A continuacion veamos algunos cuestionarios que se pueden realizar para la Auditoria de Hardware.

Se muestran a manera de ejemplo, con algunas preguntas importantes para la realizacion de la Auditoria. Por ejemplo, este que se muestra a continuacion es sobre la seguridad del equipo de computo: Con estas preguntas sabremos si se estan aplicando medidas de seguridad o si existen en realidad.

Este otro, aunque parece que toca pregunta acerca de software, sigue siendo sobre el acceso a la informacion que soporta el hardware y que controles o medidas se estanusando:

Y si el acceso fisico a los equipos cuentan con algunas medidas de seguridad:

Tambien, mediante esta serie de preguntas, nos daremos cuenta si existen planes de contigencia y si se siguen en caso dado: Como podemos apreciar, no solamente es el inventario del equipo y sus componentes, o la utilizacion de algun software de automatizacion de inventario o de red, sino algunas c a r a c t e r i s t i c a s m a s d e l h a r d w a r e q u e s e u t i l i z a e n e l C e n t r o d e C o m p u t o . Y a u n q u e algunas medidas, preguntas, caracteristicas tocan la Auditoria de Seguridad (tanto para hardware como software y recursos extra) se complementan tambien dentro de estecapitulo.15

CUESTIONARIO PARA REALIZAR UNA AUDITORA INFORMTICA. Los principales objetivos que constituyen a la auditora Informtica son la correcta planeacin del rea de Sistemas, el control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos que comporta, la verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. A continuacin se muestra una recopilacin de algunos cuestionarios que pueden ser aplicados en la Auditora Informtica.

Cuestionario de Auditora correspondiente al rea de planificacin: Este cuestionario tiene como objetivo sondear la planeacin que se realizo para formar el rea de sistemas, siendo de vital importancia para el desempeo del rea, pues verifica si los objetivos y los alcances del rea corresponden a los desempeados. Teniendo las siguientes preguntas: 1. Sistemas de informacin. 1.1 La direccin general y ejecutiva ha considerado la importancia que tiene el estudio Del sistema de informacin? 1.2 Se establecen los requisitos de informacin a largo plazo? 1.3 Se ha realizado una planificacin estratgica del sistema de informacin para la Empresa? 1.4 Existe una metodologa para llevar a cabo tal planificacin? 1.5 Est definida la funcin del director del sistema de informacin?1.6 Existe un plan estratgico del departamento de sistema de informacin? 2. Recursos humanos 2.1 Se estudia la evolucin del mercado y la adaptacin del personal a esa evolucin? 2.2 Los informticos reciben noticias del momento tecnolgico por revistas, notas tcnicas, etc.? 2.3 Se recibe formacin y se planifica sta mediante asistencia a cursos, seminarios, etc.? 3. Otros aspectos 3.1 Los cambios en los sistemas informticos son consecuencia de la planificacin ms que de la presin por necesidades operativas? 3.2 Se solicitan demostraciones sobre los nuevos artculos a los proveedores?

3.3 Se ha realizado algn estudio de planificacin del posible efecto de las cargas normales de trabajo y los picos sobre los requerimientos tanto de equipos como de software? 3.4 La entidad dispone de un plan informtico? 3.5 Se estn siguiendo las directrices marcadas por el plan? 3.6 El plan recoge todos los diferentes aspectos relacionados con la funcin informtica? 3.7 Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios?

Desarrollo de Software. Este cuestionario tiene como objetivo evaluar la etapa de anlisis, diseo y desarrollo de aplicaciones informticas, sondeando a grandes rasgos estas etapas medulares. 2.1. Quines intervienen al disear un sistema? ( ) Usuario.( ) Analista.( ) Programadores.( ) Operadores.( ) Gerente de departamento.( ) Auditores internos.( ) Asesores. ( ) Otros.

( ) Otros.2.2. Los analistas son tambin programadores? S ( ) NO ( ) 2.3. Qu lenguaje o lenguajes conocen los analistas? 2.4. Cuntos analistas hay y qu experiencia tienen? 2.5. Qu lenguaje conocen los programadores? 2.6. Cmo se controla el trabajo de los analistas? 2.7. Cmo se controla el trabajo de los programadores? 2.8. Indique qu pasos siguen los programadores en el desarrollo de un programa: Estudio de la definicin ( ) Discusin con el analista ( ) Diagrama de bloques ( ) Tabla de decisiones ( )

Prueba de escritorio ( ) Codificacin ( ) Es enviado a captura o los programadores capturan? ( ) Quin los captura?______________________ Compilacin ( ) Elaborar datos de prueba ( ) Solicitar datos al analista ( ) Correr programas con datos ( ) Revisin de resultados ( ) Correccin del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa ( ) 2.9. Qu documentacin acompaa al programa cuando se entrega? Cuestionario de Auditora correspondiente a los dispositivos de almacenamiento: Este cuestionario tiene como objetivo evaluar la administracin, la aplicacin y el uso de dispositivos, hardware, de almacenamiento de informacin electrnico de la organizacin. 1.- Los locales asignados a los servidores de datos tienen:

