Plantilla unidad II

UNIVERSIDAD TECNOLÓGICA DEL ESTADO DE ZACATECAS
UNIDAD ACADÉMICA DE PINOS
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
N
Auditoria de Sistemas de TI
Unidad II. Desarrollo de la auditoria informática
2015
Autor: Ana Francisca Martínez Betancourt, José de Jesús Cisneros Morales,
Lizbeth Martínez Dávila.

Auditoria de Sistemas de TI - Valor Creativo 2
Contenido
Plan de auditoria ..................................................................................................................................................3
Lista de verificación de seguridad de la información...........................................................................................5
Diagrama de proceso de selección de proveedores.............................................................................................9
LISTA DE COMPROBACIÓN “APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO” ...............................10
LISTA DE COMPROBACIÓN “AUDITORIA DE LA FASE DE ANALISIS”..................................................................14
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE DISEÑO”....................................................................17
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE CONSTRUCCIÓN” ......................................................19
LISTA DE COMPROBACIÓN “AUDITORÍA DE LA FASE DE IMPLANTACIÓN”.......................................................21
LISTA DE COMPROBACIÓN “AUDITANDO LA RED FISICA”.................................................................................24
LISTA DE COMPROBACIÓN “AUDITANDO LA RED LÓGICA” ..............................................................................27
Auditoria de Sistemas de TI

Plan de auditoria
FORMATO PLAN DE AUDITORIA
INDEPENDIENTE DE CONTROL
INTERNO ANEXO 2
Código : SC-P-02-F-02
Versión: 01
Fecha elaboración: 19/06/2015
Vigente desde: 20/06/2015
Fecha de la auditoria 22/06/2015
Área/Actividad y/o tarea auditar
Auditores designados
Los presentes auditores asignados son Ana Martínez Betancourt, José de Jesús Cisneros,
Mónica de los Ángeles y Sandra Montoya
Objetivo de la auditoria: El análisis de la eficiencia de los Sistemas Informáticos, La verificación del cumplimiento de la
Normativa en este ámbito, La revisión de la eficaz gestión de los recursos informáticos.
Objetivos específicos: Participación en el desarrollo de nuevos sistemas:
* Realizar una evaluación de controles,* Dar cumplimiento de la metodología que lleva la empresa. Evaluación de la
seguridad en el área informática. Evaluación de suficiencia en los planes de contingencia. Cómo generar respaldos,
prever qué va a pasar si se presentan fallas. Opinión de la utilización de los recursos informáticos. Tener un resguardo
adecuado y protección de activos. Control de modificación a las aplicaciones existentes. Evitar fraudes y robo de
información por parte de personal interno o externo. Tener un control a las modificaciones de los programas. Participación
en la negociación de contratos con los proveedores de equipo o de software. Revisión de la utilización del sistema
operativo y los programas utilitarios. Tener un adecuado control sobre la utilización de los sistemas operativos y
dispositivos conectados a los equipos.
Auditoría de la base de datos. Verificar la estructura sobre la cual se desarrollan las aplicaciones a fin de poder verificar
si donde se está guardando la información se encuentra encriptada, niveles de seguridad, accesos, entre otros.
Auditoría de la red de teleprocesos.
Alcance de la auditoria: El alcance de la Auditoría no es nada más que la precisión con que se define el entorno y los
límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance
de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que
fueron examinados, sino también indicando cuales se omitieron.
Documentos de referencia (Norma y/o Procedimientos): ISO 9011
Indica como auditar los procesos que constituyen al sistema de gestión de la calidad.
ISO 9126
Es estándar internacional para evaluación de calidad del software. ISO 10006
Sistemas de gerencia de la calidad
Reunión de apertura
22/06/2015

Actividad Fecha Horas requeridas
Nombre del
auditado
Cargo
Nombre
auditor
Elaborar un listado de
las máquinas y de los
programas más
usados, usando listado
sugerido. 24/06/2015 48 Horas
José Luis
Ontiveros
Administrador
de laboratorio Ana Martínez
Especificar y
documentar las
observaciones
especiales de las
maquinas que
requieren una
apreciación exhaustiva
25/06/2015 12 Horas
Marisol
Rodríguez Gerente
Jesús
Cisneros
Elaborar un diagrama
de la estructura y
conexiones de red con
los correspondiente
equipos 28/06/2015 8 Horas
Alberto
González Diseñador
Sandra
Montoya
Realizar un análisis
preliminar sobre el
estado general del
laboratorio
28/06/2015 24 Horas Isamar Louis Analista
Mónica de los
ángeles
Solicitud de manuales y
documentaciones
02/07/2015 18 Horas
Marisol
Rodríguez
Director
administrativo
Sandra
Montoya
Recopilación de la
información 04/07/2015 10 Horas Eraldi Montés Analista Ana Martínez
aplicación de
cuestionario a personal 07/07/2015 7 Horas
Jonathan
Muñoz Analista Ana Martínez
análisis de las claves
de acceso, control,
seguridad, confiabilidad
y respaldos
08/07/2015 28 Horas Israel Núñez Programador
Jesús
Cisneros
Evaluación de los
sistemas : relevamiento
de hw y sw
09/07/2015 12 Horas
Juan
Morquecho
Administrador
de laboratorio
Mónica de los
ángeles
Revisión de paneles de
trabajo 10/07/2015 07 Horas
Isabela Monte
claro Gerente
Jesús
Cisneros
Observaciones: Ninguna
Firma de aprobación jefe de control interno 22/06/2015

