas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
módulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la función de auditoría en informática.
8. Clasificar y almacenar la información de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las áreas
evaluadas.
10. Elaborar y documentar las conclusiones y recomendaciones finales de
esta revisión.
11. Anexar esta información al documento que contendrá el informe final.
Ing. Martín Figueroa Revilla
5HTXHULPLHQWRVSDUDHOp[LWRGHODUHYLVLyQ
1. Formalizar el apoyo de la alta dirección al auditor en informática con el fin
de brindarle las facilidades necesarias para la ejecución de su trabajo.
Algunas acciones de apoyo serian:
• La alta dirección hace del conocimiento de las áreas por auditar que
algunas de sus funciones serán revisadas y se requiere su apoyo.
• Proporcionar la información requerida por el auditor en informática.
• Externar comentarios y sugerencias al auditor.
0HWRGRORJtD
Aspectos clave por evaluar:
1.1 ¿Esta metodología contempla qué hacer, quién debe hacerlo y cuándo
debe hacerse durante los proyectos de planeación de informática?
1.2 Si es así, indique si también abarca los pasos y lineamientos
requeridos para la siguiente clasificación de proyectos:
• Etapas de la metodología
• Tareas de cada etapa
• Secuencia de las etapas y tareas
• Responsables e involucrados en cada etapa y tarea.
• Productos terminados por cada etapa o tarea.
• Requerimientos técnicos y administrativos para el cumplimiento de cada
tarea.
• Revisiones formales e informales sugeridas para cada etapa.
• Duraciones estimadas de cada etapa del proyecto.
• Consideraciones para proyectos especiales.
7pFQLFDV
Aspectos clave por evaluar:
1. ¿El personal de informática sabe cuáles son las técnicas requeridas para
el desarrollo, seguimiento y documentación de las etapas de planeación de
informática?
1.2 ¿Existen dichas técnicas para la planeación de informática en la
empresa?
1.3 ¿Se capacita formalmente al personal de desarrollo de sistemas en el
uso y aplicación de estas técnicas?
1.4 ¿Se capacita al personal recién contratado en el manejo de las
mismas?
1.5 ¿Qué procedimiento se utiliza para la capacitación del personal de
desarrollo en el uso de metodologías y técnicas?
2. Explique cuáles de las técnicas siguientes son usadas en el desarrollo
de sistemas por su empresa:
7pFQLFD 6t 1R(WDSDGRQGHVHDSOLFD
Listas de verificación
Entrevistas
Listas de verificación de aseguramiento de calidad
Ing. Martín Figueroa Revilla
Control de proyectos
Análisis organizacional (sistemas de negocio)
Análisis costo/beneficio
Documentación
Diagramación
Modelación de datos y procesos
Investigación
Manejo de equipos de trabajo
Otros (especifique)
3. ¿Quiénes y cómo determinaron cuáles eran las técnicas requeridas para el
desarrollo e implantación de sistemas de información del negocio?
311 ¿Su uso está generalizado en la empresa? ¿Cómo se aseguran deque
se aplique?
+HUUDPLHQWDV
Aspectos clave por evaluar:
&RQFHSWR+DUGZDUH6RIWZDUH +HUUDPLHQWDV
PDQXDOHV
Procesadores de palabras
Hojas electrónicas
Graficadores
Diagramadores
Presentadores
Ing. Martín Figueroa Revilla
Generadores de
aplicaciones
Generadores de bases
de datos
Ingeniería de software
Índices de productividad
EHQFKPDUNV
Otros (especifique)
1.3 ¿Su uso está generalizado en la empresa? ¿Cómo se aseguran de
que se aplique?
&DSDFLWDFLyQDFWXDOL]DFLyQ
Aspectos clave por evaluar;
$VSHFWRVFRPSOHPHQWDULRV
El auditor en informática ha de recomendar al menos los siguientes puntos:
• Misión
• Objetivos
• Estrategias
• Oportunidades
• Fortalezas
• Debilidades
• Amenazas
• Planes a corto, mediano y largo plazos
Ing. Martín Figueroa Revilla
• Políticas
• Funciones primordiales
• Información básica para dichas funciones
• Requerimientos
• Otros