Auditoria de Sistemas

Es la revisin independiente de alguna o algunas actividades, funciones especificas,

resultados u operaciones de una entidad administrativa, realizada por un profesional,
con el propsito de evaluar su correcta realizacin y con base en ese anlisis, poder
emitir una opinin autorizada sobre la razonabilidad de sus resultados y el cumplimiento
de sus operaciones.
Una auditoria de Sistemas es un evento enfocado a supervisar que una actividad,
procedimiento o indicacin se est llevando a cabo de acuerdo a como ha sido descrito
que se realizara.
!enemos que "uditor viene del latn uditor, el que oye del verbo audire #ir,
anteriormente oyente.
Una "uditoria se compone de dos partes estas son$
El Auditor.% Es una persona con conocimientos amplios sobre los diversos
procedimientos que auditar, para ello requiere de herramientas para desempe&ar su
funcin, a parte de una capacitacin y'o una certificacin emplear formatos, para
convertirlos en registros.
El Auditado.- Es la persona encargada de realizar el procedimiento descrito por las
actividades de auditoria, incluye tareas, procedimientos e incluso subordinados, equipos
y herramientas.
En la auditoria se har uso como ya se mencion, de formatos por parte del auditor y
entrega registros por le mismo, la diferencia entre un formato y un registro, es que el
registro es un formato que ya a sido llenado de informacin.
(ogo tipo membrete numerador
)ormato de
"uditor$ *rado acadmico ' nombre completo )irma$
+esponsable$ firma$
)echa$
,ontenido del formato
#bservaciones
-dentificadores revisin
El llevar una auditoria de sistemas requiere el desarrollo y la promulgacin de normas
generales para la auditoria de los sistemas
Una auditoria de sistemas de informacin se define como cualquier auditoria que abarca
la revisin y evaluacin de todos los aspectos de los sistemas automticos de
procesamiento de informacin.
.ara hacer una adecuada planeacin hay que seguir una serie de pasos previos que
permitan dimensionar el tama&o y caractersticas de un rea.
E/isten dos principales ob0etivos de una auditoria y estos son$
%Evaluacin de los sistemas y procedimientos
%Evaluacin de los equipos de cmputo
Objetivo de la Auditoria General
Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o a
instancias de particular.
+evisin a la economa de un rea, organismo o empresa.
Documentacin de los sistemas
Se trata de uno de los elementos vitales dentro del desarrollo de sistemas como es$
,omunicacin
+eferencia historia
,ontrol de calidad
Entrenamiento del personal
Eliminacin de dependencia
Riesgos y peligros en un ambiente computacional
(os riesgos en un ambiente computacional pueden e/istir tanto para el personal como
para el equipo.
En cuanto al personal
El no contar con la capacitacin adecuada puede ser motivo de alg1n peligro
irresponsable por parte de la empresa, ya que el personal que no toma cuidado de los
riesgos que e/isten al llevar a cabo el traba0o computacional puede acarrear innecesarios
comportamientos que a la larga puede ser causa de negligencia
El personal est e/puesto a los muchos casos que se pueden presentar derivado de un
desastre, ya sea natural, profesional o laboral.
En cuanto a un desastre natural podemos encontrar
-ncendios
Sismos
2errumbes
!ormentas elctricas
(luvias
,eguera a largo plazo
3irus, patologas etc.
!odos estos elementos es derivado de una mala planeacin al momento de traba0ar en un
rea de sistemas de cmputo.
En lo que pertenece al Profesional tenemos que la falta de capacitacin y falta de tica
son elementos que necesariamente son indispensables en ese medio, ya que la falta de
Educacin y compromiso lleva a una mala aplicacin del mane0o de cualquier sistema
de cmputo.
En cuanto a lo laboral, podemos mencionar que sucede desde la falta de presupuesto y
la poca importancia que en ocasiones se le da a lo Sistemas de computo, el cual es factor
importante, pero otro de los casos importantes es la planeacin, administracin y dise&o
y distribucin de los Sistemas de cmputo que orilla a que los puntos anteriores se
pasen desapercibidos.
