Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Manual de Auditoría de sistemas (página 3)




Enviado por otoroc



Partes: 1, 2, 3

Seguridad física


El objetivo es
establecer políticas,
procedimientos
y prácticas para evitar las interrupciones prolongadas del
servicio de
procesamiento de
datos, información debido a contingencias como
incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y
continuar en medio de emergencia hasta que sea restaurado el
servicio
completo.

Entre las precauciones que se deben revisar
están:

  • Los ductos del aire
    acondicionado deben estar limpios, ya que son una de las
    principales causas del polvo y se habrá de contar con
    detectores de humo que indiquen la posible presencia de
    fuego.
  • En las instalaciones de alto riesgo se debe
    tener equipo de fuente no interrumpible, tanto en la
    computadora como en la red y los equipos de
    teleproceso.
  • En cuanto a los extintores, se debe revisar en
    número de estos, su capacidad, fácil acceso, peso
    y tipo de producto que
    utilizan. Es muy frecuente que se tengan los extintores, pero
    puede suceder que no se encuentren recargados o bien que sean
    de difícil acceso de un peso tal que sea difícil
    utilizarlos.
  • Esto es común en lugares donde se encuentran
    trabajando hombres y mujeres y los extintores están a
    tal altura o con un peso tan grande que una mujer no
    puede utilizarlos.
  • Otro de los problemas es
    la utilización de extintores inadecuados que pueden
    provocar mayor perjuicio a las máquinas (extintores
    líquidos) o que producen gases
    tóxicos.
  • También se debe ver si el personal sabe
    usar los equipos contra incendio y si ha habido
    prácticas en cuanto a su uso.
  • Se debe verificar que existan suficientes salidas de
    emergencia y que estén debidamente controladas para
    evitar robos por medio de estas salidas.
  • Los materiales
    mas peligrosos son las cintas magnéticas que al
    quemarse, producen gases
    tóxicos y el papel
    carbón que es altamente inflamable.

Tomando en cuenta lo anterior se elaboro el siguiente
cuestionario:

1. ¿Se han adoptado medidas de seguridad en el
departamento de sistemas de
información?
SI ( ) NO ( )

2. ¿Existen una persona
responsable de la seguridad?
SI ( ) NO ( )

3. ¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
SI ( ) NO ( )

4. ¿Existe personal de
vigilancia en la institución?
SI ( ) NO ( )

5. ¿La vigilancia se contrata?
a) Directamente ( )
b) Por medio de empresas que
venden ese servicio (
)
6. ¿Existe una clara definición de funciones entre
los puestos clave?
SI ( ) NO ( )

7. ¿Se investiga a los vigilantes cuando son
contratados directamente?
SI ( ) NO ( )

8. ¿Se controla el trabajo
fuera de horario?
SI ( ) NO ( )

9. ¿Se registran las acciones de
los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?.
SI ( ) NO ( )

10. ¿Existe vigilancia en el departamento de
cómputo las 24 horas?
SI ( ) NO ( )

11. ¿Existe vigilancia a la entrada del departamento
de cómputo las 24 horas?
a) Vigilante ? ( )
b) Recepcionista? ( )
c) Tarjeta de control de acceso
? ( )
d) Nadie? ( )

12. ¿Se permite el acceso a los archivos y
programas a
los programadores, analistas y operadores?
SI ( ) NO ( )

13. Se ha instruido a estas personas sobre que medidas
tomar en caso de que alguien pretenda entrar sin
autorización?
SI ( ) NO ( )

14. El edificio donde se encuentra la computadora
esta situado a salvo de:
a) Inundación? ( )
b) Terremoto? ( )
c) Fuego? ( )
d) Sabotaje? ( )

15. El centro de cómputo tiene salida al exterior al
exterior?
SI ( ) NO ( )

16. Describa brevemente la construcción del centro de cómputo,
de preferencia proporcionando planos y material con que
construido y equipo (muebles, sillas etc.) dentro del
centro.

