Gua de Auditoria.
Logo y nombre de la
Nombre de la empresa y rea de sistemas auditada.
empresa que realiza la
auditora.
Actividad que Procedimientos
Ref.
ser evaluada de auditoria
Ejemplo:
Empresa: Comercializadora, S.A.
Auditores de Sistemas
rea: Centro de servicios de sistematizacin.
asociados
Actividad que Procedimientos
Ref.
ser evaluada de auditoria
SAS-01. Evaluar la Solicitar la asignacin de
seguridad que una terminal para entrar al
el acceso de sistema y accesar
usuarios de la informacin, cambiar
red y la validez datos, instrucciones y
de sus programas, hasta donde lo
atributos. permite el sistema.
Ingresar al administrador y
cambiar privilegios,
atributos y contraseas de
varios usuarios.
Entrar al sistema de red sin
ninguna autorizacin y
accesar a la informacin,
alterar base de datos o
cambios al sistema, hasta
donde permita el sistema.
SAS-02. Evaluar la Entrar al sistema y dar de
seguridad de los alta a distintos accesos sin
niveles de tener autorizacin.
acceso de
usuarios. Solicitar a un usuario, sin
forzarle, que ingrese a un
nivel que no le corresponda
y verifique el sistema le
permita la operacin.
Fecha Hoja
DD MM AA __ de __
Herramientas que
Observaciones
sern utilizadas
Fecha Hoja
DD MM AA 1 de 12
21 07 2002
Herramientas que
Observaciones
sern utilizadas
Observacin partitiva, El sistema no debe permitir
oculta. ningn acceso.
Pruebas al sistema y a Obtener respaldo previo del
la base de datos. sistema y los movimientos
previos a la prueba.
Experimentacin a la
seguridad del sistema. Documentar los accesos y
cambios que se realicen al
Revisin documental sistema.
(electromagntica)
Observacin El sistema no debe de permitir
participativa y oculta. ningn acceso.
Pruebas al sistema y Obtener respaldo previo del
las bases de datos. sistema y los movimientos
previos a la prueba.
Experimentacin en la
seguridad del sistema. Documentar los accesos y
cambios que se realicen al
Revisin documental sistema.
(electromagntica)
SAS-03 Evaluar la Ingresar al sistema de red
confiabilidad en sin contrasea.
la
administracin Reiniciar el sistema y
de la utilizar teclas F5 o F8 al
contrasea. acceder el sistema e
ingresar sin contrasea.
Entrar al sistema con disco
de arranque externo e
ingresar sin contrasea.
Tratar de acceder al
sistema alterando tres
veces la contrasea y
observar las acciones del
sistema.
SAS-04 Evaluar la Solicitar la asignacin de
administracin una terminal para entrar al
y control de la sistema y realizar diversas
bitcora de actividades de las
acceso a los autorizadas, verificando
usuarios del documentalmente que se
sistema. tengan registradas estas en
la bitcora.
Hacer una revisin a la
bitcora y verificar la
informacin de los
usuarios: la fecha, hora de
ingreso y salida del sistema,
registro de sus actividades
y cualquier incidencia
durante su estancia.
Observacin El sistema por ningn medio
participativa, oculta. debe permitir el acceso sin
contrasea y al tercer intento
Pruebas al sistema y a bloquear la terminal.
las bases de datos.
Obtener respaldo previo del
Experimentacin en la sistema y los movimientos
seguridad del sistema. previos a la prueba.
Revisin documental Documentar los accesos y
(electromagntica) cambios que se realizan al
sistema.
Observacin
participativa, oculta.
Revisin documental
a los registros y el
sistema de cmputo.
Experimentacin en la
seguridad del sistema.
Entrevista con
administrador del
sistema, los usuarios y
personal del rea.

Monitorear aleatoriamente
usuarios y evaluar si las
actividades que realizan
estn registradas en la
bitcora. Si es necesario
aplicar encuestas y
entrevistas sobre el control
de la bitcora de acceso.

