AUDITORIA FISICA 1. Alcance de auditoria Organizacin y cualificacin del personal de seguridad. remodelar el ambiente de trabajo. planes y procedimientos.

tos. Sistemas tcnicos de seguridad y proyeccin.

2. Objetivos Revisin de las polticas y Normas sobre seguridad Fsica. Verificar la seguridad de personal, datos, hardware, software e instalaciones Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico PREGUNTAS 1. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? 2. Existe una persona responsable de la seguridad? 3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? 4. Existe personal de vigilancia en la institucin? 5. Existe una clara definicin de funciones entre los puestos clave? 6. Se investiga a los vigilantes cuando son contratados directamente? 7. Se controla el trabajo fuera de horario? 8. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas? 9. Existe vigilancia en el departamento de cmputo las 24 horas? 10. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? 11. Se ha instruido a estas personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? 12. El centro de cmputo tiene salida al exterior? 13. Son controladas las visitas y demostraciones en el centro de cmputo? 14. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica? SI NO N/A

15. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? 16. Se ha adiestrado el personal en el manejo de los extintores? 17. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 18. Si es que existen extintores automticos son activador por detectores automticos de fuego? 19. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? 20. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? 21. El personal ajeno a operacin sabe qu hacer en el caso de una emergencia (incendio)? 22. Existe salida de emergencia? 23. Se revisa frecuentemente que no est abierta o descompuesta cerradura de esta puerta y de las ventanas, si es que existen? la

24. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 25. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? 26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 27. Se cuenta con copias de los archivos en lugar computadora? distinto al de la

28. Se tienen establecidos procedimientos de actualizacin a estas copias? 30. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 31. Se cumplen? 32. Se auditan los sistemas en operacin? 33. Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? 34. Existe control estricto en las modificaciones?

35. Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? 36. Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? 37. Se ha establecido que informacin puede ser acezada y por qu persona?

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria fsica. 2. Identificacin del Cliente

El rea de Informtica 3. Identificacin de la Entidad Auditada Municipalidad Provincial de Moquegua. 4. Objetivos Verificar la estructura de distribucin de los equipos. Revisar la correcta utilizacin de los equipos Verificar la condicin del centro de cmputo. 5. Hallazgos Potenciales Falta de presupuesto y personal. Falta de un local ms amplio No existe un calendario de mantenimiento Falta de ventilacin. Faltan salidas al exterior Existe salida de emergencia.

6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad.

8. Recomendaciones Reubicacin del loca Implantacin de equipos de ltima generacin Implantar equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico. Capacitar al personal. AUDITORIA DE LA EXPLOTACION 1. Alcance de la Auditoria Evaluacin del personal y coherencia de Normas y Procedimientos del rea de informtica 2. Objetivos Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las funciones que sirven de apoyo a las tecnologas de la informacin. PREGUNTAS 1.- Existe personal con conocimiento y experiencia suficiente que organiza el trabajo para que resulte lo ms eficaz posible? 2.- Se aprueban por personal autorizado las solicitudes de nuevas aplicaciones? SI NO N/A cargos de la propia institucin.

3.- Existe personal con autoridad suficiente que es el que aprueba los cambios de las aplicaciones por otras? 4.- existen procedimientos adecuados para mantener la documentacin al da? 5.- tienen manuales todas las aplicaciones? 6.- existen procedimientos adecuados para conectarse y desconectarse de los equipos remotos? 7.- se aprueban los programas nuevos y los que se revisan antes de ponerlos en funcionamiento? 8.- Al poner en funcionamiento nuevas aplicaciones o versiones actualizadas funcionan en paralelo las existentes? 9.- En qu procesos que manejan archivos en lnea existen procedimientos para la recuperacin de archivos?