17. ¿Existe control en el
acceso a este cuarto?
a) Por identificación personal? ( )
b) Por tarjeta magnética? ( )
c) por claves verbales? ( )
d) Otras? ( )

18. ¿Son controladas las visitas y demostraciones en
el centro de cómputo?
SI ( ) NO ( )

19. ¿Se registra el acceso al departamento de
cómputo de personas ajenas a la dirección de informática?
SI ( ) NO ( )

20. ¿Se vigilan la moral y
comportamiento
del personal de la
dirección de informática con el fin de mantener una
buena imagen y evitar
un posible fraude?
SI ( ) NO ( )

21. ¿Existe alarma para
a) Detectar fuego(calor o humo)
en forma automática? ( )
b) Avisar en forma manual la
presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )

22. ¿Estas alarmas están
a) En el departamento de cómputo? ( )
b) En la cintoteca y discoteca? ( )

23. ¿Existe alarma para detectar condiciones
anormales del ambiente?
a) En el departamento de cómputo? ( )
b) En la cíntoteca y discoteca? ( )
c) En otros lados ( )
24. ¿La alarma es perfectamente audible?
SI ( ) NO ( )

25.¿Esta alarma también está
conectada
a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________

26. Existen extintores de fuego
a) Manuales? (
)
b) Automáticos? ( )
c) No existen ( )

27. ¿Se ha adiestrado el personal en el
manejo de los extintores?
SI ( ) NO ( )

28. ¿Los extintores, manuales o
automáticos a base de
TIPO SI NO
a) Agua, ( ) (
)
b) Gas? ( ) ( )
c) Otros ( ) ( )
29. ¿Se revisa de acuerdo con el proveedor el
funcionamiento de los extintores?
SI ( ) NO ( )

30. ¿Si es que existen extintores automáticos
son activador por detectores automáticos de fuego?
SI ( ) NO ( )

31. ¿Si los extintores automáticos son a base
de agua
¿Se han tomado medidas para evitar que el agua cause
mas daño que el fuego?
SI ( ) NO ( )

32. ¿Si los extintores automáticos son a base
de gas, ¿Se
ha tomado medidas para evitar que el gas cause mas
daño que el fuego?
SI ( ) NO ( )

33. ¿Existe un lapso de tiempo
suficiente, antes de que funcionen los extintores
automáticos para que el personal
a) Corte la acción de los extintores por
tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energía
Eléctrica SI ( ) NO ( )
c) Pueda abandonar el local sin peligro
de intoxicación SI ( ) NO ( )
d) Es inmediata su acción? SI ( ) NO ( )

34. ¿Los interruptores de energía
están debidamente protegidos, etiquetados y sin
obstáculos para alcanzarlos?
SI ( ) NO ( )

35. ¿Saben que hacer los operadores del departamento
de cómputo, en caso de que ocurra una emergencia
ocasionado por fuego?
SI ( ) NO ( )

36. ¿El personal ajeno a operación sabe que
hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( )

37. ¿Existe salida de emergencia?
SI ( ) NO ( )

38. ¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( )

39. ¿Se revisa frecuentemente que no esté
abierta o descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
SI ( ) NO ( )

40. ¿Se ha adiestrado a todo el personal en la forma
en que se deben desalojar las instalaciones en caso de
emergencia?
SI ( ) NO ( )

41. ¿Se ha tomado medidas para minimizar la
posibilidad de fuego:
a) Evitando artículos inflamables
en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores
en el interior? ( )
c) Vigilando y manteniendo el
sistema
eléctrico? ( )
d) No se ha previsto ( )

42. ¿Se ha prohibido a los operadores el consumo de
alimentos y
bebidas en el interior del departamento de cómputo para
evitar daños al equipo?
SI ( ) NO ( )

43. ¿Se limpia con frecuencia el polvo acumulado
debajo del piso falso si existe?
SI ( ) NO ( )

44. ¿Se controla el acceso y préstamo en
la
a) Discoteca? ( )
b) Cintoteca? ( )
c) Programoteca? ( )

45. Explique la forma como se ha clasificado la información vital, esencial, no esencial
etc.

46. ¿Se cuenta con copias de los archivos en lugar
distinto al de la
computadora?
SI ( ) NO ( )

47. Explique la forma en que están protegidas
físicamente estas copias (bóveda, cajas de seguridad etc.)
que garantice su integridad en caso de incendio,
inundación, terremotos,
etc.

