guia_de_auditoria.pdf

7/26/2019 Guia_de_Auditoria.pdf

1/8

Gua de Auditoria.

Logo y nombre de laempresa que realiza la

auditora.

Nombre de la empresa y rea de sistemas auditada.Fecha Hoja

DD MM AA __ de __

Ref.Actividad queser evaluada

Procedimientosde auditoria

Herramientas quesern utilizadas

Observaciones

Ejemplo:

Auditores de Sistemasasociados

Empresa: Comercializadora, S.A.rea: Centro de servicios de sistematizacin.

Fecha Hoja

DD MM AA 1 de 12

21 07 2002

Ref.Actividad que

ser evaluada

Procedimientos

de auditoria

Herramientas que

sern utilizadas

Observaciones

SAS-01. Evaluar laseguridad queel acceso deusuarios de lared y la validezde susatributos.

Solicitar la asignacin deuna terminal para entrar alsistema y accesarinformacin, cambiardatos, instrucciones yprogramas, hasta donde lopermite el sistema.

Ingresar al administrador ycambiar privilegios,

atributos y contraseas devarios usuarios.

Entrar al sistema de red sinninguna autorizacin yaccesar a la informacin,alterar base de datos ocambios al sistema, hastadonde permita el sistema.

Observacin partitiva,oculta.

Pruebas al sistema y ala base de datos.

Experimentacin a laseguridad del sistema.

Revisin documental

(electromagntica)

El sistema no debe permitirningn acceso.

Obtener respaldo previo delsistema y los movimientosprevios a la prueba.

Documentar los accesos ycambios que se realicen alsistema.

SAS-02. Evaluar laseguridad de losniveles deacceso deusuarios.

Entrar al sistema y dar dealta a distintos accesos sintener autorizacin.

Solicitar a un usuario, sinforzarle, que ingrese a unnivel que no le corresponday verifique el sistema lepermita la operacin.

Observacinparticipativa y oculta.

Pruebas al sistema ylas bases de datos.

Experimentacin en laseguridad del sistema.

Revisin documental(electromagntica)

El sistema no debe de permitirningn acceso.


Documentar los accesos ycambios que se realicen al

sistema.


2/8

SAS-03 Evaluar laconfiabilidad enlaadministracinde lacontrasea.

Ingresar al sistema de redsin contrasea.

Reiniciar el sistema yutilizar teclas F5 o F8 alacceder el sistema eingresar sin contrasea.

Entrar al sistema con discode arranque externo eingresar sin contrasea.

Tratar de acceder alsistema alterando tresveces la contrasea yobservar las acciones delsistema.

Observacinparticipativa, oculta.

Pruebas al sistema y alas bases de datos.


Revisin documental(electromagntica)

El sistema por ningn mediodebe permitir el acceso sincontrasea y al tercer intentobloquear la terminal.


Documentar los accesos ycambios que se realizan alsistema.

SAS-04 Evaluar laadministracin

y control de labitcora deacceso a losusuarios delsistema.

Solicitar la asignacin deuna terminal para entrar al

sistema y realizar diversasactividades de lasautorizadas, verificandodocumentalmente que setengan registradas estas enla bitcora.

Hacer una revisin a labitcora y verificar lainformacin de losusuarios: la fecha, hora de

ingreso y salida del sistema,registro de sus actividadesy cualquier incidenciadurante su estancia.

Monitorear aleatoriamenteusuarios y evaluar si lasactividades que realizanestn registradas en labitcora. Si es necesarioaplicar encuestas y

entrevistas sobre el controlde la bitcora de acceso.

Evaluar los derechos yobligaciones de los usuariosen el manual de usuarios oreglamento del rea decmputo en cuando a sucumplimiento y registro deincidencias en la bitcora.

Verificar que se cumpla conlos tiempos lmites deacceso y sus registros en labitcora.

Observacinparticipativa, oculta.

Revisin documentala los registros y elsistema de cmputo.


Entrevista conadministrador delsistema, los usuarios y

personal del rea.


