Vous êtes sur la page 1sur 24

UNIVERSIDAD NACIONAL FEDERICO VILLARREAL

1
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
PLANEACIN Y ORGANIZACIN
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S

PO1: PLAN ESTRATGICO Y OPERATIVO

Objetivo de Auditoria
1. Determinar si el proceso de elaboracin de los planes
estratgicos y operativos de la organizacin, fueron efectuados
teniendo en cuenta las polticas de la empresa
2. Analizar y evaluar si existe una coherencia entre le Plan
Operativo y Plan Estratgico correspondiente

Procedimiento de Auditoria






HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
2
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
REA DE APOYO AL SOFTWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
3
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
ANLISIS DE SOFTWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
4
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMADO
ANLISIS DE SOFTWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S








HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
5
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMADO
ANLISIS DE SOFTWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S








HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
6
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMADO
ANLISIS DE SOFTWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S









HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
7
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
VERIFICACIN DE HARDWARE
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
8
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
EVALUACIN DEL DISEO LGICO DE LOS SISTEMAS
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
9
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMADO TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S









HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
10
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
11
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI

PROGRAMADO TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S







HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
12
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
SEGURIDAD FSICA
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
13
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
SEGURIDAD EN LA UTILIZACIN DEL EQUIPO
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
14
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMADO TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S









HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
15
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO
SEGURIDAD AL RESTAURAR EL EQUIPO
TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S





HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
16
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
PROGRAMA DE AUDITORIA

ENTIDAD AUDITADA: ..
PERIODO AUDITADO: ..
PROGRAMADO TERMINADO
Respon. H/S Ref.
P.T
Hecho
por
H/S



HECHO POR:
FECHA:
REVISADO POR:
FECHA
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
17
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
MODELO N 01: PROCEDIMIENTO PARA LA AUDITORA DE LA PLANIFICACIN
ESTRATGICA

OBJETIVO
Analizar y evaluar el proceso de Planificacin Estratgica de la organizacin, con el fin de
identificar la probable prdida de valor debido a fallas en los diversos procesos involucrados.

ALCANCE
El alcance del procedimiento incluye:
A. Revisin del proceso de Conformacin del Equipo de la Planificacin Estratgica.
B. Revisin del proceso de Seleccin de la Metodologa para la Planificacin Estratgica.
C. Revisin del Aprendizaje de la Metodologa para la Planificacin Estratgica.
D. Revisin del proyecto de Elaboracin del Plan Estratgico.
E. Revisin del proceso de planificacin del Proyecto de Elaboracin del Plan Estratgico.
F. Anlisis y evaluacin de la ejecucin del Proyecto de Elaboracin del Plan Estratgico.
G. Revisin de la ejecucin del Plan Estratgico.
H. Revisin del proceso de evaluacin del Plan Estratgico.

El alcance del procedimiento no incluye:
A. Evaluacin de los planes operativos de la organizacin.

ENTRADAS
Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo
anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente
informacin (es decir los auditores deben solicitar mediante carta):

A. Lista de personas que participan o han participado en el proceso de Planificacin Estratgica
con sus respectivos telfonos, anexos y correos para contactarlos.
B. Presupuesto de Ingresos y Egresos.
C. Estados Financieros.
D. Metodologa para la Planificacin Estratgica.
E. Plan Estratgico de la Organizacin.
F. Plan Estratgico de cada una de las reas.

PROCESO
Las actividades a realizar para esta auditora son las siguientes:
A. Revisar la informacin indicada en la seccin anterior.
B. Revisar el proceso de Conformacin del Equipo de la Planificacin Estratgica.
C. Verificar que el equipo est conformado por personal de todas las gerencias, tanto los
gerentes de lnea como los gerentes intermedios, as como personal sin rango gerencial
directamente involucrado en procesos con el cliente o en procesos con los proveedores.
D. Revisar el proceso de Seleccin de la Metodologa para la Planificacin Estratgica. Verificar
lo siguiente:
a) La metodologa a utilizar debe ajustarse a las necesidades de la organizacin. Por
ejemplo, usar metodologas que en realidad son modelos matemticos que son
aplicables a realidades diferentes a la nuestra, no sera una eleccin adecuada.
b) La metodologa a emplear debe permitir que la organizacin identifique sus problemas,
proponga los cambios a futuro y administre cmo hacerlos en la prctica.
c) La metodologa a utilizar debe incluir la participacin de personal operativo de diversas
reas, adems de los gerentes.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
18
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI

E. Revisar el Aprendizaje de la Metodologa para la Planificacin Estratgica elegida. Verificar
lo siguiente:
a) El equipo de Planificacin Estratgica de la organizacin, debe tener aprendida la
metodologa de Planificacin Estratgica seleccionada antes de comenzar con el
proyecto de Elaboracin del Plan Estratgico.
b) Si el equipo de Planificacin Estratgica est conformado tambin por personal de
una empresa proveedora, debe tener las competencias necesarias para dirigir o
colaborar con la organizacin en dicho proceso. Para ello se deber hacer la
evaluacin respectiva.
F. Revisar el proyecto de Elaboracin del Plan Estratgico.
G. Revisar el proceso de planificacin del Proyecto de Elaboracin del Plan Estratgico.
Verificar lo siguiente:
a) Que los horarios para el desarrollo de las actividades del proyecto permitan que est el
mayor nmero de personas.
b) Que el diagrama de Gantt inicial del proyecto incluya todas y cada una de las etapas
formales de la metodologa elegida.
c) Que el diagrama de Gantt inicial del proyecto incluya la elaboracin de los planes para
cada una de las reas funcionales de la organizacin resultante al final del proceso de
planificacin estratgica.

H. Analizar y evaluar la ejecucin del Proyecto de Elaboracin del Plan Estratgico. Verificar lo
siguiente:
a) Las actas de reuniones del proyecto.
b) Resultado de cada reunin para la elaboracin del Plan Estratgico.
c) Diagramas de Gantt con todos los cambios.
d) Elaboracin de Planes Estratgicos para cada una de las reas.
e) Determinacin de indicadores de gestin para la organizacin en su conjunto.
f) Determinacin de indicadores de gestin para cada una de las reas, de manera
alineada con los indicadores de la organizacin en su conjunto.
g) Elaboracin de procesos para la evaluacin de la estrategia.

I. Revisar la ejecucin del Plan Estratgico. Verificar que las actividades desarrolladas por la
organizacin se ajusten a los procesos estratgicos delineados por el Plan Estratgico.
J. Revisar el proceso de evaluacin del Plan Estratgico. Verificar que se est ejecutando el
proceso de evaluacin y las actas en que conste las decisiones que se haya tomado para
corregir las desviaciones de lo planificado, o en su defecto, las evidencias que demuestran
que s se tomaron acciones correctivas.

SALIDAS
Al desarrollar esta auditora es comn encontrar las siguientes observaciones:
A. La organizacin no tiene un Plan Estratgico.
B. El Plan Estratgico es de conocimiento slo del dueo, presidente del Directorio o Gerente
General, y se va soltando por pequeas partes la informacin para que las reas realicen
sus planes. No se llega a entregar o decir verbalmente el Plan Estratgico por temor a que lo
sepa la competencia o porque no se ha dedicado el tiempo para documentarlo o
estructurarlo correctamente.
C. El Plan Estratgico es encargado a una empresa proveedora y es un documento que slo
sirve para cumplir con tenerlo y evitar que auditora observe que no se tiene.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
19
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
D. El Plan Estratgico es un conjunto de ideas sueltas que no integran las labores de las
diversas reas de manera armoniosa.
E. El Plan Estratgico es un conjunto de ideas sueltas que no sirven de mucho para estructurar
los planes operativos.
F. El proceso de Planificacin Estratgica demora demasiado. Incluso en organizaciones
grandes, este proceso no debera demorar ms de 4 meses.
G. Los procesos y proyectos descritos en el Plan Estratgico carecen de un anlisis de
generacin de valor.


MODELO N 02: PROCEDIMIENTO PARA LA AUDITORA DEL PLAN DE SEGURIDAD DE
LA INFORMACIN

OBJETIVO
Analizar y evaluar el proceso de elaboracin y ejecucin del Plan de Seguridad de la Informacin
de la organizacin, con el fin de identificar la probable prdida de valor debido a fallas en los
diversos procesos involucrados.