48. ¿Se tienen establecidos procedimientos de
actualización a estas copias?
SI ( ) NO ( )

49. Indique el número de copias que se mantienen, de
acuerdo con la forma en que se clasifique la información:
0 1 2 3

50. ¿Existe departamento de auditoria interna en la
institución?
SI ( ) NO ( )

51. ¿Este departamento de auditoria interna conoce
todos los aspectos de los sistemas?
SI ( ) NO ( )

52. ¿Que tipos de controles ha propuesto?

53. ¿Se cumplen?
SI ( ) NO ( )

54. ¿Se auditan los sistemas en
operación?
SI ( ) NO ( )

55.¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( )
c) Otra (especifique) ( )

56.¿Cuándo se efectúan modificaciones
a los programas, a
iniciativa de quién es?
a) Usuario ( )
b) Director de informática ( )
c) Jefe de análisis y programación ( )
d) Programador ( )
e) Otras ( especifique)
________________________________________________

57.¿La solicitud de modificaciones a los programas se
hacen en forma?
a) Oral? ( )
b) Escrita? ( )
En caso de ser escrita solicite formatos,

58.Una vez efectuadas las modificaciones, ¿se
presentan las pruebas a los
interesados?
SI ( ) NO ( )

59.¿Existe control estricto
en las modificaciones?
SI ( ) NO ( )

60.¿Se revisa que tengan la fecha de las
modificaciones cuando se hayan efectuado?
SI ( ) NO ( )

61.¿Si se tienen terminales conectadas, ¿se
ha establecido procedimientos de
operación?
SI ( ) NO ( )

62.Se verifica identificación:
a) De la terminal ( )
b) Del Usuario ( )
c) No se pide identificación ( )
63.¿Se ha establecido que información puede ser acezada y por
qué persona?
SI ( ) NO ( )

64.¿Se ha establecido un número máximo
de violaciones en sucesión para que la computadora
cierre esa terminal y se de aviso al responsable de ella?
SI ( ) NO ( )

65.¿Se registra cada violación a los procedimientos
con el fin de llevar estadísticas y frenar las tendencias
mayores?
SI ( ) NO ( )

66.¿Existen controles y medidas de seguridad sobre
las siguientes operaciones?
¿Cuales son?
( )Recepción de
documentos___________________________________________
( )Información
Confidencial____________________________________________
( )Captación de
documentos____________________________________________
( )Cómputo
Electrónico_______________________________________________

(
)Programas_______________________________________________________

( )Discotecas y
Cintotecas_____________________________________________
( )Documentos de
Salida______________________________________________
( )Archivos
Magnéticos_______________________________________________

( )Operación del equipo de
computación__________________________________
( )En cuanto al acceso de
personal_______________________________________
( )Identificación del
personal___________________________________________
(
)Policia___________________________________________________________

( )Seguros contra
robo e incendio_______________________________________
( )Cajas de
seguridad_________________________________________________
( )Otras
(especifique)_________________________________________________

Seguridad en la
utilización del equipo

En la actualidad los programas y los
equipos son altamente sofisticados y sólo algunas personas
dentro del centro de cómputo conocen al detalle el
diseño,
lo que puede provocar que puedan producir algún deterioro
a los sistemas si no se
toman las siguientes medidas:

1) Se debe restringir el acceso a los programas y a los
archivos.

2) Los operadores deben trabajar con poca supervisión y sin la participación
de los programadores, y no deben modificar los programas ni los
archivos.