En cuanto al equipo
Uno de los peligros de los sistemas de informticos es que estn e/puestos a +obos o
fraudes y que lleva irremediablemente a la perdida de la informacin.
2esde no hacer correctamente las actualizaciones correspondientes, y hasta no llevar a
cabo respaldos continuos, es y seguir siendo un punto de revisin que causar
problemas hasta a los auditores ms capacitados, todo esto porque el personal del rea
de sistemas no impulsa la correcta labor tica o profesional de hacer hincapi en estos
aspectos.
.odemos indicar que la confiabilidad, el compromiso y la discrecin son elementos
esenciales para un correcto mane0o de un sistema de cmputo.
Responsabilidad del administrador y el auditor sobre la seguridad
computacional
(a auditoria es una actividad muy especializada que puede ser e0ecutada slo por
quienes estn capacitados profesionalmente para ello. Sin embargo, es necesario que
estos cuenten con los conocimientos, e/periencia, actitudes y aptitudes necesarios para
realizar este tipo de traba0o a fin de cumplir tal y como lo demandan las empresas y la
sociedad.
Es requisito indispensable que el auditor cuente con el ttulo y la cedula profesional
vigentes y esta avalado por los colegios o asociaciones que respalden la calidad
profesional que demanda esta actividad.
(a principal ocupacin del auditor es evaluar las funciones, actividades, tareas y
procedimiento que se realizan en cualquier empresa o rea administrativa, con el fin de
comprobar si stas se cumplen de manera correcta. .ara evaluar el grado de
cumplimiento de dichas actividades, el auditor utiliza sus conocimientos, as como las
herramientas especializadas en las reas donde se aplica la auditoria.
Este debe informar sobre los resultados obtenidos durante su revisin, para ello emite
una opcin profesional e independiente que plasma en un documento formal, llamado
2ictamen, en ste se asientan todas las desviaciones y dems aspectos observados
durante su evaluacin.
Problemtica en la seguridad computacional
,om1nmente los sistemas computacionales enfrentan a los siguientes problemas de
seguridad$
1.- Perdida de informacin$ fallas elctricas, virus, borrados intencionales, ataques,
hac4ers.
2.- Factores por el usuario$ 5orrados intencionado, piratera falta de monitoreo.
.- Factores de !ard"are$ electrosttica, fallas elctricas, interferencias etc.
#ecesidad de auditar las autoridades de una unidad organi$acional
Una de las razones que se debe tomar en cuenta es que la informacin puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta, deriva de robos, fraudes o
sabota0es que provocan la destruccin total o parcial.
El no tenerla respaldada puede provocar retrasos sumamente costosos.
Se debe cuidar la piratera y que contengan programas antivirus o monitorear las redes
para no hacer traspasos de virus.
+azones de la e/istencia de la funcin de auditoria de sistemas
% (a informacin es un recurso clave para$
.lanear el futuro
,ontrolar el presente
Evaluar el pasado
% (a empresa depende cada vez ms de la sistematizacin
6ard7are
Soft7are
.ersonal
% (os riesgos tienden a aumentar debido a
.erdida de informacin
.erdida de activos
.erdida de servicios
El rol del auditor en la re%isin de las acti%idades del rea de sistemas
El rol es supervisar, verificar, analizar y reportar lo acontecido en el rea de sistemas, el
auditor apoya en herramientas como formatos, autorizaciones y cronogramas.
Se debe obtener informacin general sobre la organizacin y sobre la funcin de
informtica por lo que es preciso hacer una investigacin preliminar y entrevistas
previas el cual debe incluir tiempo, costo, personal y documentos au/iliares.
,onsta de$
1& E%aluar sistemas
. )lu0os de informacin, procedimientos, documentacin, organizacin de archivos,
estndares de programacin, controles, utilizacin de sistemas etc.
. Evaluacin del avance de sistemas de desarrollo y congruencia con el dise&o general.
