Plan de Auditoria - Área informática - Universidad Libre

Giovanny Varón – Brandon Duarte. – Ingeniería en TIC.

PROPUESTA DE SERVICIOS DE AUDITORIA INFORMATICA

Fases

I. ANTECEDENTES
El área de informática es auditada periódicamente por un agente externo.

II. OBJETIVOS DE LA AUDITORIA EN INFORMATICA

 Evaluar la infraestructura y conectividad.
 Evaluar la seguridad de los sistemas.
 Evaluar la función informática.
 Evaluar los sistemas de información.
 Presentar el informe final.

III. ALCANCE DE LA AUDITORIA

El alcance de la Auditoria comprende las fases descritas.

Fases
Evaluación de la Seguridad

Fase 1. Evaluación de la función informática.

Fase 2. Evaluación de la infraestructura y conectividad.

Fase 3. Evaluación de la seguridad.

Fase 4. Evaluación de los sistemas.

 Actividades y Técnicas

5. Metodología

La metodología de la auditoria consiste en:

 Solicitud de documentación tales como manuales, procedimientos, estándares

utilizados, programas de trabajo, políticas, cronogramas y planes.
 Aplicación de las lista de chequeo correspondiente a cada aspecto a evaluar.
 Entrevista a líder del proceso y/o a su equipo de trabajo.
 Análisis y evaluación de la información.
 Elaboración de un informe.

6. Elaboración del informe final, presentación y discusión del mismo y

presentación de conclusiones y recomendaciones.

IV. TIEMPO Y COSTO

(El tiempo en que se realizara la Auditoria es el tiempo de la demora de cada una de las
fases; el costo del mismo, que incluya el personal participante en la auditoria y sus
características, y la forma de pago.) Tiempo aproximado. 1 Semana.

Fase 1. Evaluación de la función informática. 2 Horas

Fase 2. Evaluación de la infraestructura y conectividad. 2 Horas

Fase 3. Evaluación de la seguridad. 2 Horas

Fase 4. Evaluación de los sistemas. 2 Horas

 v. Lista de chequeo

ST-AC-03-P-01-
F04
LISTA DE VERIFICACIÓN Versión 6

16/10/2018

Seccional: Cúcuta

Evaluación de
Proceso y/o Facultad : Ingeniería en TIC Sub-Proceso:
los Sistemas
Fecha de la auditoria: 25/04/2019

Entrevistados
Equipo Auditor:
(Auditados):

Tipo de
Numeral Actividad / Pregunta / Registro a Hallazgo* Observaciones
Ítem
ISO Verificar (Notas del auditor)
(C) (NC) (O)

¿Existe un control estricto de las copias

1
de seguridad?

¿Estas copias están almacenadas en el

2
mismo departamento de sistemas?

¿Los archivos de información se tienen

3 identificados de forma confidencial?
¿Dé que manera?
¿Se cuenta con algún procedimiento de
4 eliminación segura de unidades de
almacenamiento?
¿Existen políticas sobre el uso del
5
medio de almacenamiento?
¿Existe un administrador de sistemas
6
que controle el acceso a los usuarios?
¿El administrador gestiona los perfiles
7
de los usuarios?
 ¿Para el resguardo de los diversos
8 discos de programas, se tiene un
archivadero adecuado?

¿que aplicaciones o software utilizan en

10 el area de sistemas paera la gestion de
datos?
¿que tipo de archivos desarrollan el el
11
area de sistemas?
¿cuando y como desarrollan dichos
12
archivos?
¿Qué bases de datos desarrollan y/o
13
gestionan en el area de sistemas?
¿Que se lenguajes utilizan los software
14
de área de sistemas?

(C): Conforme (NC): No Conformidad (O):

Observación

William Nicolás
atehortúa
Vo.Bo. Coordinador de
Firmas Equipo Auditor Calidad
 ST-AC-03-P-
01-F04
LISTA DE VERIFICACIÓN Versión 6

16/10/2018

Seccional: Cúcuta

Proceso y/o Facultad : Ingeniería en TIC Evaluación de

Sub-Proceso:
la Seguridad
Fecha de la auditoria: 25/04/2019

Entrevistados
Equipo Auditor:
(Auditados):

Tipo de
Numeral Actividad / Pregunta / Registro Hallazgo* Observaciones
Ítem
ISO a Verificar (Notas del auditor)
(C) (NC) (O)
¿Las pólizas cubren los riesgos de
1 todo el equipo incluyendo programas
y su instalación?
¿Las pólizas de seguro cubren daños
externos (terremotos, etc.) e internos
2
(negligencia de operaciones, debido
al aire acondicionado, etc.)?
¿Cómo se prepara el área de sistemas
para evitar daños físicos al personal,
3
oficinas, equipo de cómputo, sistema
de operación?
¿Se conoce todos los limites
4
estipulados en las pólizas de seguro?
¿Cómo se estipula correctamente y
5 como se conoce la suma asegurada en
las pólizas?
¿Cómo se revisa toda la seguridad en
6
la forma de utilizar los equipos?
¿Se registran los registros de las
7
funciones de los sistemas?
 ¿Se tienen copias de los archivos y
8 programas en lugares ajenos a los de
computo?