3) Se debe asegurar en todo momento que los datos y archivos
usados sean los adecuados, procurando no usar respaldos
inadecuados.
4) No debe permitirse la entrada a la red a personas no
autorizadas, ni a usar las terminales.
5) Se deben realizar periódicamente una
verificación física del uso de
terminales y de los reportes obtenidos.
6) Se deben monitorear periódicamente el uso que se le
está dando a las terminales.
7) Se deben hacer auditorías periódicas sobre el
área de operación y la utilización de las
terminales.
8) El usuario es el responsable de los datos, por lo que
debe asegurarse que los datos
recolectados sean procesados completamente. Esto sólo se
logrará por medio de los controles adecuados, los cuales
deben ser definidos desde el momento del diseño
general del sistema.
9) Deben existir registros que
reflejen la transformación entre las diferentes funciones de un
sistema.
10) Debe controlarse la distribución de las salidas (reportes,
cintas, etc.).
11) Se debe guardar copias de los archivos y programas en lugares
ajenos al centro de cómputo y en las instalaciones de alta
seguridad; por ejemplo: los bancos.
12) Se debe tener un estricto control sobre el
acceso físico a los archivos.
13) En el caso de programas, se debe asignar a cada uno de ellos,
una clave que identifique el sistema,
subsistema, programa y
versión.

También evitará que el programador ponga nombres
que nos signifiquen nada y que sean difíciles de
identificar, lo que evitará que el programador utilice
la computadora
para trabajos personales. Otro de los puntos en los que hay que
tener seguridad es en el manejo de información. Para
controlar este tipo de información se debe:

1) Cuidar que no se obtengan fotocopias de información
confidencial sin la debida autorización.
2) Sólo el personal autorizado debe tener acceso a la
información confidencial.
3) Controlar los listados tanto de los procesos
correctos como aquellos procesos con
terminación incorrecta.
4) Controlar el número de copias y la destrucción
de la información y del papel
carbón de los reportes muy confidenciales.

El factor más importante de la eliminación de
riesgos en la
programación es que todos los programas y
archivos estén debidamente documentados.

El siguiente factor en importancia es contar con los
respaldos, y duplicados de los sistemas,
programas, archivos y documentación necesarios para que
pueda funcionar el plan de
emergencia.

  • Equipo, programas y archivos
  • Control de aplicaciones por terminal
  • Definir una estrategia de
    seguridad de la red y de respaldos
  • Requerimientos físicos.
  • Estándar de archivos.
  • Auditoría interna en el momento del diseño del sistema, su
    implantación y puntos de verificación y
    control.

Seguridad al
restaurar el equipo

En un mundo que depende cada día mas de los servicios
proporcionados por las computadoras,
es vital definir procedimientos en
caso de una posible falta o siniestro. Cuando ocurra una
contingencia, es esencial que se conozca al detalle el motivo que
la originó y el daño causado, lo que
permitirá recuperar en el menor tiempo posible el
proceso
perdido. También se debe analizar el impacto futuro en el
funcionamiento de la
organización y prevenir cualquier implicación
negativa.

En todas las actividades relacionadas con las ciencias de la
computación, existe un riesgo aceptable,
y es necesario analizar y entender estos factores para establecer
los procedimientos que permitan analizarlos al máximo y en
caso que ocurran, poder reparar
el daño y reanudar la operación lo mas
rápidamente posible.

En una situación ideal, se deberían elaborar
planes para manejar cualquier contingencia que se presente.

Analizando cada aplicación se deben definir planes de
recuperación y reanudación, para asegurarse que los
usuarios se vean afectados lo menos posible en caso de falla o
siniestro. Las acciones de
recuperación disponibles a nivel operativo pueden ser
algunas de las siguientes:

  • En algunos casos es conveniente no realizar ninguna
    acción y reanudar el proceso.
  • Mediante copias periódicas de los archivos se puede
    reanudar un proceso a
    partir de una fecha determinada.
  • El procesamiento anterior complementado con un registro de las
    transacciones que afectaron a los archivos permitirá
    retroceder en los movimientos realizados a un archivo al
    punto de tener la seguridad del contenido del mismo a partir de
    él reanudar el proceso.
  • Analizar el flujo de datos y
    procedimientos y cambiar el proceso
    normal por un proceso alterno de emergencia.
  • Reconfigurar los recursos
    disponibles, tanto de equipo y sistemas como de comunicaciones.

