Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI NO N/A
OBSERVACIONES
SI NO N/A
OBSERVACIONES
SI NO N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
30/Sep/2004 Pg. 8 de 18
30/Sep/2004 Pg. 9 de 18
30/Sep/2004 Pg. 10 de 18
30/Sep/2004 Pg. 11 de 18
30/Sep/2004 Pg. 12 de 18
30/Sep/2004 Pg. 13 de 18
G09-02
Se tienen definidos perfiles de acceso para los funcionarios en la base de datos aparte de los del sistema?
G09-03
G09-04
G09-05
Se tiene un procedimiento formal el cual se debe aplicar en el caso de que se deba realizar alguna modificacin a los datos de una base de datos en produccin?
G09-06
Se utilizan las fortalezas de validacin de informacin que ofrece la base de datos ( Trigers, integridad referencial y validaciones personalizadas por el programador?
30/Sep/2004 Pg. 14 de 18
30/Sep/2004 Pg. 15 de 18
30/Sep/2004 Pg. 16 de 18
30/Sep/2004 Pg. 17 de 18
30/Sep/2004 Pg. 18 de 18
30/Sep/2004 Pg. 19 de 18
G16.- MANEJO DE INTERNET G16-01 G16-02 G16-03 G16-04 G16-05 G16-06 G16-07 G16-08 G16-09 G16-10 G16-11 G16-13 G16-14 G16-15 Se cuenta con un servidor de Internet para la entidad Se tiene en funcionamiento un proxy que controle el acceso a las diferentes pginas de Internet Se tiene definida una pgina de Internet propia de la entidad En esta pgina se puede consultar informacin relacionado con los afiliados Por medio de la pgina de Internet de la entidad se permite realizar transacciones a los afiliados Se le tiene definida una constrasea y usuario a los afiliados que desean realizar transacciones en la red Se tiene un procedimiento formal para la solicitud de esta contrasea y usuario a los afiliados El afiliado puede hacer cambio de esta contrasea El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso Se tiene algn procedimiento de verificacin adicional sobre los trmites que solicita el afiliado por internet para determinar Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la pgina WEB de la empresa Se tiene polticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad Se tiene polticas definidas para determinar qu persnas pueden bajar aplicaciones de Internet Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
SI
NO
N/A
OBSERVACIONES
NO N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
MANEJO DE INTERNET
1.- Se cuenta con un servidor de Internet para la entidad 2.- Se tiene en funcionamiento un proxy que controle el acceso a las diferentes pginas de Internet 3.- Se tiene definida una pgina de Internet propia de la entidad 4.- En esta pgina se puede consultar informacin relacionado con los afiliados 5.- Por medio de la pgina de Internet de la entidad se permite realizar transacciones a los afiliados 6.- Se le tiene definida una constrasea y usuario a los afiliados que desean realizar transacciones en la red 7.- Se tiene un procedimiento formal para la solicitud de esta contrasea y usuario a los afiliados 8.- El afiliado puede hacer cambio de esta contrasea 9.- El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso 10.- Se tiene algn procedimiento de verificacin adicional sobre los trmites que solicita el afiliado por internet para determinar que realmente fueron solicitados por esta persona 11.- Se tiene definido un funiconario o grupo de funcionarios para que le den mantenimiento a la pgina WEB de la empresa 12.- La pgina WEB de la empresa corre en la DMZ 13.- Se tiene polticas establecidas para determinar que personas pueden tener acceso a los servicios de Internet en la entidad 14.- Se tiene polticas definidas para determinar qu persnas pueden bajar aplicaciones de Internet 15.- Se permite a los funcionarios de la entidad acceder los servidor de Internet de la empresa en forma remota
SI
NO
N/A
OBSERVACIONES
EVALUACIN DEL ALCANCE DE LOS PRINCIPALES APLICATIVOS DE LA EMPRESA AREA COMERCIAL - ATENCION AL CLIENTE
1.- Novedades al abonado, Altas/bajas y cambios 2.- Estados de Cuenta. 3.- Solicitud de Servicios 4.- Emisin de Contratos. 5.- Seguimiento a los requisitos y situacin del cliente 6.- Interfaces con el resto de sistemas. 7.- Tiene control de ubicacin : Ejemplo (Geocdigo)
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
SI
NO N/A
OBSERVACIONES
SI
NO
N/A
OBSERVACIONES
G01-01
G01-02
G01-03
G01-04
Se cuenta con representa cin de la Presidenci a en el Comit Informtic o? Se tiene definido formalmen te el Plan estratgico informtico para la Institucin ? El Plan Estrtegic o informtico se evala con regularida d para determinar si este se apega a los objetivos de la entidad, su misin y visin?
