iNC Web Systems

Desarrollo de Aplicaciones Web / Desktop

El Paso, TX 79912

Alcance Este plan de auditora esta dirigido al personal, equipo, procedimientos y activos de software exclusivos de la empresa en cuestin. Se enfoca primordialmente en identificar y/o establecer oportunidades de mejora para el buen desempeo tanto de los trabajadores como del uso correcto de las instalaciones de la empresa. En ningn momento este plan contempla el debido funcionamiento del software liberado y que se encuentre en propiedad y uso nico y exclusivo del cliente. De igual forma, este plan no contempla el equipo propiedad del cliente donde residan las aplicaciones diseadas y creadas por iNC Web Systems. Objetivos Comparar las actividades o tareas ejecutadas con las actividades proyectadas, retroalimentando el sistema mediante el anlisis, posteriormente realizar los ajustes que se consideren necesarios. Encontrar errores, perdidas o modificaciones no autorizadas de la informacin en la aplicacin. Encontrar posibles fallas en la seguridad de la aplicacin en desarrollo. Determinar si la informacin crtica de los clientes en trminos de confidencialidad est expuesta y altamente en riesgo. Determinar si existen procesos de respaldo y recuperacin. Evaluar polticas sobre seguridad en instalaciones de trabajo, equipos, back-ups, planes de contingencia, dispositivos y acceso a instalaciones restringidas. Asesorar y dar recomendaciones a las personas que encabezan el proyecto de desarrollo de la aplicacin acerca de los procesos llevados a cabo. Metodologa La herramienta de control a utilizar ser por medio de cuestionarios de control interno. Los cuestionarios consisten en un conjunto amplio de preguntas que estn orientadas a comprobar el cumplimiento de polticas, planes, programas, normas, procedimientos y funciones, tanto generales como especficas relacionadas con algn negocio o aspecto en particular. Por medio de la inspeccin visual, identificar si la institucin cuenta con un sistema de deteccin o prevencin de intrusos, antivirus, filtros de contenido, etc. Se evaluarn las polticas de acceso a informacin externa, y el nivel de monitoreo de las mismas, a fin de establecer el nivel de riesgo a que puede verse expuesta la red privada. Se identificarn y evaluarn los mecanismos de alerta y notificacin de los aspectos que se consideran irregulares dentro de la administracin del sistema. Se determinar si existen polticas de seguridad a nivel institucional y evaluar si estn definidas y aplicadas en los equipos de seguridad (Firewalls, routers, switches, etc).

Puntos a evaluar Evaluacin de dispositivos o Verificar que los sistemas operativos hayan sido instalados de acuerdo a las recomendaciones de hardware, configuraciones especiales y actualizaciones necesarias que estn definidos para la plataforma que se ha instalado. o Verificar que todas las versiones de software instalado, se encuentren actualizadas a la ltima versin del mismo, o que contengan todas las actualizaciones que el fabricante haya puesto a disponibilidad de esa plataforma y versin. o Verificar que hayan sido deshabilitados todos aquellos usuarios que el sistema, base de datos u otro software aplicativo en uso, hayan definido por defecto, y que no sern de utilidad. o Verificar que existan planes de respaldo y recuperacin, tanto automatizados como manuales en los servidores con informacin crtica para la empresa. o Verificar si existen usuarios definidos en el sistema que no deberan existir, por ejemplo usuarios invitados, as como programas con cdigo malicioso. o Revisar los permisos que tienen cada uno de los usuarios tanto a nivel de directorios y archivos como a nivel de servicios y protocolos. o Verificar que las contraseas sean robustas y que se hayan modificado las contraseas que vienen por defecto tanto en los sistemas operativos como en los programas de administracin instalados. o Evaluar que el acceso fsico a los servidores y estaciones de trabajo est restringido. o Verificar que no exista software instalado que pueda poner en riesgo el funcionamiento de la red o la informacin misma. Evaluacin de las entradas para el desarrollo de aplicaciones o Verificar si se emplean tcnicas para validar, probar y verificar los datos de entrada, que permitan garantizar la ocurrencia de un mnimo de errores. o Verficar que los formatos utilizados para la captura de informacin relevante para la aplicacin son los ms indicados y solicitan slo los datos necesarios. o Verificar que los documentos fuente se encuentren debidamente protegidos y almacenados. o Evaluar los controles utilizados para proteger y almacenar los documentos fuente. o Verificar la existencia de documentacin que indique lo que se debe hacer con relacin a la preparacin, correccin, grabacin y almacenamiento de datos. o Determinar si el sistema utilizado brinda algn nivel de seguridad para la entrada de datos. o Identificar si est establecido un control estadstico sobre el tipo de errores cometidos en la captura de datos. o Verificar si est establecido el tiempo que se deben conservar los documentos fuente. Evaluacin de las salidas para el desarrollo de aplicaciones o Verificar si se lleva acabo un anlisis general de los reportes producidos. o Revisar el control de la distribucin de los reportes.

o o o

Verificar la destruccin de aquellos reportes no necesarios o que son producto de proyectos abortados. Identificar los procedimientos de manejo y retencin de salidas. Determinar si los reportes de carcter confidencial son almacenados en un lugar seguro.

Evaluacin del control del software de sistema o Verificar que los cambios y mejoras al software de sistema estn debidamente justificados. o Verificar la total legalidad del software utilizado por la empresa. o Identificar si existe un registro de aquellos problemas que se presentan con el software de sistema. o Verificar el debido control de las pruebas a versiones nuevas de software o programas de diagnstico. o Determinar si existe un contrato de mantenimiento del software adquirido. o Identificar la documentacin existente del software de sistema. Evaluacin del control en el proceso de desarrollo de software o Verificar el control de autorizacin y aprobacin de correcciones a aplicaciones antes de ser liberadas. o Determinar si se lleva un registro de cambios efectuados a las aplicaciones. o Verificar la documentacin y aprobacin de nuevos proyectos de desarrollo. o Determinar si existe planeacin de pruebas que deben ser realizadas a los programas. o Verificar las libreras especficas para realizar las pruebas a los programas. o Comprobar que existe un mecanismo especfico para reportar dificultades e inconsistencias durante la etapa de desarrollo. o Verificar la confiabilidad de los controles establecidos que permiten detectar inconsistencias durante el procesamiento de datos en las aplicaciones desarrolladas o en desarrollo. o Verificar si los programadores realizan actividades relacionadas con la captura de datos. o Evaluar la posibilidad de reproceso de aplicaciones en vas de desarrollo. Evaluacin del control interno de las instalaciones o Verficar el control de ingreso de clientes y personal a la dependencia. o Identificar los programas de prevencin contra desastres. o Verificar la existencia de un plan de contingencia. o Identificar la sealizacin adecuada de las rutas de evacuacin. o Ubicar los extinguidores dentro de la instalacin.

Cronograma
Abril Abril / Ma yo Ma yo

P unto a E valuar
E va lua cin de los D is pos itivos E va lua cin de la s entra da s pa ra el des a rrollo de s oftwa re E va lua cin de la s s a lida s pa ra el des a rrollo de s oftwa re E va lua cin del control del s oftwa re de s is tem a E va lua cin del control en el proces o de des a rrollo de s oftwa re E va lua cin del control interno de la s ins ta la ciones R eporte y recom enda ciones

15-19 22-26

29-3

6-10 13-17 20-23