Cuestionario de Auditoría Informática
-
Upload
isabel-perez -
Category
Documents
-
view
220 -
download
5
Transcript of Cuestionario de Auditoría Informática
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS SI NO N/A OBSERVACIONES
1.- Se elabora periódicamente un plan de renovación de equipos
2.- Se lleva un control de inventario de hardware de la entidad
3.- El control de inventario contempla información detallada de las características y componentes del equipo inventariado
4.- El mantenimiento de los equipos de cómputo se da por funcionarios internos
5.- Se le da manteninieto de tipo preventivo a los equipos de cómputo
6.- El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente
7.- Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.
8.- Se cuenta con las licencias del software que se utiliza en la entidad
9.- Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad
10.- ¿Se evalúa el rendimiento del personal directivo y operativo?
11.- Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?
12.- ¿Cuál es la cobertura de los seguros contratados?
13.- ¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?
14.- ¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada
por el supervisor inmediato o el Gerente de sistemas?
15.- ¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?
16.- ¿Existen procedimientos escritos sobre la actualización de archivos?
17.- ¿Existen procedemientos por escrito sobre la utilización de las librerías?
18.- ¿Existen programas de control y revisión sobre los archivos manejados por el usuario?
19.- ¿Está prohibido la operación del equipo de analistas y programadores?
20.- ¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?
21.- ¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS SI NO N/A OBSERVACIONES
DE INFORMACIÓN1.- ¿Se ha determinado alguna metodología de los standares para diseño de sistemas?
2.- ¿Existen estudios de factibilidad?
3.- ¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?
4.- ¿Se han diseñado, sistemas integrados de información?
5.- ¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?
6.- ¿Cuál es la política de costo utilizada?
7.- ¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?
8.- ¿Participan los auditores internos en los procesos de planificación para expresar sus necesidades.?
9.- ¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?
10.- ¿Existen planes para adquisiciones futuras de equipos.?
11.- ¿Se aplican los procedimientos para planificar software?
12.- ¿Participa auditoría en el desarrollo de sistemas?
13.- ¿Se han diseñado procedimientos standares para todas las áreas usuarias?
14.- ¿Es el usuario el responsable del ingreso de los datos?
15.- ¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?
16.- ¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?
17.- ¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?
18.- ¿Se cumplen los planes de desarrollo de sistemas?
19.- ¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes?
20.- ¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación?
21.- ¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?
22.- ¿Existe documentación de los programas, cuales son los documentos que la forman?
23.- ¿Existe un procedimiento de actualización?
24.- ¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?
25.- ¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?
26.- ¿Existen normas estándares para la codificación de los programas?
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES A LAS BASES DE DATOS SI NO N/A OBSERVACIONES
1.- Se tiene definido un área o persona para la administración de la base de Datos en la entidad?
2.- Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?
3.- Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?
4.- Las bases de datos tienen definidas un password para lograr accerderlas?
5.-
6.-
ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN SI NO N/A OBSERVACIONES
1.- El sistema es desarrollado internamente
2.- El mantenimiento del Sistema lo dan funcionarios de la Entidad
3.- El Sistema es una aplicación desarrollada a la medida
4.- El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la Entidad
5.- El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidad
6.- El Sistema tiene menos de cinco años de funcionamiento
7.- El Sistema es integrado con otras aplicaicones automatizadas de la Entidad
8.- El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externa
9.- ¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?
10.- ¿Es adecuada la socumentación de los programas?
11.- ¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?.
12.- ¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.
13.- ¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.
14.- ¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de
la librería de programas en línea?.
15.- ¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.
16.- ¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.
17.- ¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.
18.- ¿Existe un plan para el desarrollo futuro de programas y aplicaciones?.
19.- ¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.
20.- ¿Se preparan manuales de cada programa para el usuario?.
21.- ¿Se da mantenimiento a los programas y aplicaciones en forma regular?.
22.- ¿Están integrados los programas y aplicaciones en un todo?.
23.- ¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.
24.- ¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?.
25.- ¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.
26.- ¿El acceso a las palabras claves o secretas es restringido?.
27.- Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el
procedimiento que se aplica sobre las claves de seguridad asignadas?
28.- ¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente?
29.- ¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?
30.- ¿Existen procedimientos escritos para descargar o restaurar información al computador?
31.- ¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios
respectivos ?
32.- ¿Existen estándares establecidos para la elaboración y documentación de los programas?
33.- ¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?
34.- ¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?
35.- Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?
36.- ¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.
Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificación a los datos de una base de datos en producción?
Se utilizan las fortalezas de validación de información que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES A LOS RESPALDOS SI NO N/A OBSERVACIONES
1.- Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?
2.- Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?
3.- El procedimiento de respaldo está automatizado ?
4.- El respaldo se realiza periódicamente ?
5.- Se realizan varias copias del respaldo de datos y de la aplicación ?
6.- Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ?
7.- Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ?
8.- Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?
9.- La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una
contingencia la pérdida de información sea mínima ?
10.- Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?
11.- Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?
12.- Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para
asegurar su buen funcionamiento ?
13.- Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?
14.- Existen copias de los respaldos fuera del edificio?
15.- En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?
16.- ¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?
17.- ¿Está marcado o identificado perfectamente el material confidencial?
18.- ¿Se sacan suficientes copias de seguridad de los archivos principales?
19.- Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?
20.- ¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?
21.- Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?
22.- ¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?
23.- ¿Existe una destructura de papel y funciona adecuadamente?
24.- ¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?
25.-
26.- ¿Existe la probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas
en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo,
de existir algún contrato o convenio, menciónelo?
27.- Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también
sobre los posibles problemas que se presentan al operarlo.
28.- ¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado?
29.- ¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?
30.- ¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?
31.- ¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y
utilización de dicha información?
32.- ¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales?
¿Existe una bitácora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energía eléctrica?
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES DE ENTRADA DE DATOS SI NO N/A OBSERVACIONES
1.- Se tienen formularios preimpresos para la captura de la información que ingresa al sistema ?
2.- El formulario cuenta con copias ?
3.- Las copias en el formulario identifican claramente las áreas a las que se le debe entregar ?
4.- Los formularios son prenumerados ?
5.- El formulario preimpreso tiene el mismo orden de captura que el de ingreso de la información en el Sistema,
esta coincide con la forma del diseño de la pantalla ?
6.- En las pantallas de captura de datos se tienen definidos campos como obligatorios para ser digitados ?
7.- Se tiene control de tipos sobre los campos que se capturan ?
8.- Se permite ingresar transacciones con el mismo número de indentificación o clave primaria del documento ?
9.- Se tienen establecidos controles que permitan restringir rangos de acción de algún valor que se deba ingresar en el sistema ?
10.- Se controla el orden cronológico de ingreso de transacciones en el sistema, de tal forma que no permita realizar
operaciones en forma extemporánea o de períodos anteriores ?
CONTROLES DEL PROCESAMIENTO DE LOS DATOS SI NO N/A OBSERVACIONES
1.- El sistema deja rastro en la transacción de los usuarios que se vieron involucrados en su procesamiento
(creador, autorizador o aprobador ?
2.- El sistema lleva un consecutivo propio de las diferentes transacciones que permite realizar la aplicación ?
3.- El sistema cuenta con herramientas de auditoría que permitan dar seguimiento a una transacción a lo largo
de su procesamiento ?
4.- El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacción sigue el cilo normal
de procesamiento y que éste no se pueda alterar ?
CONTROLES DE LAS SALIDAS DE DATOS SI NO N/A OBSERVACIONES
1.- Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidencialidad ?
2.- Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y
responsabilidades de los usuarios ?
3.- Si el sistema emite archivos electrónicos como salida se graban en un área con acceso restringido ?
4.- Loa archivos electrónicos emitidos por el Sistema cuentan con un porcedimiento formal para su distribución ?
5.- Se tiene un responsable definido para la distribución de los archivos electrónicos ?
6.- Los reportes cuentan con nombre del reporte, fecha de emisión, usuario que lo emitió, programa que los
elaboró y vigencia consignada en ellos cada vez que son impresos ?
7.- Si tiene alguna disposición establecida en términos de manipulación, archivado o destrucción de los reportes
obsoletos que emite el sistema ?
CUESTIONARIO PARA AUDITORIA INFORMATICA
SEGURIDADES LÓGICAS Y ACCESO LOS DATOS SI NO N/A OBSERVACIONES
1.- Se cuenta con servidores de archivos separados?
2.- Se cuenta con un servidor de aplicaciones separado?
3.- Se cuenta con un servidor o área para desarrollo separada ?
4.- Se cuenta con un servidor o área para producción separada ?
5.- Se cuenta con un servidor de base de datos ?
6.- Se cuenta con un servidor PROXY ?
7.- Se cuenta con un servidor de acceso remoto RAS ?