¿Cómo se registra las transacciones

9
de archivos para restaurar el equipo?
¿Cómo es el procedimientos a
realizar en una emergencia de perdida
10
de equipos tanto de software como
hardware?
¿Cómo es el plan de emergencia de
desastre completo, es decir contiene
11
los procedimientos de recuperación
de información?
¿hace cuánto fue revisión del plan de
12
emergencia?
¿Cómo se evalúa el nivel de riesgo en
13
base de costos/beneficios?
¿Cómo se registran los informes
14 periódicos de la verificación física en
las utilizaciones correctas del equipo?
(C): Conforme (NC): No Conformidad (O):
* Observación

Juan Diego Moreno

Vo.Bo.
Coordinador+A24:I35 de
Firmas Equipo Auditor Calidad
 ST-AC-03-P-01-
F04
LISTA DE VERIFICACIÓN Versión 6

16/10/2018

Seccional: Cúcuta
Evaluación de
Proceso y/o Facultad : Ingeniería en TIC Sub-Proceso: infraestructura
y conectividad
Fecha de la auditoria:

Entrevistados
Equipo Auditor:
(Auditados):

Tipo de
Numeral Actividad / Pregunta / Registro Hallazgo* Observaciones
Ítem
ISO a Verificar (Notas del auditor)
(C) (NC) (O)
¿Existe protección de cableado de
1 energía eléctrica y de
telecomunicación?
¿Existe esquema de conexión
2
eléctrica con interruptores?
¿Se encuentra el sistema en una
3 superficie sólida y estable lo más
cerca del suelo posible?
¿Está la sala / edificio en el que se
encuentra el sistema securizado con
4 una cerradura o sistema de alarma
para que sólo personal autorizado
acceda?
¿Están las puertas cerradas con llave y
5 las alarmas activadas fuera de horario
de oficina?
¿Se recibe formación y se planifica
6
ésta mediante asistencia a cursos,
 seminarios para los integrantes del
área de sistemas?
¿Cumple con las normas de seguridad
7
y salud en el trabajo?
¿Se tiene un lugar previsto para
8 almacenar componentes de los
equipos de cómputo?
¿Se cuenta con UPS en caso de
9 inconsistencias en el suministro de
energía?
10 ¿Hay detectores de humo?
¿Los cables están dentro de paneles y
11
canales eléctricos?
¿El cableado (datos, energía) se
12
encuentra debidamente identificado?
¿Se cuenta con los planos de
13
instalación eléctrica actualizados?
¿Existe una persona responsable de la
14
seguridad?
¿El área de sistemas cuenta con
15
equipo acondicionado?
¿Se identifica a la persona que ingresa
16
dentro de las instalaciones?
¿Se controla el préstamo de los
17 elementos? (elementos magnéticos,
equipo, Software)
¿Se tienen identificadas y señaladas
18
las salidas de emergencia?
* (C): Conforme (NC): No Conformidad (O):
Observación

Ricardo Cardenas
Vo.Bo. Coordinador de
Firmas Equipo Auditor Calidad
 ST-AC-03-P-
01-F04
LISTA DE VERIFICACIÓN Versión 6

16/10/2018

Seccional: Cúcuta
Evaluación
de la
Proceso y/o Facultad : Ingeniería en TIC Sub-Proceso:
función
informática
Fecha de la auditoria:

Entrevistados
Equipo Auditor:
(Auditados):

Tipo de
Numeral Actividad / Pregunta / Registro Hallazgo* Observaciones
Ítem
ISO a Verificar (Notas del auditor)
(C) (NC) (O)
¿Cómo está organizada el área de
1
sistemas?
¿Cómo tienen organizadas las
2
funciones en el área sistemas?
¿Los niveles jerárquicos
establecidos actualmente son
3 necesarios y suficientes para el
desarrollo de las actividades del
área?
¿Se consideran adecuados los
departamentos, áreas y oficinas en
4
que está dividida actualmente la
estructura de la dirección?
 ¿El número de empleados que
trabajan actualmente es adecuado
5
para cumplir con las funciones
encomendadas?
¿Cómo llevan documentado el
6 inventario del sistema de
informática?
¿Alguna vez ha revisado un
7
auditor el inventario?
¿Existen criterios para valorar
8 cuales son los elementos críticos
del inventario? ¿Cuáles son?
¿Cómo se lleva a cabo la
9
supervisión del personal?
¿Realizan actividades para el
10 mejoramiento continuo del
personal?
(C): Conforme (NC): No Conformidad (O):
* Observación

Estefanía Montoya
Vo.Bo. Coordinador de
Firmas Equipo Auditor Calidad