Beruflich Dokumente
Kultur Dokumente
A
688 Auditoría en sistemas computacionales
Análisis de la delimitación de los proyectos de red, a fin de evaluar la manera en que se cumplen:
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
La delimitación temporal, por el tiempo
en que se instalará la red.
La delimitación espacial, por las
dimensiones físicas y lógicas del
proyecto de red.
La delimitación conceptual, por el
análisis específico de las necesidades
que se deben satisfacer con la red de
cómputo.
La delimitación tecnológica, por los
requerimientos y conocimientos
informáticos específicos en sistemas
de red.
704 Auditoría en sistemas computacionales
Análisis del diseño de los modelos de comunicación ISO de la red de la empresa, en cuanto al
funcionamiento de las siguientes capas:
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
Capas físicas.
Capas de enlace.
Capas de red.
Capas de transporte.
Capa de sesión.
Capa de presentación.
Capa de aplicación.
Análisis de las técnicas de transmisión que determinan cómo se utilizan los medios físicos para la
comunicación entre las computadoras de la red, estudiando el funcionamiento de:
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
La transmisión síncrona.
La transmisión asíncrona.
La transmisión analógica.
La transmisión digital.
La codificación de datos en señales
analógicas.
La transmisión en paralelo.
La transmisión en serie.
Los códigos de comunicación de datos.
Análisis del funcionamiento y la confiabilidad de los dispositivos para conectar las redes
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
Repetidores. Sirven para amplificar o
regenerar las señales, con lo cual
pueden utilizarse cables más largos.
Puentes. Son los dispositivos para
guardar y reenviar los datos en la red;
operan en el nivel de enlace y pueden
cambiar los campos de las tramas.
Enrutadores de protocolos múltiples.
Son como los puentes que funcionan
en el nivel de red y que permiten la
conexión de redes con distintos
protocolos.
Puertas de enlace de transporte.
Conectan las redes en nivel de
transporte.
Puertas de enlace de aplicación.
Conectan dos partes de una aplicación,
aunque éstas utilicen formatos distintos.
710 Auditoría en sistemas computacionales
Análisis del funcionamiento del modelo OSI para la red, estudiando el comportamiento de los siguientes
niveles:
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
Nivel físico. Para las relaciones de los
voltajes, la duración de un bit, el
establecimiento de una conexión, el
número de polos de enchufe y demás
aspectos técnicos de este nivel.
Nivel de enlace. Para convertir el
medio de transmisión crudo en uno
que esté libre de errores de transmisión
en cuanto al remitente de los datos de
entrada, el procesamiento de los de
714 Auditoría en sistemas computacionales
Análisis del funcionamiento adecuado de los protocolos X.25 para la red, estudiando el comportamiento
de las siguientes capas:
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
Capa física.
Capa de bloque.
Capa de paquetes.
Levantamiento de inventarios a fin de hacer un recuento de los bienes informáticos destinados al fun-
cionamiento de la red y del área de sistemas
Evaluar y calificar el cumplimiento Excelente Bueno Regular Mínimo No cumple
de los siguientes aspectos
Inventarios de los componentes de las
redes de cómputo de la empresa,
contemplando servidores, terminales,
cableados, componentes y demás
bienes informáticos que integran la red,
así como los fabricantes, marcas,
modelos, procesadores, tarjetas
madre, velocidad, configuración,
memorias, sistemas de
almacenamiento, tarjetas adicionales,
números de serie, responsables del
resguardo y todos los demás aspectos
relacionados con el inventario de la
seguridad de estos equipos.
Inventario de los sistemas operativos,
lenguajes, programas, paqueterías,
utilerías y demás software institucional,
así como de las licencias, resguardos,
originales, copias autorizadas y copias
pirata, a fin de valorar la protección y
custodia de dichos sistemas.
Inventario de la seguridad y protección
de la información y de los datos del
sistema de red.
Inventario de los bienes muebles,
inmuebles, materiales y consumibles
del área de sistemas, a fin de valorar
su protección y uso.
Inventario de los accesos a los
sistemas de redes, así como del
722 Auditoría en sistemas computacionales
Procesador
Evaluar y calificar los siguientes aspectos: Excelente Bueno Regular Deficiente No cumple
Fabricante, marca, tipo, configuración y
características.
Velocidad de procesamiento en MHz.
Máxima memoria en RAM del sistema.