10.-Excite un responsable de rea 11.- Se controla las entradas de los documentos? 12.-existen programas de captacin de datos? 13.- se anota a que capturista se le entrega la informacin, el volumen y la hora? 14.- se anota la cantidad de la informacin recibida? 15.- se verifica la cantidad de la informacin recibida para su captura? 16.- para aquellos procesos que no traigan cinta de control se ha establecido criterios a fin de asegurar que la informacin es completa y valida? 18.- Existe un registro de anomalas en la informacin debido a la mala codificacin? 19.-se hace una relacin de cundo y a quien fueron distribuidos los listados? 20.-se controlan separadamente los documentos confidenciales? 21.- Se aprovecha adecuadamente el papel de los listados inservible? 22.- Se lleva control de la produccin por persona? 23.- Existen parmetros de control?

INFORME DE AUDITORIA 1.- Identificacin de la auditoria Auditoria de exploracin 2.- identificacin del cliente El rea de Informtica 3.- identificacin de la entidad Auditada netcont 4.- Objetivos Verificar la presencia de un personal encargado y capacitado en los turnos de trabajo.

Verificar la existencia de normas generales escritas para el personal de exploracin en cuanto a funciones se refiere. Evaluar a las relaciones personales, coherencia de cargos salarios as como la equidad en la asignacin de turnos de trabajo. 5.- Hallazgos potenciales incumplimiento de plazos y calendarios de tratamientos y entrega de datos. no existen programas de capacitacin y actualizacin del personal. 6.- Alcance de la auditoria Nuestra auditoria comprende el anlisis del sistema de cmputo e informtica de acuerdo a las normas y dems aplicaciones al efecto. 7.- Conclusiones Como resultado de la auditoria en el campo de la seguridad realizada a la empresa netcont entre el periodo de 01 de junio y 18 de julio las conclusiones a las cueles hemos llegado cumpliendo cada uno delos objetivos en el programa de auditoria. El rea de informtica presenta deficiencias sobre todo en el cumplimiento de las funciones y la falta de estos mismos debe solucionarse las ms antes posible. 8.- Recomendaciones Debern realizarse muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Asignar un responsable del Centro de Cmputos en cada turno de trabajo. Crear y hacer uso de manuales de operacin. Revisar los montajes diarios y por horas de cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta el montaje real. Realizar funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitados. Crear mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan acceso a la operacin del computador y los operadores a su vez no conozcan la documentacin de programas y sistemas. AUDITORIA DEL DESARROLLO 1. Alcance de auditoria Conexiones Cifrado Salidas Gateway Pginas web Firewalls

2. Objetivos Verificar las metodologas utilizadas Revisar el cumplimiento del proceso completo de desarrollo de proyectos Verificar el entorno interno de las aplicaciones, satisfaccin de usuarios de procesos y ejecuciones de programas crticos. Revisar el ciclo del vida del software

PREGUNTAS 1.- existe un documento que contiene las funciones que son competencia del rea de desarrollo, est aprobado por la direccin de informtica? 2-existe un organigrama con la estructura de la organizacin del rea? 3. existe un manual de organizacin de regula las relaciones entre puestos? 4. existe una relacin de personal adscrito al rea, incluyendo el puesto ocupado por la cada persona? 5. el rea de desarrollo lleva su propio control de presupuesto? 6. El presupuesto est a concordancia con los objetivos a cumplir? 7. La persona seleccionadas cumplen los requisitos del puesto al que acceden? 8. existen procesos de contratacin? 9. Las ofertas a puestos del rea se difunden de forma suficiente fuera de la organizacin y las selecciones se hacen de forma objetiva? 10. el rea de trabajo tiene un plan para lo tiempos de formacin? 11.- existe un protocolo de recepcin/abandono para la persona que se incorporaron o dejan el rea? 12- Existe una biblioteca y una hemeteca accesible por el personal del rea? 13. El personal est motivado en la realizacin de su trabajo? 14. existe rotacin de personal y existe un buen ambiente de trabajo? 15. existe un protocolo para solicitar al resto de las reas la participacin del personal en el proyecto y se aplica dicho protocolo? 16. La metodologa cubre todas las fases de desarrollo y es adaptable a distintos tipos de proyectos?