G01-05
G01-06
G01-07
Se tiene definido un Plan Anual Operativo para el rea de sistemas de informaci n? Se hace una revisin peridica del cumplimie nto del Plan Anual Operativo y se emiten resultados formales? Se selecciona , motiva y capacita adecuada y contnuam ente al personal de CPD ?
G01-08
G01-09
G01-10
G01-11
G01-12
Se tiene definido un plan de capacitaci n tecnolgic o formal para los diferentes grupos de usuarios de la entidad? Se define peridicam ente un plan de inversin para el CPD? Se tienen definidos procedimie ntos formales de operacin para CPD? Se cuenta con un organigra ma formalmen te definido para el Area de CPD?
G01-13
G01-14
Se tiene un manual de puestos y funciones formalmen te definido para el rea CPD? Se tiene definida una metodolog a de desarrollo de sistemas formal? Esta metodolog a de desarrollo es de uso obligatorio ? Se cuenta con contratos de mantenimi ento de equipos ? Se cuenta con un seguro contra robo, hurto o daos para el equipo de cmputo?
G01-15
G01-16
G01-17
G01-18
G01-19
Se tiene una politica que obligue a separar los ambientes de desarrollo y produccin de sistemas en la organizaci n? Se tiene un procedimie nto formal que indique a los funcionario s de mantenimi ento y desarrollo de sistemas qu se debe hacer para poner en produccin una modificaci n a los sistemas?
G01-20
G01-21
Se tienen definidos politicas y procedimie ntos formales para la revisin de la calidad de los productos entregado s por CPD? Se cuenta con un oficial o encargado de la Seguridad Electrnic a a nivel institucion al ? Est el personal de operacin del computad or adecuada mente formado en tcnicas de determina cin de problemas y averas?
G01-22
G01-23
G01-24
Est informado el personal de seguridad sobre medidas y cuidados especfico s relativos a la seguridad del departame nto de CPD ? Existen polticas de vacaiones obligatoria s para el personal de CPD? Tiene Auditora un alcance sin restriccion es para investigar cualquier aspecto referente al CPD?
G01-25
G01-26
SI
NO
N/A
OBSERVACIONES
G02-01
Cuenta el sistema con un regulador de voltaje? Si la respuesta a la pregunta anterior es s, est funcionan do adecuada mente? Cuenta el sistema con una fuente de poder capaz de dar energa al computad or cuando se suprime la corriente elctrica?
G02-02
G02-03
G02-04
Si la respuesta a la pregunta anterior es s, Est funcionan do adecuada mente?, indique en observacio nes cuantos minutos de energa le da al computad or.
La instalacin elctrica del CPD, tiene conexin a tierra? Existe en el centro de cmputo extintor de incendio?
G02-05
G02-06
G02-07
Si la respuesta a la pregunta anterior es s, Est dentro del perodo de carga y con la presin adecuada ? Cuenta el sistema con un equipo de aire acondicion ado adecuado ? Se mide con frecuencia la temperatur a y la humedad? Las instalacion es de CPD se encuentra n en un lugar funcional?
G02-08
G02-09
G02-10
G02-11
Las lneas elctricas de CPD son independie ntes del resto de la instalacin elctrica? Tienen proteccin para sobre cargas? Existe un sistema adecuado de deteccin de incendios? Existen reglas y letreros que indiquen: "Prohibici n de fumar", " Prohibici n de ingreso a personal no autorizado "
G02-12
G02-13
G02-14
G02-15
Est restringido el acceso al CPD? Tiene el departame nto de CPD alguna puerta de escape y sta puede ser utilizada como entrada? Existe algn plan de seguridad de emergenci a escrito y aprobado? Existen plizas de seguros contratada s y stas qu tipo de riesgo cubren?
G02-16
G02-17
G02-18
G02-19
G02-20
Existe algn manual o reglament o que trate acerca de la seguridad fsica del CPD? Existe alguna librera con llave para guardar los manuales y document os de los programas y aplicacion es?
G02-21
G02-22
Copia de estos manuales se entregan para que sean guardados en otro lugar fuera de la empresa, en caso de algn siniestro? En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentra n custodiada s?
G02-23
G02-24
Existe algn tipo de control de acceso al Dpto. de CPD. Si existe alguno descrbalo brevement e en observacio nes? Se tiene algn control de entrada/sa lida del personal No Autorizado ? Se cuenta con alguna rea definida de Cintoteca o Discoteca ? Esta rea es de acceso restringido ?
G02-25
G02-26
G02-27
G02-28
Se tiene un procedimie nto para el control de Entrada/S alida de informaci n de esta rea?