8.- Se cuenta habilitada la posibilidad de rellamado para las conexiones RAS ?
9.- El acceso por medio de RAS solicita password para autenticar la conexión ?
10.- El password del RAS tiene vencimiento periódico ?
11.- El password del RAS puede ser cambiado por los usuarios dueños de la cuenta ?
12.- Se tiene politicas definidas para determinar los funcionarios que son candidatos a tener acceso por medio RAS ?
13.- Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?
14.- Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?
15.- Se cuenta con un antivirus que esté corriendo en los clientes ?
16.- Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores ?
17.- Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir
cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
CONTROLES DE ACCESO A LOS SISTEMAS SI NO N/A OBSERVACIONES
1.- El sistema cuenta con un mecanismo de control de acceso ?
2.- El mecanismo de control de acceso se basa en la política de autentificación por password ?
3.- La palabra de paso tiene un periodo de vencimiento establecido ?
4.- La palabra de paso tiene una longitud mínima para ser ingresada o definida ?
5.- Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando
este ingresada por primera vez a la aplicación ?
6.- Los usuarios pueden cambiar su palabra del paso personalmente una vez que se da su vencimiento ?
7.- La estructura de la palabra de paso es tal que requiere de una combinación de caracteres que no lo permite
ingresar palabras de fácil deducción ?
8.- La palabra de paso se almacena en forma encriptada ?
9.- El mecanismo de control de acceso se basa en la politica de identificación por medio del usuario ?
10.- Se tiene un procedimiento formal para la solicitud de ingreso, bloqueo o eliminación de un usuario al sistema ?
11.- Los usuarios definidos en el Sistema están asociados a un solo funcionario ?
12.- El sistema no permite que con un mismo usuario se ingrese simultáneamente a la aplicación desde dos estaciones diferentes ?
13.- Si una sesión en el sistema se queda abierta por un periodo determinado de tiempo sin actividad, la aplicación se bloquea
para que el sistema no sea utilizado ?
14.- El usuario de ingreso al sistema se bloquea después de un número determinado de intentos fallidos de ingreso ?
15.- Cuando un usuario se encuentra fuera de la entidad por vacaciones, incapacidad o permiso en Usuario es desactivado
para que no se pueda ingresar por el tiempo que este está fuera de la Institución ?
16.- El sistema presenta en pantalla el usuario que realizó el último acceso desde la estación del cliente ?
17.- Se cuenta con bitácoras que almacenen información relativa a la actividad de ingreso al Sistema ?
18.- En la bitácora de control de acceso por lo menos se lamacena la siguiente información: usuario y hora de igreso,
usuario y hora de salida, procesos utilizados por el usuario, transacciones de actualización en la BD, intentos
fallidos de acceso y desactivación ?
19.- Se hacen revisiones pedriódicas de la bitácoras de acceso al Sistema ?
20.- En caso de detectar desciaciones en el sistema por medio de la revisión de las bitácoras se cuenta con un
procedimiento formal que determine las acciones a tomar en estos casos?
21.- El sistema cuenta con la facilidad de definir perfiles de acceso ?
22.- Los perfiles de acceso definidos en el Sistema identifican en forma independiente las tareas y procesos a los
que tienen acceso los usuarios de acuerdo con sus funciones y responsabilidades ?
23.- Se tiene un procedimiento formal que permita solicitar la modificación, inclusión, desactivación de perfiles en el Sistema ?
24.- El área o persona encargada de la administración de los perfiles del Sistema es un funcionario que no pertenece a CPD ?
25.- Cuando un usuario tiene asignado un perfil determinado y se ingresa al sistema en la aplicación se muestra solo las
opciones a las que tiene acceso el funcionario con ese perfil ?
26.- Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabilidades ?
CUESTIONARIO PARA AUDITORIA INFORMATICA
SEGURIDADES FISICAS SI NO N/A OBSERVACIONES
1.- Cuenta el sistema con un regulador de voltaje?
2.- Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente?
3.- ¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica?
4.- Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones
cuantos minutos de energía le da al computador.
5.- ¿La instalación eléctrica del CPD, tiene conexión a tierra?
6.- ¿Existe en el centro de cómputo extintor de incendio?
7.- Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?
8.- Cuenta el sistema con un equipo de aire acondicionado adecuado?
9.- ¿Se mide con frecuencia la temperatura y la humedad?
10.- ¿Las instalaciones de CPD se encuentran en un lugar funcional?
11.- ¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?
12.- ¿Tienen protección para sobre cargas?
13.- ¿Existe un sistema adecuado de detección de incendios?
14.- Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"
15.- ¿Está restringido el acceso al CPD?
16.- ¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?
17.- ¿Existe algún plan de seguridad de emergencia escrito y aprobado?
18.- ¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?
19.- ¿Existe un mantenimiento adecuado y periódico a los equipos de computación?
20.- ¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?
21.- ¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?
22.- ¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa,
en caso de algún siniestro?
23.- En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?
24.- ¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?
25.- Se tiene algún control de entrada/salida del personal No Autorizado?
26.- Se cuenta con alguna área definida deCintoteca o Discoteca?
27.- Esta área es de acceso restringido?
28.- Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 8 de 18
INFORME PORMENORIZADO DE RIESGOS DE CONTROL
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 9 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G02.- SEGURIDADES FISICAS SI NO N/A OBSERVACIONES
G02-01 Cuenta el sistema con un regulador de voltaje? √G02-02 Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente? √
G02-03 ¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica? √
G02-04 √G02-05 ¿La instalación eléctrica del CPD, tiene conexión a tierra?G02-06 ¿Existe en el centro de cómputo extintor de incendio?G02-07 Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?G02-08 Cuenta el sistema con un equipo de aire acondicionado adecuado?G02-09 ¿Se mide con frecuencia la temperatura y la humedad?G02-10 ¿Las instalaciones de CPD se encuentran en un lugar funcional?G02-11 ¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?G02-12 ¿Tienen protección para sobre cargas?G02-13 ¿Existe un sistema adecuado de detección de incendios?G02-14 Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"G02-15 ¿Está restringido el acceso al CPD?G02-16 ¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?G02-17 ¿Existe algún plan de seguridad de emergencia escrito y aprobado?G02-18 ¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?G02-19 ¿Existe un mantenimiento adecuado y periódico a los equipos de computación?G02-20 ¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?G02-21 ¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?
G02-22 ¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algún siniestro?
G02-23 En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?G02-24 ¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?G02-25 Se tiene algún control de entrada/salida del personal No Autorizado?G02-26 Se cuenta con alguna área definida de Cintoteca o Discoteca?G02-27 Esta área es de acceso restringido?G02-28 Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?
Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones cuantos minutos de energía le da al computador.
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 10 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G03.- SEGURIDADES LÓGICAS Y ACCESO A LOS DATOS SI NO N/A OBSERVACIONES
G03-01 Se cuenta con servidores de archivos separados?√
G03-03 Se cuenta con un servidor o área para desarrollo separada ?√
G03-06 Se cuenta con un servidor PROXY ?
G03-11 El password de las estaciones de trabajo puede ser cambiado por los usuarios dueños de la cuenta ?
G03-13 Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?
G03-14 Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?
G03-15 Se cuenta con un antivirus que esté corriendo en los clientes ?
G03-16
G03-17
Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores?
Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 11 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G08.- CONTROLES A LOS RESPALDOS SI NO N/A OBSERVACIONES
G08-01 Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?G08-02 Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?G08-03 El procedimiento de respaldo está automatizado ?G08-04 El respaldo se realiza periódicamente ? √G08-05 Se realizan varias copias del respaldo de datos y de la aplicación ?G08-06 Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ? √G08-07 Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ? √G08-08 Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?
G08-09
G08-10 Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?G08-11 Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?
G08-12
G08-13 Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?G08-14 Existen copias de los respaldos fuera del edificio?G08-15 En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?G08-16 ¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?G08-17 ¿Está marcado o identificado perfectamente el material confidencial?G08-18 ¿Se sacan suficientes copias de seguridad de los archivos principales?G08-19 Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?G08-20 ¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?
G08-21 Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?
G08-22 ¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?G08-23 ¿Existe una destructura de papel y funciona adecuadamente?G08-24 ¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?
G08-25
G08-26
G08-27
G08-28 ¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado? √
G08-29 ¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?
G08-30 ¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?
G08-31
G08-32 ¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales? √
La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una contingencia la pérdida de información sea mínima ?
Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para asegurar su buen funcionamiento ?
¿Existe una bitácora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energía eléctrica?
¿Existe la probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo, de existir algún contrato o convenio, menciónelo?
Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también sobre los posibles problemas que se presentan al operarlo.
¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilización de dicha información?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 12 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G09.- CONTROLES A LAS BASES DE DATOS SI NO N/A OBSERVACIONES
G09-01 Se tiene definido un área o persona para la administración de la base de Datos en la entidad?
G09-02 Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?
G09-03 Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?
G09-04 Las bases de datos tienen definidas un password para lograr accerderlas?
G09-05
G09-06
Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificación a los datos de una base de datos en producción?
Se utilizan las fortalezas de validación de información que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 13 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G10.- ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN SI NO N/A OBSERVACIONES
G10-01 El sistema es desarrollado internamente √G10-02 El mantenimiento del Sistema lo dan funcionarios de la EntidadG10-03 El Sistema es una aplicación desarrollada a la medidaG10-04 El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la EntidadG10-05 El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidadG10-06 El Sistema tiene menos de cinco años de funcionamiento √G10-07 El Sistema es integrado con otras aplicaicones automatizadas de la Entidad √G10-08 El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externaG10-09 ¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?G10-10 ¿Es adecuada la socumentación de los programas?G10-11 ¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?. √G10-12 ¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.G10-13 ¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.
G10-14 √G10-15 ¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.G10-16 ¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.G10-17 ¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.G10-18 ¿Existe un plan para el desarrollo futuro de programas y aplicaciones?. √G10-19 ¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.G10-20 ¿Se preparan manuales de cada programa para el usuario?.G10-21 ¿Se da mantenimiento a los programas y aplicaciones en forma regular?. √G10-22 ¿Están integrados los programas y aplicaciones en un todo?. √G10-23 ¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.G10-24 ¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?. √G10-25 ¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.G10-26 ¿El acceso a las palabras claves o secretas es restringido?.
G10-27
G10-28 ¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente? √G10-29 ¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?G10-30 ¿Existen procedimientos escritos para descargar o restaurar información al computador?
G10-31 ¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ?
G10-32 ¿Existen estándares establecidos para la elaboración y documentación de los programas?G10-33 ¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?G10-34 ¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?G10-35 Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?
G10-36 ¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.
¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de la librería de programas en línea?.
Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el procedimiento que se aplica sobre las claves de seguridad asignadas?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 14 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G11.- CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓNSI NO N/A OBSERVACIONES
G11-01 ¿Se ha determinado alguna metodología de los standares para diseño de sistemas? √
G11-02 ¿Existen estudios de factibilidad?
G11-03 ¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?
G11-04 ¿Se han diseñado, sistemas integrados de información?
G11-05 ¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?
G11-06 ¿Cuál es la política de costo utilizada?
G11-07 ¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?
G11-09 ¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?
G11-10 ¿Existen planes para adquisiciones futuras de equipos.? √
G11-11 ¿Se aplican los procedimientos para planificar software?
G11-12 ¿Participa auditoría en el desarrollo de sistemas?
G11-13 ¿Se han diseñado procedimientos standares para todas las áreas usuarias?
G11-14 ¿Es el usuario el responsable del ingreso de los datos? √
G11-15 ¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?
G11-16 ¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?
G11-17 ¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?
G11-18 ¿Se cumplen los planes de desarrollo de sistemas?
G11-19 ¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes? √
G11-20 ¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación? √
G11-21 ¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?
G11-22 ¿Existe documentación de los programas, cuales son los documentos que la forman?
G11-23 ¿Existe un procedimiento de actualización?
G11-24 ¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?
G11-25 ¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?
G11-26 ¿Existen normas estándares para la codificación de los programas? √
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 15 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G12.- CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS SI NO N/A OBSERVACIONES
G12-01 Se elabora periódicamente un plan de renovación de equipos
G12-02 Se lleva un control de inventario de hardware de la entidad √
G12-03 El control de inventario contempla información detallada de las características y componentes del equipo inventariado √
G12-04 El mantenimiento de los equipos de cómputo se da por funcionarios internos
G12-05 Se le da manteninieto de tipo preventivo a los equipos de cómputo
G12-06 El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente √
G12-07 Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.
G12-08 Se cuenta con las licencias del software que se utiliza en la entidad
G12-09 Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad
G12-10 ¿Se evalúa el rendimiento del personal directivo y operativo?
G12-11 Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?
G12-12 ¿Cuál es la cobertura de los seguros contratados?
G12-13 ¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?
G12-14
G12-15 ¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?
G12-16 ¿Existen procedimientos escritos sobre la actualización de archivos?
G12-17 ¿Existen procedemientos por escrito sobre la utilización de las librerías?
G12-18 ¿Existen programas de control y revisión sobre los archivos manejados por el usuario?
G12-19 ¿Está prohibido la operación del equipo de analistas y programadores?
G12-20 ¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?
G12-21 ¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?
¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada por el supervisor inmediato o el Gerente de sistemas?
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 16 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G13.- CONTROLES EN REDES SI NO N/A OBSERVACIONES
G13-01 La Empresa tiene definida una LAN √
G13-02 La empresa tiene definida una WAN
G13-03 Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad
G13-04 Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red
G13-05 El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red
G13-06 Se realizan revisones periódicas de la bitácora disponibles por el software de red
G13-07 Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora
G13-08 Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red
G13-09 Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.
G13-10 Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor
G13-11
G13-12
G13-13 Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando
G13-14 Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados
G13-15 Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan
G13-16 Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD
G13-17
G13-18 Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema
G13-19 Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red
G13-20 Se define vencimiento periódico para los password de la red
G13-21 Se permite restringir el uso del mismo password al usuario después de que este se cambia
G13-22
G13-23 Se permite que el usuario cambie su contraseña en forma personalizada
Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administración cuando este se instala
El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.
Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos para proceder ante estas situaciones
Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 17 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G14.- CONTROLES EN COMUNICACIONES SI NO N/A OBSERVACIONES
G14-01 Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones
G14-02 Se tiene definidas formalmente sus funciones y responsabilidades
G14-03 Se cuenta con cableado estructurado en el edificio de la entidad √
G14-04 El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló
G14-05 La entidad cuenta con un muro de fuego
G14-06 El mantenimiento y programación del muro de fuego es efectuado por personal interno
G14-07 El mantenimiento y programación del muro de fuego es efectuado por terceros
G14-08
G14-09 El muro de fuego de la entidad es por hardware
G14-10 Se cuenta con enrutadores en la entidad
G14-11 Los routers de la empresa son por hardware
G14-12 Las configuraciones de los equipos de comunicación se hacen intrenamente
G14-13
G14-14 Se tienen restringidos los puertos de acceso al Inside de la red de la entidad
G14-15 Se tiene restringida la posibilidad de realizar FTP
G14-16 Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto
G14-17 Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)
G14-18
G14-19 Se tiene comunicación establecidas con entidades ajenas a la organización
G14-20 Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa
G14-21 Se cuenta con un sistema de detección de intrusos (IDS)
G14-22 El sistema de detección de instrusos es basado en Red
G14-23 El IDS está basado en detección de anomalías
G14-24 Se tiene políticas definidas cuando el IDS arroja una anomalía detectada
Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuración de este equipo
Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de acceso público de la entidad
Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en línea a estaciones de radio, TV o video
Cristóbal García EspinozaConsultor InformáticoTelf.: 2231233 - 099745407, email: [email protected]
30/Sep/2004Pág. 18 de 18
EN EL ÁREA INFORMÁTICA DE UN CENTRO DE COMPUTO
G15.- MANEJO DE CONTINGENCIAS SI NO N/A OBSERVACIONES
G15-01 Se tiene definido un plan de contingencia y continuidad en la entidad
G15-02
G15-03 Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan
G15-04 Se realiza algún tipo de análisis de resultado de las pruebas realizadas
G16.- MANEJO DE INTERNET SI NO N/A OBSERVACIONES
G16-01 Se cuenta con un servidor de Internet para la entidad
G16-02 Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet
G16-03 Se tiene definida una página de Internet propia de la entidad √
G16-04 En esta página se puede consultar información relacionado con los afiliados
G16-05 Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados
G16-06 Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red
G16-07 Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados
G16-08 El afiliado puede hacer cambio de esta contraseña
G16-09 El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso
G16-10 Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar
G16-11 Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa
G16-13 Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad
G16-14 Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet
G16-15 Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio
CUESTIONARIO PARA AUDITORIA INFORMATICA
SI NO N/A OBSERVACIONES
4.- Retenciones Judiciales
5.- Pensiones para Jubilados.
6.- Impuesto a la Renta.
7.- Interface Contable.
8.- Generación de Acumulados e históricos.
9.- Liquidación Individuales.
10.- Consultas a períodos escogidos a detalle.
11.- Control de deudas del personal.
12.- Consultas, Históricos de liquidación.
13.- Estadísticas históricas y de proyección.
14.- Simulación y manejo de costos Contrato Colectivo.
15.- Reliquidaciones de Pago.
16.- Programación de vacaciones.
