UDITORIA FISICA

Activos informticos, observaciones donde estn y que existan en el inventario, prevencin y

seguridad. Todos estos activos estn fsicamente seguros y adecuados, posibles fallas fsicas,
saber si se tiene un plan especfico despus de un desastre, identificar cules son sus planes de
accin para la seguridad en cuanto a un desastre.
Comprueba la existencia de los medios fsicos y tambin su funcionalidad, racionalidad y
seguridad.
sta garantiza la integridad de los activos humanos, lgicos y materiales de centro de cmputo.
reas de conocimiento de la auditoria fsica
Organigrama respectivo de la empresa, auditoras internas pasadas, administracin de la seguridad
(asignar responsabilidades a cada una de las personas), centro de procesos de datos (identificar
cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especfica),
seguridad fsica del personal (informacin que se debe tener).
Lista donde est la informacin
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos reglamentos
y cursos de capacitacin.
Herramientas
Entrevistas, cuestionarios, encuestas y grficas.
AUDITORIA OFIMATICA
Estudio de una aplicacin a la cual debemos evaluar, saber si realmente sirve para su
requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo
est utilizando de la manera ms adecuada.
La Ofimtica
Sistema automatizado que genera, procesa, almacena, recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Noes, grep, etc.), estaciones de trabajo, aplicaciones,
medidas de seguridad que tienen los usuarios, controles de la ofimtica que se deben ocupar
(economa, eficacia y eficiencia).
Determinar si el inventario ofimtico de los equipos reflejan con exactitud el nmero de equipos y
aplicaciones reales.
Determinar y evaluar el procedimiento de adquisicin de equipos y aplicaciones.
Determinar y evaluar la poltica de mantenimiento definida en la organizacin.
Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollado por el propio personal de
la organizacin.
Evaluar la correccin del procedimiento existente para la realizacin de cambios de versiones y
aplicaciones.
Determinar si los usuarios cuentan con suficiente informacin y la documentacin de apoyo para

la realizacin de sus actividades de un modelo eficaz y eficiente.

Determinar si el sistema existe y si realmente cumple con las necesidades de la organizacin.
Anomalas
- Seguridad.- Determinar si existen garantas suficientes para proteger los accesos no autorizados
a la informacin reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseas.
- Procedimiento para la asignacin de contraseas.
- Procedimiento para cambio peridico de contraseas.
2. Informacin impresa.
- Accesos autorizados.
- Verificar que esta informacin se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos.
3. Verificar que la informacin de encuentre clasificada.
Determinar si el procedimiento de generacin de copias de respaldo es fiable y garantiza la
recuperacin de la informacin
1. Que este especificado.
2. Que la periodicidad sea acorde a las condiciones ofimticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo est garantizada (tomar un respaldo y verificar si realmente funciona
y el procedimiento sea el adecuado).
5. Que realmente estn resguardados los respaldos en un rea segura.
Determinar si est garantizados el funcionamiento ininterrumpido de aplicaciones crticas.
1. Planta de luz alternativa.
2. Asignacin e responsabilidades en cadena para levantar el sistema.
Determinar el grado de exposicin ante la posibilidad de intrusos, de virus (medida del riesgo para
poder protegerse por la intrusin de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.
AUDITORIA DE DIRECCION
Siempre en una organizacin se dice que esta es un reflejo de las caractersticas de su direccin,
los modos y maneras de actuar de aquella estn influenciadas por la filosofa y personalidad del
director.
Acciones de un Director
Planificar. (Este acorde al plan estratgico (conocimiento a evaluar acciones a realizar)).
- Lectura y anlisis de actas, acuerdos, etc.
- Lectura y anlisis de informes gerenciales.
- Entrevistas con el mismo director Dell departamento y con los directores de otras reas.