Lista de verificación de seguridad de la información
LISTA DE VERIFICACIÓN
Fecha: Viernes 19 de Junio 2015
1- Información General.
Empresa: Softsecury
Domicilio: Calle Constitución #2A, Colonia Centro, Pinos Zac
Teléfono: 496-117-23-99
E-Mail: softsecury_2014@hotmail.com
Persona de contacto: Ing. en TIC. José de Jesús Cisneros Morales
Auditores: Ing. en TIC. Ana Francisca Martínez Betancourt, Ing. en TIC. Sandra Montoya Reyes, Mónica de los
Ángeles Ramírez
Personas presentes y posiciones que ocupan: Jefe del Departamento de Desarrollo de Software Ing. en TIC.
José de Jesús Cisneros Morales, Responsable de la Empresa Softsecury Ing. en TIC. Mónica de los Ángeles
Ramírez
Cantidad de empleados: 15 empleados
Alcance: Verificar cada uno de los puntos relevantes en el desarrollo de software para eliminar las mermas
que impiden el éxito rotundo del producto final y proporcionar recomendaciones para su mejora en un
tiempo de medio año.

Diagrama de proceso de selección de proveedores

LISTA DE COMPROBACIÓN
“APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO”
Objetivo General:
 El proyecto de desarrollo debe estar aprobado, definido y planificado formalmente.
Objetivos Específicos:
 Debe existir una orden de aprobación del proyecto que defina claramente los objetivos, restricciones
y las unidades afectadas.
 Deben designarse un responsable o director del proyecto.
 El proyecto debe ser catalogado y, en función de sus características, se debe determinar el modelo
del ciclo de vida QUE SE SIGUIRA.
 Una vez determinado el ciclo de vida a seguir, se debe elegir el equipo técnico que realizara el
proyecto y determina el plan del proyecto.
1 Se debe Comprobar que : SI NO Observaciones
2
Exista una orden de aprobación del proyecto refrendada
por un órgano competente. El estudio de viabilidad
debe haber seguido el cauce establecido.
X
Presenta la estructura
del proyecto
3
En el documento de aprobación están definidos de forma
clara y precisa los objetivos del mismo y las restricciones
de todo tipo que deben tenerse en cuenta (temporales,
recursos técnicos, recursos humanos, presupuesto, etc.)
X
Se encuentran dentro
de la documentación
4
Se ha identificado las unidades de la organización a las
que afectan. No Aplica
5
La designación se ha llevado acabo según el
procedimiento establecido. X
6
Se le ha comunicado al director su nombramiento junto
con la información relevante del proyecto. No Aplica
7
Se ha catalogado y dimensionado proyecto según las
normas establecidas. X
8
Se ha evaluado los riesgos asociados al proyecto,
especialmente cuando se van usar tecnología no usaba
hasta el momento.
X
9
Se ha elegido el ciclo de vida más adecuado al tipo del
proyecto de que se trata.
X
10
Se ha hecho información histórica que se dispone tanto
para dimensionar el proyecto y sus riesgos como para
seleccionar el ciclo de vida.
X
11
Se prestaran atención si se elige un ciclo de vida basado
en el prototipado. En este caso debe cumplirse los
requisitos necesarios para aplicarse con éxito (dificultad
X

para los usuarios para expresar los requisitos y
disponibilidades de una herramienta de construcción
rápida de prototipos) y debe existir un acuerdo con los
usuarios sobre el alcance del prototipo y de los objetivos
que se persiguen con el mismo.
12
La asignación del director del proyecto y el equipo de
desarrollo que se ha llevado acabo según el
procedimiento establecido.
X
13
Los participantes que permanezcan a otra área
(sistemas, comunicaciones u ofimática, etc.)se han
solicitado según el protocolo existente.
X
14
Si participan personal externo, los perfiles profesionales
son adecuados a las funciones que van a realizar. El
contrato suplente del protocolo de contratación.
X
Se desarrollaran con
el personal interno
15
Se ha comunicado a todos los miembros del equipo de
desarrollo los objetivos del proyecto, la responsabilidad
que tendrán en el mismo, las fechas en la que
participaran y la dedicación (completa/parcial).
X
16
El plan de proyectos realizado es realista y utiliza la
información histórica de la que se disponga para realizar
estimaciones
X
Objetivo General:
 El proyecto se debe gestionar de forma que se consigan los mejores resultados posibles teniendo en
cuenta las restricciones de tiempo y recurso. Los criterios usados serán coherentes con los objetivos
de las unidades afectadas
 Los responsables de las unidades o áreas afectadas por el proyecto deben participar en la gestión
del proyecto
 Se debe establecer un mecanismo para la resolución de los problemas que pueden plantearse a lo
largo del proyecto. Se debe comprobar que:
 Debe existir un control de cambio de a lo largo del proyecto.
 Cuando sea necesario reajustar el plan del proyecto normalmente al finalizar el modulo o fase, debe
hacerse de forma adecuada.
 Debe hacerse un seguimiento de los tiempos empleados tanto por tarea con a lo largo del proyecto
2
Se ha constituido formalmente el comité de dirección del
proyecto y en él están incluidos los responsables de
todas las unidades afectadas.
X
3
El comité tiene una periodicidad de reunión mínima y en
cualquier caso siempre que lo exija el desarrollo del
proyecto, debe tener competencia para la asignación de
recursos, la revisión de la marcha del proyecto y para
modificar el plan del proyecto en función de las
X