17.- Manejo de Cargas Familiares.
18.- Orientado a manejar costos por Centro y Sub-centro.
CUESTIONARIO PARA AUDITORIA INFORMATICA
AREA TECNICA: SI NO N/A OBSERVACIONES
1.- Sistema de administración de Proyectos para control de obras de inversión
2.- Programas para Estadísticas de operación y mantenimiento del Sistema de subadministración y distribución de la empresa
3.- Activos Fijos.
4.- Sistema para liquidación de transacciones con el MEM y generadores
5.-
6.-
7.-
AREA FINANCIERA - CONTABILIDAD: SI NO N/A OBSERVACIONES
1.- Orientada al manejo de costos.
AREA FINANCIERA - TESORERÍA: SI NO N/A OBSERVACIONES
1.- Orientada al manejo de costos.
2.- Integrada con: Control Presupuestal, Compras, Comercial, Ordenes de Pago, Emisión de Cheques y sus comprobantes,
Flujo de Caja, Bancos y Conciliación, Parametrizada y con Manejo de centros y subcentros de costos
CUENTAS POR PAGAR Y COBRARAREA FINANCIERA - PRESUPUESTO: SI NO N/A OBSERVACIONES
1.- Control Presupuestal.
AREA FINANCIERA - BODEGA: SI NO N/A OBSERVACIONES
1.- Control de Bodega.
2.- Soportando Ordenes de Trabajo por Proyecto.
3.- Considerar Puntos de Cargos y Conceptos de Gastos para Costos.
AREA FINANCIERA - COMISARIATO: SI NO N/A OBSERVACIONES
1.- Integrado con inventarios, compras, contabilidad, Recurso Humano.
2.- Ciclo de compras sistematizado e integrado con requisiciones, Ordenes de Compras, Cotizaciones, Proveedores, Integrado con Inventarios (máxima y mínima), Tesorería, Pagos. Clientes (Internet) Contabilidad (Registros con centros y subcentros de Costos)
AREA RECURSOS HUMANOS: SI NO N/A OBSERVACIONES
1.- Mayor confiabilidad, flexibilidad, seguridad, dinamismo, paramétrico orientado al servicio al cliente interno y externo.
2.- Independizar del área de Sistemas la aplicación.
3.- Integrado con las demás áreas.
AREA RECURSOS HUMANOS - LIQUIDACION DE HABERES: SI NO N/A OBSERVACIONES
1.- Roles de Pago.
2.- Planillas de aportes.
3.- Descuentos al IESS.
4.- Retenciones Judiciales
Soporte para estudios técnicos con el Conelec u otros Organismos.
Estudios para la conexión en línea con las subestaciones.
Sistema para la administración y control de tarea vía Correo Electrónico.
CUESTIONARIO PARA AUDITORIA INFORMATICA
AREA COMERCIAL - RECAUDACION: SI NO N/A OBSERVACIONES
1.- Búsqueda del cliente por nombre, cedula, cuenta.
2.- Recaudación en línea o en lote de facturas y otros servicios prestados
3.- Claves individuales por recaudador.
4.- Eliminación de cobros.
5.- Impresión del soporte o recibo de pago.
6.- Permite pagos o abonos parciales.
7.- Manejar opciones de pago: cheque, tarjetas, transferencias Bancarias
8.- Manejo en línea y fuera de línea en Agencia.
9.- Convenios de Pago.
10.- Controles de cartera vencida y por vencer parametrizable.
11.- Reportes de Análisis de cartera.
12.- Reportes de recaudación diaria, parciales a una hora.
13.- Actualiza acumulados de deuda en línea.
AREA COMERCIAL - CORTES Y RECONEXIÓN DEL SERVICIO: SI NO N/A OBSERVACIONES
1.- Integración automática en base a parámetros con la facturación y su antigüedad para el corte y recaudación y sus convenios
para la reconexión
2.- Proceso de optimización automática de rutas de corte y reconexión
3.- Proceso de verificación y control de las mismas.
4.- Integración convenios de pago.
5.- Pagos a reconectores por reconexión.
AREA COMERCIAL - CONTROL DE MEDIDORES Y TRANSFORMADORES: SI NO N/A OBSERVACIONES
1.- La asignación a un abonado .
2.- El estado del mismo; nuevo, dañado, en reparación.
3.- Manejo del historial.
4.- La relación alimentadora, subestación, transformadores y medidores
5.- Todo lo anterior con Interfaces del Area Técnica.
AREA COMERCIAL - CONTROL DE PERDIDAS DE ENERGÍA: SI NO N/A OBSERVACIONES
1.- En base a lecturas promedio, se abrirá un caso de Investigación hacia ese cliente medidor
2.- Se le dará seguimiento, hasta darle una solución definitiva.
AREA COMERCIAL - LIQUIDACION DE COMPRA VS VENTA DE ENERGÍA: SI NO N/A OBSERVACIONES
1.- Comparará la energía comprada vs la energía vendida en un rango o periódo de fechas que se establezca
2.- Con esto se determinará los índices del balance energético.
AREA COMERCIAL - GENERACIÓN DE FACTURAS POR OTROS CONCEPTOS: SI NO N/A OBSERVACIONES
1.- Se facturará por ejemplo por bases de concursos, daños a la empresa, devoluciones, derechos de cobros, multas y todo lo que
no sea consumo o facturado anteriormente
2.- El tratamiento sería el mismo que las facturas anteriores.
CUESTIONARIO PARA AUDITORIA INFORMATICA
AREA COMERCIAL - MANEJO DE TOMAS DE LECTURAS: SI NO N/A OBSERVACIONES
1.- Manejo de lectores y rutas automatizados.
2.- Control diario a lectores su eficiencia y eficacia.
3.- Registro de novedades de los lectores.
AREA COMERCIAL - MANEJO DE DIGITACION DE LECTURAS: SI NO N/A OBSERVACIONES
1.- Asignación y control automatizado de digitadores y sectores rutas entregados
2.- Control diario a digitadores de su eficiencia y eficacia.
3.- Registro de novedades de los digitadores.
AREA COMERCIAL - MANEJO VERIFICACION Y CORRECCION DE LECTURAS: SI NO N/A OBSERVACIONES
1.- Validación en línea y lote de lecturas.
2.- Parámetrización de las validaciones con opción de cambiar a los controles que se deseen.
3.- Filtros de validaciones especiales para los grandes consumidores
4.- Corrección interactivas o en lote.
AREA COMERCIAL - FACTURACION: SI NO N/A OBSERVACIONES
1.- Parametrizada en lo que respecta a pliegos tarifarios, intereses, subsido
2.- Facturación individualizada por agencias, sector, ruta.
3.- Utiliza Prorrateo con varios pliegos.
4.- Generación de intereses diarios.
5.- No se facturarán a abonados dados de baja o pendientes de por algún problema
6.- Mensaje Parametrizado en la Planilla.
7.- Generación de reportes y estadísticos
AREA COMERCIAL - EMISION DE AVISOS: SI NO N/A OBSERVACIONES
1.- No se emitirán si el proceso detectó problemas en su generación a menos que se autorice su emisión
2.- Se emitirán a través de parámetros es decir por agencias, sector, ruta, cliente u otros
3.- Emite gráficos de Historia de Consumos.
4.- No necesitaría Formulario Preimpreso.
5.- El Sistema contempla envío de avisos por e-mail.
6.- Se podría implementar un sistema automático de llamadas directas a los clientes avisándoles el valor de su faturación
reciente y estado de cuenta
AREA COMERCIAL - REFACTURACION: SI NO N/A OBSERVACIONES
1.- Rectificar errores en planillas por datos como lecturas, otros y cálculos
2.- Se pueden refacturar años anteriores, desde cuando.
3.- Se alimentaría automáticamente de los filtros en la facturación (en caso de necesitarse)
4.- Usa el criterio de varios pliegos.
5.- Se genera una nueva planilla cuando esta todavía no ha sido cancelada
6.- Se genera una N/C o N/D al cliente cuando esta ya ha sido cancelada
7.- Actualiza la historia de facturas del cliente.