. Evaluar prioridades y recursos.
. Seguridad, confidencialidad y respaldos.
2& E%aluacin de E'uipos
,apacidades
Utilizacin
8uevos proyectos
Seguridad fsica y lgica
Evaluacin fsica y lgica
.ara ello es necesario llevar determinados controles como es$
,ontroles de preinstalacin
,ontrol de organizacin y planificacin
,ontrol de sistemas en desarrollo y produccin
,ontrol de procesamiento
,ontrol de operacin
,ontrol de uso de microcomputadores
(a capacidad y el entrenamiento de los auditores
(a capacidad del auditor debe tener aspectos fundamentales que debe poseer a fin de
identificar y cumplir los requerimientos que marca la sociedad como es
(iderazgo
6onestidad
-ntegridad
,umplimiento
(ealtad
-mparcialidad
+espeto a los dems
,iudadano responsable
3er por los dems
51squeda de la e/celencia
+esponsabilidad
,onfiabilidad
3eracidad
El entrenamiento de un auditor consiste en cursos de capacitacin y certificacin,
El auditor debe estar capacitado utilizando herramientas las cuales se ubican en tres
grupos
Los instrumentos de recopilacin de datos aplicables
Entrevistas
,uestionarios
Encuestas
#bservacin
-nventarios
9uestreo
E/perimentacin
Tcnicas de evaluacin aplicables
E/amen
-nspeccin
,onfirmacin
,omparacin
+evisin documental
Tcnicas especiales
*uas de evaluacin
.onderacin
Simulacin
Evaluacin
2iagramas de sistemas
9atriz de evaluacin
.rogramas de verificacin
Seguimiento de programacin
Perfil del auditor de sistemas
+ealizar una revisin de las actividades, reas o funciones especiales de una institucin
a fin de emitir un dictamen profesional
6acer una revisin profesional y autnoma de los aspectos financieros del equipo de
cmputo.
Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que
regulan la actuacin de los empleados y funcionarios de una institucin.
(a auditoria debe ser realizada por personal que cuente con capacitacin tcnica
adecuada y competencia para e0ercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
2ebe ser diligente en la presentacin de los resultados de su auditoria
.ara que una auditoria sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe atender en estructura y contenido a fin de aplicarlo en la
planeacin y determinacin de la naturaleza, duracin, e/tensin y profundidad de la
realizacin de la auditoria
(a evidencia que soporta el informe del auditor debe ser suficientemente competente y
oportuna.
(a )tica profesional y moral del auditor
9ane0ar adecuadamente las relaciones personales, profesionales y laborales entre l y el
auditado
8o modificar, ocultar o destruir evidencias en la evaluacin
Ser discreto, confiable y profesional con la informacin y resultados de la evaluacin
"ctuar con equidad, imparcialidad, razonabilidad y profesionalismo
El auditor debe cumplir con los planes, programas, contratos y presupuestos acordados
"plicar los mtodos, tcnicas y procedimientos de evaluacin debidamente avalados
"catar las normas disciplinarias y de conducta
,apacitar y adiestrar al personal subalterno
*#+,A, ++
#-R.AS ,E /-#0R-( E# E( .AR/- ,E (A SE1*R+,A,
/-.P*0A/+-#A(
2.1. 0ipos ,e /ontroles En (a Seguridad /omputacional
(os principales controles para auditoria informtica son los siguientes$
,riptografa
)ire7alls
*ate7ays
Servidores pro/y
Uso y mane0o
2ecodificacin por cdigo gray
,ambio de datos por algebra lineal :matrices;
/ontroles programados
Son concebidos durante la etapa de anlisis y concentrados en los programas de
aplicacin correspondientes de la cantidad , claridad y etapa del procesamiento que
cubra. 2epende de la e/actitud y e integracin de la informacin.
/ontroles para %alidad la informacin de entrada
2etecta los errores contenidos por la informacin que se ingresa a un sistema. Se debe
hacer$
Verificacin de campos
+elacin entre dos o mas campos, rangos, limites cdigos.