G03-01
G03.SEGURID ADES LGICAS Y ACCESO A LOS DATOS Se cuenta con servidores de archivos separados ? Se cuenta con un servidor de aplicacion es separado? Se cuenta con un servidor o rea para desarrollo separada ?
SI
NO
N/A
OBSERVACIONES
G03-02
G03-03
G03-04
Se cuenta con un servidor o rea para produccin separada ? Se cuenta con un servidor de base de datos ? Se cuenta con un servidor PROXY ? Se cuenta con un servidor de acceso remoto RAS ? Se cuenta habilitada la posibilidad de rellamado para las conexione s RAS ? El acceso por medio de RAS solicita password para autenticar la conexin ?
G03-05
G03-06
G03-07
G03-08
G03-09
G03-10
G03-11
El password del RAS tiene vencimient o peridico ? El password del RAS puede ser cambiado por los usuarios dueos de la cuenta ? Se tiene politicas definidas para determinar los funcionario s que son candidatos a tener acceso por medio RAS ? Se cuenta con polticas y directrices para evitar la propagaci n de virus en la Red?
G03-12
G03-13
G03-14
G03-15
G03-16
Se cuenta con un motor de software antivirus que est corriendo en los servidores ? Se cuenta con un antivirus que est corriendo en los clientes ? Se cuenta con polticas definidas para la actualizaci n peridica del software de antivirus tanto en el cliente como en los servidores ?
G03-17
Se cuenta con procedimie ntos formales que indiquen a los funcionario s de soporte cules son las acciones a seguir cuando se detecta un virus en las estaciones de trabajo o en los servidores ?
G04.CONTRO LES DE ACCESO A LOS SISTEMA S El sistema cuenta con un mecanism o de control de acceso ?
SI
NO
N/A
OBSERVACIONES
G04-01
G04-02
El mecanism o de control de acceso se basa en la poltica de autentifica cin por password ? La palabra de paso tiene un periodo de vencimient o establecid o? La palabra de paso tiene una longitud mnima para ser ingresada o definida ?
G04-03
G04-04
G04-05
Al definir un usuario en el sistema por primera ves se le asigna una palabra de paso que debe modificar cuando este ingresada por primera vez a la aplicacin ? Los usuarios pueden cambiar su palabra del paso personalm ente una vez que se da su vencimient o?
G04-06
G04-07
La estructura de la palabra de paso es tal que requiere de una combinaci n de caracteres que no lo permite ingresar palabras de fcil deduccin ? La palabra de paso se almacena en forma encriptada ?
G04-08
G04-09
El mecanism o de control de acceso se basa en la politica de identificaci n por medio del usuario ?
G04-10
Se tiene un procedimie nto formal para la solicitud de ingreso, bloqueo o eliminaci n de un usuario al sistema ? Los usuarios definidos en el Sistema estn asociados a un solo funcionario ?
G04-11
G04-12
El sistema no permite que con un mismo usuario se ingrese simultnea mente a la aplicacin desde dos estaciones diferentes ?
G04-13
Si una sesin en el sistema se queda abierta por un periodo determina do de tiempo sin actividad, la aplicacin se bloquea para que el sistema no sea utilizado ?
G04-14
El usuario de ingreso al sistema se bloquea despus de un nmero determina do de intentos fallidos de ingreso ?
G04-15
Cuando un usuario se encuentra fuera de la entidad por vacacione s, incapacida d o permiso en Usuario es desactivad o para que no se pueda ingresar por el tiempo que este est fuera de la Institucin ?
G04-16
El sistema presenta en pantalla el usuario que realiz el ltimo acceso desde la estacin del cliente ?
G04-17
Se cuenta con bitcoras que almacenen informaci n relativa a la actividad de ingreso al Sistema ? En la bitcora de control de acceso por lo menos se lamacena la siguiente informaci n: usuario y hora de ingreso, usuario y hora de salida, procesos utilizados por el usuario, transaccio nes de actualizaci n en la BD, intentos fallidos de
G04-18
G04-19
Se hacen revisiones pedridica s de la bitcoras de acceso al Sistema ? En caso de detectar desciacion es en el sistema por medio de la revisin de las bitcoras se cuenta con un procedimie nto formal que determine las acciones a tomar en estos casos? El sistema cuenta con la facilidad de definir perfiles de acceso ?
G04-20
G04-21
G04-22
Los perfiles de acceso definidos en el Sistema identifican en forma independie nte las tareas y procesos a los que tienen acceso los usuarios de acuerdo con sus funciones y responsabi lidades ?
Se tiene un procedimie nto formal que permita solicitar la modificaci n, inclusin, desactivac in de perfiles en el Sistema ?