Evaluar los derechos y

obligaciones de los usuarios
en el manual de usuarios o
reglamento del rea de
cmputo en cuando a su
cumplimiento y registro de
incidencias en la bitcora.

Verificar que se cumpla con

los tiempos lmites de
acceso y sus registros en la
bitcora.
SAS-05 Evaluar el Entrevista al administrador Entrevista con el Llevar previamente elaborado
adecuado respecto al cumplimiento administrador del el cuestionario de las
cumplimiento de sus funciones, apoyadas sistema, los usuarios y entrevistas y los cuestionarios
de las funciones al manual de organizacin, personal de rea. de las encuestas.
del el manual de
administrador procedimientos y de Encuestas a los
del sistema de operacin. empleados y usuarios
red. del sistema.
Encuestas entre el personal
de rea y los usuarios del
sistema.
SAS-06 Evaluar el Hacer la revisin Revisin documental Elegir aleatoriamente los das y
registro documental a cada una de histrica a las las incidencias a revisar.
histrico de las las bitcoras de incidencias bitcoras anteriores.
incidencias de de tres meses, un semestre
seguridad de y un ao anteriores y Entrevistas y
acceso al evaluar la magnitud, encuestas con
sistema de red. impacto y solucin de las empleados y usuarios.
mismas.

Evaluar, mediante
entrevistas o encuestas, a
los empleados y usuarios
del rea, sobre las
incidencias ocurridas en
esas pocas, y obtener sus
opiniones sobre la
confiabilidad de registros
de incidencias en las
bitcoras pasadas.
SFA-01 Evaluar las Tratar de ingresar al rea Observacin Las pruebas de ingreso pueden
medidas de de sistemas sin ninguna participativa, directa y ser efectuadas por el auditor o
seguridad para identificacin y evaluar las oculta para el acceso por terceros ajenos al rea.
el acceso fsico incidencias. del rea.
del personal y
los usuarios del Tratar de ingresar al rea Entrevistas y
sistema. de sistemas con la encuestas a
identificacin de cualquier directivos, empleados
empleado y evaluar las y usuarios del rea.
incidencias.
Revisin documental
Evaluar actualizacin del a reportes y bitcoras
personal encargado de la de acceso.
entrada y las medidas de
seguridad, vigilancia y del
rea de sistemas.

Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre
las medidas de seguridad
del rea.

Verificar los cambios de

turno del personal de
vigilancia del rea de
 sistemas.

Revisar los reportes de

novedades del personal de
vigilancia y las bitcoras de
acceso, as como su
oportunidad y suficiencia
en el registro.

SFS-02 Evaluar las Revisar los reportes de
medidas de novedades de salida y
seguridad para entradas de bienes y
el control de evaluar los contenidos,
acceso y salida oportunidades,
de los bienes justificaciones e
informticos del incidencias.
rea de
sistemas. Revisar las bitcoras de
entrad y salida de bienes
del rea de sistemas, as
como el correcto registro
de sus contenidos, su
oportunidad y las
justificaciones e
incidencias.
Revisar los controles,
formatos y registros
documentales de las salidas
y entrada de bienes en el
rea de sistemas.
Observacin Las pruebas de ingreso pueden
participativa, directa y hacerlas al auditor o terceros
oculta para el acceso ajenos al rea.
de rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios del rea.
Revisin documental
a reportes y bitcoras
de acceso.
Experimentacin al
tratar de introducir y
de sacar bienes
informticos.

Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema, para
obtener su opinin sobre
las medidas de seguridad,
el registro y la solucin de
incidencias del rea.

Tratar de introducir un bien

sin notificarlo a vigilancia y
sin ninguna autorizacin.

Tratar de sacar un bien sin

notificarlo a vigilancia y sin
ninguna autorizacin.