SI

NO

N/A

17. la metodologa y las tcnicas asociadas a la misma estn adaptadas al entorno tecnolgico y a la organizacin del rea de desarrollo? 18. Existe un catlogo de las aplicaciones disponibles en el rea? 19. Existe un catlogo de problemas? 20. Se tiene en cuenta a todas las personas disponibles cuyo perfil sea adecuado a los riesgos de cada proyecto y que tenga disponibilidad de participar? 21. Se registran y controlan todos los proyectos fracasados?

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de desarrollo. 2. identificacin del cliente El rea de informtica 3. identificacin de la entidad auditada netcont 4. Objetivos Verificar el cumplimiento de los proyectos en proceso. Revisar el cumplimiento de las normas generales Revisar los recursos de la organizacin. Verificar los avances tecnolgicos. 5. Hallazgos importantes Incumplimiento de plazos y calendarios de tratamientos y entrega de datos Inexistencia y falta de uso de los Manuales de Operacin Falta de planes de formacin No existen programas de capacitacin y actualizacin al personal 6. Alcance de la auditoria Nuestra auditoria, comprende especialmente el rea de informtica de acuerdo a las normas y dems disposiciones aplicables al efecto. 7. Conclusiones La empresa desarrolla software pero su mejor deficiencia es que no siguen los estndares recomendados.

Se calific el ciclo de desarrollo de los procesos de la entidad en su mbito de trabajo. 8. Recomendaciones Asignar un responsable un responsable para todos los procesos del Centro de Cmputos. Se debe asignar un grupo para el desarrollo de software. Crear y hacer uso de manuales de operacin. Realizar funciones de operacin, diseo de sistemas. AUDITORIA DEL MANTENIMIENTO 1. Alcance de la Auditoria Planes y procedimientos de Mantenimiento Normativa

2. Objetivos de la Auditoria Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y preventivo del software. 3. Referencia Legal: Estndares ISO/IEC 12207 IEEE 1074 IEEE 1219 ISO/IEC 14764 SI NO N/A

PRACTICAS 1. Existe un contrato de mantenimiento. 2. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de cmputo? 3. Se lleva a cabo tal programa? 4. Existen tiempos de respuesta y de compostura estipulados en los contratos? 5. Si los tiempos de reparacin son superiores a los estipulados en el contrato, Qu acciones correctivas se toman para ajustarlos a lo convenido? 6. Existe plan de mantenimiento preventivo. ? 7. Este plan es proporcionado por el proveedor? 8. Se notifican las fallas? 9. Se les da seguimiento?

10. Tiene un plan logstico para dar soporte al producto software? 11. Los requerimientos de mantenibilidad se incluyen en la Actividad de Iniciacin durante el Proceso de Adquisicin (ISO 12207) y se evala durante el Proceso de Desarrollo? 12. Las variaciones en el diseo son supervisadas durante el desarrollo para establecer su impacto sobre la mantenibilidad? 13. Se realizan varios tipos de medidas para poder estimar la calidad del software? 14. La mantenibilidad se tiene en cuenta antes de empezar a desarrollar? 15. El desarrollador prepara un Plan de Mantenibilidad que establece prcticas especficas de mantenibilidad, as como recursos y secuencias relevantes de actividades? 16. Durante el anlisis de requerimientos, los siguientes aspectos que afectan a la mantenibilidad, son tomados en cuenta? Identificacin y definicin de funciones, especialmente las opcionales. Exactitud y organizacin lgica de los datos. Los Interfaces (de mquina y de usuario). Requerimientos de rendimiento. Requerimientos impuestos por el entorno (presupuesto). Granularidad (detalle) de los requerimientos y su impacto sobre la trazabilidad. nfasis del Plan de Aseguramiento de Calidad del Software (SQAP) en el cumplimiento de las normas de documentacin. 17. La transicin del software consiste en una secuencia controlada y coordinada de acciones para trasladar un producto software desde la organizacin que inicialmente ha realizado el desarrollo a la encargada del mantenimiento? 18. La responsabilidad del mantenimiento se transfiere a una organizacin distinta, se elabora un Plan de Transicin? Qu es lo que incluye este plan? La transferencia de hardware, software, datos y experiencia desde el desarrollador al mantenedor. Las tareas necesarias para que el mantenedor pueda implementar una estrategia de mantenimiento del software. 19. El mantenedor a menudo se encuentra con un producto software con documentacin?