G04-23
G04-24
El rea o persona encargada de la administra cin de los perfiles del Sistema es un funcionario que no pertenece a CPD ? Cuando un usuario tiene asignado un perfil determina do y se ingresa al sistema en la aplicacin se muestra solo las opciones a las que tiene acceso el funcionario con ese perfil ?
G04-25
G04-26
Se tiene definidos perfiles generales por grupos de usuarios o personas de acuerdo con sus funciones y responsabi lidades ?
G05-01
G05.CONTRO LES DE ENTRADA DE DATOS Se tienen formulario s preimpres os para la captura de la informaci n que ingresa al sistema ? El formulario cuenta con copias ?
SI
NO
N/A
OBSERVACIONES
G05-02
G05-03
Las copias en el formulario identifican clarament e las reas a las que se le debe entregar ? Los formulario s son prenumera dos ? El formulario preimpres o tiene el mismo orden de captura que el de ingreso de la informaci n en el Sistema, esta coincide con la forma del diseo de la pantalla ?
G05-04
G05-05
G05-06
En las pantallas de captura de datos se tienen definidos campos como obligatorio s para ser digitados ? Se tiene control de tipos sobre los campos que se capturan ? Se permite ingresar transaccio nes con el mismo nmero de indentifica cin o clave primaria del document o?
G05-07
G05-08
G05-09
Se tienen establecid os controles que permitan restringir rangos de accin de algn valor que se deba ingresar en el sistema ? Se controla el orden cronolgic o de ingreso de transaccio nes en el sistema, de tal forma que no permita realizar operacion es en forma extempor nea o de perodos anteriores ?
G05-10
G06.CONTRO LES DEL PROCESA MIENTO DE LOS DATOS El sistema deja rastro en la transacci n de los usuarios que se vieron involucrad os en su procesami ento (creador, autorizado r o aprobador ? El sistema lleva un consecutiv o propio de las diferentes transaccio nes que permite realizar la aplicacin ?
SI
NO
N/A
OBSERVACIONES
G06-01
G06-02
G06-03
El sistema cuenta con herramient as de auditora que permitan dar seguimient o a una transacci n a lo largo de su procesami ento ?
G06-04
El sistema cuenta con un flujo de trabajo interno que permita asegurar que la transacci n sigue el cilo normal de procesami ento y que ste no se pueda alterar ?
G07.CONTRO LES DE LAS SALIDAS DE DATOS Los reportes impresos que emite el Sistema se clasifican de acuerdo a su confidenci alidad ? Si tiene restringido el acceso a los reportes y consultas del sistema de acuerdo con las funciones y responsabi lidades de los usuarios ?
SI
NO
N/A
OBSERVACIONES
G07-01
G07-02
G07-03
Si el sistema emite archivos electrnico s como salida se graban en un rea con acceso restringido ? Loa archivos electrnico s emitidos por el Sistema cuentan con un porcedimie nto formal para su distribuci n ? Se tiene un responsabl e definido para la distribuci n de los archivos electrnico s?
G07-04
G07-05
G07-06
Los reportes cuentan con nombre del reporte, fecha de emisin, usuario que lo emiti, programa que los elabor y vigencia consignad a en ellos cada vez que son impresos ? Si tiene alguna disposici n establecid a en trminos de manipulaci n, archivado o destrucci n de los reportes obsoletos que emite el sistema ?
G07-07
G08.CONTRO LES A LOS RESPALD OS Se tiene definido un procedimie nto formal para el respaldo de la aplicacin (fuentes y ejecutable s) ? Se tiene definido un procedimie nto formal para el respaldo de la base de datos del Sistema ? El procedimie nto de respaldo est automatiza do ? El respaldo se realiza peridicam ente ?
SI
NO
N/A
OBSERVACIONES
G08-01
G08-02
G08-03
G08-04
G08-05
Se realizan varias copias del respaldo de datos y de la aplicacin ? Se tienen almacenad as copias del respaldo de datos y de la aplicacin en lugares geogrfico s diferentes ?
G08-06
G08-07
G08-08
Dentro de la organizaci n el respaldo se almacena en lugar especialm ente diseado para ello ? La forma de organizaci n de la ejecucin del respaldo permite a la organizaci n asegurars e de que en caso de una contingenc ia la prdida de informaci n sea mnima ?
G08-09
G08-10
G08-11
Se tiene definido un procedimie nto de recuperaci n de informaci n parcial o total ante una contingenc ia ? Se realizan pruebas peridicas de recuperaci n para determinar que los respaldos estan funcionan do adecuada mente ?
G08-12
Se cambian con regularida d los medios fsicos donde se almacena la informaci n respaldad a, para asegurar su buen funcionami ento ? Estn los discos, cintas y cualquier otro medio magntico convenient emente almacenad o en salas o armarios especiales ? Existen copias de los respaldos fuera del edificio?
