Programas de Auditoria Final

Preparado por: Autores: Iliana Ramos
Programa de Auditoria Juan Navarro

Juan Espinoza
Sistema CCTV
Aprobado por: Fecha de Auditoria:
15/11/2018
Sub-
Asig. Secc
Secc Pasos de Auditoría Fecha Ref. Iniciales
A
Auditoria de Sistema CCTV
A 1.0 Administración de sistema CCTV
Objetivo: Determinar quiénes son los encargados del área o responsables
del sistema y las fuentes de información
A 1.1 Coordinar un reunión de trabajo con los responsables del sistema y
presentar plan de trabajo de auditoria
A 1.2 Definir personal encargado de suministrar la información necesaria para la
auditoria
A 1.3 Obtener un registro de los cambios y mantenimientos realizados al sistema
en el último año
A 1.4 De no existir un registro de mantenimiento, solicitar el nombre de los
proveedores y ponerse en contacto con ellos.
A 2.0 Infraestructura Física

Objetivo: Determinar si las instalaciones físicas cumplen con la norma y
estándares de funcionamiento
A 2.1 Solicitar diagrama de instalación física y área de cobertura de CCTV.
 Se debe de obtener por lo menos, la ubicación física de los
siguientes componentes:
 Cámaras
 DVRs
 Storage
 Red de Datos
A 2.2
Obtener un listado de todos los componentes que conforman el sistema
A 3.0 Infraestructura Lógica

Objetivo: Tener un claro entendimiento de la infraestructura lógica del
sistema de CCTV. Más aun, evaluar si cumple el objetivo para el cual fue
diseñado
A 3.1 Obtener un esquema lógico del sistema
A 3.2 Contrastar el esquema lógico teórico con el verdadero funcionamiento,
real del sistema
A 4.0 Evaluación Física del Sistema CCTV

Objetivo: Determinar si los equipos físicos del sistema están acordes a las
necesidades de la organización y en correcto funcionamiento
A 4.1 Evaluar el estado y funcionamiento de las instalaciones
 Verificar por lo menos:
 Estado del cableado
 Nitidez de grabación
 Alimentación de Energía
 Daños físicos en cámaras
 Tiempo de permanencia
A 4.2 Evaluar eficiencia y calidad de grabación, para lo cual se debe analizar por
lo menos:
 Distancia Focal
 Puntos ciegos
 Ubicación de las cámaras
 Calidad de grabación (fps)
 Funcionamiento de los infrarrojos
 Longitud de foco
 Acercamientos
A 4.3 Evaluar funcionamiento de los sistemas de energía, incluyendo
 Operatividad
 Redundancia
 Contingencia
 Mantenimientos realizados
A 4.4 Determinar si los equipos eléctricos, son adecuados para la el sistema
 Evaluar el por qué están instalados y realizar recomendaciones
A 4.5 Comprobar que el inventario, listado de equipos, coincida con los equipos
en el sistema
A 4.6 Evaluar el funcionamiento del almacenamiento - storage - del sistema, para
lo cual, se debe analizar por lo menos:
 Operatividad
 Redundancia
 Disponibilidad
 Contingencia
 Tiempo de Permanencia
 Perdida de Datos
 Vida útil Promedio
 Garantía
A 4.7 Evaluar el funcionamiento de la red de datos, para lo cual, se debe analizar
por lo menos:
 Operatividad
 Consistencia
 Disponibilidad
 Distancias
Preparado por: Autor: Iliana Ramos
Area de Auditoria Programa de Auditoria Juan Daniel Navarro
Juan Espinoza
Proceso de desarrollo de software 15/11/2018
Asig. Sec. Sub - Pasos de Auditoria Fecha Ref. Inicciales

Sec
A
Planificacion del software
A 1.0 Alcance del proyecto software.
Objetivo: Determinar como se realiza la estimacion del
alcance para los proyectos de software.
A 1.1 Verificar existencia de informes que contengan las
estimaciones del alcance de los proyectos de desarrollo
de software.
A 1.2 Analizar la documentacion encontrada.
A 1.3 Analizar entrevistas y encuestas realizadas al director del
area de desarrollo de software.
A 2.0 Ciclo de vida del desarrollo de software.