revisiones.
4
Las reuniones se hacen con un orden del día y las
decisiones tomadas quedan documentadas en las actas
de dicho comité. X
5
El número de reuniones y la duración de las mismas no
superan un límite razonable X
6
Existen hojas de registro de problemas y hay alguna
persona del proyecto encargada de su recepción, así
como un procedimiento conocido de tramitación. X
7
Hay un método para catalogar y dar prioridad a los
problemas, así como para trasladarlos a la persona que
los debe resolver, informando si es necesario al director
del proyecto y al comité de dirección.
X
8
Se controla la solución del problema y se deja constancia
de la misma. X
9
Existe un mecanismo para registrar cambios que
pudieran producirse así como para evaluar el impacto de
los mismos. X
No presenta pruebas ,
ya que no se utiliza el
proceso evaluado
10
La documentación afectada se actualiza de forma
adecuada y se lleva un control de versiones de cada
producto, consignado la última fecha de actualización. X
11
Se remite la nueva versión de los documentos
actualizando a los participantes en el proyecto. X
12
Se respetan los límites temporales y presupuestarios
marcados al inicio del proyecto. X
13
Se han tenido en cuenta los riesgos del reajuste.
X
14
Se notifica el cambio a todas las personas que de una u
otra forma participen en el proyecto y se ven afectados. X
15
Si existe un plan de sistemas, se actualiza en
consecuencia. X
proceso evaluado
16
Existe un procedimiento que permita registrar a los
tiempos que cada participante del proyecto de dedica al
mismo y que tarea realiza en este tiempo. X
17
Las productividades que se obtienen para distintos
empleados en las mismas tareas son similares y están
en consonancia con la información histórica.
X
18
Antes de comenzar una nueva etapa se ha documentado
la etapa previa y se ha revisado y aceptado,
X

especialmente en las fases de análisis y diseño.
19
La documentación cumple con los estándares
establecidos en el área. X
20
Se respeta el plan establecido y en caso contrario se
toman las medidas oportunas o se procede a la
aprobación de una modificación del plan
X
21
Se respeta el uso de recursos previamente establecido.
X
22
La documentación de proyecto es completa y está
catalogada perfectamente para accesos posteriores. X
proceso evaluado
23
Los recursos, tanto personales como materiales, se
ponen a disposición del área o departamento del que
provienen.
X
24
El comité de dirección y el director del proyecto hacen
balance del proyecto, estudiando los posibles problemas
y sus causas, los cambios del plan, etc. Toda esta
información se registra en los archivos históricos sobre
estimaciones y problemas.
X
Solo estudia los
problemas pero no
los registra
25
La nueva aplicación se incorpora al catálogo de
aplicaciones existentes con toda la información relevante
de la misma
X

“AUDITORIA DE LA FASE DE ANALISIS”
Objetivo General:
 Pretende obtener un conjunto de especificaciones formales que describan las necesidades de la
información que debe ser cubierta por el nuevo sistema de una forma independiente del entorno
técnico.
 Los usuarios y los responsables de las unidades a la que afecta el sistema establecerán de forma
clara los requisitos del mismo.
 En el proyecto de desarrollo se utilizara la alternativa más favorable para conseguir que el sistema
cumpla los requisitos establecidos
 El nuevo sistema debe especificarse de forma completa desde el punto de vista funcional, contando
esta especificación con la aprobación de los usuarios
2
Existe un documento aprobado por el comité de
dirección en el que determinan formalmente el grupo de
usuarios que participaran en el proyecto. X
Presenta las pruebas
en la documentación
del proyecto
3
Los usuarios elegidos son suficientemente
representativos de las distintas funciones que se llevan a
cabo en las unidades afectadas por el nuevo sistema
X
del proyecto
4
Se les ha comunicado a los usuarios su participación en
el proyecto, informándoles del ámbito del mismo y de
que es lo que se espera de ellos, así como la dedicación
estimada que les supondrá esta tarea.
X
del proyecto
5
Existe un plan consensuado con el comité de dirección
que detalla por cada entrevista la fecha, hora y lugar, tipo
de entrevista (individual, en grupo, por escrito, etc.) y un
guion de los aspectos que se van a preparar.
X
No aplica debido al
tipo de procesos que
sigue
6
Se entrevista a todos los integrantes en el grupo de
usuarios y a todos los responsables de las unidades
afectadas.
X
del proyecto
7
Se remite el guion a los entrevistados con tiempo
suficiente para que estos puedan preparar la entrevista y
la documentación que deseen aportar a la misma. X
del proyecto
8
El guion incluye todas las cuestiones necesarias para
obtener información sobre las funciones que el
entrevistado realiza en su unidad y los problemas que
necesita resolver
X
del proyecto
9
Se ha realizado un modelo físico del sistema actual,
incluyendo los objetivos y funciones de cada unidad, así
como sus flujos de entrada y salida de información
X
del proyecto
10
Se han catalogado los problemas del sistema actual así
X