Aire acondicionado ( ) Proteccin contra el fuego ( ) (Sealar que tipo de proteccin) ______________________ Cerradura especial ( ) Otra 2.- Tienen los servidores de datos proteccin automtica contra el fuego? SI ( ) NO ( ) (Sealar de que tipo)_______________________________________________

3. Que informacin mnima contiene el inventario de los servidores de datos? Nmero de serie o carrete ( ) Nmero o clave del usuario ( ) Nmero del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de expiracin del archivo ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( ) Otros ( ) 4. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? SI ( ) NO ( 5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) 6. Que tan frecuentes son estas discrepancias? ______________________________________________________________________ _ 7. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. Se tienen identificados los archivos con informacin confidencial y se cuenta conclaves de acceso? SI ( ) NO ( )Cmo?_______________________________________________________________ 9. Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( )Bveda (especifique)_______________________________________________________ ( )Otro

11. Este almacn est situado: En el mismo edificio del departamento ( ) En otro Cual?_________________________________________________________________ lugar ( )

12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( ) 13. Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( ) 14. Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15 Se tiene un responsable, por turno, de los servidores de datos? SI ( ) NO ( ) 16. Se realizan auditoras peridicas a los medios de almacenamiento? SI ( ) NO ( ) 17. Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento? 18. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( ) 19. Se tiene relacin del personal autorizado para firmar la salida dearchivosconfidenciales? SI ( ) NO ( ) 20. Existe un procedimiento para registrar los archivos que se prestan y lafecha en quese devolvern? SI ( ) NO ( ) 1. Se lleva control sobre los archivos prestados por la instalacin? SI ( ) NO ( ) 22. En caso de prstamo Conque informacin se documentan? Nombre de la institucin a quin se hace el prstamo. Fecha de recepcin ( )

Fecha en que se debe devolver ( ) Archivos que contiene ( ) Formatos ( ) Cifras de control ( ) Cdigo de grabacin ( ) Nombre del responsable que los presto ( ) Otros 23. Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. Se conserva la cinta maestra anterior hasta despus de la nueva cinta? SI ( ) NO ( ) 25. El operador controla la cinta maestra anterior previendo su uso incorrecto o su eliminacin prematura? SI ( ) NO ( ) 26. La operacin de reemplazo es controlada por el operador? SI ( ) NO ( ) 27. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI ( ) NO ( ) 28. En los procesos que manejan archivos en lnea, Existen procedimientospararecuperar los archivos? SI ( ) NO ( ) 29. Estos procedimientos los conocen los operadores? SI ( ) NO ( ) 30. Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( )SEMESTRAL ( ) OTRA ( ) 31. Existe un responsable en caso de falla? SI ( ) NO ( )

32. Explique qu polticas se siguen para la obtencin de archivos de respaldo? 33. Existe un procedimiento para el manejo de la informacin del cuarto fri? SI ( ) NO ( ) 34. Lo conoce y lo sigue el operador? SI ( ) NO ( ) 35. Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( )Con qu frecuencia? Cuestionario de Auditora correspondiente a la seguridad fsica. Este cuestionario verifica la seguridad fsica de las instalaciones que utiliza el rea de sistemas, ya que de esto depende la continuidad de los servicios que presta el rea a la organizacin, en cuanto a necesidades de informacin. Teniendo el siguiente cuestionario: Tomando en cuenta lo anterior se elaboro el siguiente cuestionario: 1.- Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? SI ( ) NO ( ) 2. Existen una persona responsable de la seguridad? SI ( ) NO ( )

3. Se ha dividido la responsabilidad para tener un mejor control de laseguridad? SI ( ) NO ( ) 4. Existe personal de vigilancia en la institucin? SI ( ) NO ( ) 5. La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO ( ) 7. Se investiga a los vigilantes cuando son contratados directamente?

SI ( ) NO ( ) 8. Se controla el trabajo fuera de horario? SI ( ) NO ( ) 9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas? SI ( ) NO ( ) 10. Existe vigilancia en el departamento de cmputo las 24 horas? SI ( ) NO ( ) 11. Existe vigilancia a la entrada del departamento de cmputo las 24horas? a) Vigilante? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso? ( )d) Nadie? ( ) 12. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores? SI ( ) NO ( ) 13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI ( ) NO ( ) 14. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundacin? ( )b) Terremoto? ( )c) Fuego? ( )d) Sabotaje? ( ) 15. El centro de cmputo tiene salida al exterior al exterior? SI ( ) NO ( ) 16. Describa brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.)dentro del centro. 17. Existe control en el acceso a este cuarto? a) Por identificacin personal? ( )b) Por tarjeta magntica? ( )c) por claves verbales? ( )d) Otras? ( ) 18. Son controladas las visitas y demostraciones en el centro de cmputo? SI ( ) NO ( ) 19. Se registra el acceso al departamento de cmputo de personas ajenas ala direccin de informtica? SI ( ) NO ( )