20. El Plan de Mantenimiento es preparado por el mantenedor durante el desarrollo del software. 21. Los elementos software reflejan la documentacin de diseo? 22. Los productos software fueron suficientemente probados y sus especificaciones cumplidas? 23. Los informes de pruebas son correctos y las discrepancias entre resultados actuales y esperados han sido resueltas? 24. La documentacin especificados? de usuario cumple los estndares

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria del Mantenimiento 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada netcont 4. Objetivos Revisar los contratos y las clusulas que estn perfectamente definidas en las cuales se elimine toda la subjetividad y con penalizacin en caso de incumplimiento, para evitar contratos que sean parciales. Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia, y el tiempo de reparacin. Diagnstico del sistema actual de mantenimiento. Verificar el montaje de mtodos de recopilacin de informacin en reas especficas. Verificar la existencia de planes estratgicos de desarrollo. Verificacin de la efectividad del mantenimiento actual y los desarrollos y programas proyectados. Verificar la optimizacin de almacenes y repuestos.

5. Hallazgos Potenciales Prdida de control Prdida de una fuente de aprendizaje, porque una actividad interna pasa a ser externa. Dependencias del suministrador.

6. Alcance de la auditoria

Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos. 8. Recomendaciones Modificacin de un producto software, o de ciertos componentes, usando para el anlisis del sistema existente tcnicas de Ingeniera Inversa y, para la etapa de reconstruccin, herramientas de Ingeniera Directa, de tal manera que se oriente este cambio hacia mayores niveles de facilidad en cuanto a mantenimiento, reutilizacin, comprensin o evolucin. Categorizar los tipos de mantenimiento del software y para cada tipo planificar las actividades y tareas a realizar. Elaborar un procedimiento organizado para realizar la migracin de un producto software desde un entorno operativo antiguo a otro nuevo. Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el cliente y las obligaciones de cada uno estos. Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento, quin lo realizar, una estimacin de los costes y un anlisis de los recursos necesarios. AUDITORIA DE BASES DE DATOS 1. Alcance de la auditoria Esta auditoria comprende solamente al rea de centro de cmputo, con respecto al cumplimiento del proceso "De Gestin administracin de la Base de Datos " de la de manera que abarca la explotacin, mantenimiento, diseo carga, post implementacin, Los sistemas de gestin de base de datos (SGBD), software de auditoria, sistema operativo protocolos y sistemas distribuidos. 2. Objetivos Verificar la responsabilidad para la planificacin de planillas y control de los activos de datos de la organizacin (administrador de datos). Verificar la responsabilidad de la administracin del entorno de la base de datos (administrador de la base de datos). Proporcionar servicios de apoyo en aspectos de organizacin y mtodos, mediante la definicin, implantacin y actualizacin de Base de Datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia SI NO N/A

PREGUNTAS

1. Existe equipos o software de SGBD 2-La organizacin tiene un sistema de gestin de base de datos (SGBD) 3- Existe personal restringido que tenga acceso a la BD 4- El SGBD es dependiente de los servicios que ofrece el Sistema Operativo 5. Existen procedimientos formales para la operacin del SGBD? 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. Existen procedimientos formales para la operacin del SGBD? 9. Estn actualizados los procedimientos de SGBD? 10. La periodicidad de la actualizacin de los procedimientos es Anual? 11. Son suficientemente claras las operaciones que realiza la BD? 12. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que estn autorizados tengan una razn de ser procesados) 13. Se procesa las operaciones dentro del departamento de cmputo? 14. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? 15. Existe un control estricto de las copias de estos archivos? 16. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? 17. Se registran como parte del inventario las nuevas cintas magnticas que recibe el centro de cmputo? 18. Se tiene un responsable del SGBD? 19. Se realizan auditorias peridicas a los medios de almacenamiento? 20. Se tiene relacin del personal autorizado para manipular la BD? 21. Se lleva control sobre los archivos trasmitidos por el sistema? 22. Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. Existen integridad de los componentes y de seguridad de datos?