como que estos problemas son reales del proyecto
11
Se han realizado el modelo lógico de datos y el modelo
lógico de proceso del sistema actual, así como que estos
son correctos y que se han llevado a cabo con las
técnicas usadas en el área
X
12
Existe el catálogo de requisitos que están justificados.
X
del proyecto
13
Los requisitos son concretos y cuantificables, de forma
que pueda determinarse el grado de cumplimiento al final
del proyecto
X
del proyecto
14
Cada requisito tiene una prioridad y está clasificado en
funcional o no funcional. X
del proyecto
15
El catálogo de requisitos ha sido revisado y aprobado por
el grupo de usuarios y por el comité de dirección,
constituyendo a partir de este momento del “contrato”
entre estos y el equipo de desarrollo del proyecto
X
del proyecto
16
De El procedimiento existe y está aprobado existir el
diccionario de datos o repositorio X
No aplica debido al
sigue
17
la especificación del nuevo sistema incluirá los requisitos
de seguridad rendimiento, copias de seguridad y
recuperación etc
X
del proyecto
18
Es coherente con el procedimiento de control de cambio
general para el proyecto. X
del proyecto
Objetivo del Control C2:
1 Se debe comprobar que: SI NO Observaciones
2
Existe un documento en que se describen las distintas
alternativas. X
No aplica debido al
sigue
3
Hay más de una alternativa y en caso contrario, que no
existe realmente otra posible. X
No aplica debido al
sigue
4
Cada alternativa está descrita desde un punto de vista
lógico (al menos modelo lógico de procesos) y es
coherente con los requisitos establecidos.
X
No aplica debido al
sigue
5
Si existe en el mercado a un producto que cumpla con
unas mínimas garantías los requisitos especificados, una
de las alternativas debe ser su compra.
X
No aplica debido al
sigue
6
Si no lo impiden las características del proyecto una de
las alternativas debe ser el desarrollo del sistema por
parte de una empresa externa.
X
No aplica debido al
sigue
7
Se han evaluado las ventajas e inconvenientes de cada
alternativa de forma objetiva (análisis coste/beneficio por
X
No aplica debido al

ejemplo) así como los riesgos asociados. sigue
8
El comité de dirección ha seleccionado una alternativa
como la más ventajosa y es realmente la mejor para la
organización.
X
No aplica debido al
sigue

“AUDITORÍA DE LA FASE DE DISEÑO”
Objetivo General:
 Se debe definir una arquitectura física para el sistema coherente con la especificación funcional que
se tenga y con el entorno tecnológico elegido.
 El entorno tecnológico debe estar definido de forma clara y ser conforme a los estándares del
departamento de informática.
 Se deben identificar todas las actividades físicas a realizar por el sistema y descomponer las mismas
de forma modular.
 Se debe diseñar la estructura física de datos adaptando las especificaciones del sistema al entorno
tecnológico.
 Se debe diseñar un plan de pruebas que permita la verificación de los distintos componentes del
sistema por separado, así como el funcionamiento de los distintos subsistemas y del sistema en
conjunto.
 La actualización del plan de proyecto seguirá los criterios ya comentados.
Se debe Comprobar que : SI NO Observaciones
1
Están perfectamente definidos todos los elementos que
configuran el entorno tecnológico para el proyecto
(servidores, computadoras personales, periféricos,
sistemas operativos, conexiones de red, protocolos de
comunicación, sistemas gestores de bases de datos,
compiladores, herramientas CASE, middleware en caso
de programación cliente/servidor, librerías, etc).
X
Presenta pruebas
dentro de la
documentación del
Proyecto
2
Se dispone de los elementos seleccionados, están
dentro de los estándares del departamento de
informática y son capaces de responder a los requisitos
establecidos de volúmenes, tiempos de respuesta,
seguridad, etc.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
3
Se han documentado todas las actividades físicas que
debe realizar el sistema.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
4
El catálogo de actividades es coherente con las
funciones identificadas en el MLP del módulo EFS.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
5
Se han identificado las actividades que son comunes, así
como las que ya existen en las librerías generales del
área.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
6
Existe el documento con el diseño de la estructura
modular del sistema, se ha realizado con una técnica
adecuada y es correcto.
X
Presenta pruebas
dentro de la
documentación del
Proyecto