G08-13
G08-14
G08-15
En caso que la respuesta anterior sea s, las llaves y copias por quin se encuentra n custodiada s? Est restringido el acceso a manuales, document acin, libreras, discos, cintas y medios magntico s? Est marcado o identificad o perfectam ente el material confidenci al?
G08-16
G08-17
G08-18
Se sacan suficientes copias de seguridad de los archivos principales ? Existe algn plan escrito sobre la periodicida d para emitir las copias de respaldo? Existe un inventario actualizad o de las cintas y discos que permita controlar su ubicacin y antigeda d?
G08-19
G08-20
G08-21
Destruye los discos y cintas daadas, o aquellos que ya no estn en uso, dejando evidencia de dicha destrucci n en un acta? Se destruye adecuada mente todo papel, listado, etc., que no se le va a dar uso? Existe una destructur a de papel y funciona adecuada mente? Existe un stock mnimo o de seguridad de los suministro s en el departame nto de CPD?
G08-22
G08-23
G08-24
G08-25
Existe una bitcora que identifique y permita cumplir los procedimie ntos para encender y apagar el equipo ya sea en opoeracio nes normales o cuando se va la energa elctrica?
G08-26
Existe la probabilida d, que en caso de algn problema en los equipos, se pueda continuar el desarrollo de las tareas en otra oficina, de ser as, existe la seguridad de que la otra empresa dar las condicione s necesarias para
G08-27
Se lleva una bitcora, sobre las averas, interrupcio nes en el funcionam oento del equipo, como tambin sobre los posibles problemas que se presentan al operarlo. Est prohibido el uso y operacin de los equipos del Centro de Cmputo a personal no autorizado ?
G08-28
G08-29
Existe algn mecanism o de control que permita conocer a quien se le entrega la informaci n procesada por el computad or? Existe algn tipo de solicitud para la emisin de listado, archivos magntico s e informaci n por parte de CPD?
G08-30
G08-31
Tiene la informaci n y listados emitidos por CPD, una hoja de ruta que permita conocer el destino y utilizacin de dicha informaci n? Se retiene copias de la informaci n en el tiempo necesario para satisfacer requisitos operacion ales y legales?
G08-32
SI
NO
N/A
OBSERVACIONES
G09-01
Se tiene definido un rea o persona para la administra cin de la base de Datos en la entidad? Se tienen definidos perfiles de acceso para los funcionario s en la base de datos aparte de los del sistema? Se realizan afinamient os "Tunning" peridicos de las Bases de Datos? Las bases de datos tienen definidas un password para lograr accerderla s?
G09-02
G09-03
G09-04
G09-05
G09-06
Se tiene un procedimie nto formal el cual se debe aplicar en el caso de que se deba realizar alguna modificaci n a los datos de una base de datos en produccin ? Se utilizan las fortalezas de validacin de informaci n que ofrece la base de datos ( Trigers, integridad referencial y validacion es personaliz adas por el programad or?
G10.ASPECTO S GENERAL ES DE LOS SISTEMA S DE INFORMA CIN El sistema es desarrolla do intername nte El mantenimi ento del Sistema lo dan funcionario s de la Entidad El Sistema es una aplicacin desarrolla da a la medida
SI
NO
N/A
OBSERVACIONES
G10-01
G10-02
G10-03
G10-04
El Sistema est desarrolla do con base en un lenguaje de programac in que es estndar de la Entidad El Sistema est desarrolla do con base en una plataforma de base de datos que es estndar para la entidad El Sistema tiene menos de cinco aos de funcionami ento
G10-05
G10-06
G10-07
El Sistema es integrado con otras aplicaicon es automatiza das de la Entidad El Sistema ha sido auditado ya sea por la Auditora Interna o por una firma externa Existe document acin de los sistemas que forman el software, de ser as adjunte el detalle de los mismos? Es adecuada la socumenta cin de los programas ?
G10-08
G10-09
G10-10
G10-11
Los cambios, midificacio nes, o nuevos programas son autorizado s antes de proceder a su realizacin ?. Existen cronogram as de trabajo para el personal de CPD, tanto de operacion es como programac in y anlisis?. Si la respuesta anterior es afirmativa, quienes son los responsabl es de la evaluacin de su cumplimie nto?.
G10-12
G10-13
G10-14
La elaboraci n y desarrollo de los programas es efectuado en una librera de pruebas, independie nte de la librera de programas en lnea?. Se document a adecuada mente cualquier cambio o modificaci n a un programa ?. Existe un inventario actualizad o de los manuales y documuen tacin de programas y aplicacion es ?.