Cualquier procedimiento que
se determine que es el adecuado para un caso de emergencia
deberá ser planeado y probado previamente.

Este grupo de
emergencia deberá tener un conocimiento
de los posibles procedimientos que puede utilizar, además
de un conocimiento
de las características de las aplicaciones, tanto
desde el punto técnico como de su prioridad, el nivel de
servicio
planeado y su influjo en la operación de la
organización.

Además de los procedimientos de recuperación y
reinicio de la información, se deben contemplar los
procedimientos operativos de los recursos
físicos como hardware y comunicaciones, planeando la utilización de
equipos que permitan seguir operando en caso de falta de la
corriente eléctrica, caminos alternos de comunicación y utilización de
instalaciones de cómputo similares. Estas y otras medidas
de recuperación y reinicio deberán ser planeadas y
probadas previamente como en el caso de la
información.

El objetivo del
siguiente cuestionario
es evaluar los procedimientos de restauración y
repetición de procesos en el
sistema de cómputo.

1) ¿Existen procedimientos relativos a la
restauración y repetición de procesos en el
sistema de cómputo?
SI ( ) NO ( )

2) ¿ Enuncie los procedimientos mencionados en el
inciso anterior?

3) ¿Cuentan los operadores con alguna
documentación en donde se guarden las instrucciones
actualizadas para el manejo de restauraciones?
SI ( ) NO ( )

En el momento que se hacen cambios o correcciones a los
programas y/o archivos se deben tener las siguientes
precauciones:

1) Las correcciones de programas deben ser debidamente
autorizadas y probadas. Con esto se busca evitar que se cambien
por nueva versión que antes no ha sido perfectamente
probada y actualizada.

2) Los nuevos sistemas deben estar adecuadamente documentos y
probados.

3) Los errores corregidos deben estar adecuadamente
documentados y las correcciones autorizadas y verificadas.

Los archivos de nuevos registros o
correcciones ya existentes deben estar documentados y verificados
antes de obtener reportes.

Procedimientos de
respaldo en caso de desastre

Se debe establecer en cada dirección de informática un plan de
emergencia el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento
como información para ayudar a la recuperación de
interrupciones en la operación del sistema de
cómputo.

El sistema debe ser probado y utilizado en condiciones
anormales, para que en casó de usarse en situaciones de
emergencia, se tenga la seguridad que funcionará.

La prueba del plan de
emergencia debe hacerse sobre la base de que la emergencia existe
y se ha de utilizar respaldos.

Se deben evitar suposiciones que, en un momento de emergencia,
hagan inoperante el respaldo, en efecto, aunque el equipo de
cómputo sea aparentemente el mismo, puede haber
diferencias en la configuración, el sistema
operativo, en disco etc.

El plan de
emergencia una vez aprobado, se distribuye entre personal
responsable de su operación, por precaución es
conveniente tener una copia fuera de la dirección de informática.

En virtud de la información que contiene el plan de
emergencia, se considerará como confidencial o de acceso
restringido.

La elaboración del plan y de los componentes puede
hacerse en forma independiente de acuerdo con los requerimientos
de emergencia, La estructura del
plan debe ser tal que facilite su actualización.

Para la preparación del plan se seleccionará el
personal que realice las actividades claves del plan. El grupo de
recuperación en caso de emergencia debe estar integrado
por personal de administración de la dirección de
informática, debe tener tareas específicas como la
operación del equipo de respaldo, la interfaz
administrativa.

Los desastres que pueden suceder podemos clasificar
así:

a) Completa destrucción del centro de
cómputo,
b) Destrucción parcial del centro de cómputo,
c) Destrucción o mal funcionamiento de los equipos
auxiliares del centro de cómputo (electricidad,
aire,
acondicionado, etc.)
d) Destrucción parcial o total de los equipos
descentralizados
e) Pérdida total o parcial de información, manuales o
documentación
f) Pérdida del personal clave
g) Huelga o
problemas
laborales.