Objetivo: El objetivo de la prueba es definir el ciclo de
vida de los proyectos de desarrollo de software.
A 2.1 Verificar que exista un documento que contenga las fases
del proyecto
A 2.2 Analizar la documentacion encontrada para determinar la
metodologia de desarrollo de software y las fases del
proyecto.
A 3.0 Presupuesto y calendario

Objetivo: Determinar como se realiza el cronograma y
presupuesto para el desarrollo de software.
A 3.1 Verificar que exista la documentacion que especifique
cronograma y presupuesto de desarrollo de software.
A 3.2 Realizar analisis del presupuesto estimado y del
cronograma de actividades.
A 4.0 Riesgos del proyecto software

Objetivo: Determinar como se identifican los riesgos de
los proyectos de desarrollo de software.
A 4.1 Verificar la existencia de la matriz de riesgos del los
poryectos de desarrollo de software y la evaluacion de
estos.
A 4.2 Analizar la documentacion existente.
A 5.0 Plan del proyecto software

Objetivo: Determinar como se establece el plan de
proyecto para el desarrollo de software.
A 5.1 Verificar que exista un plan de proyecto software.
A 5.2 Analizar la documentacion encontrada.
B
Gestion de Requerimientos
B 1.0 Comprension de los requerimientos
Objetivo: Determinar si se obtiene la comprension de los
requisitos del proyecto.
B 1.1 Corroborar la existencia de documentos que especifiquen
los requerimientos del software.
B 1.2 Analizar la documentacion encontrada.
B 1.3 Analizar entrevistas y encuestas realizadas a los
participantes del desarrollo de software.
B 2.0 Gestion de cambios de requerimiento

Objetivo: Determinar como se administran los cambios
de requerimientos de acuerdo a la evolucion del
software.
B 2.1 Verificar que hayan peticiones de cambio.
B 2.2 Verificar que existan versiones de los requerimientos.
B 3.0 Identificar inconsistencias

Objetivo: Identificar si se registran las inconsistencias
entre el desarrollo y los requisitos.
B 3.1 Verificar la existencia de registros sobre las
inconsistencias de los requisitos y las pruebas realizadas.
C
Monitorizacion y control
C 1.0 Monitorizar los parametros de la planificacion
Ojbetivo: Determinar si se realiza una supervision de los
valores actuales de la planificacion.
C 1.1 Analizar documentos existentes.
C 1.2 Analizar entrevistas y encuestas realizadas a los
C 2.0 Monitorizacion de cumpliemtos

Objetivo: Identificar si se cumplen los compromisos del
plan del proyecto.
C 2.1 Verificar que exista un registro sobre los compromisos
que se hayan realizado.
C 2.2 Analizar la documentacion existente.
C 3.0 Monitorizar riesgos

Objetivo: Identificar como se realiza la monitorizacion de
los riegos del proyecto software.
C 3.1 Verificar la existencia de registros de seguimineto de los
riesgos del desarrollo de software
C 3.2 Comprobar la existencia de documentos en los que se
identifiquen los riesgos del proyecto.
C 4.0 Revision del proyecto software

Objetivo: Determinar si se hace una revision periodica del
progreso, rendimiento y problemas del proyecto.
C 4.1 Verificar la existencia de informes de avance o
seguimiento del proyecto software.
C 5.0 Revisiones de hitos

Objetivo: Identificar si se realizan revisiones del
cumplimiento de los hitos del proyecto software.
C 5.1 Comprobar que haya documentacion de entrega de hitos.
C 5.2 Verificar que se hayan realizado informes de problemas
detectados en los hitos del proyecto software.
C 6.0 Gestionar acciones correctivas