 Organizar.
Controlar.
Coordinar.
Las enormes sumas que las empresas dedican a la tecnologa de la informacin y de la
dependencia de ests con los procesos de la organizacin hacen necesaria una evaluacin
independiente de la funcin que la gestiona (dirige).
AUDITORIA DE LA DIRECCIN DE GESTIN
- Planificar
- Evaluar
- Plan estratgico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de informacin
para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de informacin y los controles
que permiten alcanzar los objetivos marcados por la calificacin. Para poder evaluar y dar
seguimiento a estas funciones se establece un comit de informtica que afectan a toda la
empresa y permite a los usuarios como las actividades de la organizacin no solo de su rea, se
pueden fijar las prioridades.
El auditor debe asegurarse que exista est comit y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
Verificar que exista una normativa interna donde se especifique las funciones del comit.
Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan.
Existe comit de informtica
- Normativa interna.
- Entrevistas a los representantes de los usuarios para conocer si entienden y si estn de acuerdo
con el comit.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comit.
Verificar trabajo del comit
- Lectura de actas de comit para comprobar que el comit cumple efectivamente las funciones y
que los acuerdos son tomados correctamente tomando en cuenta la opinin de los miembros del
comit.
AUDITORIA DE MANTENIMIENTO
- Evala la etapa del mantenimiento (4 a 6 meses la dura. del mantenimiento
- Importancia (etapa del mantenimiento (15 das a 1 mes (mantenimiento con cambios)) "mayor
costo".

- Evaluar trabajo.
- Lista de revisiones.
- Existe documentacin para el requerimiento de cambios.
- Documentacin de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observacin).
- La aceptacin de pruebas, con la cual se liberan los cambios.
- Logstica (por procedimientos) para realizar el cambio de modificaciones (versiones) del servidor
de produccin.
Valoracin del esfuerzo de trabajo.
No. > Mayor esfuerzo.
No. < Menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimiento.
Mes hombre (etapa de mantenimiento esfuerzo) = trfico de cambio actual
mes hombre de desarrollo.
TCA = nmero de lneas nuevas + nmero de lneas modificadas
nmero de lneas iniciales
mes hombre desarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20
Ks = estimacin del tamao del programado en miles de lneas de cdigo.
Comprensibilidad del sistema
- Identificar que los archivos tengan nombre adecuado a lo que se est codificando.
- Fcil de entender.
- Nombres adecuados de acuerdo al tipo de datos e informacin
- Comentarios por lo menos cada 50 lneas de cdigo.
Que sea modificable
- Que tan modificable es.<
Testeable
- Que los pongamos a prueba para verificar si realmente es correcto.
- Se introduzca cdigo de deteccin de errores.
AUDITORIA DE BASE DE DATOS

1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documento tenga el tipo de acceso "ad hoc" al grupo de usuarios.

- Realizar encuestas y aplicar cuestionarios para verificar que los perfiles realmente hayan sido
aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el
documento arriba mencionado.
PUNTOS A LOS QUE SE ENFOCA EL AUDITOR
Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios as como
tambin diferentes perfiles, tipos de usuarios, documentacin sobre cambios, accesos limitados,
buscar e identificar que cada uno est en su puesto, que administradores tienen acceso, los
programadores no deben tener acceso a la base real sino que debe tener acceso a usuarios en la
misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el
auditor debe de identificarlos e identificar que cada persona est en su puesto), diseo(identificar
que realmente se deje una trayectoria o documentacin sobre la base de datos, que tenga
diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
La investigacin de la arquitectura (se refiere al sistema operativo y el software para crear una base
de datos adems de que deban ser compatible, checar estudio previo para escoger el software
adecuado, verificar que los componentes que se compren sean los adecuados para la
compatibilidad) el ciclo de vida de una base de datos (cunto tiempo durar el sistema o base de
datos que se dise), estudio de la informacin este realmente de acuerdo con la empresa que
est utilizando en este momento, si se cuenta con la documentacin de la reingeniera aplicada,
tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder
hacer la modificacin con las autorizaciones necesarias, verificar que exista registro de todo.