PROGRAMA DE AUDITORIA PARA EVALUAR UN SISTEMA DE

CORREO ELECTRONICO EN LA NUBE Office 365

El Programa de Auditoría Integral es un esquema detallado del trabajo a

realizar y los procedimientos a emplearse durante la fase de ejecución, en el
cual se determina la extensión y oportunidad de su aplicación, así como los
papeles de trabajo que han de ser elaborados.

1.- Objetivos generales:

En la elaboración de cada programa de auditoría, el auditor debe relacionar el

objetivo o los objetivos del programa de auditoría con los procedimientos a
realizar, ya sea en la aplicación de pruebas de cumplimiento o pruebas
sustantivas.
Las pruebas de cumplimiento consisten en recolectar evidencia con el
propósito de probar el cumplimiento de una organización con procedimientos
de control como derechos de acceso de usuarios. Esto difiere de la prueba
sustantiva, en la que la evidencia se recoge para evaluar la integridad de
transacciones individuales, datos u otra información como cuentas de
Transacciones.

2.- Los objetivos específicos:

Cumplimiento de normas, políticas, planes, programas.

Coherencia entre el proceso o actividades con políticas, planes y programas.
Economía en la adquisición de bienes y servicios.
Eficiencia en la aplicación de los recursos adquiridos.
Efectividad de los procesos o actividades que se ejecutan en la implementación
del sistema.
Confianza hacia los controles establecidos y aplicados.
Riesgos de los procesos o actividades.
Efectividad de los sistemas de información.
Registros de las transacciones y operaciones.

3.- Estándares o Marco Legislativo

Es de importancia que se conozca los estándares de evaluación que

existen ynecesite para el sistema de correo electrónico en la nube:
3.1.- LODP: La Dirección General de Protección de Datos Personales es un
órgano que depende jerárquicamente del Despacho Viceministerial de
Derechos Humanos y Acceso a la Justicia. Le corresponde realizar todas las
acciones necesarias para el cumplimiento del objeto y demás disposiciones de
la Ley de Protección de Datos Personales – Ley Nº 29733 y su Reglamento.

Se encarga de supervisar la administración y actualización del Registro

Nacional de Protección de Datos Personales, así como resolver las
reclamaciones formuladas por los titulares de datos personales en tutela de sus
derechos de acceso, rectificación, cancelación y oposición. Asimismo, emite
opinión técnica vinculante respecto de los proyectos de normas que regulen los
datos personales y emite las directivas para la adecuada aplicación de la Ley
de Protección de Datos Personales y su Reglamento.

3.2.- LEY N° 28493, Ley que regula el uso del correo electrónico comercial
no solicitado (spam)
La presente Ley regula el envío de comunicaciones comerciales publicitarias o
promocionales no solicitadas, realizadas por correo electrónico, sin perjuicio de
la aplicación de las disposiciones vigentes en materia comercial sobre
publicidad y protección al consumidor.

3.3.- ISO 27002: (NTP-ISO/IEC 17799:2007)

Es un estándar internacional que establece los principios generales para
iniciar, implementar, mantener y mejorar la gestión de la seguridad de la
información en una organización.

4.- Métodos para recolección de datos

En la actualidad podemos hablar de métodos clásicos (cuestionarios,

entrevistas, observaciones, flujogramas, muestreo estadístico y
memorandos) o de métodos avanzados (técnicas de concurrencia y
técnicas de auditoría asistida por ordenador) que son utilizados durante el
trabajo de campo para facilitar la recogida de datos.
Cuestionarios: Un cuestionario es muy útil para cualquier auditor, el
cuestionario puede ser simplemente en papel o interactivo a través del
ordenador.
A la hora de crear el cuestionario debemos tener en cuenta, si el auditor
estará presente durante el mismo, que todas las preguntas sean
concretas, que no estén dirigidas y evitar en la medida de lo posible las
jergas.
Entrevistas: Es una reunión entre el auditor y la persona auditada, en la cual
se recoge información muy valiosa para el informe, ya que se pueden percibir
situaciones o deficiencias a la hora de la ejecución como podría ser la
sinceridad del auditado.