7
El tamaño de los módulos es adecuado, el factor de
acoplamiento entre ellos es mínimo y la cohesión interna
de cada módulo es máxima.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
8
Los módulos se diseñan para poder ser usados por otras
aplicaciones si fuera necesario.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
9
Los componentes o programas del nuevo sistema se han
definido con detalle a partir del diseño modular, la
definición es correcta y sigue los estándares del área. La
descripción de los componentes es suficiente para
permitir su programación por parte de un programador
sin conocimiento previo del sistema.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
10
Se han detallado las interfaces de datos y control con
otros módulos y sistemas, asá como la interfaz de
usuario ya especificada en el módulo EFS.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
11
El módulo físico de datos está basado en el MLD
obtenido en el módulo EFS e incluye todas las entidades,
relaciones, claves, vistas, etc.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
12
Tiene en cuenta el entorno tecnológico y los requisitos
de rendimiento para los volúmenes y frecuencias de
acceso estimados.
X
No aplica debido al
proceso que no
sigue
13
Existe el plan de pruebas y contempla todos los recursos
necesarios para llevarlas a efecto.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
14
Las personas que realizarán las pruebas de verificación
son distintas a las que han desarrollado el sistema.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
15
Existe el plan para validar cada uno de los componentes
del sistema, incluyendo pruebas del tipo caja blanca para
cada módulo. Tendrán en cuenta todas las posibles
condiciones lógicas de ejecución, además de posibles
fallos del hardware o software de base.
X
Presenta pruebas
dentro de la
documentación del
Proyecto
16
Permite validar la integración de los distintos
componentes y el sistema en conjunto.
X
Presenta pruebas
dentro de la
documentación del
Proyecto

“AUDITORÍA DE LA FASE DE CONSTRUCCIÓN”
OBJETIVO DE CONTROL F1: Los componentes o módulos deben desarrollarse usando técnicas de
programación correctas.
 C-F1-1; Se debe preparar adecuadamente el entorno de desarrollo y de pruebas así como los
procedimientos de operación, antes de iniciar el desarrollo.
 C-FI-2: se debe programar, probar y documentar cada uno de los componentes identificados en el
diseño del sistema.
 C-F1-3: deben realizarse las pruebas de integración para asegurar que las interfaces, entre los
componentes o módulos funcionan correctamente. Se debe comprobar que.
OBJETIVO DE CONTROL G1. Al término del proyecto los futuros usuarios deben estar capacitados y
disponer de todos los medios para hacer uso del sistema.
 C-G1-1: el desarrollo de los componentes de usuario debe estar planificado
 C-G1-2: se debe especificar los perfiles de usuario para el nuevo sistema
 C-G1-3: se deben desarrollar todos los procedimientos de usuario con arreglo de estándares del
área
 C-G1-4: a partir de los perfiles actuales de los usuarios se deben definir los procesos de formación o
selección de personal necesario
 C-G1-5: se deben definir los recursos materiales necesarios para el trabajo de los usuarios con el
nuevo sistema
Se Debe Comprobar Que: Si No Observaciones
1
Se han creado e inicializado las bases de datos o archivos
necesarios y que cumplen las especificaciones realizadas
en el módulo de diseño.
X
Presenta pruebas
en la
documentación
del Proyecto
2
En ningún momento se trabaja con información que se
encuentra en explotación.
X
No se ha realizado
el proceso
3
Se han preparado los procedimientos de copia de
seguridad.
X
Presenta pruebas
en la
documentación
del Proyecto
4
Se han preparado los editores, compiladores, herramientas,
etc. Necesarios.
X
No se ha realizado
el proceso
5
Están disponibles los puestos de trabajo y el acceso a los
equipos, redes etc.
X
Presenta pruebas
en la
documentación
del Proyecto
6
Están disponibles todos los elementos lógicos y físicos para
realizar las pruebas unitarias de los componentes y las
pruebas de integración.
X
Presenta pruebas
en la
documentación
del Proyecto
7
Están documentados todos los procedimientos de
operación para cuando el sistema esté en explotación.
X
No se ha realizado
el proceso
8
Los procedimientos se llevan a cabo después de tener la
especificación funcional del sistema y antes de la
implementación del mismo.
X
Presenta pruebas
en la
documentación
del Proyecto
9 Están definidos los distintos perfiles de usuario requerido X Presenta pruebas