Memoria caché y RAM externa.
Coprocesador matemático.
Conjunto de chips (fabricante, modelo,
capacidad y características).
Administrador de memoria.
Apéndice D 725
Aprovechamiento y utilidad de cada uno de los componentes internos y periféricos del sistema
Evaluar y calificar los siguientes aspectos: Excelente Bueno Regular Deficiente No cumple
Monitor, teclado, ratón y unidad de disco flexible.
CD-ROM, CD-RW, DVD y disco duro.
Conexiones de periféricos, de conectividad y de
comunicación.
726 Auditoría en sistemas computacionales
Evaluación de los métodos de acceso, seguridad y salvaguarda de los activos informáticos del área de
sistemas.
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Planes y programas de prevención contra
contingencias en el funcionamiento de los sistemas,
en la información y datos de la empresa y en los
demás bienes informáticos del centro de cómputo y
de las demás áreas de la empresa que cuenten con
sistemas.
Identificación de accesos, almacenamiento y
custodia de la información, sistemas operativos,
lenguajes, archivos y programas institucionales.
Evaluación de controles y sistemas de seguridad,
protección y salvaguarda de los activos, del personal,
instalaciones, información, mobiliario y equipo del
área de sistemas y de las demás áreas de la
empresa que cuenten con sistemas.
Planes contra contingencia para seguridad y
protección de los programas, información,
instalaciones, empleados y usuarios del sistema
computacional.
Sistemas de control de accesos lógicos al sistema y
a las bases de datos.
Sistemas de control de accesos físicos al centro de
cómputo.
Prevención y erradicación de virus informáticos.
Sistemas de protección y de supresión de sistemas
piratas y juegos en los sistemas computacionales de
la empresa.
El levantamiento de inventarios a fin de hacer un recuento de los bienes informáticos del área
de sistemas
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Inventarios de los equipos de cómputo, contemplando
las marcas, procesadores, tarjetas madre, velocidad,
configuración, componentes, memorias, sistemas de
almacenamiento, tarjetas adicionales, números de
serie, responsables de su resguardo y todos los
demás aspectos relacionados con estos equipos.
Inventario de los sistemas operativos, lenguajes,
programas, paqueterías, utilerías y demás software
institucional, incluyendo licencias, resguardos,
originales, copias autorizadas y copias piratas.
Inventario del personal informático y usuarios del
sistema, a fin de evaluar sus perfiles de puestos,
conocimientos, características y preparación para el
uso de los sistemas computacionales de la empresa.
Inventario de bienes muebles, inmuebles, materiales
y consumibles del área de sistemas.
Inventario de los sistemas de redes, cuando el
sistema esté diseñado de esta manera.
Inventario de instalaciones físicas, protecciones,
características y funcionalidad de las áreas de
sistemas, contemplando su medio ambiente de
trabajo, iluminación, aire acondicionado, ruidos,
temperatura, estática y demás peculiaridades
de su funcionamiento.
Otros inventarios acordes a las necesidades
de la auditoría.
El diseño físico del área de sistemas y de las áreas
de la empresa que cuenten con sistemas
computacionales.
Apéndice E 743
• Verificar que existan estudios en las áreas de sistemas de la empresa sobre los
efectos de los sistemas en la salud de los usuarios.
• Analizar si esta afectación de la salud muscular-esquelética es producto de las
deficiencias del diseño del mobiliario que se utiliza en el centro de cómputo.
• Analizar si en el proyecto de un centro de cómputo existen los estudios antro-
pométricos del usuario promedio nacional, que permitan identificar las posibles
repercusiones en la salud muscular-esquelética de los usuarios.
• En caso de que no existan estudios de este tipo, investigar si se debe a que se
desconoce la forma de realizarlos, o a que no se tomaron en cuenta esas nece-
sidades al adquirir el mobiliario.
• Investigar con qué efectos y con qué frecuencia se presentan esas repercusiones en
la salud de la espalda, columna vertebral, tórax, cuello, cabeza, nuca, piernas y pies
del usuario, ya sea por la posición que adopta al estar en contacto con las compu-
tadoras o por el diseño del mobiliario del centro de cómputo. Evaluar ambos casos.