Evaluar si existen
detectores de metales,
aduanas de revisin o
cualquier otra medida de
revisin para la entrada y
salida de bienes del rea.
SFS-03 Evaluar los Revisar los controles, Observacin
reportes de formatos y registros participativa, directa y
incidencias y las documentales de las salidas oculta para el acceso
acciones y entradas de bienes en el del rea.
preventivas y rea de sistemas.
correctivas en Entrevistas y
su solucin en Entrevistas y cuestionarios encuestas a
el acceso fsico a los directivos empleados directivos, empleados
de los usuarios. y usuarios del sistema, para y usuarios.
obtener su opinin sobre
las medidas de seguridad, Revisin documental
el registro y la solucin de a reportes bitcoras
incidencias del rea. de acceso.
SPC-01 Evaluar los Solicitar el plan de Revisin documental
planes de contingencia y evaluar su a reportes y bitcoras
contingencias correcta elaboracin la de acceso.
del rea de asignacin de funcionarios
sistemas. responsables, funciones y Entrevistas y
medidas preventivas y encuestas a
correctivas. directivos, empleados
y usuarios.
Evaluar que el plan de
contingencia contenga
acciones a realizar antes,
durante y despus de un
siniestro, as como los
responsables de las
mismas.

Evaluar la vigilancia,
constante actualizacin,
disponibilidad y difusin del
plan de contingencia entre
directivos, empleados y
personal de reas de
sistema.

Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre el
plan de contingencias su
utilidad, conocimiento,
difusin y actualizacin.
SPC-02 Evaluar la Revisar las bitcoras de Revisin documental Si existiesen incidencias
realizacin de elaboracin de simulacros y a reportes y bitcoras verdaderas y no simulacros,
simulacros en el evaluar el registro de de acceso. aplicar estos mismos puntos.
rea de incidencias, cumplimiento
sistemas. de actividades, objetivos y Entrevistas y
correcciones a las medidas encuestas a
preventivas y correctivas. directivos, empleados
y usuarios.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema, para
obtener su opinin sobre el
plan de contingencias, su
 utilidad, conocimiento,
difusin y actualizacin.
Obtener los reportes de
novedades, incidencias y
medidas correctivas,
derivada de los simulacros
y evaluar las
modificaciones al plan de
contingencia.

Evaluar que el plan de

simulacin contenga
acciones preventivas para
realizar el simulacro y
correctivas para despus
del mismo. As como la
correcta documentacin de
su realizacin.

Columna 1 Columna 2 Columna 3 Columna 4

Actividades que van a ser evaluadas Peso por Peso por factor Valor de
y ponderadas actividad Ponderar ponderacin
1. Objetivos del centro de computo 10%
2. Estructura de organizacin 10%
Definicin de estructura de organizacin 25% 2.5%
Definicin de funciones 25% 2.5%
Descripcin de puestos 20% 2.0%
Definicin de canales de comunicacin 10% 1.0%
Definicin de autoridad 10% 1.0%
Actualizacin de estructuras y puestos 5% 0.5%
Evaluacin peridica de funciones 5% 0.5%
Total del factor a ponderar 100% 10.0%
3. Funciones y actividades 15%
Definicin de funciones 20% 3.0%
Cumplimiento de las funciones 30% 4.5%
Manuales e instructivos 10% 1.5%
Mtodos y procedimientos 15% 2.25%
Cumplimiento de actividades 20% 3.0%
Seguimiento de actividades 5% 0.75%
Total del factor a ponderar 100% 15.0%
4. Sistema de informacin 20%
Definicin del sistema (software) 30% 6.0%
Definicin del equipo (hardware) 30% 6.0%
Definicin de instalaciones 15% 3.0%
Evaluacin de adquisiciones 10% 2.0%
Interrelacin de funciones 15% 3.0%
Total del factor a ponderar 100% 20.0%
5. Personal y usuarios 15%
6. Documentacin de los sistemas 2%
Manual de usuarios 30% 0.6%
Manual tcnico del sistema 40% 0.8%
Manuales de capacitacin 20% 0.4%
Actualizacin de funciones 10% 0.2%
Total del factor a ponderar 100% 2.0%
7. Actividades y operacin del sistema 14%
Definicin del equipo (hardware) 30% 4.2%
Definicin de instalaciones 30% 4.2%
Evaluacin de adquisiciones 20% 2.8%
Interrelacin de funciones 20% 2.8%
Total del factor a ponderar 100% 16.0%
8. Configuracin del sistema 4%
Definicin del sistema (software) 25% 1.0%
Definicin del equipo (hardware) 25% 1.0%
Adaptacin de instalaciones 15% 0.6%
Adaptacin del medio ambiente 15% 0.6%
Planes contra contingencias 20% 0.8%
Total del factor a ponderar 100% 4.0%
9. Instalaciones del centro de computo 10%
Adaptacin de instalaciones 30% 3.0%
Adaptacin de medidas de seguridad 30% 3.0%
Adaptacin del medio ambiente 10% 1.0%
Adaptacin de comunicaciones 20% 2.0%
Mantenimiento del sistema 10% 1.0%
Total del factor a ponderar 100% 10.0%