3/8

SAS-05 Evaluar eladecuadocumplimientode las funcionesdeladministradordel sistema dered.

Entrevista al administradorrespecto al cumplimientode sus funciones, apoyadasal manual de organizacin,el manual deprocedimientos y deoperacin.

Encuestas entre el personalde rea y los usuarios delsistema.

Entrevista con eladministrador delsistema, los usuarios ypersonal de rea.

Encuestas a losempleados y usuariosdel sistema.

Llevar previamente elaboradoel cuestionario de lasentrevistas y los cuestionariosde las encuestas.

SAS-06 Evaluar elregistrohistrico de lasincidencias deseguridad deacceso alsistema de red.

Hacer la revisindocumental a cada una delas bitcoras de incidenciasde tres meses, un semestrey un ao anteriores yevaluar la magnitud,impacto y solucin de lasmismas.

Evaluar, medianteentrevistas o encuestas, alos empleados y usuariosdel rea, sobre lasincidencias ocurridas enesas pocas, y obtener susopiniones sobre laconfiabilidad de registrosde incidencias en lasbitcoras pasadas.

Revisin documentalhistrica a lasbitcoras anteriores.

Entrevistas yencuestas conempleados y usuarios.

Elegir aleatoriamente los das ylas incidencias a revisar.

SFA-01 Evaluar lasmedidas deseguridad parael acceso fsicodel personal ylos usuarios delsistema.

Tratar de ingresar al reade sistemas sin ningunaidentificacin y evaluar lasincidencias.

Tratar de ingresar al reade sistemas con laidentificacin de cualquierempleado y evaluar lasincidencias.

Evaluar actualizacin delpersonal encargado de laentrada y las medidas deseguridad, vigilancia y delrea de sistemas.

Entrevistas y cuestionariosa los directivos, empleadosy usuarios del sistema paraobtener su opinin sobrelas medidas de seguridad

del rea.

Verificar los cambios deturno del personal devigilancia del rea de

Observacinparticipativa, directa yoculta para el accesodel rea.

Entrevistas yencuestas adirectivos, empleadosy usuarios del rea.

Revisin documental

a reportes y bitcorasde acceso.

Las pruebas de ingreso puedenser efectuadas por el auditor opor terceros ajenos al rea.


4/8

sistemas.

Revisar los reportes denovedades del personal devigilancia y las bitcoras deacceso, as como suoportunidad y suficienciaen el registro.

SFS-02 Evaluar lasmedidas deseguridad parael control deacceso y salidade los bienesinformticos delrea desistemas.

Revisar los reportes denovedades de salida yentradas de bienes yevaluar los contenidos,oportunidades,

justificaciones eincidencias.

Revisar las bitcoras deentrad y salida de bienes

del rea de sistemas, ascomo el correcto registrode sus contenidos, suoportunidad y las

justificaciones eincidencias.

Revisar los controles,formatos y registrosdocumentales de las salidasy entrada de bienes en el

rea de sistemas.

Entrevistas y cuestionariosa los directivos, empleadosy usuarios del sistema, paraobtener su opinin sobrelas medidas de seguridad,el registro y la solucin deincidencias del rea.

Tratar de introducir un bien

sin notificarlo a vigilancia ysin ninguna autorizacin.

Tratar de sacar un bien sinnotificarlo a vigilancia y sinninguna autorizacin.

Evaluar si existendetectores de metales,aduanas de revisin ocualquier otra medida de

revisin para la entrada ysalida de bienes del rea.

Observacinparticipativa, directa yoculta para el accesode rea.

Entrevistas yencuestas adirectivos, empleadosy usuarios del rea.

Revisin documentala reportes y bitcorasde acceso.

Experimentacin altratar de introducir yde sacar bienesinformticos.

Las pruebas de ingreso puedenhacerlas al auditor o tercerosajenos al rea.


5/8

SFS-03 Evaluar losreportes deincidencias y lasaccionespreventivas ycorrectivas ensu solucin enel acceso fsico

de los usuarios.