• Analizar, como complemento de la evaluación de la existencia o carencia de los es-
tudios antropométricos, la periodicidad de otros estudios médicos traumatológicos
de las afectaciones sobre una población seleccionada de individuos, con mobilia-
Apéndice F 749
rio y equipo diseñado en forma ideal, a fin de comparar esa población con otra po-
blación de individuos que seguirán trabajando en la forma actual, sin ninguna me-
jora en las condiciones de muebles y equipos para el uso de computadoras.
• Evaluar si existen los siguientes elementos:
— La recopilación de información entre los usuarios que siempre han utilizado la
computadora con deficiencias en el mobiliario y equipo y con vicios de postura.
— La comprobación de las repercusiones que han tenido los sistemas en la sa-
lud de estos usuarios; precisar si se debe al uso del mobiliario y equipo que
se utiliza y a la posición que se adopta. Con esta base es fácil plantear el si-
guiente punto.
— Evaluar en forma global si la posición que adopta el usuario ante la compu-
tadora se debe a defectos en el diseño del mobiliario, esto es, de la silla y la
mesa, o por deficiencias y vicios del usuario.
* Para complementar esta auditoría, sería de mucha utilidad que el auditor utilizara los aspectos señalados en la
auditoría sin la computadora (sección 12.2), la auditoría a la gestión informática del área de sistemas (sección 12.3)
y la auditoría alrededor de la computadora (sección 12.5), ya que estas auditorías están muy relacionadas con lo
que se busca evaluar con la auditoría ISO-9000.
Apéndice G 755
Evaluación de las estructuras de organización del área de sistemas del prestador de servicios y de la
empresa receptora del servicio outsourcing informático, en cuanto a los siguientes aspectos:
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
División funcional (u otro criterio) para el servicio
outsourcing informático, tanto del prestador como
del receptor del servicio.
Estructura de organización y perfiles de puestos para
el servicio outsourcing informático, tanto del
prestador como del receptor del servicio.
Cumplimiento en las funciones, canales de
comunicación (formales e informales), niveles de
autoridad y responsabilidad de los puestos para el
servicio outsourcing informático en el área de
sistemas.
Estructuras para el desarrollo de proyectos,
atención a usuarios y operación de las actividades
outsourcing informáticas.
Evaluación de la administración de las funciones, actividades, tareas y operaciones del prestador del
servicio para cumplir con la actividad outsourcing informática de la empresa contratante
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Existencia, difusión, cumplimiento y seguimiento de
los compromisos, funciones, tareas y operaciones de
la actividad outsourcing informática en el área de
sistemas.
Cumplimiento de los métodos, procedimientos,
fundamentos y principios administrativos, así como
de manuales e instructivos aplicables a la actividad
outsourcing informática por parte del prestador de
servicios.
Evaluación de la dirección del área de prestación/
recepción de servicios outsourcing informáticos de
la empresa contratante y de la empresa que presta
el servicio.
760 Auditoría en sistemas computacionales
Evaluación de los controles informáticos del área de sistemas dedicada a la prestación/recepción del
servicio outsourcing informático
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Análisis de la aplicación de los controles internos a
los servicios outsourcing informáticos.
Controles internos sobre la organización de la
prestación/recepción del servicio outsourcing
informáticos.
762 Auditoría en sistemas computacionales
Evaluación de las actividades técnicas para proporcionar asistencia y mantenimiento a los sistemas
computacionales
Evaluar y calificar el cumplimiento de los
siguientes aspectos: Excelente Bueno Regular Mínimo No cumple
Análisis de los objetivos, características,
componentes, conectividad y comunicación de la red
para la atención en línea HelpDesk y su aplicación en
la solución de las problemáticas reportadas por los
usuarios del sistema.
Análisis de las características de configuración de la
red, en cuanto a topologías, tipo de red, componentes,
protocolos de comunicación, servidores, terminales,
instalaciones de comunicación y demás aspectos de
la red utilizada para proporcionar la ayuda en línea a
los usuarios.
Análisis de los componentes internos, externos y de
la arquitectura física y lógica del sistema de red, a
fin de verificar que cuente con los elementos
técnicos necesarios para prestar la ayuda en línea a
los usuarios del sistema.
Apéndice H 767
Desarrollo de sistemas
• Metodología
• Planeación y control de proyectos
• Bases de datos
• Control de calidad
Sistemas de producción
• Análisis de producción
• Respaldos
• Seguridad en sistemas de producción
• Mantenimiento
Software de trabajo
• Adquisición
• Bitácora
• Instalación
• Aplicación
Control y seguridad