20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 21. Existe alarma para a) Detectar fuego (calor o humo) en forma automtica? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnticos? ( ) e) No existe ( ) 22. Estas alarmas estn a) En el departamento de cmputo? ( ) b) En el cuarto fri? ( ) 23. Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cmputo? ( ) b) En el cuarto fri? ( ) c) En otros lados ( ) 24. La alarma es perfectamente audible? SI ( ) NO ( ) 25.Esta alarma tambin est conectada a) Al puesto de guardias? ( ) b) A la estacin de Bomberos? ( ) c) A ningn otro lado? ( ) Otro_________________________________________ 26. Existen extintores de fuego a) Manuales? ( ) b) Automticos? ( )

c) No existen ( ) 27. Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 28. Los extintores, manuales o automticos a base de TIPO SI NO a) Agua, ( ) ( ) b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 30. Si es que existen extintores automticos son activador por detectores automticos de fuego? SI ( ) NO ( ) 31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el agua cause mas dao que el fuego? SI ( ) NO ( ) 32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el gas cause mas dao que el fuego? SI ( ) NO ( ) 33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos para que el personala) Corte la accin de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energa Elctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicacin SI ( ) NO ( ) d) Es inmediata su accin? SI ( ) NO ( ) 34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? SI ( ) NO ( )

35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 36. El personal ajeno a operacin sabe que hacer en el caso de unaemergencia(incendio)? SI ( ) NO ( ) 37. Existe salida de emergencia? SI ( ) NO ( ) 38. Esta puerta solo es posible abrirla: a) Desde el interior ? ( ) b) Desde el exterior ? ( ) c) Ambos Lados ( ) 39. Se revisa frecuentemente que no est abierta o descompuesta lacerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( ) 40. Se ha adiestrado a todo el personal en la forma en que se debendesalojar lasinstalaciones en caso de emergencia? SI ( ) NO ( ) 41. Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artculos inflamablesen el departamento de cmputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el sistema elctrico? ( ) d) No se ha previsto ( ) 42. Se ha prohibido a los operadores el consumo de alimentos y bebidas enel interiordel departamento de cmputo para evitar daos al equipo? SI ( ) NO ( ) 43. Se limpia con frecuencia el polvo acumulado debajo del piso falso siexiste? SI ( ) NO ( )

44. Se controla el acceso y prstamo en la a) Cuarto de Servidores? ( ) b) rea de Desarrollo de Aplicaciones? ( ) 45. Explique la forma como se ha clasificado la informacin vital, esencial, noesencialetc.46. Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 47. Explique la forma en que estn protegidas fsicamente estas copias(bveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc. 48. Se tienen establecidos procedimientos de actualizacin a estas copias? SI ( ) NO ( ) 49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique la informacin: 0123 50. Existe departamento de auditora interna en la institucin? SI ( ) NO ( ) 51. Este departamento de auditora interna conoce todos los aspectos delos sistemas? SI ( ) NO ( ) 52. Que tipos de controles ha propuesto? 53. Se cumplen? SI ( ) NO ( ) 54. Se auditan los sistemas en operacin? SI ( ) NO ( ) 55.Con que frecuencia? a) Cada seis meses ( ) b) Cada ao ( ) c) Otra (especifique) ( )

56.Cundo se efectan modificaciones a los programas, a iniciativa dequin es? a) Usuario ( ) b) Director de informtica ( ) c) Jefe de anlisis y programacin ( ) d) Programador ( ) e) Otras (especifique) ________________________________ 57.La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( ) b) Escrita? ( ) En caso de ser escrita solicite formatos, 58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI ( ) NO ( ) 59.Existe control estricto en las modificaciones? SI ( ) NO ( ) 60.Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO ( ) 61.Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? SI ( ) NO ( ) 62.Se verifica identificacin: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificacin ( ) 63.Se ha establecido que informacin puede ser acezada y por qupersona? SI ( ) NO ( )

64.Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( ) 65.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI ( ) NO ( ) 66.Existen controles y medidas de seguridad sobre las siguientes operaciones? Cuales son?( ) Recepcin de documentos_______________________ ( ) Informacin Confidencial_______________________ ( ) Captacin de documentos_______________________ ( ) Cmputo Electrnico___________________________ ( ) Programas____________________________________ ( ) Documentos de Salida__________________________ ( ) Archivos Magnticos___________________________ ( ) Operacin del equipo de computacin______________ ( ) En cuanto al acceso de personal___________________ ( ) Identificacin del personal_______________________ ( ) Polica_______________________________________ ( ) Seguros contra robo e incendio____________________ ( ) Cajas de seguridad_________________________________________________ ( ) Otras (especifique)_________________________________________________