Observaciones: Con este método se puede detectar posibles vulnerabilidades

o incumplimientos de normas en la empresa ya que según el criterio del auditor
se identificaran los riesgos de la empresa.

Flujogramas: Son para comprobar que los procedimientos, controles y

autorizaciones se cumplen correctamente. Para ello se verifican los procesos
por los que se pasa al realizar una operación.

Comunicación escrita: Es de vital importancia almacenar toda la

documentación generada durante la auditoría, esta documentación suele ser de
origen muy variado, como las propias notas del auditor, memorandos, correos
entre los distintos miembros de la auditoría o del cliente.
5.- Protocolos de Correo Electrónico

SMTP (Simple Mail Transfer Protocol)

Es el protocolo simple de transferencia de mensajes, protocolo encargado de
gestionar los envíos de correo electrónico entre los distintos servidores de
correo, para ello utiliza el puerto 25 de comunicación TCP/IP.

POP (Post Office Protocol)

Es el protocolo de oficina postal que desempeña lafunciónde una oficina postal
de correos, es utilizado para conectarse al servidor de correo en el que se
alojan nuestros mensajes de correo y así tener acceso a los mismos.

IMAP (Internet Mail Access Protocol)

Es el protocolo de acceso al correo electrónico a través de internet que se
utiliza para que el cliente de correo se conecte al servidor y así tener acceso a
nuestros mensajes. Este protocolo utiliza los puertos 143 y 220 de
comunicación TCP/IP.

MIME (Multipurpose Internet Mail Extensions)

Es el protocolo de extensiones de correo de internet multipropósito es utilizado
en la red para enviar mensajes a través de Internet en varias partes y con datos
adjuntos que necesariamente tienen que ser caracteres ASCII de 7 bits, esto
reduce mucho el tipo de mensajes que se pueden enviar a través de internet ya
que se trata de un conjunto de caracteres muy reducido. Son los propios
clientes y servidores de correo los que traducen automáticamente a formato
MIME cuando se envía o recibe un correo.

SSL (Secure Socket Layer) o TLS (TransportLayerSecure)

Respectivamente son el protocolo de capa de conexión segura y el protocolo
de seguridad de la capa de transporte, aunque pueda creerse que se tratan de
protocolos diferentes, en realidad no es así, ya que ambos ofrecen seguridad, a
través de medios criptográficos, a las comunicaciones realizadas a través de
cualquier red de comunicación, el protocolo TLS sustituyó al protocolo SSL, ya
que el protocolo SSL no se trataba de un protocolo debidamente.
 Programa de Auditoria

OBJETIVO: La empresa “VIRGEN DE GUADALUPE S.A.C” ha solicitado

auditar el servicio de correo electrónico en la nube Office 365 del área de
Sistemas.
Fase I: Planificación
1. Planificación Previa:
 Designar Líder del Equipo Auditor.
 Establecimiento del contacto inicial la empresa “VIRGEN DE
GUADALUPE S.A.C” y con el área de sistemas de la misma.
2. Información Preliminar:
 Evaluar la viabilidad de una propuesta de tarea de auditoría y su
posible impacto.
 Selección del equipo auditor.
 Definición de los objetivos, el alcance y los criterios de auditoría.
3. Comprensión de control interno:
 Evaluación de controles.
 Revisión de los documentos pertinentes, correspondientes al control
interno.
4. Desarrollo de estrategia de la auditoria:
 Establecimiento de términos de referencia.
 Seguimiento de hallazgos y recomendaciones.
 Programación de la estrategia de auditoria.
 Ajustes a la planeación estratégica.
 Revisión de Auditorías Previas.
 Asignación de Tareas al Equipo Auditor.
5. Programa de auditoria:
 Evaluación de política.
 Evaluación de medidas de seguridad.
 Respaldo en caso de desastre.
 Contrato de Mantenimiento.
 Preparación de los Documentos de Trabajo.
6. Cronograma:
 Creación de un cronograma especificando por horas o días el proceso
de auditoría.
7. Determinación los recursos humanos y materiales que han de emplearse en
la auditoría:
a. Recursos materiales:

Son proporcionados por el cliente la mayoría de ellos, sobre el cual

gravita el aumento de carga y las interferencias sobre el desarrollo
normal de su trabajo.

