Auditoria De Seguridad

"Año de la Conmemoración de los 450 Años de Creación de la Universidad Nacional Mayor de San Marcos"

Universidad Nacional

Federico Villarreal

ESCUELA UNIVERSITARIA DE POST GRADO

MAESTRIA EN INGENIERIA DE SISTEMAS

ASIGNATURA : AUDITORIA DE SISTEMAS

TEMA : CUESTIONARIOS PROPUESTOS EN AUDITORIA AL AREA DE INFORMATICA (TALLER Nro. 2)

GRUPO Nº 03 : DELFO BANCHERO

LUIS TORRES

GREGORIO SOTELO

JAVIER LUNA

HUGO MELGAR

JULIO BUENO

JORGE FLORES

LIMA - PERU

2001

AUDITORIA DE SEGURIDAD

1.- HARDWARE

1) Verificar si hay políticas y procedimientos sobre el uso y protección del hardware de la organización.

2) Indicar si están formalmente identificados los siguientes aspectos de seguridad:

 Administración del Hardware

 Cuantificación del Hardware

 Descripción del Hardware

 Distribución del hardware

 Uso del hardware : desarrollo, mantenimiento, toma de decisiones.

 Funciones de los responsables del control del hardware.

 Actualización del Hardware

 Reemplazo del Hardware y los políticos para verificar el hardware reemplazado este justificado.

3) La ubicación física del equipo de computo en las instalaciones es lo mas adecuado, pensando en las contingencias que pudieran presentarse.

4) Hay procedimientos que garantizan la continuidad y disponibilidad de equipos de computo en caso de desastre o contingencias.

5) Indicar si existen controles y procedimientos para:

 Clasificar y justificar a personas con acceso a los centros de computo.

 Restringir el acceso a los centros de computo solo al personal autorizado.

 Difusión de las horas de acceso a centros de computo.

 Definición de la aceptación de la entrada de visitantes.

2.- APLICACIONES DEL SOFTWARE

1) Indicar si los siguientes aspectos de seguridad están formalmente indicados:

 Administración de Software.

 Cuantificación del software (Original y Copias)

 Descripción

 Distribución en equipos o dispositivos y áreas del negocio.

 Uso del Software y los responsables del uso.

 Procedimiento y controlas de seguridad para evaluación selección y adquisición del software.

 Actualización del Software

 políticas para asegurar la justificación del reemplazo de software.

2) Indicar si se tiene políticas relacionados con el ingreso y salida de software.

 Para el software que solo sale o ingresa:

o Revisión, contenido, cantidad y destino.

o Justificado.

o Aprobado por el responsable de informática.

o Devuelto y en que condiciones.

o Compromiso del personal o no hacer mal uso del mismo.

3) Existen procedimientos para comprobar que los totales de los reportes de validación del usuario conceden con totales de validación del sistema computarizado.

4) Hay control de disquetes, cintas, papelería.

5) Hay control de todos los movimientos rechazados por el sistema, para corregirlos y actualizados.

6) Existen procedimientos que permitan identificar con claridad las responsabilidades en cuanto al uso del sistema y equipo donde será implantados y operado.

7) Los responsables de modificar los programas fuente del sistema de operación están bien definidos.

3.- PLAN DE CONTINGENCIA Y OPERACION

1) Considera que tanto la alta dirección, usuarios, como el personal de informática están concientes que todos los recursos relacionados con la informática con activos del negocio y deben protegerse de una manera formal y permanente.

2) Cuales de los siguientes recursos son mas importantes para la organización y cuales tienen mas y mejores métodos de protección para seguir operando:

o Humanos

o Materiales,

o Financieros,

o Tecnología de Información.

3) Señale si poseen una función responsable de seguridad que verifique y de seguimiento a los siguientes puntos:

o Actualización formal de los planes.

o Capacitación a los usuarios y personal de informática en cuanto a la capacitación de los procedimientos contemplados en los planes.

4) Las funciones involucradas en dichos planes los ha probado

5) Existe algún procedimiento formal para efectuar todo el proceso de evaluación, selección y contratación de los seguros. Cuales son esos procedimientos.

6) Quienes llevaron o están llevando a cabo la negociación de los seguros.

7) Que plazos de cobertura marcan estos seguros.

MANTENIEMIENTO

1.- HARDWARE

1) ¿Existe un inventario del hardware existente en la empresa?

2) ¿De que manera se efectuó el inventario? (métodos físicos, software o listado de compras.)

3) ¿Esta identificado la ubicación de los equipos de Hardware?

4) ¿Existen manuales o procedimientos para la correcta operación del hardware?

5) ¿Existen procedimientos formales para dar mantenimiento al Hardware?

6) ¿Para que tipo de hardware es aplicable los procedimientos existentes?

7) ¿Se actualiza la información de los manuales de alguno de los elementos del hardware cuando aparece una nueva versión o modelo mas sofisticado?

8) ¿Existen procedimientos de seguridad a egreso e ingreso del Hardware durante el mantenimiento?

9) ¿Existen centrales para que únicamente el personal autorizado de mantenimiento tenga acceso a ciertos trabajos?

10) ¿Existe algún sistema computarizado que apoye la administración del mantenimiento?

2.- SOFTWARE

1) ¿Hay una lista de software existente en la organización?

2) ¿Como se hizo el inventario del software?(Inventario de los diferentes equipos por medio de algún software, con base de compras, etc.)

3) ¿Esta identificado el equipo donde se encuentra el software y los responsables de su uso y custodia?

4) ¿Existe un procedimiento formal para dar mantenimiento (actualización) al software?¿Que aspectos contempla?

5) ¿El procedimiento de actualización es el mismo para servidores, estaciones de trabajo (desktops) y portátiles.

6) ¿Existen controles para que únicamente

...