24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo capaz que soportar el trabajo? 25. El SGBD tiene capacidad de teleproceso? 26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. La capacidad de almacenamiento mximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?

INFORME DE AUDITORIA 1. identificacin de informe Auditoria de Base de Datos 2. identificacin de cliente El rea de informtica 3. identificacin de la entidad auditada netcont 4. Objetivos Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo. Revisar del software institucional para la administracin de la Base de Datos. Verificar la actualizacin de la Base de Datos. Verificar la optimizacin de almacenes de los Base de Datos Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la base de datos.

5. Hallazgos potenciales No estn definidos los parmetros o normas de calidad. Falta de presupuesto Falta de personal

6. Alcance de auditoria Nuestra auditoria se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria.

El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos.

8. Recomendaciones Elaborar toda la documentacin lgica correspondiente a los sistemas de administracin de la BD. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores.

AUDITORIA DE SEGURIDAD 1. Alcance de auditoria Organizacin y calificacin del personal Planes y procedimientos Sistemas tcnicos de deteccin y comunicacin Anlisis de puestos Mantenimiento Normativa

2. Objetivos de la auditoria Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las medidas aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos. 3. Referencia Legal: Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96), Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN.

4. Resultados: Se obtendr: Informe de Auditoria detectando riesgos y deficiencias en el Sistema de Seguridad. Plan de recomendaciones a aplicar en funcin de: Riesgos Normativa a cumplir Costes estimados de las recomendaciones

AUDITORIA LOGICA PREGUNTAS 1.- existen medidas, controles, procedimientos, normas y estndares de seguridad? 2.- existe un documento donde este especificando la relacin de las funciones y obligaciones del personal? SI NO N/A

3.- existen procedimientos de realizacin de copias de seguridad y recuperacin de datos? 5.- existe una relacin del personal autorizado a conocer, alterar o anular el acceso sobre datos y recursos? 6.- existen una relacin del personal autorizado a acceder a los locales donde se encuentren ubicados los sistemas que tratan datos personales? 7.- Existe una relacin de personal autorizado a acceder a los soportes de datos? 8.- Existe un perodo mximo de vida de las contraseas? 9.- Existe una relacin de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso permitidos? 10.- Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar- documentadas en el Documento de Seguridad? 11.- En la prctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad? 12.- El sistema de autenticacin de usuarios guarda las contraseas encriptadas? 13.- En el sistema estn habilitadas para todas las cuentas de usuario las opciones que permiten establecer: Un nmero mximo de intentos de conexin. Un perodo mximo de vigencia para la contrasea, coincidente con el establecido en el Documento de Seguridad. 14. En la prctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad? 15. El sistema de autenticacin de usuarios guarda las contraseas encriptadas? 16. En el sistema estn habilitadas para todas las cuentas de usuario las opciones que permiten establecer: Un nmero mximo de intentos de conexin. Un perodo mximo de vigencia para la contrasea, coincidente con el establecido en el Documento de Seguridad. 17. Existen procedimientos de asignacin y distribucin de contraseas?

AUDITORIA FISICA PREGUNTAS 1.- Existen procedimientos para la realizacin de las copias de seguridad? 2.- Existen procedimientos que aseguran que, de todos los ficheros con datos de carcter personal, se realiza copia al menos una vez cada semana? 3.- Hay procedimientos que aseguran la realizacin de copias de todos aquellos ficheros que han experimentado algn cambio en su contenido? 4.- Existen controles para la deteccin de incidencias en la realizacin de las pruebas? 5.- Existen controles sobre el acceso fsico a las copias de seguridad? 6.- Las copias de seguridad de ficheros de nivel alto incluyen los ficheros cifrados, si estas copias se transportan fuera de las instalaciones? 7.- Las copias de seguridad de los ficheros de nivel alto se almacenan en lugar diferente al de los equipos que las procesan? 8.- Se Obtiene una relacin de los ficheros que se envan fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envo, el estamento que realiza el envo y el destinatario? 9.- Se Comprueba que todos los soportes incluidos en esa relacin se encuentran tambin en el inventario de soportes mencionado anteriormente? 10.- Se Obtiene una copia del Registro de Entrada y Salida de Soportes y se comprueba que en l se incluyen: Los soportes incluidos en la relacin del punto anterior (y viceversa) Los desplazamientos de soportes al almacenamiento exterior (si existiera) 11.- Se Verifica que el Registro de Entrada y Salida refleja la informacin requerida por el Reglamento: a) Fecha y hora b) Emisor/Receptor c) N de soportes d) Tipo de informacin contenida en el soporte. e) Forma de envo f) Persona fsica responsable de la recepcin/entrega 12.- Se Analiza los procedimientos de actualizacin del Registro de Entrada y Salida en relacin con el movimiento de soportes? SI NO N/A