Objetivo: Determinar como se ejecutan las acciones
correctivas dentro del proyecto software.
C 6.1 Verificar la existencia de documentos donde se registren
las acciones correctivas asociadas a los problemas
detectados.
C 6.2 Analizar documentos que contegan los resultados de las
acciones correctivas.
D
Medicion y analisis
D 1.0 Establecer objetivos de medicion
Objetivo: Identificar como se establecen los objetivos de
las mediciones del desarrollo software.
D 1.1 Verificar que se hayan definido los objetivos de medicion
D 1.2 Analizar la documentacion existente
D 1.3 Analizar entrevistas y encuestas realizadas a los
D
D 2.0 Recogida y almacenamiento de datos
Objetivo: Definir los procedimientos de recoleccion de
datos y los metodos de almacenamiento.
D 2.1 Verificar que exista un procedimiento para la recoleccion
y almacenamiento de datos.
D 3.0 Analizar datos de la medicion

Objetivo: Determinar como se analizan los datos
obtenidos.
D 3.1 Verificar la existencia de la documentacion de la
recoleccion de datos.
D 4.0 Comunicar resultados

Objetivo: Determinar como se comunican los resultados
de la medicion y el analisis.
D 4.1 Verificar que existan reportes o informes de los
resultados de la medicion.
D 4.2 Corroborar que se hayan determinado las acciones
correctivas.
E
Gestion de la configuracion
E 1.0 Elementos de configuracion
Objetivos: Identificar elelmentos del sotware a configurar
E 1.1 Comprobar la existencia de documentos que especifiquen
elementos de configuracion
E 1.2 Analizar la documentacion existente
E 1.3 Analizar entrevistas y encuestas realizadas a los
E 2.0 Sistema de gestion de configuracion

Objetivo: Determinar como se establece y mantiene el
sistema de gestion de configuracion, y gestion del cambio.
E 2.1 Verificar que haya registro de las revisiones de
configuracion y cambio.
E 2.2 Verificar que hayan registros de las peticiones de
cambios.
E 3.0 Peticiones de cambio

Objetivo: Determinar como se realiza el siguimiento a las
peticiones de cambio.
E 3.1 Verificar la existencia de los documentos que
especifiquen las peticiones de cambio
Juan Espinoza
INFRAESTRUCTURA FISICA DEL CENTRO DE COMPUTO
15/11/2018
Sub-
Asig. Secc
A CLIMATIZACIÓN
Entendimiento del sistema.

A 1.0
Objetivo: Verificar la correcta instalación de los equipos de climatización bajo las normas y
estándares, y verificar su funcionamiento
A 1.1 Determinar quién es responsable del mantenimiento del sistema de climatización

A 1.2 Definir una reunión de trabajo con el encargado del área de climatización
A 1.3 Obtener un plano físico del centro de computo
A 1.4 Identificar al proveedor y encargado de dar mantenimiento al sistema de climatización
Evaluación Física del Sistema

A 2.0
Objetivos: Determinar que los equipo del sistema de climatización funcionen
correctamente, cumplimiento con las normas y estándares para centros de computo
Examinar el estado de las máquinas de frio y verificar si trabajan de forma alternada:
A 2.1
 Verificar si trabajan en grado de 19° - 23°
 Mínimo de aire de renovación por hora debe ser 15%
A 2.2 Verificar si han recibido mantenimientos las máquinas de frio al menos 3 veces por cada
año.
A 2.3 Verificar el estado y funcionamiento de los sensores de climatización por cada equipo que
genera mayor humedad
Verificar el estado y funcionamiento del hidrómetro:

A 2.4
 Debe responder a variaciones de 1°C y 5% de humedad relativa
A 2.5 Examinar el filtrado y retorno del aire.
A 2.6 Verificar el historial de alarmas y bitácora
A 2.7 Verificar estado del condensador
A 2.8 Realizar pruebas de control de fugas de tubería