8.- Se debe llevar un histórico de antes y después, usuarios que intervienen y frecuencia de clientes
9.- Permite refacturar al mismo cliente; y misma planilla más de una vez
CUESTIONARIO PARA AUDITORIA INFORMATICA
MANEJO DE CONTINGENCIAS SI NO N/A OBSERVACIONES
1.- Se tiene definido un plan de contingencia y continuidad en la entidad
2.- Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan
de contingencia y continuidad del negocio
3.- Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan
4.- Se realiza algún tipo de análisis de resultado de las pruebas realizadas
MANEJO DE INTERNET SI NO N/A OBSERVACIONES
1.- Se cuenta con un servidor de Internet para la entidad
2.- Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet
3.- Se tiene definida una página de Internet propia de la entidad
4.- En esta página se puede consultar información relacionado con los afiliados
5.- Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados
6.- Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red
7.- Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados
8.- El afiliado puede hacer cambio de esta contraseña
9.- El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso
10.- Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar
que realmente fueron solicitados por esta persona
11.- Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa
12.- La página WEB de la empresa corre en la DMZ
13.- Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad
14.- Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet
15.- Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
EVALUACIÓN DEL ALCANCE DE LOS PRINCIPALES APLICATIVOS DE LA EMPRESA AREA COMERCIAL - ATENCION AL CLIENTE SI NO N/A OBSERVACIONES
1.- Novedades al abonado, Altas/bajas y cambios
2.- Estados de Cuenta.
3.- Solicitud de Servicios
4.- Emisión de Contratos.
5.- Seguimiento a los requisitos y situación del cliente
6.- Interfaces con el resto de sistemas.
7.- Tiene control de ubicación : Ejemplo (Geocódigo)
AREA COMERCIAL - ATENCION Y SEGUIMIENTO A RECLAMOS: SI NO N/A OBSERVACIONES
1.- · Seguimiento a los diferentes tipos de reclamos de un cliente desde su presentación hasta su solución, inclusive dando
paso refacturaciones con N/D o N/C al cliente
AREA COMERCIAL - EXTENSIONES DE REDES: SI NO N/A OBSERVACIONES
1.- Se maneja el contrato para extensiones de red a grupos de usuarios que solicitan el servicio
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES EN COMUNICACIONES SI NO N/A OBSERVACIONES
1.- Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones
2.- Se tiene definidas formalmente sus funciones y responsabilidades
3.- Se cuenta con cableado estructurado en el edificio de la entidad
4.- El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló
5.- La entidad cuenta con un muro de fuego
6.- El mantenimiento y programación del muro de fuego es efectuado por personal interno
7.- El mantenimiento y programación del muro de fuego es efectuado por terceros
8.- Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la
confidencialidad de la configuración de este equipo
9.- El muro de fuego de la entidad es por hardware
10.- Se cuenta con enrutadores en la entidad
11.- Los routers de la empresa son por hardware
12.- Las configuraciones de los equipos de comunicación se hacen intrenamente
13.- Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de
acceso público de la entidad
14.- Se tienen restringidos los puertos de acceso al Inside de la red de la entidad
15.- Se tiene restringida la posibilidad de realizar FTP
16.- Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto
17.- Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)
18.- Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse
en línea a estaciones de radio, TV o video
19.- Se tiene comunicación establecidas con entidades ajenas a la organización
20.- Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa
21.- Se cuenta con un sistema de detección de intrusos (IDS)
22.- El sistema de detección de instrusos es basado en Red
23.- El IDS está basado en detección de anomalías
24 Se tiene políticas definidas cuando el IDS arroja una anomalía detectada
INFORME PORMENORIZADO DE RIESGOS DE CONTROLEN EL ÁREA INFORMÁTICA DE EMAPAM
SI NO N/A OBSERVACIONES
G01-01
√
G01-02
G01-03
G01.- ASPECTOS ORGANIZACIONALES
Se cuenta con un comité informático ?
El comité informático está funcionando y se reúne periódicamente?
Se emiten actas formales de las resoluciones y disposiciones tomadas en el Comité Informático?
G01-04
G01-05
G01-06
Se cuenta con representación de la Presidencia en el Comité Informático?
Se tiene definido formalmente el Plan estratégico informático para la Institución?
El Plan Estrátegico informático se evalúa con regularidad para determinar si este se apega a los objetivos de la entidad, su misión y visión?
G01-07
G01-08
G01-09
Se tiene definido un Plan Anual Operativo para el área de sistemas de información?
Se hace una revisión periódica del cumplimiento del Plan Anual Operativo y se emiten resultados formales?
¿Se selecciona, motiva y capacita adecuada y contínuamente al personal de CPD ?
G01-10
G01-11
G01-12
G01-13
Se tiene definido un plan de capacitación tecnológico formal para los diferentes grupos de usuarios de la entidad?
Se define periódicamente un plan de inversión para el CPD?
Se tienen definidos procedimientos formales de operación para CPD?
Se cuenta con un organigrama formalmente definido para el Area de CPD?
G01-14
G01-15
G01-16
G01-17
G01-18
Se tiene un manual de puestos y funciones formalmente definido para el área CPD?
Se tiene definida una metodología de desarrollo de sistemas formal?
Esta metodología de desarrollo es de uso obligatorio?
Se cuenta con contratos de mantenimiento de equipos ?
Se cuenta con un seguro contra robo, hurto o daños para el equipo de cómputo?
G01-19
G01-20
Se tiene una politica que obligue a separar los ambientes de desarrollo y producción de sistemas en la organización?
Se tiene un procedimiento formal que indique a los funcionarios de mantenimiento y desarrollo de sistemas qué se debe hacer para poner en producción una modificación a los sistemas?
G01-21
G01-22
G01-23
Se tienen definidos politicas y procedimientos formales para la revisión de la calidad de los productos entregados por CPD?
Se cuenta con un oficial o encargado de la Seguridad Electrónica a nivel institucional ?
¿Está el personal de operación del computador adecuadamente formado en técnicas de determinación de problemas y averías?
G01-24
G01-25
G01-26
SI NO N/A OBSERVACIONES
¿Está informado el personal de seguridad sobre medidas y cuidados específicos relativos a la seguridad del departamento de CPD ?
¿Existen políticas de vacaiones obligatorias para el personal de CPD?
¿Tiene Auditoría un alcance sin restricciones para investigar cualquier aspecto referente al CPD?
G02.- SEGURIDADES FISICAS
G02-01
√
G02-02
√
G02-03
√
Cuenta el sistema con un regulador de voltaje?
Si la respuesta a la pregunta anterior es sí, ¿está funcionando adecuadamente?
¿Cuenta el sistema con una fuente de poder capaz de dar energía al computador cuando se suprime la corriente eléctrica?
G02-04
√
G02-05
G02-06
Si la respuesta a la pregunta anterior es sí, ¿Está funcionando adecuadamente?, indique en observaciones cuantos minutos de energía le da al computador.
¿La instalación eléctrica del CPD, tiene conexión a tierra?
¿Existe en el centro de cómputo extintor de incendio?
G02-07
G02-08
G02-09
G02-10
Si la respuesta a la pregunta anterior es sí, ¿Está dentro del período de carga y con la presión adecuada?
Cuenta el sistema con un equipo de aire acondicionado adecuado?
¿Se mide con frecuencia la temperatura y la humedad?
¿Las instalaciones de CPD se encuentran en un lugar funcional?
G02-11
G02-12
G02-13
G02-14
G02-15
¿Las líneas eléctricas de CPD son independientes del resto de la instalación eléctrica?
¿Tienen protección para sobre cargas?
¿Existe un sistema adecuado de detección de incendios?
Existen reglas y letreros que indiquen: "Prohibición de fumar", " Prohibición de ingreso a personal no autorizado"
¿Está restringido el acceso al CPD?
G02-16
G02-17
G02-18
G02-19
¿Tiene el departamento de CPD alguna puerta de escape y ésta puede ser utilizada como entrada?
¿Existe algún plan de seguridad de emergencia escrito y aprobado?
¿Existen pólizas de seguros contratadas y éstas qué tipo de riesgo cubren?
¿Existe un mantenimiento adecuado y periódico a los equipos de computación?
G02-20
G02-21
G02-22
¿Existe algún manual o reglamento que trate acerca de la seguridad física del CPD?
¿Existe alguna librería con llave para guardar los manuales y documentos de los programas y aplicaciones?
¿Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algún siniestro?
G02-23
G02-24
G02-25
En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?
¿Existe algún tipo de control de acceso al Dpto. de CPD. Si existe alguno descríbalo brevemente en observaciones?
Se tiene algún control de entrada/salida del personal No Autorizado?
G02-26
G02-27
G02-28
SI NO N/A OBSERVACIONES
G03-01
√
Se cuenta con alguna área definida de Cintoteca o Discoteca?
Esta área es de acceso restringido?
Se tiene un procedimiento para el control de Entrada/Salida de información de esta área?
G03.- SEGURIDADES LÓGICAS Y ACCESO A LOS DATOS
Se cuenta con servidores de archivos separados?
G03-02
√
G03-03
√
G03-04
√
G03-05
G03-06
G03-07
Se cuenta con un servidor de aplicaciones separado?