ALCANCE
El alcance del procedimiento incluye:
A. Revisin del proceso de conformacin del Equipo de Elaboracin del Plan de Seguridad
de la Informacin.
B. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la
elaboracin del Plan de Seguridad de la Informacin.
C. Verificacin de la alineacin del Plan de Seguridad de la Informacin al Plan Estratgico
de Informtica.
D. Revisin del documento del Plan de Seguridad de la Informacin.
E. Verificacin de la asignacin de presupuesto, cronogramas y responsabilidades para la
ejecucin del Plan de Seguridad de la Informacin.
F. Verificacin de la implementacin de las acciones indicadas en el Plan de Seguridad de
la Informacin.

El alcance del procedimiento no incluye:
A. Evaluacin de los ataques de intrusos u otros problemas de seguridad de la informacin que
hubieran ocurrido durante el perodo en evaluacin.

ENTRADAS

Para realizar esta auditora, se requiere que la organizacin provea con respecto al perodo
anterior al perodo en evaluacin, el perodo en evaluacin y los perodos prximos, la siguiente
informacin:
A. Lista de personas que participan o han participado en la elaboracin del Plan de Seguridad
de la Informacin con sus respectivos telfonos, anexos y correos para contactarlos.
B. Plan Estratgico de Informtica.
C. Anlisis de Generacin de Valor del Plan de Seguridad de la Informacin.
D. Presupuesto detallado para la Elaboracin del Plan de Seguridad de la Informacin.
E. Actas de reuniones del equipo de elaboracin del Plan de Seguridad de la Informacin.
F. Diagramas de Gantt para la elaboracin del Plan de Seguridad de la Informacin.
G. Plan de Seguridad de la Informacin.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
20
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
H. Diagramas de Gantt para la ejecucin de las acciones del Plan de Seguridad de la
Informacin, con su respectiva asignacin de responsabilidades.
I. Presupuesto detallado para la ejecucin de las acciones del Plan de Seguridad de la
Informacin.

PROCESO
Las actividades a realizar para esta auditora son las siguientes:
A. Revisar la informacin indicada en la seccin anterior.
B. Revisar el proceso de conformacin del Equipo de Elaboracin del Plan de Seguridad de la
Informacin. Este equipo debe estar conformado por personal asignado especialmente para
esa labor por parte del rea de Tecnologa de la Informacin; sin embargo, de este equipo el
lder es slo un miembro del Comit de Seguridad de la Informacin, equipo conformado por
personal gerencial de diversas reas de la organizacin, capaz de determinar polticas y
sanciones ante faltas a la seguridad de la informacin. El equipo deber coordinar con las
dems reas de la empresa y con la Unidad de Riesgos.
C. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la elaboracin
del Plan de Seguridad de la Informacin.
D. Verificar la alineacin del Plan de Seguridad de la Informacin al Plan Estratgico de
Informtica. Se debe verificar que priorice la seguridad de los procesos crticos de la
organizacin, colocando las medidas de seguridad mximas para evitar que se lleven la
informacin, teniendo en cuenta los siguientes elementos:

Desventajas competitivas. Analizar Cunto dao se podra causar a la
organizacin, si la informacin cayera en manos del competidor?
Prdida directa del negocio. Analizar si se perdera ingresos o utilidades si la
informacin es divulgada, daada o perdida.
Prdida o dao en la confianza e imagen pblica. Si la informacin es divulgada,
Cunto dao provocara en la confianza del cliente, la imagen M. pblica o la
lealtad de los accionistas o proveedores?
Dao en la moral. Si la informacin es divulgada o perdida, Cul sera el impacto
en la moral o motivacin del personal?
Fraude. Analizar si ocurre el riesgo de fraude en la manipulacin de bienes o fondos,
si la informacin es divulgada o alterada
Decisiones gerenciales equivocadas. Analizar si se podran tomar decisiones
equivocadas como resultado de errores en cambios de informacin no autorizados.
Interrupcin de las operaciones de negocio. Analizar Qu aplicaciones son bsicas
para que el negocio no se vea interrumpido?
Responsabilidad Legal. Analizar si la divulgacin de informacin podra resultar en
un problema legal, regulatorio o de cumplimiento de obligaciones contractuales.
Prdida de privacidad. Analizar si el usuario podra sufrir personalmente por prdida
de privacidad o uso no autorizado de su identidad.
Riesgo de Seguridad Personal. Analizar si los registros incorrectos podran poner en
riesgo la salud o la vida de los usuarios.