Verificacin de caracteres: blancos numricos si!nos etc"
D#!itos de control
Verificacin de lotes
/ontroles sobre el procesamiento
Verificacin de entradas$ substraccin de campos
$alanceo de arc%ivos procesados parcialmente
&ontrol sobre el redondeo
2.2. /lasificacin de /ontroles en la Seguridad /omputacional
Se clasifican en dos estos son 6ard7are y Soft7are
6ard7are$ !iene que ver con la proteccin de la red, routers, memoria ram, no brea4
etc.
Entorno de 2ard"are
2etermina el performance del hard7are
Utilizacin
Estudio de adquisicin
+evisin de controles ambientales
,ontroles de acceso de seguridad fsica
+ealizar inventarios
3erificar procedimientos
+evisin de plan de contingencias
Soft7are$ protege la informacin como un antivirus, fire7alls, programas de
encriptacin.
Entorno de soft"are
+evisin de seguridad lgica de datos y programas
Seguridad lgica de libreras
E/aminar controles de datos
+evisin de procedimientos de entrada y salida
.rocedimientos bac4up
9antenimientos
Seguridad de bases de datos
Soft"are de Sistemas
Sistemas operativos
,ambios no autorizados
.rocedimientos bac4up
.aquetes soft7are
*estin de bases de datos
Soft"are de bases de datos
-ntegridad
Estndares de documentacin
"cciones
5ac4up
9todos de accesos
-ne/actitud de datos
"signacin de responsabilidad
"ctualizaciones
Sistemas de procesamiento distribuido y redes
"bastecimiento de informacin
.lanes de conversin
,ontroles de red
,ompatibilidad de datos
,ontroles de acceso
,ontroles de comunicacin
Sistemas en microcomputadoras
.olticas
2ocumentacin de programas
,reacin y mantenimiento de archivos
Seguridad fsica
,ompartir recursos
Sistemas -nline
,onsultas
3alidaciones
"ctualizacin de archivos
+emote <ob Entry
3erificar pass7ords
.erfiles de usuarios
!imes outs
(ogueo
Encriptacin de datos
2.. Proceso de la seguridad computacional
(as redes anchas pueden ser problemas
6ay que segmentar
.roteccin
,onfidencialidad e integridad
"seguramiento de las comunicaciones
"signacin de protocolos y directrices
*#+,A, +++
A*,+0-R+A ,E (A SE1*R+,A, F+S+/A 3 ,E( PERS-#A(
!iene que ver con salvaguardar los bienes tangibles de los sistemas computacionales,
hard7are, instalaciones elctricas y de comunicaciones de datos as como las
construcciones y mobiliario o el equipo de oficina.
.1 -b4eti%os y criterios de la auditoria en el rea f5sica y del personal
.lanes y polticas relativos a la seguridad
,osto beneficio de los controles
,omprobacin de polticas y planes de seguridad
2isponibilidad de equipo de computo y su seguridad
,ompromiso del rea de informtica, alta direccin
,ontar con elementos de emergencia hasta restaurado el servicio
/riterios
-nventarios
+esguardo
5itcoras de mantto.
9antto. a instalaciones
Seguros y fianzas para el personal, equipo etc
,ontroles de acceso del personal, credenciales, bitcoras, gafetes , revisin de
elementos etc.
.2 Se6ales de alerta en las a)reas f5sicas y del personal
+evisin de e/tintores, peso, capacidad adecuacin
2etectores de humo
,apacitar al personal
Ubicacin de Salidas de emergencia
2uctos de ventilacin limpios
)uentes ininterrumpibles
6oras de acceso al rea de cmputo
5itcoras de acceso
=>u hacer en caso de sismo?
=>u hacer en caso de -ncendio?