13.- Existen controles para detectar la existencia de soportes recibidos/enviados que no se inscriben en el Registro de Entrada/Salida? 14.- Se Comprueba, en el caso de que el Inventario de Soportes y/o el Registro de Entrada/Salida estn informatizados, que se realizan copias de seguridad de ellos, al menos, una vez a la semana? 15. Se evalan los estndares de distribucin y envo de estos soportes? 16. Se Obtiene una relacin de los ficheros que se envan fuera de la empresa, en la que se especifique el tipo de soporte, la forma de envo, el estamento que realiza el envo y el destinatario? 17. Se Comprueba que todos los soportes incluidos en esa relacin se encuentran tambin en el inventario de soportes mencionado anteriormente? 18. Se realiza una relacin de soportes enviados fuera de la empresa con la relacin de ficheros de nivel alto? 19. Se Verifica que todos los soportes que contiene ficheros con datos de nivel Alto van cifrados? 20. Se Comprobar la existencia, como parte del Documento de seguridad, de una relacin de usuarios con acceso autorizado a la sala? AREAS CRTICAS DE LA AUDITORIA DE SEGURIDAD Evaluacin de la seguridad en el acceso al sistema Preguntas 100% excelente 80% bueno 60% regular 40% mnimo 20% no cumple

Evaluar los atributos de acceso al sistema. Evaluar los niveles de acceso al sistema. Evaluar la administracin de contraseas al sistema Evaluar el monitoreo en el acceso al sistema. Evaluar las funciones del administrador del acceso al sistema. Evaluar las medidas preventivas o correctivas en caso de siniestros en el acceso.

Evaluacin de la seguridad en el acceso al rea Fsica

Preguntas

100% excelente

80% Bueno

60% 40% regular mnimo

20% no cumple

Evaluar el acceso del personal al centro de cmputo. Evaluar el acceso de los usuarios y terceros al centro de cmputo. Evaluar las medidas preventivas o correctivas en caso de siniestro en el centro de cmputo. Analizar las polticas de la instalacin en relacin con los accesos ocasionales a la sala. Evaluacin de los planes de contingencia informticos Preguntas 100% excelente 80% bueno 60% regular 40% mnimo 20% no cumple

Evaluar la existencia, difusin, aplicacin y uso de contra contingencias de sistemas. Evaluar la aplicacin de simulacros, as como el plan contra contingencias. Evaluar la confidencialidad, veracidad y oportunidad en la aplicacin de las medidas del plan contra contingencias.

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de seguridad 2. Identificacin del cliente El rea de informtica 3. Identificacin de la entidad auditada netcont 4. Objetivos Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida el rea informtica.

Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido ms amplio, como la seguridad lgica de datos, procesos y funciones informticas ms Importantes de aqul. 5. hallazgos potenciales No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos Falta de planes y Programas Informticos. Poca identificacin del personal con la institucin.

6. Alcance de auditoria Nuestra auditoria se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de sus funciones y por la falta de ellos.