para la implantación y explotación del nuevo sistema. en la
documentación
del Proyecto
10
Se han desarrollados todos los componentes y módulos
X
Presenta pruebas
en la
documentación
del Proyecto
11
Se han seguido los estándares de programación,
documentación del área , código es estructurado , está bien
sangrado y contiene comentarios suficiente
X
Presenta pruebas
en la
documentación
del Proyecto
12
Se han probado cada componentes y se a generado e
informe de prueba. Si los resultados de las pruebas no san
satisfactorio se modifica el código y se vuelve a realizar la
prueba. Si se detecta una falla de especificación o diseño,
el proyecto se actualizara según el procedimiento
establecido para ello
X
Presenta pruebas
en la
documentación
del Proyecto
13
Las pruebas de integración se han llevado acabo según lo
especificado en el plan de pruebas realizado en el módulo
de diseño
X
Presenta pruebas
en la
documentación
del Proyecto
14
Se han evaluado las pruebas y se han tomado las acciones
correctivas necesarias para solventar las incidencias
encontradas, actualizándose el proyecto en consecuencia
X
No se ha realizado
el proceso
15
No han participado los usuarios. En las pruebas de
integración solo debe participar el equipo de desarrollo
X
Presenta pruebas
en la
documentación
del Proyecto
16
El plan del proyecto está incluido el plan de desarrollo de
los procedimientos de usuario e incluye todo las
actividades y recursos necesarios
X
Presenta pruebas
en la
documentación
del Proyecto
17
Para cada perfil se ha definido el rango de fechas y la
dedicación necesaria.
X
Presenta pruebas
en la
documentación
del Proyecto
18
Están desarrollados todos los procedimientos de usuario,
recopilados, formando el manual de usuario, y son
coherentes con las actividades descritas en EFS.
X
Presenta pruebas
en la
documentación
del Proyecto
19
Cada procedimiento describe claramente que realiza, el
perfil de usuario asociado, asi como los recursos que son
necesarios (equipos, consumibles, periféricos especiales,
espacio, etc.).
X
Presenta pruebas
en la
documentación
del Proyecto
20
Los manuales de usuario y el resto de procedimientos
cumplen los estándares del área y llevan asociado su
control de versiones.
X
Presenta pruebas
en la
documentación
del Proyecto
21
La comparación de perfiles de usuarios y recursos
requeridos con los actuales es realista y los procedimientos
que se derivan son adecuados y están aprobados por los
responsables de las unidades afectadas.
No Aplica

“AUDITORÍA DE LA FASE DE IMPLANTACIÓN”
Objetivo General:
 El sistema debe ser aceptado formalmente por los usuarios antes de ser puesto en explotación.
 Se de ben realizar las pruebas del sistema que se especificaron en el diseño del mismo.
 El plan de implantación y aceptación se debe revisar para adaptarlo a la situación final del proyecto.
 El sistema debe ser aceptado por los usuarios antes de ponerse en explotación.
Se debe comprobar que: SI NO Observaciones
1
Se prepara el entorno y los recursos necesarios para
realizar las pruebas.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
2
Las pruebas se realizan y permiten verificar si el sistema
cumple con las especificaciones funcionales y si
interactúa correctamente con el entorno, incluyendo
interfaces con otros programas, recuperación ante fallos,
copias de seguridad, tiempos de respuesta, etc.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
3
Se han evaluado los resultados de las pruebas y se han
tomado las acciones correctas necesarias para solventar
las incidencias encontradas, actualizándose el proyecto
en consecuencia.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
4
Se revisa el plan de implantación original y se documenta
adecuadamente. X No se ha realizado
5
Está incluida la instalación de todos los componentes
desarrollados, así como los elementos adicionales
(librerías, utilidades, etc.). X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
6
Incluye la inicialización de datos y la conversión si es
necesaria.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
7
Especifica los recursos necesarios para cada actividad,
así como que el orden marcado para las actividades es
compatible. X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
8
Se ha tenido en cuenta la información histórica sobre
estimaciones.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
9
Se sigue el plan de pruebas de aceptación aprobado en
la fase de análisis, que debe incluir la conversión de
datos y la explotación.
X
Las Pruebas
suficientes se
encuentran en la

Documentación del
Proyecto
10
Las pruebas de aceptación son realizadas por los
usuarios.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
11
Se evalúan los resultados de las pruebas y se han
tomado las acciones correctas necesarias para solventar
las incidencias encontradas, actualizándose el proyecto
en consecuencia.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
12
El grupo de usuarios y el comité de dirección firman su
conformidad con las pruebas de aceptación.
X
Las Pruebas
suficientes se
encuentran en la
Documentación del
Proyecto
Objetivo General:
 El sistema se pondrá en explotación formalmente y pasará a estar en mantenimiento solo cuando
haya sido aceptado y esté preparado todo el entorno en el que se ejecutará.
 Se deben instalar todos los procedimientos de explotación.
 Si existe un sistema antiguo, el sistema nuevo se pondrá en explotación de forma coordinada con la
retirada del antiguo, migrando los datos si es necesario.
 Debe firmarse el final de la implantación por parte de los usuarios.
 Se debe supervisar el trabajo de los usuarios con el nuevo sistema en las primeras semanas para
evitar situaciones de abandono de uso del sistema.
 Para terminar el proyecto se pondrá en marcha el mecanismo de mantenimiento.
Se debe comprobar que: SI NO Observaciones
1
Se han instalado además del sistema principal todos los
procedimientos auxiliares, por ejemplo copias,
recuperación, etc., tanto manuales como automáticos.
X
Las Pruebas suficientes
se encuentran en la
Documentación del
Proyecto
2
Están documentados de forma correcta.
X
se encuentran en la
Documentación del
Proyecto
3
Los usuarios han recibido la formación necesaria y tienen
en su poder toda la documentación necesaria,
fundamentalmente manuales de usuario.
X
se encuentran en la
Documentación del
Proyecto
4
Se han eliminado procedimientos antiguos que sean
incompatibles con el nuevo sistema. X No se ha realizado
5
Hay un periodo de funcionamiento en paralelo de los dos
sistemas, hasta que el nuevo sistema esté funcionando
con todas las garantías. Esta situación no debe
prolongarse más tiempo del necesario.
X No se ha realizado
6
Si el sistema antiguo se va a mantener para obtener
información se debe dejar en explotación el modo de sólo
consulta.
No Aplica