.. Programas de traba4o de auditoria relacionados con la seguridad
f5sica y del personal
2isposiciones legales, salud, riesgos profesionales en el centro de cmputo
2esperfectos a instalaciones, equipo y material
+educir costos ocasionados por riesgo de traba0o
,ontaminantes
.olticas
-dentificar riesgos ocurridos
.articipar en prevencin
Sistemas de seguridad y vigilancia
.7. 0)cnicas y 2erramientas de auditorias relacionadas con la
seguridad f5sica
.roteccin a los procedimientos e/ternos
"cceso restringido
3encimientos de plizas y seguros para renovacin
.erdida de soft7are
Estudios mdicos, psicolgicos etc.
8ormas de seguridad
,arteles de seguridad
Enterar al personal de medidas
.ara que haya fuego se requieren tres factores
,ombustible
"ire :o/igeno;
,alor
!ipos de fuego
,lase ".% combustible solido y arde en forma brasa
,lase 5.% liquido y gas a temperatura ambiente
,lase ,.% equipo o circuito elctrico que quemar componentes
,lase 2.% alg1n metal.
E/tintores
!ipo ".% madera, papel, telas de algodn etc.
!ipo 5.% gasolina, pinturas, solventes etc.
!ipo ,.% tipo elctrico conectado
!ipo 2.% metales, sodio, magnesio etc.
*#+,A, +8
A*,+0-R+A ,E (A SE1*R+,A, ,E (-S ,A0-S 3 E(
S-F09ARE ,E AP(+/A/+:#
7.1 -b4eti%os y criterios de la auditoria en las reas de datos y soft"are
de aplicaciones
Objetivo de la auditoria:
3erificar la presencia de procedimientos y controles para$
-nstalacin de soft7are
#peracin de seguridad del soft7are
"dmon. del soft7are
2etectar grados de confiabilidad, confianza y desempe&o
-nvestigar polticas del soft7are
3erificar ,ontroles de seguridad, Soft7are garantizado y actualizaciones del soft7are
de aplicacin
Criterios de la auditoria:
+esponsabilidades
,apacitacin
Supervisin
+egulacin
9ane0o de formatos
.rocedimientos diversos
7.2 se6ales de alerta en las reas de datos y soft"are de aplicacin
6ac4eo de sistema
-nfeccin de virus
.erdida de informacin
,analizacin deficiente
9al uso de soft7are
7. Programas de traba4o de auditoria relacionados con la seguridad
de datos y soft"are de aplicacin
!iene que ver con la supervisin de tareas de tratamiento de datos.
Seguimiento del resguardo de informacin
,apacitar sobre nuevas medidas de seguridad informtica
,umplimiento de obligaciones del usuario
7.7 0)cnicas y 2erramientas de auditoria relacionados con la seguridad
de datos y soft"are de aplicacin
,apacitar para la creacin de formatos
"plicacin de me0ora contin1a
9antenimiento de revisiones contiguas
,omo?$
-nstrumentos de evaluacin
.rogramas de traba0o
Elaborar formatos
*#+,A, 8
A*,+0-R+A ,E (A SE1*R+,A, E# (-S S+S0E.AS ,E
S-F09ARE
;.1 -b4eti%os y criterios de la auditoria en la seguridad en un sistema
de y soft"are
E/istencia de polticas y procedimientos de seguridad
2ichas polticas sean conocidas por los usuarios
2isponibilidad y continuidad de los equipos
Seguridad e integridad de la informacin
,ontratos de seguros para hard7are y soft7are
;.2 se6ales de alerta en el rea de sistema de soft"are
A nivel de Usuario :no le importa, no se da cuenta o es a propsito;
Programas maliciosos :instalado por el usuario por intencin o maldad;, permite la
apertura de puertas, puede ser troyanos, gusanos, bombas lgicas, spy7are etc.