Las herramientas software propias del equipo auditor van a utilizarse

igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre auditor y cliente.
 Los recursos materiales del auditor son de dos tipos:

 Recursos materiales Software

- Programas propios de la Auditoría.

- Se verificara que el proveedor este cumpliendo debidamente con
las normativas, como son el acceso privilegiado a los usuarios de
acuerdo al uso y/o área en el que estén además de verificar de que
la ubicación de los datos estén debidamente protegida y se cumpla
con las medidas de seguridad adecuadas para el control de
segregación de datos.

 Recursos materiales Hardware:

- Los recursos hardware que el auditor necesita son proporcionados

por el cliente. Es una máxima de la auditoría informática que los
procesos de control deben efectuarse necesariamente en los
Ordenadores del auditado.Por tanto, habrán de convenirse,
fundamentalmente, tiempo de máquina y oportunidad de fecha,
hora y duración de las sesiones de medida.
- En el caso de evaluar un sistema de Correo Electrónico en la Nube
se revisaría si el proveedor está utilizando todas las medidas de
seguridad para que prevenga problemas a largo plazo como
también tenga un medio de recuperación alterna en caso de que se
pierda el motor principal de almacenamiento.
- Finalmente, se convendrán: Cantidad de pantallas, espacio en
disco, montajes de cintas, impresoras ocupadas y líneas de
comunicaciones si van a utilizarse en exclusiva.

El auditor deberá calcular con la mayor precisión posible los incrementos de

carga por él generados.

b. Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las

características y perfiles del personal seleccionado dependen de la
materia auditable.

Debe resaltarse que el equipo auditor no es solamente la agregación de

expertos. Por el contrario, es necesaria la cohesión entre sus
integrantes. Esta suele ser proporcionada por un informático generalista.

Fase II: Ejecución

 Reunión de apertura (anunciar que se está realizando una auditoria)
 Comunicación durante la auditoría (dependiendo la complejidad, entre el
auditor y el auditado)
 Verificación y recopilación de la información

1. Evaluación de los sistemas

  Solicitud del análisis y diseño del os sistemas en desarrollo y en
operación.
 Solicitud de la documentación de los sistemas en operación
(manuales técnicos, de operación del usuario, diseño de archivos y
programas).
 Recopilación y análisis de los procedimientos administrativos de cada
sistema (flujo de información, formatos, reportes y consultas).
 Análisis de llaves, redundancia, control, seguridad, confidencial y
respaldos.
 Análisis del avance de los proyectos en desarrollo, prioridades y
personal asignado.
 Entrevista con los usuarios de los sistemas.
 Evaluación directa de la información obtenida contra las necesidades
y requerimientos del usuario.
 Análisis objetivo de la estructuración y flujo de los programas.
 Análisis y evaluación de la información recopilada.
2. Evaluación de los Equipos
 Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos sobre ampliación de equipo, su actualización.
 Solicitud de contratos de compra y mantenimientos del servicio.
 Solicitud de contratos y convenios de respaldo.
 Solicitud de contratos de Seguros.
 Elaboración de un cuestionario sobre la utilización del servicio y los
equipos, memoria, archivos, unidades de entrada/salida, equipos
periféricos y su seguridad del mismo.
 Visita técnica de comprobación de seguridad física y lógica de las
instalaciones del servicio.
 Evaluación técnica del sistema electrónico y ambiental de los equipos
y del local utilizado.
3. Evaluación de la información recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su justificación
4. Técnicas de auditoria informática
 Técnica y procedimientos.
 Técnica de auditoria asistió por el computador.
5. Evidencia sobre información procesada por medios electrónicos
6. Tipos de procedimientos
 Pruebas de cumplimiento.
 Pruebas sustantivas.
 Pistas de auditoria informática.
 Generación de hallazgos de la auditoria.

Fase III: Informe de auditoría

1. Evaluación de los hallazgos y conclusiones de auditoria:
 Preparar conclusiones de la Auditoria.
 Realizar reunión de Cierre.
2. Discusión de informe:
 Preparar Informe de Auditoria.
 Aprobación y Distribución de Informe de la Auditoria.
 Finalización de la Auditoria.
  Realización de las actividades de seguimiento de una auditoría.