Se cuenta con un servidor o área para desarrollo separada ?
Se cuenta con un servidor o área para producción separada ?
Se cuenta con un servidor de base de datos ?
Se cuenta con un servidor PROXY ?
Se cuenta con un servidor de acceso remoto RAS ?
G03-08
G03-09
G03-10
G03-11
Se cuenta habilitada la posibilidad de rellamado para las conexiones RAS ?
El acceso por medio de RAS solicita password para autenticar la conexión ?
El password del RAS tiene vencimiento periódico ?
El password del RAS puede ser cambiado por los usuarios dueños de la cuenta ?
G03-12
G03-13
G03-14
G03-15
Se tiene politicas definidas para determinar los funcionarios que son candidatos a tener acceso por medio RAS ?
Se cuenta con políticas y directrices para evitar la propagación de virus en la Red?
Se cuenta con un motor de software antivirus que esté corriendo en los servidores ?
Se cuenta con un antivirus que esté corriendo en los clientes ?
G03-16
G03-17
Se cuenta con políticas definidas para la actualización periódica del software de antivirus tanto en el cliente como en los servidores ?
Se cuenta con procedimientos formales que indiquen a los funcionarios de soporte cuáles son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
SI NO N/A OBSERVACIONES
G04-01
√
G04-02
√
G04-03
G04.- CONTROLES DE ACCESO A LOS SISTEMAS
El sistema cuenta con un mecanismo de control de acceso ?
El mecanismo de control de acceso se basa en la política de autentificación por password ?
La palabra de paso tiene un periodo de vencimiento establecido ?
G04-04
√
G04-05
G04-06
La palabra de paso tiene una longitud mínima para ser ingresada o definida ?
Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando este ingresada por primera vez a la aplicación ?
Los usuarios pueden cambiar su palabra del paso personalmente una vez que se da su vencimiento ?
G04-07
G04-08
G04-09
La estructura de la palabra de paso es tal que requiere de una combinación de caracteres que no lo permite ingresar palabras de fácil deducción ?
La palabra de paso se almacena en forma encriptada ?
El mecanismo de control de acceso se basa en la politica de identificación por medio del usuario ?
G04-10
G04-11
√
G04-12
Se tiene un procedimiento formal para la solicitud de ingreso, bloqueo o eliminación de un usuario al sistema ?
Los usuarios definidos en el Sistema están asociados a un solo funcionario ?
El sistema no permite que con un mismo usuario se ingrese simultáneamente a la aplicación desde dos estaciones diferentes ?
G04-13
G04-14
√
Si una sesión en el sistema se queda abierta por un periodo determinado de tiempo sin actividad, la aplicación se bloquea para que el sistema no sea utilizado ?
El usuario de ingreso al sistema se bloquea después de un número determinado de intentos fallidos de ingreso ?
G04-15
G04-16
Cuando un usuario se encuentra fuera de la entidad por vacaciones, incapacidad o permiso en Usuario es desactivado para que no se pueda ingresar por el tiempo que este está fuera de la Institución ?
El sistema presenta en pantalla el usuario que realizó el último acceso desde la estación del cliente ?
G04-17
G04-18
Se cuenta con bitácoras que almacenen información relativa a la actividad de ingreso al Sistema ?
En la bitácora de control de acceso por lo menos se lamacena la siguiente información: usuario y hora de ingreso, usuario y hora de salida, procesos utilizados por el usuario, transacciones de actualización en la BD, intentos fallidos de acceso y desactivación ?
G04-19
G04-20
G04-21
√
Se hacen revisiones pedriódicas de la bitácoras de acceso al Sistema ?
En caso de detectar desciaciones en el sistema por medio de la revisión de las bitácoras se cuenta con un procedimiento formal que determine las acciones a tomar en estos casos?
El sistema cuenta con la facilidad de definir perfiles de acceso ?
G04-22
√
G04-23
Los perfiles de acceso definidos en el Sistema identifican en forma independiente las tareas y procesos a los que tienen acceso los usuarios de acuerdo con sus funciones y responsabilidades ?
Se tiene un procedimiento formal que permita solicitar la modificación, inclusión, desactivación de perfiles en el Sistema ?
G04-24
G04-25
El área o persona encargada de la administración de los perfiles del Sistema es un funcionario que no pertenece a CPD ?
Cuando un usuario tiene asignado un perfil determinado y se ingresa al sistema en la aplicación se muestra solo las opciones a las que tiene acceso el funcionario con ese perfil ?
G04-26
SI NO N/A OBSERVACIONES
G05-01
G05-02
Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabilidades ?
G05.- CONTROLES DE ENTRADA DE DATOS
Se tienen formularios preimpresos para la captura de la información que ingresa al sistema ?
El formulario cuenta con copias ?
G05-03
G05-04
G05-05
Las copias en el formulario identifican claramente las áreas a las que se le debe entregar ?
Los formularios son prenumerados ?
El formulario preimpreso tiene el mismo orden de captura que el de ingreso de la información en el Sistema, esta coincide con la forma del diseño de la pantalla ?
G05-06
√
G05-07
√
G05-08
√
En las pantallas de captura de datos se tienen definidos campos como obligatorios para ser digitados ?
Se tiene control de tipos sobre los campos que se capturan ?
Se permite ingresar transacciones con el mismo número de indentificación o clave primaria del documento ?
G05-09
G05-10
Se tienen establecidos controles que permitan restringir rangos de acción de algún valor que se deba ingresar en el sistema ?
Se controla el orden cronológico de ingreso de transacciones en el sistema, de tal forma que no permita realizar operaciones en forma extemporánea o de períodos anteriores ?
SI NO N/A OBSERVACIONES
G06-01
G06-02
√
G06.- CONTROLES DEL PROCESAMIENTO DE LOS DATOS
El sistema deja rastro en la transacción de los usuarios que se vieron involucrados en su procesamiento (creador, autorizador o aprobador ?
El sistema lleva un consecutivo propio de las diferentes transacciones que permite realizar la aplicación ?
G06-03
G06-04
El sistema cuenta con herramientas de auditoría que permitan dar seguimiento a una transacción a lo largo de su procesamiento ?
El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacción sigue el cilo normal de procesamiento y que éste no se pueda alterar ?
SI NO N/A OBSERVACIONES
G07-01
G07-02
G07.- CONTROLES DE LAS SALIDAS DE DATOS
Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidencialidad ?
Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y responsabilidades de los usuarios ?
G07-03
G07-04
G07-05
Si el sistema emite archivos electrónicos como salida se graban en un área con acceso restringido ?
Loa archivos electrónicos emitidos por el Sistema cuentan con un porcedimiento formal para su distribución ?
Se tiene un responsable definido para la distribución de los archivos electrónicos ?
G07-06
G07-07
Los reportes cuentan con nombre del reporte, fecha de emisión, usuario que lo emitió, programa que los elaboró y vigencia consignada en ellos cada vez que son impresos ?
Si tiene alguna disposición establecida en términos de manipulación, archivado o destrucción de los reportes obsoletos que emite el sistema ?
SI NO N/A OBSERVACIONES
G08-01
G08-02
G08-03
G08-04
√
G08.- CONTROLES A LOS RESPALDOS
Se tiene definido un procedimiento formal para el respaldo de la aplicación (fuentes y ejecutables ) ?
Se tiene definido un procedimiento formal para el respaldo de la base de datos del Sistema ?
El procedimiento de respaldo está automatizado ?
El respaldo se realiza periódicamente ?
G08-05
G08-06
√
G08-07
√
Se realizan varias copias del respaldo de datos y de la aplicación ?
Se tienen almacenadas copias del respaldo de datos y de la aplicación en lugares geográficos diferentes ?
Se tiene un funcionario responsable de verificar que el respaldo se realizó satisfactoriamente ?
G08-08
G08-09
Dentro de la organización el respaldo se almacena en lugar especialmente diseñado para ello ?
La forma de organización de la ejecución del respaldo permite a la organización asegurarse de que en caso de una contingencia la pérdida de información sea mínima ?
G08-10
G08-11
G08-12
Se tiene definido un procedimiento de recuperación de información parcial o total ante una contingencia ?
Se realizan pruebas periódicas de recuperación para determinar que los respaldos estan funcionando adecuadamente ?
Se cambian con regularidad los medios físicos donde se almacena la información respaldada, para asegurar su buen funcionamiento ?
G08-13
G08-14
G08-15
Están los discos, cintas y cualquier otro medio magnético convenientemente almacenado en salas o armarios especiales?
Existen copias de los respaldos fuera del edificio?
En caso que la respuesta anterior sea sí, ¿las llaves y copias por quién se encuentran custodiadas?