G10-15
G10-16
G10-17
G10-18
G10-19
G10-20
Participa n los auditores internos en el desarrollo y revisin de los programas y aplicacion es?. Existe un plan para el desarrollo futuro de programas y aplicacion es?. El acceso a los programas est restringido y reglament ado para el departame nto de CPD?. Se preparan manuales de cada programa para el usuario?.
G10-21
G10-22
G10-23
Se da mantenimi ento a los programas y aplicacion es en forma regular?. Estn integrados los programas y aplicacion es en un todo?. Existen procedimie ntos escritos y detallafdos con instruccion es concretas acerca del uso de cada programa y aplicacin ?.
G10-24
Est cada usuario o grupo de usuarios provistos de una palabra clave o cdigo secreto de seguridad ?. Se cambia las claves de seguridad cada que tiempo y quienes son los responsabl es de hacerlo?. El acceso a las palabras claves o secretas es restringido ?.
G10-25
G10-26
G10-27
Cuando se da el retiro de alguna persona del Centro de Cmputo, o de cualquier otro departame nto, Cul es el procedimie nto que se aplica sobre las claves de seguridad asignadas ? Las fallas de funcionami ento en los programas son document adas y revisadas adecuada mente?
G10-28
G10-29
Los programas y aplicacion es son autorizado s por los niveles respectivo s y adecuados ? Existen procedimie ntos escritos para descargar o restaurar informaci n al computad or? Emite el sistema un listado de control donde se especifiqu e la hora, la fecha, los programas utilizados y los usuarios respectivo s?
G10-30
G10-31
G10-32
Existen estndare s establecid os para la elaboraci n y document acin de los programas ? Exiten procedimie ntos para probar programas modificado s de manera que asegure el no daar a los dems ?
G10-33
G10-34
Las mejoras o modificaci ones a los sistemas son aprobados como seal de conformid ad ?
G10-35
Si la respuesta es correcta indique si existe algn formulario y quienes efectan la aprobaci n? Hay procedimie ntos y controles para detectar un intento de ingresar al computad or por parte de personas no autorizada s ?.
G10-36
G11.CONTRO LES PARA EL ANLISIS, DESARR OLLO Y MANTENI MIENTO DE LOS SISTEMA S DE INFORMA CIN Se ha determina do alguna metodolog a de los standares para diseo de sistemas? Existen estudios de factibilidad ? Se han elaborado planes de diseo, desarrollo de la implantaci n de sistemas?
SI
NO
N/A
OBSERVACIONES
G11-01
G11-02
G11-03
G11-04
G11-05
G11-06
G11-07
Se han diseado, sistemas integrados de informaci n? Qu procedimie nto se utiliza para los estudios de Costo Beneficio. ? Cul es la poltica de costo utilizada? Se cumplen los planes de procesami ento de datos comparan do lo ejecutado con lo planeado. ?
G11-08
Participa n los auditores internos en los procesos de planificaci n para expresar sus necesidad es.? Existe una metodolog a escrita para el anlisis desarrollo de implantaci n de sistemas? Existen planes para adquisicio nes futuras de equipos.? Se aplican los procedimie ntos para planificar software?
G11-09
G11-10
G11-11
G11-12
Participa auditora en el desarrollo de sistemas? Se han diseado procedimie ntos standares para todas las reas usuarias? Es el usuario el responsabl e del ingreso de los datos? Se ha efectuado una racionaliza cin de los formulario s que facilite el ingreso de datos?
G11-13
G11-14
G11-15
G11-16
Se han incluido en los sistemas cifras de control que facilite detectar inconsiste ncias durante el proceso? Los planes de procesami ento de datos estn adecuada mente coordinad os con los planes generales de la institucin. ? Se cumplen los planes de desarrollo de sistemas?
G11-17
G11-18
G11-19
Las modificaci ones de los programas se realizan de acuerdo a los estndare s existentes ? Los usuarios revisan y prueban los resultados de los cambios antes de su implantaci n? Qu criterio de seleccin se utiliz para el uso del lenguaje de programac in?
G11-20
G11-21
G11-22
Existe document acin de los programas , cuales son los document os que la forman? Existe un procedimie nto de actualizaci n? En caso de cambios o actualizaci ones de programas existe la document acin necesaria que respalde dichos cambios? Existen controles adecuados establecid os para solicitar y aprobar los cambios a los programas ?