El plan en caso de desastre debe incluir:

  • La documentación de programación y de operación.
  • Los equipos:
    • El equipo completo
    • El ambiente
      de los equipos
    • Datos y archivos
    • Papelería y equipo accesorio
    • Sistemas (sistemas
      operativos, bases de
      datos, programas).

El plan en caso de desastre debe considerar todos los puntos
por separado y en forma integral como sistema. La
documentación estará en todo momento tan
actualizada como sea posible, ya que en muchas ocasiones no se
tienen actualizadas las últimas modificaciones y eso
provoca que el plan de emergencia no pueda ser utilizado.

Cuando el plan sea requerido debido a una emergencia, el
grupo
deberá:

  • Asegurarse de que todos los miembros sean notificados,
  • informar al director de informática,
  • Cuantificar el daño o pérdida del equipo,
    archivos y documentos para
    definir que parte del plan debe ser activada.
  • Determinar el estado de
    todos los sistemas en proceso,
  • Notificar a los proveedores
    del equipo cual fue el daño,
  • Establecer la estrategia para
    llevar a cabo las operaciones de
    emergencias tomando en cuenta:
    • Elaboración de una lista con los métodos disponibles para realizar la
      recuperación
    • Señalamiento de la posibilidad de alternar los
      procedimientos de operación (por ejemplo, cambios en
      los dispositivos, sustituciones de procesos
      en línea por procesos en lote).
    • Señalamiento de las necesidades para armar y
      transportar al lugar de respaldo todos los archivos,
      programas, etc., que se requieren.
    • Estimación de las necesidades de tiempo de
      las computadoras para un periodo largo.

Cuando ocurra la emergencia, se deberá reducir la carga de
procesos, analizando alternativas como:

  • Posponer las aplicaciones de prioridad más
    baja,
  • Cambiar la frecuencia del proceso de trabajos.
  • Suspender las aplicaciones en desarrollo.

Por otro lado, se debe establecer una coordinación
estrecha con el personal de seguridad a fin de proteger la
información.

Respecto a la configuración del equipo hay que tener
toda la información correspondiente al hardware y software del equipo propio y
del respaldo.

Deberán tenerse todas las especificaciones de los
servicios
auxiliares tales como energía
eléctrica, aire
acondicionado, etc. a fin de contar con servicios de
respaldo adecuados y reducir al mínimo las restricciones
de procesos, se deberán tomar en cuenta las siguientes
consideraciones:

  • Mínimo de memoria
    principal requerida y el equipo periférico que permita
    procesar las aplicaciones esenciales.
  • Se debe tener documentados los cambios de software.
  • En caso de respaldo en otras instituciones, previamente se deberá
    conocer el tiempo de
    computadora
    disponible.

Es conveniente incluir en el acuerdo de soporte
recíproco los siguientes puntos:

  • Configuración de equipos.
  • Configuración de equipos de captación de
    datos.
  • Sistemas operativos.
  • Configuración de equipos periféricos.

Anexo 1

PROGRAMA DE AUDITORIA EN
SISTEMAS

INSTITUCION________________________ HOJA
No.__________________ DE_____________

FECHA DE FORMULACION____________

FASE

DESCRIPCION

ACTIVIDAD

NUMERO DE PERSONAL

PERIODO ESTIMADO

DIAS

HAB

EST.

DIAS

HOM.

EST.

PARTICIPANTE

INICIO

TERMINO

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Anexo 2

AVANCE DEL CUMPLIMIENTO DEL
PROGRAMA

DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________
NUMERO___________ HOJA No._______ DE_______

PERIODO QUE
REPORTA____________________________

FASE

SITUACION DE LA
AUDITORIA

PERIODO REAL DE LA
AUDITORIA

DIAS REALES UTILIZADOS

GRADO DE AVANCE

DIAS HOM. EST.