Intrusos :crac4er, defacer, script 4iddie o script boy, viru/er etc;
Siniestro :robo, desastres naturales, etc;
Para combatir es necesario documentar acerca de:
niveles de acceso de$
captura
actualizacin
consultas
reportes
respaldos
procedimientos de encendido de equipo
inicializacin de red
mane0o de bitcoras
monitoreo
;. Programas de traba4o de auditoria relacionados con los sistemas de
soft"are
Administracin de software
-nformacin del soft7are
,uantificacin del soft7are
2escripcin
2istribucin
+egistros de ba0a, instalacin, adquisicin etc
Uso
Polticas para verificar que el software adquirido contenga
9dulos de seguridad de acceso y uso
5itcoras
!espaldos
2ocumentacin
.rogramas fuente
-nformacin mane0ada
Procedimientos " controles de evaluacin
Polticas de ingreso " salida de software
+evisado
<ustificado
"probado por el responsable
+egistrado
2evuelto en mismas condiciones
8o hacer mal uso
Asegurar la integridad de la informacin
,ontrol de disquetes, cintas, papelera etc
,ontrol de movimientos
Uso de bitcoras
;.7. 0)cnicas y 2erramientas de auditoria relacionados con los sistemas
de soft"are
#l auditor debe verificar sobre datos precisos de:
Usuarios
+egistros y niveles de acceso
Equipo donde se ha instalado cada tipo de soft7are
.erifricos conectados a los equipos
Soft7are original y pirata
Seguridad de equipos
9todos de control de acceso
Uso de bitcoras
(istado de personal con tiempos de acceso
Controles de acceso a personas no autori$adas
.roteccin de archivos
.roteccin de programas fuente
.roteccin de soft7are
9onitoreo constante
Uso de contrase&as
"ccesos no autorizados
*#+,A, 8+
A*,+0-R+A ,E (A SE1*R+,A, E# (AS
0E(E/-.*#+/A/+-#ES
<.1 -b4eti%os y /riterios de Seguridad en la Auditoria de
0elecomunicaciones
Objetivos a tomar en cuenta
3erificar e/istencia de controles de hard7are y soft7are
,ontroles y procedimientos que orienten a la satisfaccin de la administracin
"dministracin de la red
-nstalacin de la red
#peracin y seguridad
9antenimiento de la red
Comprobar que la distribucin de las bases de datos sea segura
%erificar que las medidas de respaldo sean adecuadas
%erificar que e&ista software de monitoreo
%erificar Software autori$ado en la red
'odo lo anterior que sea efectivo " controlado
!evisar par(metros de medicin como bit(coras) gr(ficas " estadsticas
&riterios de se!uridad
!odo centro terminal dependiente de un centro de computo debe registrar un
responsable de la comunicacin entre ambas unidades admvas.
El centro de computo debe desarrollar controles y medidas de seguridad
Es responsabilidad del centro de terminales registrar al personal que har uso en
terminales.
El centro de cmputo debe hacer auditorias peridicas
Elaborar registros por escrito de recursos materiales y tecnolgicos
Supervisar el estado financiero, elctrico y electrnico de mdems, medios de
comunicacin y enlaces de usuarios.