G11-23
G11-24
G11-25
G11-26
G12.CONTRO LES DE OPERACI ONES Y MANTENI MIENTO DE EQUIPOS Se elabora peridicam ente un plan de renovacin de equipos Se lleva un control de inventario de hardware de la entidad
SI
NO
N/A
OBSERVACIONES
G12-01
G12-02
G12-03
El control de inventario contempla informaci n detallada de las caractersti cas y componen tes del equipo inventariad o
G12-04
G12-05
G12-06
El mantenimi ento correctivo del equipo de cmputo se tiene contratado extername nte Se lleva un control de las garantas del equipo de cmputo para saber cul de estos cuentan con esta cobertura. Se cuenta con las licencias del software que se utiliza en la entidad
G12-07
G12-08
G12-09
Se lleva un inventario del software que se encuentra instlado en todas las computad oras de la entidad Se evala el rendimient o del personal directivo y operativo? Se efecta en forma anual una evaluacin de mantenimi ento y de proveedor es? Cul es la cobertura de los seguros contratado s?
G12-10
G12-11
G12-12
G12-13
Existe una bitcora sobre el uso de los computad ores y su posterior evaluacin del tipo de utilizacin ? Se cumple con la bitcora de los procedimie ntos que cumple el operador, durante el da y est es revisada por el supervisor inmediato o el Gerente de sistemas?
G12-14
G12-15
Existe la bitcora sobre el mantenimi ento que se le da a los equipos, con la novedades correspon dientes? Existen procedimie ntos escritos sobre la actualizaci n de archivos? Existen procedemi entos por escrito sobre la utilizacin de las libreras? Existen programas de control y revisin sobre los archivos manejados por el usuario?
G12-16
G12-17
G12-18
G12-19
Est prohibido la operacin del equipo de analistas y programad ores? Los operadore s del equipo conocen de la lgica de los programas a tal punto que puedan hacer cambios o actualizaci ones? Se ha creado archivos que proporcion en pistas para la intervenci n posterior de Auditora?
G12-20
G12-21
G13-01
G13-02
G13-03
G13-04
G13.CONTRO LES EN REDES La Empresa tiene definida una LAN La empresa tiene definida una WAN Se cuenta con un administra dor o grupo de personas que se dediquen a la administra cin de la red definida en la entidad Se cuenta con un conjunto formal de funciones asignadas al grupo de administra cin de red
SI
NO
N/A
OBSERVACIONES
G13-05
El software de red cuenta con bitcoras que permita dejar pistas ante anomalas de acceso o violacin de recursos en la red Se realizan revisones peridicas de la bitcora disponible s por el software de red Se tiene polticas definidasq ue se deban tomar ante la deteccin de una anomala en la bitcora
G13-06
G13-07
G13-08
G13-09
G13-10
Se tiene definidos usuarios individualiz ados para los diferentes funcionario s de la empresa que acceden a la red Se tienen definidos grupos de trabajo que accedan reas particulare s de la red de acuerdo a sus funciones y responsabi lidades. Se cuenta con usuarios de administra cin de la red identificad os para cada persona que tenga asignada esta labor
G13-11
Se le cambiaron los password por defecto o en blanco que genera el software de red a los diferentes usuarios incluyendo al de administra cin cuando este se instala
G13-12
El usuario de administra dor por defecto que genera en la instalacin de la red, est con acceso restringido por parte del grupo de administra cin y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionario s que no deberan estar laborando
G13-13
G13-14
Se suspende el acceso a la red afuncionari os que se encuentra n de vacacione s, permiso o incapacita dos Las funicones de administra cin de red se busca rotarlas peridicam ente entre los funcionario s que las realizan Se monitorea el acceso a las diferentes reas y recursos de red por parte de los funcionario s del CPD
G13-15
G13-16
G13-17
Si se detecta alguna anomala del monitoreo de funcionario s del CPD en la red se tienen polticas y procedimie ntos establecid os para proceder ante estas situacione s Se realizan anlisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema
G13-18
G13-19
Se tienen habilitadas las facilidades de uso de contrase a que ofrece el software para los usuarios de red Se define vencimient o peridico para los password de la red Se permite restringir el uso del mismo password al usuario despus de que este se cambia
G13-20
G13-21
G13-22
Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta
G13-23
SI
NO
N/A
OBSERVACIONES
G14-01
G14-02
Se tiene definido un funcionami ento o grupo de funcionario s responsabl es del rea de comunicac iones Se tiene definidas formalmen te sus funciones y responsabi lidades Se cuenta con cableado estructura do en el edificio de la entidad El cableado estructura do de la entidad fue debidame nte certificado una vez que este se instal
G14-03
G14-04
G14-05
La entidad cuenta con un muro de fuego El mantenimi ento y programac in del muro de fuego es efectuado por personal interno El mantenimi ento y programac in del muro de fuego es efectuado por terceros