TIEMPO DE NO
ASPECTOS A EVALUAR RESPUESTA VALORACION
CONTROL PROCEDE
LOS SERVIDORES DE CORREO ELECTRÓNICO
1 El número de estafetas
de correo es suficiente
para soportar la carga
del sistema.
2 El administrador de los
servidores de correo es
el único que tiene
acceso.
3 Los usuarios solo
pueden acceder a los
correos electrónicos
que se encuentren en
su buzón.
4 Existen servidores anti
spam que eviten que los
usuarios reciban
correos no deseados y
de escasa utilidad.
5 El acceso a los
servidores de correo
electrónico debe ser
limitado.

6 La ubicación de los
datos es conocida por
la empresa.
7 El cifrado de los datos
esta hecho por
especialistas.
8 Viabilidad a largo
plazo de los datos en la
nube
SERVIDORES DE RED VINCULADOS AL SISTEMA DE CORREO ELECTRONICO
9 Existen cortafuegos en
los servidores de red.
10 Existen utilidades de
antivirus.
11 El administrador de los
servidores de correo es
el único que tiene
acceso.
12 El acceso a los
servidores está
limitados y controlados.
13 Los servidores de red
están debidamente
actualizados con las
últimas versiones de los
paquetes de seguridad.
COPIAS DE SEGURIDAD
14 Comprobar que todos
los servidores realicen
 copias de seguridad.
15 Solo los
administradores tienen
acceso a las diferentes
copias de seguridad.
EN LAS APLICACIONES DE CORREO ELECTRONICO
16 Los usuarios solo han
de poder acceder a las
aplicaciones mediante
el gestor de correo
electrónico.
17 Los usuarios
únicamente pueden
acceder a la
información asociada a
su usuario.
18 La información
almacenada en las
aplicaciones se
encuentra debidamente
cifrada y es de acorde a
la información
protegida.

Checklist: Office 365

1. Identificación de la auditoría
2.
Institución auditada:
Proyecto: Fase del ciclo de vida
 Planificación  Integración y pruebas
Iniciador:
 Esp. de Requerimientos  Aceptación y entrega
 Diseño  Mantención
Tipo de auditoría: Interna
 Implementación
 Externa
3. Auditor
Nombre
e-mail CEL
4. Checklist
Sí No
SERVICIO DE LA PLATAFORMA DE OFFICE 365
 ¿El sistema funciona en internet explorer 11 y 10?
 ¿El sistema funciona en la última versión del navegador Firefox y
googlechrome y safary?
 ¿El sistema está diseñado para funcionar con Office Professional Plus 2010
y 2013?
SERVICIO EXCHANGE ONLINE
 ¿El sistema cuenta con permisos basados en roles?
 ¿Se pueden crear grupos de roles?
 ¿El sistema tiene directivas de asignación de roles?
 ¿El servicio ofrecido en la nube da disponibilidad las 24 H?
 ¿Al perder el suministro eléctrico el servicio sigue ejecutándose?
 El plan de SQA incluye: (a) los requerimientos para SQA y las actividades
que deben ser desarrolladas, (b) la calendarización de las actividades
definidas, (c) los recursos requeridos, (d) la participación de SQA en el
desarrollo de software, (e) la participación de SQA en el proceso de SCM, y
(f) la participación de SQA en el proceso de pruebas.
 ¿El hardware utilizado es de calidad?
 ¿El tipo de software ofrecido es el correcto?
 ¿El tiempo de respuesta es el debido?
 ¿El personal asignado para el servicio es competente?
 ¿Se pueden entrelazar los entornos físicos y virtuales?
 ¿Hay monitoreo para asegurar el fortalecimiento de la red, capacidad de
memoria, capacidad de disco?
 ¿El rendimiento y ancho de banda son los requeridos?
 ¿El proveedor cuenta con HelpDesk?
 ¿El servicio cuenta con servidores de respaldo en caso de daños en el
servidor principal?
 ¿Los mecanismos de respaldo son los adecuados para el sistema?
 ¿Se cumple el SLA acordado?