E. Revisar el documento de Plan de Seguridad de la Informacin. Verificar que se haya
detallado acciones para proteger a la organizacin de lo siguiente:
a) Seguridad Lgica de la Informacin.
Riesgos de la Seguridad por uso inadecuado del equipo de cmputo.
Trojan Horse programs.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
21
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
Back door and remote administration programs.
Denial-of-Service attacks.
Ser intermediario de ataques a otras organizaciones.
Compartir redes de Windows no protegidas.
Programas con extensiones de archivo ocultas.
Proteccin contra uso inadecuado de cdigo fuente de Java,
JavaScript o ActiveX por parte de intrusos, tanto en pginas
accedidas a travs del explorador de Internet como en el correo
electrnico.
Virus en archivos adjuntos en el correo electrnico.
Hurto de identidad e informacin personal (financiera o no financiera).
Cross-site scripting.
E-mail spoofing.
Chat Clients.
Packet Sniffing.
Tunneling.
Zombies.
Spyware.
Adware.

Violaciones de Reglas y Regulaciones.
Propiedad Intelectual.
Uso decente del Internet.
Espionaje Industrial.
Otras reglas y Regulaciones.

Accidentes.
Problemas en el software de base.
Problemas en los sistemas de informacin.

Polticas para otorgar accesos (se pueden otorgar de manera lgica a:
Unidades de diskette.
Lectoras de CD.
Grabadoras de CD.
Grabadoras de DVD.
Envo de correos a direcciones de otras organizaciones.
Chats.
Memorias USB.
Correo Electrnico Gratuito u otros correos diferentes al correo oficial de la
organizacin.
Carga de archivos en pginas web.
Panel de control de las computadoras.
Instalacin de programas en la computadora por parte del usuario.
Visualizacin de los nombres de las pginas web que estn siendo accedidas a
travs del explorador de Internet.
Visualizacin del cdigo fuente de las pginas web desarrolladas en el
explorador de Internet.
Carpetas compartidas de los servidores.
Software de base usado en la organizacin.
Sistemas de Informacin de la organizacin.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
22
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
Revisin peridica de los registros de transacciones para verificar si ocurrieron
cambios no autorizados en los accesos otorgados.

Configuracin del firewall.
Restriccin de accesos a sitios web no autorizados.
Restriccin de accesos a FTP.
Intentos de ataque de intrusos.
Ataques ocurridos y no detectados.
Vigencia de las reglas de seguridad definidas.
Revisin peridica del registro de transacciones del firewall.

Configuracin del software anti spam.
Claridad de las reglas definidas.
Vigencia de las reglas de seguridad definidas.
Correos filtrados.
Revisin peridica del software anti spam.

Copias de respaldo de la informacin.
Tiempo de demora de la elaboracin de copias de respaldo.
Cronograma de elaboracin de copias de respaldo.
Uso de equipos adecuados para las copias de respaldo.
Ubicacin adecuada de las copias de respaldo: una copia en un ambiente fsico
del rea de Tecnologa de la Informacin, otra copia en un ambiente fsico de
otra rea y otra copia en un ambiente fsico fuera de los locales de la
organizacin. Considerar que deben ubicarse las copias en lugares con las
condiciones adecuadas de temperatura y humedad dadas por los fabricantes de
los dispositivos de almacenamiento. Si la copia de respaldo se aloja en un
proveedor, verificar las instalaciones del proveedor.
Tiempo de demora en la restauracin de la copia de respaldo en el centro de
cmputo alterno.
Verificacin de las tareas de los backups, para ver si se han realizado
correctamente.

Software para apagado automtico de los servidores ante un corte de fluido elctrico
(aunque no es necesario si hay UPS y los vigilantes conmutan al uso de energa
elctrica con un generador, apenas ocurre el problema).

b) Seguridad Fsica de la Informacin:
Acceso de Personas.
Identificacin de las personas que ingresan a las instalaciones.
Escolta de las personas que ingresan a las instalaciones.
Claves de seguridad en las puertas de acceso a las oficinas y centros de
cmputo.
Correcto estado de las puertas de acceso a las oficinas y centros de cmputo.