8otificar de anomalas o fallas que se detecten en el equipo
<.2 Se6ales de alerta en el rea de las telecomunicaciones
Inexistencia de registros para la admon. Como:
o Usuarios que accesaron a la red
o Operaciones realizadas en la red (envo/recepcin)
o Tiempo de conexin
o Interrupciones
o Terminales y equipos conectados
o Accesos invlidos
Personal no capacitado para admon. de la red
Falta de capacitacin
Que no cuente con:
o roteccin de datos
o roteccin de componentes
o !"todos para prevenir el monitoreo no autorizado
o #ontrase$as que autoricen el acceso a red
Que no cuente con plizas de seguros
Que no existan polticas de vacaciones y reemplazos
o %olicitud por escrito a capacitacin
El centro de cmputo debe mantener los orarios de utilizacin de
terminales
Control de la utilizacin del e!uipo con el !ue cuenta un centro
terminal
<. Programas de traba4os de auditoria relacionados con las
telecomunicaciones
+nstalacin
Que existan procedimientos !ue aseguren la oportuna y adecuada
instalacin de la red
Que exista un registro de las actividades !ue se realizan durante el
proceso de instalacin
"egistro de planeacin y evaluacin #ormal de las compras de los
elementos de la red
$eguro de compras
El %rea admva. debe dar de alta a todo personal responsable !ue
usar% las terminales
El %rea debe tener control de registros
El personal debe tener capacitacin para mantener el e!uipo
actualizado
<.7 0)cnicas y 2erramientas de auditoria relacionadas con las
telecomunicaciones
&o debe permitirse la entrada a personal no autorizado
$o#t'are controlado y e#ectivo
Contar con sistemas de codi(cacin para in#ormacin con(dencial
)eri(cacin de uso de terminales y reportes obtenidos
*os datos recolectados deben ser procesados correctamente
"evisiones regulares de seguridad a los usuarios
Capacitacin del personal de la red
+ecanismos de control del #uncionamiento de la red
"espaldos y contingencias de red
*#+,A, 8++
A*,+0-R+A ,E (A SE1*R+,A, E# E( =REA ,E
-PERA/+-#ES
>.1 -b4eti%os y criterios de la auditoria relacionados con la seguridad
en el rea de operaciones
Se debe asignar responsabilidades para el control de acceso y seguridad en el rea de
operaciones$
&om'rar un (erente de se(uridad
)xaminarse la responsa'ilidad para el control de acceso y la
se(uridad computacional
*estrin(ir accesos no autorizados
+e,nir otras restricciones
rocedimientos de'en ser vi(entes
Acompa$ar a cualquier persona que entre al rea de cmputo
*evisar procedimientos de accesos por medio de pass-ord. tanto a la
in/ormacin. redes y/o equipos0
#ontrol de acceso al rea donde se u'ica el so/t-are
ro'ar los planes de se(uridad. evaluando la e/ectividad y calidad de
estas prue'as
>.2 Se6ales de alerta en el rea de operaciones
.roteger la informacin y medios de transmisin
#ondicin de arc1ivos por mal uso o si 1an sido maltratados
*estrin(ir el acceso a 'i'liotecas y veri,cacin del mismo
*espaldos con proteccin privada. con,dencial y vi(entes
#apacitar al personal so're la aplicacin de controles y
procedimientos
o 2eri,cacin de controles am'ientales
3ue el personal est" capacitado para el uso de controles am'ientales
>. Programas de traba4o de auditoria relacionados con el rea de
operaciones
!antenimiento de entradas y salidas de arc1ivos de datos en
almacenamiento
2eri,car los pro(ramas de tareas
#alendarizar utilizacin de datos realizado con ayuda de 'itcora
especi,cando 1ora y /ec1a de entrada y salida de consultas
2eri,car la disponi'ilidad de los equipos
)valuar y reportar servicios o actividades que se 1an realizado y si
/ueron resueltos de /orma optima
Programa de distribucin de personal
Se refiere a la programacin de recursos humanos y las actividades que realizan, es
revisar el organigrama del centro de cmputo y revisar el delegado de
responsabilidades.
Se debe realizar reportes semanales o mensuales de las actividades realizadas en una
rea especfica.
.ermite verificar su se cumple con las obligaciones de cada persona en el rea de centro
de cmputo.
/alendario de .antenimiento
,uando se hace a los equipos por el personal responsable o empresas especializadas.
2eben realizarse en tiempo considerable @ meses o anual.
+evisar contratos de renta o compra de equipo para verificar vencimiento de garantas
+ealizar lista de actividades o cargas de traba0o para no interrumpir el manto.
Fases de la auditoria de seguridad
#b0etivos y alcances de la auditoria, tiempos que cubre la auditoria
"nlisis de recoleccin de informacin
.lanes de traba0os y recursos necesarios
"decuar cuestionarios
+ealizar entrevistas y pruebas
-nformes definitivos y respectivas recomendaciones
>.7 0)cnicas y 2erramientas de auditoria relacionadas con el rea de
operaciones
.roteccin de todos los elementos del centro de cmputo
-mplementar y revisar planes derivados de los riesgos continuos de alg1n cambio