G08-16
G08-17
G08-18
G08-19
¿Está restringido el acceso a manuales, documentación, librerías, discos, cintas y medios magnéticos?
¿Está marcado o identificado perfectamente el material confidencial?
¿Se sacan suficientes copias de seguridad de los archivos principales?
Existe algún plan escrito sobre la periodicidad para emitir las copias de respaldo?
G08-20
G08-21
G08-22
¿Existe un inventario actualizado de las cintas y discos que permita controlar su ubicación y antigüedad?
Destruye los discos y cintas dañadas, o aquellos que ya no están en uso, dejando evidencia de dicha destrucción en un acta?
¿Se destruye adecuadamente todo papel, listado, etc., que no se le va a dar uso?
G08-23
G08-24
G08-25
¿Existe una destructura de papel y funciona adecuadamente?
¿Existe un stock mínimo o de seguridad de los suministros en el departamento de CPD?
¿Existe una bitácora que identifique y permita cumplir los procedimientos para encender y apagar el equipo ya sea en opoeraciones normales o cuando se va la energía eléctrica?
G08-26
G08-27
probabilidad, que en caso de algún problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser así, existe la seguridad de que la otra empresa dará las condiciones necesarias para hacerlo, de existir algún contrato o convenio, menciónel
Se lleva una bitácora, sobre las averías, interrupciones en el funcionamoento del equipo, como también sobre los posibles problemas que se presentan al operarlo.
G08-28
√
G08-29
G08-30
¿Está prohibido el uso y operación de los equipos del Centro de Cómputo a personal no autorizado?
¿Existe algún mecanismo de control que permita conocer a quien se le entrega la información procesada por el computador?
¿Existe algún tipo de solicitud para la emisión de listado, archivos magnéticos e información por parte de CPD?
G08-31
G08-32
√
SI NO N/A OBSERVACIONES
¿Tiene la información y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilización de dicha información?
¿Se retiene copias de la información en el tiempo necesario para satisfacer requisitos operacionales y legales?
G09.- CONTROLES A LAS BASES DE DATOS
G09-01
G09-02
G09-03
G09-04
Se tiene definido un área o persona para la administración de la base de Datos en la entidad?
Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?
Se realizan afinamientos "Tunning" periódicos de las Bases de Datos?
Las bases de datos tienen definidas un password para lograr accerderlas?
G09-05
G09-06
Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificación a los datos de una base de datos en producción?
Se utilizan las fortalezas de validación de información que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?
SI NO N/A OBSERVACIONES
G10-01
√
G10-02
G10-03
G10.- ASPECTOS GENERALES DE LOS SISTEMAS DE INFORMACIÓN
El sistema es desarrollado internamente
El mantenimiento del Sistema lo dan funcionarios de la Entidad
El Sistema es una aplicación desarrollada a la medida
G10-04
G10-05
G10-06
√
El Sistema está desarrollado con base en un lenguaje de programación que es estándar de la Entidad
El Sistema está desarrollado con base en una plataforma de base de datos que es estándar para la entidad
El Sistema tiene menos de cinco años de funcionamiento
G10-07
√
G10-08
G10-09
G10-10
El Sistema es integrado con otras aplicaicones automatizadas de la Entidad
El Sistema ha sido auditado ya sea por la Auditoría Interna o por una firma externa
¿Existe documentación de los sistemas que forman el software, de ser así adjunte el detalle de los mismos?
¿Es adecuada la socumentación de los programas?
G10-11
√
G10-12
G10-13
¿Los cambios, midificaciones, o nuevos programas son autorizados antes de proceder a su realización?.
¿Existen cronogramas de trabajo para el personal de CPD, tanto de operaciones como programación y análisis?.
¿Si la respuesta anterior es afirmativa, quienes son los responsables de la evaluación de su cumplimiento?.
G10-14
√
G10-15
G10-16
¿La elaboración y desarrollo de los programas es efectuado en una librería de pruebas, independiente de la librería de programas en línea?.
¿Se documenta adecuadamente cualquier cambio o modificación a un programa ?.
¿Existe un inventario actualizado de los manuales y documuentación de programas y aplicaciones ?.
G10-17
G10-18
√
G10-19
G10-20
¿Participan los auditores internos en el desarrollo y revisión de los programas y aplicaciones?.
¿Existe un plan para el desarrollo futuro de programas y aplicaciones?.
¿El acceso a los programas está restringido y reglamentado para el departamento de CPD?.
¿Se preparan manuales de cada programa para el usuario?.
G10-21
√
G10-22
√
G10-23
¿Se da mantenimiento a los programas y aplicaciones en forma regular?.
¿Están integrados los programas y aplicaciones en un todo?.
¿Existen procedimientos escritos y detallafdos con instrucciones concretas acerca del uso de cada programa y aplicación?.
G10-24
√
G10-25
G10-26
¿Está cada usuario o grupo de usuarios provistos de una palabra clave o código secreto de seguridad?.
¿Se cambia las claves de seguridad cada que tiempo y quienes son los responsables de hacerlo?.
¿El acceso a las palabras claves o secretas es restringido?.
G10-27
G10-28
√
Cuando se da el retiro de alguna persona del Centro de Cómputo, o de cualquier otro departamento, ¿Cuál es el procedimiento que se aplica sobre las claves de seguridad asignadas?
¿Las fallas de funcionamiento en los programas son documentadas y revisadas adecuadamente?
G10-29
G10-30
G10-31
¿Los programas y aplicaciones son autorizados por los niveles respectivos y adecuados?
¿Existen procedimientos escritos para descargar o restaurar información al computador?
¿Emite el sistema un listado de control donde se especifique la hora, la fecha, los programas utilizados y los usuarios respectivos ?
G10-32
G10-33
G10-34
¿Existen estándares establecidos para la elaboración y documentación de los programas?
¿Exiten procedimientos para probar programas modificados de manera que asegure el no dañar a los demás ?
¿Las mejoras o modificaciones a los sistemas son aprobados como señal de conformidad ?
G10-35
G10-36
Si la respuesta es correcta indique si existe algún formulario y quienes efectúan la aprobación?
¿Hay procedimientos y controles para detectar un intento de ingresar al computador por parte de personas no autorizadas ?.
SI NO N/A OBSERVACIONES
G11-01
√
G11-02
G11-03
G11.- CONTROLES PARA EL ANÁLISIS, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN
¿Se ha determinado alguna metodología de los standares para diseño de sistemas?
¿Existen estudios de factibilidad?
¿Se han elaborado planes de diseño, desarrollo de la implantación de sistemas?
G11-04
G11-05
G11-06
G11-07
G11-08
¿Se han diseñado, sistemas integrados de información?
¿Qué procedimiento se utiliza para los estudios de Costo - Beneficio.?
¿Cuál es la política de costo utilizada?
¿Se cumplen los planes de procesamiento de datos comparando lo ejecutado con lo planeado.?
¿Participan los auditores internos en los procesos de planificación para expresar sus necesidades.?
G11-09
G11-10
√
G11-11
G11-12
G11-13
¿Existe una metodología escrita para el análisis desarrollo de implantación de sistemas?
¿Existen planes para adquisiciones futuras de equipos.?
¿Se aplican los procedimientos para planificar software?
¿Participa auditoría en el desarrollo de sistemas?
¿Se han diseñado procedimientos standares para todas las áreas usuarias?
G11-14
√
G11-15
G11-16
G11-17
¿Es el usuario el responsable del ingreso de los datos?
¿Se ha efectuado una racionalización de los formularios que facilite el ingreso de datos?
¿Se han incluido en los sistemas cifras de control que facilite detectar inconsistencias durante el proceso?
¿Los planes de procesamiento de datos están adecuadamente coordinados con los planes generales de la institución.?
G11-18
G11-19
√
G11-20
√
G11-21
¿Se cumplen los planes de desarrollo de sistemas?
¿Las modificaciones de los programas se realizan de acuerdo a los estándares existentes?
¿Los usuarios revisan y prueban los resultados de los cambios antes de su implantación?
¿Qué criterio de selección se utilizó para el uso del lenguaje de programación?
G11-22
G11-23
G11-24
G11-25
¿Existe documentación de los programas, cuales son los documentos que la forman?
¿Existe un procedimiento de actualización?
¿En caso de cambios o actualizaciones de programas existe la documentación necesaria que respalde dichos cambios?
¿Existen controles adecuados establecidos para solicitar y aprobar los cambios a los programas?
G11-26
√
SI NO N/A OBSERVACIONES
G12-01
G12-02
√
¿Existen normas estándares para la codificación de los programas?