Examinar Las rejillas de inyección, rejillas de retorno y rejillas de puerta:
A 2.9
 Ser uniforme y evitar puntos calientes y contar con el tipo y cantidad de rejillas
 Velocidad terminal
 Velocidad residual
A 2.10 Hacer un levantamiento de todas las tuberías tanto de salida como de entrada de aire del
Departamento de TI
A 2.11 Determinar si existen problemas conocidos con el enfriamiento del Área de TI
especialmente el área de Servidores
A 2.12 Hacer mediciones de cambio de aire que debe de estar en 15% cada hora
Hacer mediciones de la Humedad dentro del Área de servidores. Esta debe estar en un 45%
A 2.13
con margen de +- 5%
PISO FALSO
A 3.0
Objetivo: Tener un manejo seguro y adecuado del sistema de energía y de comunicación. Y
para que la climatización vaya de abajo hacia arriba.
Entender la estructura Física del Departamento de TI.

A 3.1
 Pedir los planos de la estructura del Departamento
A 3.2 Verificar que el piso falso tenga una altura no menos de 30cm
* Si los planos no estuviesen disponibles reunirse con el personal de administración y
A 3.3 mantenimiento
Verificar que pory mt2
hacertenga
un tour
unapara
resistencia
hacer eldereconocimiento
1000 libras de todos los puntos que
tienen que revisarse.
A 3.4 Verificar que las losetas sean de 60x60 o 40x40 cm
* Como mínimo Obtener la siguiente información.
A 3.5 Verificar que el piso falso este en una forma horizontal
* Alto del Piso Falso
A 3.6 Verificar que el material del piso falso no sea combustible
A 3.7 *Verificar
Materiales
que con losuna
tenga cuales estahacia
rampa construido
dentro, haciendo el corte respectivo
A 3.8 * Peso
El que soporta
Piso Falso debe soportar el peso de 2 toneladas
* Altura
* Fecha de Ultimo Mantenimiento

B SISTEMA ELECTRICO
B 1.0 Entendimiento del Sistema

Objetivos: Obtener información del funcionamiento del sistema eléctrico y
definir quienes van a proveer la información
B 1.1 Realizar una reunión con el jefe del área eléctrica, y definir los encargados
de proveer información
B 1.2 Obtener un diagrama de la estructura eléctrica del centro de computo, el
cual debe contener la ubicación física de por lo menos:
 Toma corrientes
 Canaletas
 Cajetines
 Interruptores
B 1.3
Determinar quién es el encargado de dar mantenimiento a la red eléctrica
B 1.4 Identificar los procedimientos y políticas que se ejecutan para asegurar un
correcto funcionamiento del sistema eléctrico.
B 2.0 Infraestructura Física

Objetivos: Determinar los equipos con los que cuenta el sistema electrico,
así como el estado en el que se encuentran
B 2.1 Determinar el número de tomacorrientes existentes y su correcto
funcionamiento
B 2.2 Comparar en el diagrama eléctrico la ubicación con los tomacorrientes
reales en el centro de computo y determinar inconsistencias
B 2.3 Comparar en el diagrama eléctrico la ubicación de las canaletas en el
centro de computo y determinar inconsistencias
B 2.4 Comparar en el diagrama eléctrico la ubicación del cajetín de entrada
eléctrico en el centro de computo y determinar inconsistencias
B 3.0 Evaluación Física del Sistema