Para evaluar la aplicacin y seguimiento de la norma ISO 9000, como gua para las normas ISO
9001, ISO 9002, ISO 9003, conforme a lo que indica el autor de referencia, lo cual se considera
aplicable en todos sus prrafos:
- 4.1 Responsabilidad administrativa
- 4.2 Sistemas de calidad
- 4.3 Revisin del contrato
- 4.4 Control de proyectos
- 4.5 Control de documentos e informacin
- 4.6 Compras (adquisiciones)
- 4.7 Control de productos proporcionados al cliente
- 4.8 Identificacin del producto y posibilidad del seguimiento
- 4.9 Control de procesos
- 4.10 Inspecciones y pruebas
- 4.11 Control de inspecciones, equipos de mediciones y prueba
- 4.12 Estado de inspeccin y prueba
- 4.13 Control de productos que no llenan requisitos
- 4.14 Acciones correctivas y preventivas
- 4.15 Manejo, almacenamiento, embalaje, preservacin y envo
- 4.16 Control de registros de calidad
- 4.17 Auditoras internas de calidad
- 4.18 Capacitacin
- 4.19 Servicio
- 4.20 Tcnicas estadsticas
Verificar el funcionamiento y cumplimiento adecuado de la red de cmputo, as como la inclusin de
sus componentes, su aplicacin y su uso.
Descripcin del concepto Cumple
La instalacin de la red es flexible y adaptable a las necesidades de la empresa.
La lista de componentes de la red contiene todo el hardware requerido para
su funcionamiento adecuado.
La lista de componentes de la red contiene todo el software requerido para su
funcionamiento adecuado.
La red de cmputo es aprovechada al mximo en la empresa.
Los recursos de la red se comparten de acuerdo con las necesidades de la
empresa.
La configuracin de recursos de la red es la mejor para el uso correcto de los
sistemas computacionales de la empresa.
Se acepta la transferencia frecuente de grandes volmenes de informacin.
Existen niveles de acceso y seguridad en la red

Verificar la seguridad en el centro de cmputo, y calificar slo una de las columnas de cada concepto
segn su grado de cumplimiento
Descripcin del concepto 100% 80% 60% 40%
Excelente Cumple Mnimo Deficiente
1. Evaluacin de la seguridad en el acceso al
sistema
Evaluar los atributos de acceso al sistema.
Evaluar los niveles de acceso al sistema.
Evaluar la administracin de contraseas
del sistema.
Evaluar la administracin de la bitcora de
acceso al sistema.
Evaluar el monitoreo en el acceso al
sistema.
Evaluar las funciones del administrador del
acceso al sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros en el
sistema.
2. Evaluacin de la seguridad en el acceso al
rea fsica
Evaluar el acceso del personal al centro de
cmputo.
Evaluar el acceso de los usuarios y terceros
al centro de cmputo
Evaluar la administracin de la bitcora de
acceso fsico al rea de sistemas.
Evaluar el control de entradas y salidas de
bienes informticos del centro de cmputo
Evaluar la vigilancia del centro de cmputo
Evaluar las medidas preventivas o
correctivas en caso de siniestros en el
centro de cmputo