7
Los datos se convierten de acuerdo al procedimiento
desarrollado y se verifica la consecuencia de la
información entre el sistema nuevo y el antiguo.
No Aplica
8
Existe el documento y que han sido firmados por el comité
de dirección y por el grupo de usuarios. X No se ha realizado
9
Contiene de forma explícita la aceptación de la
implantación correcta del sistema. X No se ha realizado
10
El índice de utilización del sistema es adecuado a los
volúmenes que se esperaban para cada una de las áreas
afectadas por el nuevo sistema.
11
Se ha comprobado, al menos informalmente, la impresión
de los usuarios respecto al nuevo sistema. X No se ha realizado
12
El mecanismo existe y está aprobado por el director del
proyecto, por el comité de dirección y por el área de
mantenimiento, si ésta existiese.
X
se encuentran en la
Documentación del
Proyecto
13
Tiene en cuenta los tiempos de respuesta máximos que
se pueden permitir ante situaciones de no funcionamiento. X No se ha realizado
14
El procedimiento a seguir ante cualquier problema o para
el mantenimiento del sistema será conocido por todos los
usuarios. Incluirá al menos la persona de contacto,
teléfono, esquema de información a aportar, etc.

“AUDITANDO LA RED FISICA”
Objetivo General:
 Áreas controladas por los equipos de comunicaciones previniendo el acceso
inadecuado.
 Protección y tendido adecuado de cables y líneas de comunicaciones para evitar
para evitar accesos físicos.
 Controles de utilización de equipos de prueba de comunicaciones para monitorizar
la red y su tráfico, que implica su utilización inadecuada.
 Atención específica a la recuperación de los sistemas de comunicación de datos en
el plan de recuperación de desastres en sistemas de información.
 Controles específicos en caso de que se utilicen líneas telefónicas con acceso a la
red de datos para prevenir accesos no autorizados al sistema o a la red.
2 El equipo de comunicaciones se mantiene en
habitaciones cerradas con acceso limitado a
personas autorizadas.
Si Solo personal
autorizado
3 La seguridad física de los equipos de
comunicaciones tales, como controladores de
comunicaciones, dentro de las salas de
computadoras sea adecuado.
si Están
organizados
4 Solo personas con responsabilidad y
conocimiento están incluidas en la lista de
personas permanentemente autorizadas para
entrar en las salas de equipos de
comunicaciones.
Si Solo personal
autorizado
5 Se toman medidas para separar las actividades
de electricistas y personal de tendido y
mantenimiento de tendido de líneas
telefónicas, así como sus autorizaciones de
acceso , de aquellas de personal bajo control
de la gerencia de comunicaciones
si Cada quien tiene
su trabajo
6 En las zonas adyacentes a la sala de
comunicaciones, todas las líneas de
comunicaciones fuera de la vista.
No todo va instalado

7 Las líneas de comunicaciones, en las salas de
comunicaciones, armarios distribuidores y
terminaciones de los despachos, estarán
etiquetadas con un código gestionado por la
gerencia de comunicaciones, y no por su
descripción física o métodos sin coherencia.
no
8 Existen procedimientos para la protección de
cables y bocas de conexión que dificulten el
que sea conectados por personas no
autorizadas.
No Porque hay
reglamento
9 Se revisa periódicamente la red de
comunicaciones, buscando intercepciones
activas o pasivas.
no Porque es publica
10 Los equipos de prueba de comunicaciones
usados para resolver los problemas de
comunicaciones de datos deben tener
propósitos y funciones definidos.
no
11 Existen controles adecuados sobre los quipo de
prueba de comunicaciones usados para
monitorizar líneas y fijar problemas
no aplica
12 Existe procedimiento restringido el uso de estos
equipos a personal autorizado.
si Solo persona
adecuado sabe su
movimiento
13 Existe facilidades de traza y registro del tráfico
de datos que poseen los equipos de
monitorización.
no No existen
equipos de
monitoreo
14 Existen procedimientos de aprobación y
registro ante las conexiones a líneas de
comunicaciones en la detección y corrección de
problemas.
No
15 El plan general de recuperación de desastres
para servicios de información presta adecuada
atención recuperación y vuelta al servicio de los
sistemas de comunicación de datos
no
16 Existen planes de contingencia para desastres
que solo afecten a las comunicaciones, como el
fallo de una sala completa de comunicaciones
No aplica
17 Las alternativas de respaldo de
comunicaciones, bien sea como las mismas
salas o con salas de respaldo, consideran la
no aplica

seguridad física de estos lugares.
18 Las líneas telefónicas usadas para datos,
cuyos números no deben ser públicos, tienen
dispositivos procedimientos de seguridad como
retrollamada, código de conexión o
interruptores para impedir accesos no
autorizados al sistema informático.
no Aplica