Suministro de energa elctrica de los equipos de cmputo.
Estabilizacin de la lnea de voltaje de los equipos de cmputo.
Uso de una lnea de voltaje para los equipos de cmputo que sea diferente de
las lneas de voltaje que se usen para otros fines en la organizacin.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
23
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
Uso de equipos UPS por lo menos en las salas de cmputo uso de
generadores de voltaje para dichas instalaciones con procedimientos claros ante
una cada del suministro de energa elctrica.
Existencia de un pozo de tierra.
Mantenimiento peridico del pozo de tierra.

Proteccin contra incendios.
Extinguidores para incendios originados por equipos electrnicos.
Vigencia de los extinguidores de incendios.
Suficiencia en cantidad de extinguidores de incendios.
Detectores de humo.
Correcto funcionamiento de las alarmas contra incendios.
Inexistencia de material inflamable en los centros de cmputo, tales
como madera, ropa, cuadernos, etc.

Condiciones ambientales de las salas de cmputo.
Correcto funcionamiento de los equipos de aire acondicionado.
Correcto funcionamiento de los medidores de humedad y temperatura.
Cableado desordenado con riesgo que lo pisen y se retiren los cables de los
switches.

Fallas en Hardware.
Fallas en disco.
Fallas en la fuente de voltaje de la computadora.
Fallas en la tarjeta principal.
Otras fallas en el hardware.

Traslado de Informacin.
Normas sobre el traslado de documentos fsicos fuera de los locales de la
organizacin.
Normas para el ingreso de dispositivos de memoria dentro de la organizacin.
Normas para la salida de dispositivos de memoria fuera de la organizacin


F. Verificar la asignacin de presupuesto, cronogramas y responsabilidades para la ejecucin
del Plan de Seguridad de la Informacin. Se debe identificar claramente quin ser
responsable de la ejecucin de las actividades descritas en el plan.

G. Verificacin de la implementacin de las acciones indicadas en el Plan de Seguridad de la
Informacin. Revisar si ejecutan las acciones quienes deberan realizarlas o si el personal
que las realiza o ha realizado, tiene o tena las competencias necesarias para hacerlo.


SALIDAS
Al desarrollar esta auditora es comn encontrar las siguientes observaciones:
A. La organizacin no tiene un Plan de Seguridad de la Informacin.
B. El Plan de Seguridad de la Informacin est enfocado en la Seguridad Lgica; pero, no se
han tomado acciones en lo referente a la seguridad fsica.
UNIVERSIDAD NACIONAL FEDERICO VILLARREAL
24
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES AUDITORIA DE SISTEMAS DR. ORLANDO E. PACHECO CURI
C. Las acciones referentes a la seguridad de la informacin son tomadas para todos los
usuarios; excepto, personal del rea de Tecnologa de la Informacin, quienes tienen
accesos a: chats, correos gratuitos, etc.
D. Las claves de seguridad de acceso a diversas tecnologas de informacin, son conocidas por
personas que no necesitan saberlo son cambiadas sin notificar al jefe encargado de ello.

E. Errores en la seguridad fsica:

Los extinguidores de incendios no son apropiados para apagar incendios de equipos
electrnicos. Ej: extinguidores de chorro de agua en lugar de extinguidores de dixido de
carbono o polvo qumico seco.
Los extinguidores de incendios tienen vencida la fecha de renovacin.
Los detectores de humo no han sido probados o no funcionan.
Las alarmas contra incendios no han sido probadas o no funcionan.
Los equipos UPS no protegen un tiempo suficiente como para soportar la carga de todos
los servidores ante un corte de energa elctrica, hasta que conecten el generador.
Existencia de material inflamable como ropa, cuadernos, etc.
El equipo de aire acondicionado gotea o hace escarcha.
Cada cierto tiempo los operadores apagan el aire acondicionado cuando trabajan en el
mismo ambiente.
El cableado se encuentra muy desordenado, con riesgo que lo pisen y se salgan los
cables de red de los switches y ocurra interrupciones en el sistema para algunos
usuarios.
No existe pISO/IEC tcnico o falso piso para el cableado.
Los operadores trabajan en el mismo ambiente fsico donde se encuentran los equipos
del centro de cmputo.
Existen problemas elctricos, sobre todo en edificios antiguos, los cuales afectan al
hardware de computadoras, redes y equipos relacionados

Vous aimerez peut-être aussi