G12.- CONTROLES DE OPERACIONES Y MANTENIMIENTO DE EQUIPOS
Se elabora periódicamente un plan de renovación de equipos
Se lleva un control de inventario de hardware de la entidad
G12-03
√
G12-04
G12-05
El control de inventario contempla información detallada de las características y componentes del equipo inventariado
El mantenimiento de los equipos de cómputo se da por funcionarios internos
Se le da manteninieto de tipo preventivo a los equipos de cómputo
G12-06
√
G12-07
G12-08
El mantenimiento correctivo del equipo de cómputo se tiene contratado externamente
Se lleva un control de las garantías del equipo de cómputo para saber cuál de estos cuentan con esta cobertura.
Se cuenta con las licencias del software que se utiliza en la entidad
G12-09
G12-10
G12-11
G12-12
Se lleva un inventario del software que se encuentra instlado en todas las computadoras de la entidad
¿Se evalúa el rendimiento del personal directivo y operativo?
Se efectúa en forma anual una evaluación de mantenimiento y de proveedores?
¿Cuál es la cobertura de los seguros contratados?
G12-13
G12-14
¿Existe una bitácora sobre el uso de los computadores y su posterior evaluación del tipo de utilización?
¿Se cumple con la bitácora de los procedimientos que cumple el operador, durante el día y está es revisada por el supervisor inmediato o el Gerente de sistemas?
G12-15
G12-16
G12-17
G12-18
¿Existe la bitácora sobre el mantenimiento que se le da a los equipos, con la novedades correspondientes?
¿Existen procedimientos escritos sobre la actualización de archivos?
¿Existen procedemientos por escrito sobre la utilización de las librerías?
¿Existen programas de control y revisión sobre los archivos manejados por el usuario?
G12-19
G12-20
G12-21
SI NO N/A OBSERVACIONES
¿Está prohibido la operación del equipo de analistas y programadores?
¿Los operadores del equipo conocen de la lógica de los programas a tal punto que puedan hacer cambios o actualizaciones?
¿Se ha creado archivos que proporcionen pistas para la intervención posterior de Auditoría?
G13.- CONTROLES EN REDES
G13-01
√
G13-02
G13-03
G13-04
La Empresa tiene definida una LAN
La empresa tiene definida una WAN
Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad
Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red
G13-05
G13-06
G13-07
El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red
Se realizan revisones periódicas de la bitácora disponibles por el software de red
Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora
G13-08
G13-09
G13-10
Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red
Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.
Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor
G13-11
Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administración cuando este se instala
G13-12
G13-13
El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.
Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando
G13-14
G13-15
G13-16
Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados
Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan
Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD
G13-17
G13-18
Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos para proceder ante estas situaciones
Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema
G13-19
G13-20
G13-21
Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red
Se define vencimiento periódico para los password de la red
Se permite restringir el uso del mismo password al usuario después de que este se cambia
G13-22
G13-23
SI NO N/A OBSERVACIONES
Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta
Se permite que el usuario cambie su contraseña en forma personalizada
G14.- CONTROLES EN COMUNICACIONES
G14-01
G14-02
G14-03
√
G14-04
Se tiene definido un funcionamiento o grupo de funcionarios responsables del área de comunicaciones
Se tiene definidas formalmente sus funciones y responsabilidades
Se cuenta con cableado estructurado en el edificio de la entidad
El cableado estructurado de la entidad fue debidamente certificado una vez que este se instaló
G14-05
G14-06
G14-07
La entidad cuenta con un muro de fuego
El mantenimiento y programación del muro de fuego es efectuado por personal interno
El mantenimiento y programación del muro de fuego es efectuado por terceros
G14-08
G14-09
G14-10
G14-11
Si el mantenimiento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimiento que asegure la confidencialidad de la configuración de este equipo
El muro de fuego de la entidad es por hardware
Se cuenta con enrutadores en la entidad
Los routers de la empresa son por hardware
G14-12
G14-13
G14-14
Las configuraciones de los equipos de comunicación se hacen intrenamente
Se tiene definida una zona desmilitarizada (DMZ) en la configuración de la red para la publicación de internet y otros archivos de acceso público de la entidad
Se tienen restringidos los puertos de acceso al Inside de la red de la entidad
G14-15
G14-16
G14-17
Se tiene restringida la posibilidad de realizar FTP
Se se permite hacer FTP se tienen identificadas las direcciones y usuarios que tiene acceso a este puerto
Se realizan revisiones periódicas de la bitácora que generan los diferentes dispositivos de comunicación (Firewall, proxy, etc)
G14-18
G14-19
G14-20
Se tienen restringidos los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en línea a estaciones de radio, TV o video
Se tiene comunicación establecidas con entidades ajenas a la organización
Se tienen líneas de conexión dedicadas con estas entidades externas a la empresa
G14-21
G14-22
G14-23
G14-24
SI NO N/A OBSERVACIONES
Se cuenta con un sistema de detección de intrusos (IDS)
El sistema de detección de instrusos es basado en Red
El IDS está basado en detección de anomalías
Se tiene políticas definidas cuando el IDS arroja una anomalía detectada
G15.- MANEJO DE CONTINGENCIAS
G15-01
G15-02
G15-03
Se tiene definido un plan de contingencia y continuidad en la entidad
Se cuenta con un grupo de personas que le dan mantenimiento y sean responsables de mantener actualizado el plan de contingencia y continuidad del negocio
Se tiene definida la política de realizar pruebas periódicas de las diferentes partes que conforman el plan
G15-04
SI NO N/A OBSERVACIONES
G16-01
G16-02
G16-03
√
Se realiza algún tipo de análisis de resultado de las pruebas realizadas
G16.- MANEJO DE INTERNET
Se cuenta con un servidor de Internet para la entidad
Se tiene en funcionamiento un proxy que controle el acceso a las diferentes páginas de Internet
Se tiene definida una página de Internet propia de la entidad
G16-04
G16-05
G16-06
En esta página se puede consultar información relacionado con los afiliados
Por medio de la página de Internet de la entidad se permite realizar transacciones a los afiliados
Se le tiene definida una constraseña y usuario a los afiliados que desean realizar transacciones en la red
G16-07
G16-08
G16-09
Se tiene un procedimiento formal para la solicitud de esta contraseña y usuario a los afiliados
El afiliado puede hacer cambio de esta contraseña
El área o página de consulta de los afiliados se desactiva después de cierto tiempo de no uso
G16-10
G16-11
G16-12
Se tiene algún procedimiento de verificación adicional sobre los trámites que solicita el afiliado por internet para determinar
Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la página WEB de la empresa
La página WEB de la empresa corre en la DMZ
G16-13
G16-14
G16-15
Se tiene políticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad
Se tiene políticas definidas para determinar qué persnas pueden bajar aplicaciones de Internet
Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
CUESTIONARIO PARA AUDITORIA INFORMATICA
CONTROLES EN REDES SI NO N/A OBSERVACIONES
1.- La Empresa tiene definida una LAN
2.- La empresa tiene definida una WAN
3.- Se cuenta con un administrador o grupo de personas que se dediquen a la administración de la red definida en la entidad
4.- Se cuenta con un conjunto formal de funciones asignadas al grupo de administración de red
5.- El software de red cuenta con bitácoras que permita dejar pistas ante anomalías de acceso o violación de recursos en la red
6.- Se realizan revisones periódicas de la bitácora disponibles por el software de red
7.- Se tiene políticas definidasque se deban tomar ante la detección de una anomalía en la bitácora
8.- Se tiene definidos usuarios individualizados para los diferentes funcionarios de la empresa que acceden a la red
9.- Se tienen definidos grupos de trabajo que accedan áreas particulares de la red de acuerdo a sus funciones y responsabilidades.
10.- Se cuenta con usuarios de administración de la red identificados para cada persona que tenga asignada esta labor
11.-Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de
administración cuando este se instala
12.- El usuario de administrador por defecto que genera en la instalación de la red, está con acceso restringido por parte del grupo
de administración y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona.
13.- Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberían estar laborando
14.- Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados
15.- Las funicones de administración de red se busca rotarlas periódicamente entre los funcionarios que las realizan
16.- Se monitorea el acceso a las diferentes áreas y recursos de red por parte de los funcionarios del CPD
17.- Si se detecta alguna anomalía del monitoreo de funcionarios del CPD en la red se tienen políticas y procedimientos establecidos
para proceder ante estas situaciones
18.- Se realizan análisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema
19.- Se tienen habilitadas las facilidades de uso de contraseña que ofrece el software para los usuarios de red
20.- Se define vencimiento periódico para los password de la red
21.- Se permite restringir el uso del mismo password al usuario después de que este se cambia
22.- Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de
crear su cuenta
23.- Se permite que el usuario cambie su contraseña en forma personalizada