“AUDITANDO LA RED LÓGICA”
Objetivo General:
 Es necesario monitorear la red, revisar los errores o situaciones anómalas que se
producen y tener establecidos los procedimientos para detectar y aislar equipos en
situación anómala. En general, si se quiere que la información que viaja por la red
no pueda ser espiada, la única solución totalmente efectiva en la encriptación.
 Contraseñas y otros procedimientos para limitar y detectar cualquier intento de
acceso no autorizado a la red de comunicaciones.
 Facilidades de control de errores para detectar errores de una transmisión y
establecer las retransmisiones apropiadas.
 Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.
 Registro de la actividad de la red para ayudar a reconstruir incidencias y detectar
accesos no autorizados.
 Técnicas de cifrado de datos donde haya riesgos de accesos impropios a
transmisiones sensibles.
 Controles adecuados que cubran la importancia o exportación de datos a través de
puertas, en cualquier punto de la red, a otros sistemas informáticos.
2 El software de comunicaciones, para permitir el
acceso, exige código de usuario y contraseña.
si
3 Los usuarios no pueden acceder a ningún
sistema, ni siquiera de ayuda, antes de haberse
identificado correctamente.
si
4 Se inhabilita al usuario que sea incapaz de dar
la contraseña después de un número
determinado de intentos infructuosos.
si
5 Se obliga a cambiar la contraseña
regularmente.
no Por qué no hay
tantos usuarios
nada más uno
solo
6 Las contraseñas no son mostradas en pantalla
cuando se teclean.
no Es ilógico por que
en cualquier
sistemas están
ocultas
7 Durante el procedimiento de identificación, los
usuarios son informados de cuando fue su
si Por fechas ya
registradas

última conexión para ayudar a identificar
potenciales suplantaciones o accesos no
autorizados.
8 Cualquier procedimiento del fabricante,
mediante hardware o software, que permita
libre acceso y que haya sido utilizado en la
instalación original, ha de haber sido
inhabilitado o cambiado.
si Algunos de los
equipos si
informan
9 Se toman estadísticas que incluyan tasas de
errores y retransmisión.
no N es necesario
No se requiere es
procedimiento
10 Los protocolos utilizados, revisados con el
personal adecuado de comunicaciones,
disponen de procedimientos de control de
errores con la seguridad suficiente.
no No tienen un
control
11 Los mensajes lógicos transmitidos identifican el
originarte, la fecha, la hora y el receptor.
no Encripta a la red
12 El software de comunicaciones ejecuta
procedimientos de control y correctivos ente
mensajes duplicados, fuera de órdenes,
perdidos, o retrasados.
No Hace enfoque a
un servidor de
datos
13 La arquitectura de comunicaciones utilizada
indistintamente cualquier ruta disponible de
transmisión para minimizar el impacto de una
escucha de datos sensible en una ruta
determinada.
no El internen no lo
probé
exteriormente
14 Existen controles para que los datos sensibles
solo puedan ser impresos en las impresoras
designadas y vistos desde lis terminales
autorizados.
no Las impresoras
no se encuentran
el red
15 Existen procedimientos de registro para
capturar y ayudar a reconstruir todas las
actividades de las transacciones.
si Se tiene un
registro
16 Los activos de registro son revisados, se el
posible a través de herramientas automáticas,
diariamente, vigilando intentos impropios de
acceso.
no Cuenta con
seguridad
17 Existen análisis de riesgos para las
aplicaciones de proceso de datos a fin de
identificar aquellas en las que el cifrado resulte
apropiado.
no Se hace manual
mente

18 Existen procedimientos de control sobre la
generación e intercambio de claves.
no Son permanentes
19 Las claves de cifrado son cambiadas
regularmente
no Son permanentes
20 El transporte de las claves de cifrado desde
donde se generan a los equipos que las utilizan
sigue un procedimiento adecuado.
No No aplica
21 Si se utilizan canales de comunicación uniendo
diversos edificios de la misma organización, y
existen datos sensibles que circulen por ellos,
comprobar que estos canales se cifran
automáticamente, para evitar que una
intercepción sistemática a un canal
comprometa a todas las aplicaciones.
no No aplica
22 Si la organización tiene canales de
comunicación con otras organizaciones se
analice la convención de cifrar estos canales.
No No aplica
23 Si se utiliza la transmisión de datos sensibles a
través de redes abiertas como Internet,
comprobar que estos datos viajan cifrados.
no
24 Si en una red local existen computadoras con
módems, se han revisado los controles de
seguridad asociados para impedir el acceso de
equipos foráneos a la red local.
Si Tiene dos
divisiones de
alumnos y de
docentes
25 Existe una política de prohibición de introducir
programas personales o conectar equipos
privados a la red local.
si En la de docentes
se prohíbe
26 Periódicamente se ejecutan, mediante los
programas actualizados y adecuados, ataque
para descubrir vulnerabilidades, que los
resultados se documentan y se corrigen las
deficiencias observadas
no Solo están
ejecutados los
que se utilizan

Plantilla unidad II

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (13)

Semelhante a Plantilla unidad II

Semelhante a Plantilla unidad II (20)

Mais de Annie Mrtx

Mais de Annie Mrtx (20)

Último

Último (11)

Plantilla unidad II