G14-06
G14-07
G14-08
Si el mantenimi ento del muro de fuego es efectuado por terceros, se cuenta con un contrato de mantenimi ento que asegure la confidenci alidad de la configuraci n de este equipo El muro de fuego de la entidad es por hardware Se cuenta con enrutadore s en la entidad Los routers de la empresa son por hardware
G14-09
G14-10
G14-11
G14-12
Las configuraci ones de los equipos de comunicac in se hacen intrename nte Se tiene definida una zona desmilitari zada (DMZ) en la configuraci n de la red para la publicaci n de internet y otros archivos de acceso pblico de la entidad Se tienen restringido s los puertos de acceso al Inside de la red de la entidad
G14-13
G14-14
G14-15
Se tiene restringida la posibilidad de realizar FTP Se se permite hacer FTP se tienen identificad as las direccione s y usuarios que tiene acceso a este puerto Se realizan revisiones peridicas de la bitcora que generan los diferentes dispositivo s de comunicac in (Firewall, proxy, etc)
G14-16
G14-17
G14-18
Se tienen restringido s los puertos que permiten a los usuarios bajar software de internet, abrir sesiones de chat, conectarse en lnea a estaciones de radio, TV o video Se tiene comunicac in establecid as con entidades ajenas a la organizaci n Se tienen lneas de conexin dedicadas con estas entidades externas a la empresa
G14-19
G14-20
G14-21
G14-22
El sistema de deteccin de instrusos es basado en Red El IDS est basado en deteccin de anomalas Se tiene polticas definidas cuando el IDS arroja una anomala detectada
G14-23
G14-24
SI
NO
N/A
OBSERVACIONES
G15-01
Se tiene definido un plan de contingenc ia y continuida d en la entidad Se cuenta con un grupo de personas que le dan mantenimi ento y sean responsabl es de mantener actualizad o el plan de contingenc ia y continuida d del negocio Se tiene definida la poltica de realizar pruebas peridicas de las diferentes partes que conforman el plan
G15-02
G15-03
G15-04
G16.MANEJO DE INTERNE T Se cuenta con un servidor de Internet para la entidad Se tiene en funcionami ento un proxy que controle el acceso a las diferentes pginas de Internet Se tiene definida una pgina de Internet propia de la entidad
SI
NO
N/A
OBSERVACIONES
G16-01
G16-02
G16-03
G16-04
En esta pgina se puede consultar informaci n relacionad o con los afiliados Por medio de la pgina de Internet de la entidad se permite realizar transaccio nes a los afiliados
G16-05
G16-06
Se le tiene definida una constrase a y usuario a los afiliados que desean realizar transaccio nes en la red
G16-07
Se tiene un procedimie nto formal para la solicitud de esta contrase a y usuario a los afiliados El afiliado puede hacer cambio de esta contrase a El rea o pgina de consulta de los afiliados se desactiva despus de cierto tiempo de no uso
G16-08
G16-09
G16-10
Se tiene algn procedimie nto de verificaci n adicional sobre los trmites que solicita el afiliado por internet para determinar
G16-11
Se tiene definido un funiconario o grupo de funcionario s para que le den mantenimi ento a la pgina WEB de la empresa
G16-12
G16-13
G16-14
Se tiene polticas establecid as para determinar que personas pueden tener acceso a los servicios de Internet en la entidad Se tiene polticas definidas para determinar qu persnas pueden bajar aplicacion es de Internet Se permite a los funcionario s de la entidad acceder los servidor de Internet de la empresa en forma remota
G16-15
SI
NO
N/A
OBSERVACIONES
administracin cuando este se instala 12.- El usuario de administrador por defecto que genera en la instalacin de la red, est con acceso restringido por parte del grupo de administracin y en particular este no se utiliza para labores de soporte a la red sino que se utilizan los usuarios persona. 13.- Se tiene restringido el acceso a la red en horas que no son de oficina a los funcionarios que no deberan estar laborando 14.- Se suspende el acceso a la red afuncionarios que se encuentran de vacaciones, permiso o incapacitados 15.- Las funicones de administracin de red se busca rotarlas peridicamente entre los funcionarios que las realizan 16.- Se monitorea el acceso a las diferentes reas y recursos de red por parte de los funcionarios del CPD 17.- Si se detecta alguna anomala del monitoreo de funcionarios del CPD en la red se tienen polticas y procedimientos establecidos para proceder ante estas situaciones 18.- Se realizan anlisis para asegurar el equilibrio entre las cargas de trabajo, tiempos de respuesta y eficiencia del sistema 19.- Se tienen habilitadas las facilidades de uso de contrasea que ofrece el software para los usuarios de red 20.- Se define vencimiento peridico para los password de la red 21.- Se permite restringir el uso del mismo password al usuario despus de que este se cambia 22.- Se obliga al usuario a cambiar su password cuando este es definido por primera vez por parte del CPD en el momento de crear su cuenta 23.- Se permite que el usuario cambie su contrasea en forma personalizada