Objetivos: Determinar que los equipo del sistema eléctrico funcionen
correctamente, cumpliendo con las normas y estándares para centros de
computo
B 3.1
Determinar si los tomacorrientes están conectados a tierra
B 3.2 Determinar si la intensidad de corriente entre los cajetines y los
tomacorrientes es la adecuada y continua. Verificar que no existan
trascientes
B 3.3
Determinar si el voltaje que sale de los tomacorrientes es la adecuada
B 3.4 Verificar si el centro de computo cuenta con un sistema de tierra, ya sea
varilla de cobre, placa de cobre o electrodos
B 3.5 Verificar el estado y vida útil del sistema de tierra, tomando en cuenta:
 Varilla de cobre : 3 - 4 años
B  Electrodos
3.6 Verificar : 30electricidad
que no exista años estática en los equipos y que exista un
plan de mantenimiento continuo
C
SISTEMA DE AUTOAPAGADO DE INCENDIOS.
Entendimiento del sistema de autoapagado de incendios.
C 1.0 Objetivo: Garantizar la existencia y correcto funcionamiento de los
dispositivos encargados del apagado de incendios.
C 1.1 Identificar al personal encargado de la seguridad del área de TI
C 1.2 Solicitar la documentación de políticas y procedimientos para los sistemas
de autoapagado de incendios.
C 1.3 Verificar la existencia de planes de contingencia y planes de evacuación en
caso de incendios.
C 1.4 Asegurar que el personal tenga conocimiento de los planes de evacuación y
contingencias.
C 1.5
Verificar que se cumplan las normas de seguridad contra incendios.
C 1.6 Verificar cuales son los dispositivos con los que cuenta la organización para
el autoapagado de incendios.
C 1.7
Solicitar planos de ubicación de los dispositivos de autoapagado.
C 1.8 Asegurar la existencia y correcta ubicación de:
 Extintores
 Sensores de humo
 Regaderas de Gas
C 1.9
Verificar la existencia de salidas de emergencia.
C 1.10
Examinar la visibilidad e iluminación de las salidas de emergencia.
C 1.11 Verificar que las puertas de emergencia se encuentren libres de elementos
que impidan su apertura y libre tránsito.
C 1.12
Verificar la existencia de alarmas contra incendios.
C 1.13
Verificar el tipo de Gas utilizado para el apagado de incendios.
C 2.0 Mantenimiento del sistema de autoapagado de incendios.

Objetivo: Asegurar la disponibilidad de los sistemas contra incendios y su
funcionamiento.
C 2.1
Verificar la fecha de caducidad de los extintores.
C 2.2
Verificar el estado del gas utilizado en las regaderas de gas.
C 2.3 Examinar cada cuanto tiempo se realizan los mantenimientos a todos los
dispositivos contra incendios.
C 2.4 Comprobar que exista la respectiva capacitación para el manejo de los
extinguidores.
Juan Espinoza
Aprobado por:
Seguridad de la Red de Datos
Fecha de Auditoria:
15/11/2018
Sub-
Asig. Secc
A
Seguridad de la Red de Datos
A 1.0 Entendimiento del sistema de seguridad de la red de datos
Objetivo: Determinar los responsables del mantenimiento y monitoreo de
la red.
A 1.1
Investigar cuáles son los encargados de administrar la red.
A 1.2 Solicitar manual de procedimientos para la administración de la seguridad
de la red.
 Solicitar el documento Procedimientos para acceso a recursos

compartidos.
 Solicitar listado con los diferentes accesos que pueden tener los
usuarios
 Pedir el listado de aplicaciones que hagan uso de la red de datos.
A 1.3 Verificar el cumplimiento de los procedimientos establecidos para la

administración de seguridad de la red.
A 1.4 Verificar la seguridad del acceso a la red ingresando un user y password
erróneos.
A 1.5 Verificar accesos de usuarios según su perfil.
A 1.6 Verificar el cumplimiento de los procedimientos establecidos para la
administración de la seguridad en la red de datos.
A 1.7 Revisar las políticas de acceso a dispositivos compartidos, tratando de
acceder a otras máquinas de la red de datos.
A 2.0 MONITOREO
Objetivo: Determinar la correcta implementación de los procedimientos de
seguimiento y monitoreo.
A 2.1 Verificar tiempos de accesos y conexión en la red de datos.
A 2.2 Registrar actividades de los usuarios en la red.