Revisar los controles,formatos y registrosdocumentales de las salidasy entradas de bienes en elrea de sistemas.

Entrevistas y cuestionariosa los directivos empleados

y usuarios del sistema, paraobtener su opinin sobrelas medidas de seguridad,el registro y la solucin deincidencias del rea.

Observacinparticipativa, directa yoculta para el accesodel rea.

Entrevistas yencuestas adirectivos, empleados

y usuarios.

Revisin documentala reportes bitcorasde acceso.

SPC-01 Evaluar losplanes decontingenciasdel rea desistemas.

Solicitar el plan decontingencia y evaluar sucorrecta elaboracin laasignacin de funcionariosresponsables, funciones ymedidas preventivas y

correctivas.

Evaluar que el plan decontingencia contengaacciones a realizar antes,durante y despus de unsiniestro, as como losresponsables de lasmismas.

Evaluar la vigilancia,

constante actualizacin,disponibilidad y difusin delplan de contingencia entredirectivos, empleados ypersonal de reas desistema.

Entrevistas y cuestionariosa los directivos, empleadosy usuarios del sistema paraobtener su opinin sobre el

plan de contingencias suutilidad, conocimiento,difusin y actualizacin.


Entrevistas yencuestas a

directivos, empleadosy usuarios.

SPC-02 Evaluar larealizacin desimulacros en elrea desistemas.

Revisar las bitcoras deelaboracin de simulacros yevaluar el registro deincidencias, cumplimientode actividades, objetivos ycorrecciones a las medidaspreventivas y correctivas.

Entrevistas y cuestionariosa los directivos, empleadosy usuarios del sistema, paraobtener su opinin sobre elplan de contingencias, su


Entrevistas yencuestas adirectivos, empleadosy usuarios.

Si existiesen incidenciasverdaderas y no simulacros,aplicar estos mismos puntos.


6/8

utilidad, conocimiento,difusin y actualizacin.Obtener los reportes denovedades, incidencias ymedidas correctivas,derivada de los simulacrosy evaluar lasmodificaciones al plan de

contingencia.

Evaluar que el plan desimulacin contengaacciones preventivas pararealizar el simulacro ycorrectivas para despusdel mismo. As como lacorrecta documentacin desu realizacin.

Columna 1 Columna 2 Columna 3 Columna 4

Actividades que van a ser evaluadasy ponderadas

Peso poractividad

Peso por factorPonderar

Valor deponderacin

1. Objetivos del centro de computo 10%

2. Estructura de organizacin 10%

Definicin de estructura de organizacin 25% 2.5%

Definicin de funciones 25% 2.5%

Descripcin de puestos 20% 2.0%Definicin de canales de comunicacin 10% 1.0%

Definicin de autoridad 10% 1.0%

Actualizacin de estructuras y puestos 5% 0.5%

Evaluacin peridica de funciones 5% 0.5%Total del factor a ponderar 100% 10.0%

3. Funciones y actividades 15%Definicin de funciones 20% 3.0%

Cumplimiento de las funciones 30% 4.5%Manuales e instructivos 10% 1.5%

Mtodos y procedimientos 15% 2.25%Cumplimiento de actividades 20% 3.0%

Seguimiento de actividades 5% 0.75%Total del factor a ponderar 100% 15.0%

4. Sistema de informacin 20%Definicin del sistema (software) 30% 6.0%

Definicin del equipo (hardware) 30% 6.0%

Definicin de instalaciones 15% 3.0%Evaluacin de adquisiciones 10% 2.0%

Interrelacin de funciones 15% 3.0%

Total del factor a ponderar 100% 20.0%5. Personal y usuarios 15%6. Documentacin de los sistemas 2%

Manual de usuarios 30% 0.6%


7/8

Manual tcnico del sistema 40% 0.8%

Manuales de capacitacin 20% 0.4%

Actualizacin de funciones 10% 0.2%

Total del factor a ponderar 100% 2.0%7. Actividades y operacin del sistema 14%

Definicin del equipo (hardware) 30% 4.2%

Definicin de instalaciones 30% 4.2%

Evaluacin de adquisiciones 20% 2.8%Interrelacin de funciones 20% 2.8%

Total del factor a ponderar 100% 16.0%

8. Configuracin del sistema 4%Definicin del sistema (software) 25% 1.0%

Definicin del equipo (hardware) 25% 1.0%Adaptacin de instalaciones 15% 0.6%

Adaptacin del medio ambiente 15% 0.6%

Planes contra contingencias 20% 0.8%


9.

Instalaciones del centro de computo 10%Adaptacin de instalaciones 30% 3.0%

Adaptacin de medidas de seguridad 30% 3.0%Adaptacin del medio ambiente 10% 1.0%

Adaptacin de comunicaciones 20% 2.0%Mantenimiento del sistema 10% 1.0%


Para evaluar la aplicacin y seguimiento de la norma ISO 9000, como gua para las normas ISO

9001, ISO 9002, ISO 9003, conforme a lo que indica el autor de referencia, lo cual se considera

aplicable en todos sus prrafos:

- 4.1 Responsabilidad administrativa- 4.2 Sistemas de calidad- 4.3 Revisin del contrato- 4.4 Control de proyectos- 4.5 Control de documentos e informacin- 4.6 Compras (adquisiciones)- 4.7 Control de productos proporcionados al cliente- 4.8 Identificacin del producto y posibilidad del seguimiento- 4.9

Control de procesos- 4.10 Inspecciones y pruebas- 4.11 Control de inspecciones, equipos de mediciones y prueba- 4.12 Estado de inspeccin y prueba- 4.13 Control de productos que no llenan requisitos- 4.14 Acciones correctivas y preventivas- 4.15 Manejo, almacenamiento, embalaje, preservacin y envo- 4.16 Control de registros de calidad- 4.17 Auditoras internas de calidad- 4.18 Capacitacin

- 4.19

Servicio- 4.20 Tcnicas estadsticas


8/8

Verificar el funcionamiento y cumplimiento adecuado de la red de cmputo, as como la inclusin desus componentes, su aplicacin y su uso.Descripcin del concepto Cumple

La instalacin de la red es flexible y adaptable a las necesidades de la empresa.

La lista de componentes de la red contiene todo el hardware requerido parasu funcionamiento adecuado.La lista de componentes de la red contiene todo el software requerido para su

funcionamiento adecuado.La red de cmputo es aprovechada al mximo en la empresa.Los recursos de la red se comparten de acuerdo con las necesidades de laempresa.

La configuracin de recursos de la red es la mejor para el uso correcto de lossistemas computacionales de la empresa.Se acepta la transferencia frecuente de grandes volmenes de informacin.

Existen niveles de acceso y seguridad en la red

Verificar la seguridad en el centro de cmputo, y calificar slo una de las columnas de cada conceptosegn su grado de cumplimientoDescripcin del concepto 100%

Excelente80%

Cumple60%

Mnimo40%

Deficiente

1. Evaluacin de la seguridad en el acceso al

sistema

Evaluar los atributos de acceso al sistema.

Evaluar los niveles de acceso al sistema.

Evaluar la administracin de contraseasdel sistema.

Evaluar la administracin de la bitcora deacceso al sistema.

Evaluar el monitoreo en el acceso alsistema.

Evaluar las funciones del administrador delacceso al sistema.

Evaluar las medidas preventivas ocorrectivas en caso de siniestros en elsistema.

2. Evaluacin de la seguridad en el acceso al

rea fsica

Evaluar el acceso del personal al centro decmputo.

Evaluar el acceso de los usuarios y tercerosal centro de cmputo

Evaluar la administracin de la bitcora deacceso fsico al rea de sistemas.

Evaluar el control de entradas y salidas debienes informticos del centro de cmputo

Evaluar la vigilancia del centro de cmputo

Evaluar las medidas preventivas ocorrectivas en caso de siniestros en elcentro de cmputo

guia_de_auditoria.pdf

Documents