8. Recomendaciones Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas. El coste de la seguridad debe considerarse como un coste ms entre todos los que son necesarios para desempear la actividad que es el objeto de la existencia de la entidad, sea sta la obtencin de un beneficio o la prestacin de un servicio pblico. El coste de la seguridad, como el coste de la calidad, son los costes de funciones imprescindibles para desarrollar la actividad adecuadamente. Y por "adecuadamente" debe entenderse no slo un nivel de calidad y precio que haga competitivo el servicio o producto suministrado, sino tambin un grado de garanta de que dichos productos o servicios van a seguir llegando a los usuarios en cualquier circunstancia. AUDITORIA A LOS SISTEMAS DE REDES 1. Alcance de la Auditoria Calificacin del personal Sistemas tcnicos de la red Mantenimiento de la Red

2. Objetivos de la Auditoria Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las medidas aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos. 3. Referencia Legal

Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96), Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN.

4. Resultados Se obtendr: Informe de Auditoria detectando deficiencias en el Sistema de Redes. Plan de recomendaciones a aplicar en funcin de: Normativa a cumplir Recomendaciones PREGUNTAS 1. La gerencia de redes tiene una poltica definida de planeamiento de tecnologa de red? 2. Esta poltica es acorde con el plan de calidad de la organizacin 3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa de redes, teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin? 4. Existe un inventario de equipos y software asociados a las redes de datos? 5. El plan de compras de hardware y software para el sector redes est de acuerdo con el plan de infraestructura de redes? 6. La responsabilidad operativa de las redes est separada de las de operaciones del computador? 7. Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados 8. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 9. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y servicios de red? 10. Existen protocolos de comunicaron establecida 11. Existe una topologa estandarizada en toda la organizacin 12. Existen normas que detallan que estndares que deben cumplir el hardware y el software de tecnologa de redes? 13. La transmisin de la informacin en las redes es segura? SI NO N/A

14. El acceso a la red tiene password?

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria del Sistema de Redes 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada netcont 4. Objetivos Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, las conexiones, accesos privilegios, administracin y dems aspectos que repercuten en su instalacin. Revisin del software institucional para la administracin de la red. No se cuenta con un Software que permita la seguridad de restriccin y/o control a la Red. 5. Hallazgos Potenciales No se cuenta con un Software que permita la seguridad de restriccin y/o control a la Red. 6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado especialmente al rea de Informtica de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias sobre todo en el debido cumplimiento de Normas de redes y funciones. 8. Recomendaciones Elaborar toda la documentacin tcnica correspondiente a los sistemas de redes. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar un plan que permita modificar en forma oportuna el plan a largo plazo de tecnologa de redes. Elaborar un calendario de mantenimiento de rutina peridico del hardware.

CONCLUSIN Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen la empresa netcont tanto materiales como humanos, con lo anterior, se puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los dems elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso de la institucin. Es mentira que lo ms importante para una empresa sea el equipo informtico con el que se trabaja. El factor humano es lo ms importante, ya que si se cuenta con tecnologa de punta, pero con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitacin es importantsima, ya que si no hay capacitacin permanente, el personal tcnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico. El aspecto organizativo tambin debe estar perfectamente estructurado, y las lneas de mando deben estar bien definidas, evitando de esta manera la rotacin innecesaria de personal, la duplicidad de funciones, las lneas alternas demando, etc. y que conllevan al desquiciamiento de la estructura organizacional. Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones, as como de la informacin, el control de los accesos tambin es punto fundamental para evitar las fugas de informacin o manipulacin indebida de esta. El Departamento de informtica es la parte medular de la empresa, es en donde los datos se convierten en informacin til a las diferentes reas, es donde se guarda esta informacin y por consecuencia, donde en la mayora de los casos se toman las decisiones importantes para la empresa. Adems al realizar la presente auditoria nos damos cuenta que dentro del ambiente empresarial es de vital importancia contar con la informacin lo ms valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en una herramienta poderosa para la toma de decisiones, vindose reflejada en la obtencin de resultados benficos a los fines de la organizacin y justificar el existir de toda la organizacin o empresa. Como resultado de la Auditoria Informtica realizada, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias en: En su Seguridad En de Redes Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y seguros que nuestra funcin de auditores est funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas que no van a necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y no parte del problema, como lo es hoy en da Informe Final de la Auditoria