A 3.0 EVALUAR SEGURIDAD FÍSICA
Objetivo: Evaluar la seguridad física de la infraestructura de red.
A 3.1 Solicitar el diagrama de cableado físico:
 tipo de cable
 localizaciones
 revisiones periódicas
 personal responsable.
A 3.2 Revisar el armario del cableado:
 seguridad
 cableado etiquetado e identificable.
A 3.3 Evaluar las conexiones físicas:
 conexiones autorizadas
 conexiones documentadas entre hubs y armarios.
A 3.4
Asegurarse que el cableado cumpla con las especificaciones y
certificaciones.
A 4.0 EVALUAR EL CABLEADO DE LAS ESTACIONES DE TRABAJO

Objetivo: Comprobar la calidad de la transmisión del cable.
A 4.1 Corroborar la precisión de los diagramas de cableado de las estaciones de
trabajo.
A 4.2 Identificar si existe degradación en la calidad de la transmisión o
interferencia de otros sistemas debido al cableado.
A 5.0 DETERMINAR LA TOPOLOGÍA USADA

Objetivo: Conocer la topología de red usada en la organización.
A 5.1
Solicitar el diagrama de cableado físico.
A 5.2
Observar la implementación de la topología.
A 5.3 Consultar sobre la topología usada.
A 6.0 DETERMINAR LA ARQUITECTURA DE RED USADA.

Objetivo: Asegurarse de que el equipo auditor conozca la tecnología y
arquitectura de red de la organización.
A 6.1
Consultar que tipo de arquitectura es usada.
Administración y Referencia de Aprobación
Programa elaborado por: RNE
Firma:
Programa aprobado por:
Firma:
Equipo de Compromiso: Iniciales
Iliana Ramos R
Juan Navarro N
Juan Espinoza E

Programas de Auditoria Final

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Programas de Auditoria Final

Cargado por

Copyright:

Formatos disponibles

Preparado por: Autores: Iliana Ramos

Programa de Auditoria Juan Navarro

A 2.0 Infraestructura Física

A 3.0 Infraestructura Lógica

A 4.0 Evaluación Física del Sistema CCTV

Asig. Sec. Sub - Pasos de Auditoria Fecha Ref. Inicciales

A 2.0 Ciclo de vida del desarrollo de software.

A 3.0 Presupuesto y calendario

A 4.0 Riesgos del proyecto software

A 5.0 Plan del proyecto software

B 2.0 Gestion de cambios de requerimiento

B 3.0 Identificar inconsistencias

C 2.0 Monitorizacion de cumpliemtos

C 3.0 Monitorizar riesgos

C 4.0 Revision del proyecto software

C 5.0 Revisiones de hitos

C 6.0 Gestionar acciones correctivas

D 3.0 Analizar datos de la medicion

D 4.0 Comunicar resultados

E 2.0 Sistema de gestion de configuracion

E 3.0 Peticiones de cambio

Entendimiento del sistema.

A 1.1 Determinar quién es responsable del mantenimiento del sistema de climatización

Evaluación Física del Sistema

Verificar el estado y funcionamiento del hidrómetro:

A 2.6 Verificar el historial de alarmas y bitácora

A 2.7 Verificar estado del condensador

A 2.8 Realizar pruebas de control de fugas de tubería

Entender la estructura Física del Departamento de TI.

* Fecha de Ultimo Mantenimiento

B 1.0 Entendimiento del Sistema

B 2.0 Infraestructura Física

B 3.0 Evaluación Física del Sistema

C 2.0 Mantenimiento del sistema de autoapagado de incendios.

 Solicitar el documento Procedimientos para acceso a recursos

A 1.3 Verificar el cumplimiento de los procedimientos establecidos para la

A 2.2 Registrar actividades de los usuarios en la red.

A 4.0 EVALUAR EL CABLEADO DE LAS ESTACIONES DE TRABAJO

A 5.0 DETERMINAR LA TOPOLOGÍA USADA

A 6.0 DETERMINAR LA ARQUITECTURA DE RED USADA.

Programa elaborado por: RNE

Programa aprobado por:

Equipo de Compromiso: Iniciales

También podría gustarte