EXPLICACION DE LAS VARIACIONES EN
RELACION CON LO PROGRAMADO

NO INICIADA

EN PROCESO

TERMINADA

INICIADA

TERMINADA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Anexo 3

Ejemplo de Propuesta de Servicios de
Auditoria en Informática

  1. (Anotar los antecedentes específicos del
    proyecto de
    Auditoria)

  2. ANTECEDENTES

    (Anotar el objetivo
    de la Auditoria)

  3. OBJETIVOS
  4. ALCANCES DEL PROYECTO

El alcance del proyecto
comprende:

  1. Evaluación de la Dirección de
    Informática en lo que corresponde a:
  • Capacitación
  • Planes de trabajo
  • Controles
  • Estándares
  1. Evaluación de los Sistemas
  1. Evaluación de los diferentes sistemas en
    operación (flujo de información,
    procedimientos, documentación, redundancia, organización de archivos,
    estándares de programación, controles,
    utilización de los sistemas)

  2. Evaluación del avance de los sistemas en
    desarrollo
    y congruencia con el diseño general

  3. Evaluación de prioridades y recursos
    asignados (humanos y equipos de
    cómputo)

  4. Seguridad física y lógica de los sistemas, su
    confidencialidad y respaldos
  1. Evaluación de los equipos
  • Capacidades
  • Utilización
  • Nuevos Proyectos
  • Seguridad física y lógica
  • Evaluación física y lógica
  1. METODOLOGIA

La metodología de investigación a utilizar en el proyecto se
presenta a continuación:

  1. Para la evaluación de la Dirección de
    Informática se llevarán a cabo las siguientes
    actividades:
  • Solicitud de los estándares utilizados y
    programa de
    trabajo
  • Aplicación del cuestionario al personal
  • Análisis y evaluación del a
    información
  • Elaboración del informe
  1. Para la evaluación de los sistemas tanto en
    operación como en desarrollo
    se llevarán a cabo las siguientes
    actividades:
  • Solicitud del análisis y diseño del os sistemas en desarrollo
    y en operación
  • Solicitud de la documentación de los
    sistemas en operación (manuales
    técnicos, de operación del usuario,
    diseño de archivos y programas)
  • Recopilación y análisis de los procedimientos
    administrativos de cada sistema (flujo de información,
    formatos, reportes y consultas)
  • Análisis de llaves, redundancia, control,
    seguridad, confidencial y respaldos
  • Análisis del avance de los proyectos en
    desarrollo, prioridades y personal
    asignado
  • Entrevista con los usuarios de los
    sistemas
  • Evaluación directa de la información
    obtenida contra las necesidades y requerimientos del
    usuario
  • Análisis objetivo
    de la estructuración y flujo de los
    programas
  • Análisis y evaluación de la información
    recopilada
  • Elaboración del informe
  1. Para la evaluación de los equipos se
    levarán a cabo las siguientes actividades:
  • Solicitud de los estudios de viabilidad y características de los equipos
    actuales, proyectos
    sobre ampliación de equipo, su
    actualización
  • Solicitud de contratos de
    compra y mantenimientos de equipo y sistemas
  • Solicitud de contratos y
    convenios de respaldo
  • Solicitud de contratos de
    Seguros
  • Elaboración de un cuestionario sobre la utilización de
    equipos, memoria,
    archivos, unidades de entrada/salida, equipos periféricos y su seguridad
  • Visita técnica de comprobación de
    seguridad física y lógica de la instalaciones de la
    Dirección de Informática
  • Evaluación técnica del sistema
    electrónico y ambiental de los equipos y del local
    utilizado
  • Evaluación de la información
    recopilada, obtención de gráficas, porcentaje
    de utilización de los equipos y su
    justificación
  1. Elaboración y presentación del
    informe
    final ( conclusiones y recomendaciones)
  1. TIEMPO Y COSTO

(Poner el tiempo en que
se llevará a cabo el proyecto , de
preferencia indicando el tiempo de cada una de las etapas,
costo del
proyecto

Se agradece a las Corporaciones, que en forma
desinteresa a través de Internet, ponen
información de valor, al
alcance de todos .-

Trabajo enviado y realizado por:
Oscar Toro

Centro de Formación Técnica
DIEGO PORTALES
Concepción
CHILE

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter