REVISION DE CONTROLES ADMINISTRATIVOS

EN LA FACULTAD DE CIENCIAS DE LA ADMINISTRACIÓN N OBSERVACIONES

SI N/A
O
1. ADMINISTRATIVOS

DESCRIPCION
1- Existe un plan estratégico de sistemas y es conocido por todas las
X
partes de la Institución?
2- Existe un Comité de sistemas? Anexar Funciones e Integrantes X
3- El comité de sistemas realiza seguimiento al plan estratégico de
X
sistemas?
4- Para cada proyecto de informática se realizan cronogramas y se
X
les hace seguimiento?
5- Se analizan las causas de los proyectos terminados que
X
sobrepasaron el plazo o el presupuesto económico?
6- Existen procedimientos formales y actualizados para la operación
X
del centro de computo? Procesamiento? y Desarrollo
7- Existen políticas para la adquisición y utilización de los recursos
X
informáticos?
8- Se encuentran las funciones del personal de informática
X
delimitadas y documentadas?
9- De acuerdo con la estructura de la organización, el departamento
de informática tiene independencia frente a los departamentos X
usuarios?
10- El personal de informática realiza y aprueba transacciones? de que tipo?
11- Los técnicos y los profesores del ADA de tecnológia tienen acceso
a los datos reales que se encuentran en el equipo servidor aplicativos X
administrativos?
12- Los operadores y administradores de micros tiene acceso a
X
modificar los programas y datos?
13- El administrador de la base de datos tiene acceso a los
X
programas fuente?
14- Existe una adecuada separación de tareas dentro del área
X
informática?
15- El departamento de informática cuenta con un presupuesto
X
anual?
16- Se realiza seguimiento a la ejecución vs. Presupuesto
X
informático?
17- Es coherente la tasa de rotación del personal de informática? X
18- Es satisfactoria la política de contratación del personal de
X
informática?
19- La política de remuneración esta de acuerdo con las normas del
X
mercado?
20- Es suficiente la información del personal para la función que se
X
ejerce?
21- El personal es capacitado suficientemente cuando hay cambios
X
tecnológicos?
X
22- Se realiza evaluación de desempeño al personal de informática?
23-Se realiza análisis de riesgo a los cargos del personal de
X
informática?
24- Se realiza un proceso de selección detallado y un seguimiento
continuo a los cargos de informática clasificados en los niveles de X
riesgo alto y medio?
2. EQUIPOS

DESCRIPCION N
SI N/A OBSERVACIÓN
O
1- Se cuenta con un inventario detallado y actualizado de los equipos
X
de computo?
2- Existe un procedimiento eficiente para comunicar las fallas en la No hay evidencia de
X
utilización de los equipos? procedimiento escrito
3- Existen procedimientos para la instalación de los equipos? X
4- Se lleva una bitácora por cada servidor, donde se registre las
X
actividades realizadas y problemas presentados?
5- Se tiene un procedimiento definido para el retiro de los equipos de
computo?
6- Se cuenta con manuales de operación de los equipos? X
7- Se lleva un control de los manuales y están bajo custodia y
X
responsabilidad de una persona?
8- Existen y se evalúan los estándares de desempeño de los
X
equipos? Con la garantía
9- Los servidores y aquellos otros equipos de criticidad alta, cuentan
X
con mantenimiento preventivo y correctivo?
10- Los mantenimientos son oportunos y de buena calidad? X
11- Existe un cronograma de los distintos mantenimientos planeados
X
para los equipos?
12- Se cuenta con pólizas de seguro que cubran la totalidad de los
X
equipos de computo?
13- El cubrimiento de las pólizas es total? X IDEM
14- Están vigentes las pólizas de seguro? X
15- Para los equipos considerados como críticos, se tienen
X
identificados cuales equipos servirían de respaldo?
16- Existen políticas de seguridad, uso y administración de los
X
equipos de computo?
17- Se realiza seguimiento al cumplimiento de dichas políticas? X
18- El usuario es el responsable de la custodia y manejo de los
X
micros e impresoras asignados a su cargo? solo administrativo
19- Abrir los equipos de computo para retirar o instalar partes es
X
función exclusiva de personal de informática?
20- Son utilizados los equipos de computo ara realizar trabajos
X
personales de los usuarios o terceros?
21- Para traslado físico de los equipos, tanto interna como
X
externamente, se requiere autorización del jefe de informática?
22- Esta prohibido el consumo de alimentos en zonas de instalación
X
de equipos de computo?
23- Se encuentran elementos colocados encima de los equipos de
X
computo?
24- En los multitomas con corriente regulada solo se encuentran
X
conectados equipos de computo?
25- Se cuentan con forros para los equipos y esto son utilizados por
X
los usuarios?
26- Se realiza limpieza a los discos de los servidores y micros
X
asignados a los usuario?

3. SOFTWARE

DESCRIPCION N
SI N/A OBSERVACIÓN
O
1- Se lleva un inventario detallado y actualizado del software de la
X
Facultad?
2- Hay una persona responsable de actualizar el inventario del
X
software?
3- Todo el software instalado en la compañía cuenta con su
X
respectiva licencia de uso?
X
4- Las licencias físicas, se encuentran inventariadas y bajo custodia?
5- Se tiene estrictamente prohibido a los usuarios instalar software en
X
los equipos?
6- Se verifica periódicamente que los usuarios no hayan instalado
X
software en sus equipos?
7- Cada aplicación cuenta con los manuales de usuario, técnico y
X
procedimientos?
8- Dichos manuales son completos y se encuentran actualizados? X
9- Se cuenta con un procedimiento para los cambios de los
X
programas?
 X
10- Los cambios en las aplicaciones son aprobados por los usuarios?
11- Por cada aplicación, se lleva un registro de la fallas que se
X
presentan, documentando la solución?
12- Existe políticas y procedimientos claros para la instalación del
X
software?
13- Se cuenta con procedimientos y políticas para la instalación del
X
software?
14- Se tiene definido un software estándar en la compañía? X
15- Se cuentan con políticas de seguridad, uso y administración del
X
software?
16- Se tiene prohibido a los empleados la copia, venta y distribución
X
del software y manuales?
17- En el desarrollo de aplicaciones, se tienen definidos los
X
estándares de programación y documentación?
18- Se cuenta con software antivirus en los equipos? X
4. COPIAS DE SEGURIDAD

DESCRIPCION N
SI N/A OBSERVACIÓN
O

1- Existen copias de respaldo de todo el software y datos que X

requieren las aplicaciones para poder operar? -Datos -Programas
fuente - Programas Objeto - Sistemas operativos - Software Utilitario
2- Existen copias de respaldo completas que se guarden en un lugar
X
externo a la Facultad?
3- Se lleva un inventario de las copias internas y externas? X
4- Las copias de respaldo internas se realizan diariamente y las
X
externas mínimo una vez por semana?
5- Las copias internas y externas se realizan en diferentes juegos de
X
medios magnéticos?

6- Se tienen identificadas las personas responsables de la realización X

y control de las copias de seguridad para los servidores y micros?
7- El lugar donde se guardan las copias de seguridad internas como
externas, cuentan con las medidas de seguridad apropiadas? - X
Acceso restringido - Controles de Humedad, Humo y temperatura -
lugar limpio e iluminado - existen Extintores
8- Existen procedimientos para la realización de las copias de
X
respaldo o recuperaciones?
9- Se lleva un control de tiempo de vida útil de los medios magnéticos
X
para realizar su renovación?
10- Se borran los archivos y se destruye completamente el medio
X
magnético, cuando este es desechado?
11- Se realizan pruebas periódicamente a las copias de respaldo,
X
para asegurar que estén correctas y completas?
12- Para las copias que se guardan externamente, se tienen
identificadas las personas que están autorizadas para entregar y X
recibir esas copias?
13- Existe un procedimiento para la entrega / recibo de las copias de
X
respaldo externas?
14- Se tiene estimado un tiempo máximo para recibir una copia que
X
se encuentra en el lugar externo?
5. CONTROLES EN LA SEGURIDAD FISICA

DESCRIPCION N
SI N/A OBSERVACIÓN
O
1- Existe un plan de contingencia, que permita la continuidad de las
X
operaciones fundamentales de la Facultad?
2- Se encuentra actualizado el plan de contingencias? X
3- Se prueba el plan periódicamente? X
4- El acceso al centro de computo esta permitido solo para el
X
personal autorizado?
5- Los servidores se encuentran localizados en sitios cerrados y en
X
áreas diferentes a la de atención del publico?
6- El área del centro de computo cuenta con medidas adecuadas de
seguridad? - control de acceso - controles de humedad, humo, X
temperatura - lugar limpio e iluminado
7- Los multitomas con corriente regulada están identificados y su uso
X
es exclusivo para los equipos?
8- Se encuentran cerca al centro de computo extintores especiales
X
para equipos y su fecha de vencimiento esta vigente?
9- Se encuentra personal adiestrado en técnicas de extinción de
X
incendios?
10- La ubicación del centro de computo es la adecuada? X
11- La totalidad de los equipos de computo esta conectada a
X
reguladores de voltaje?
12- Los equipos están conectados a una UPS? X
X
13- Es del conocimiento de los usuarios el tiempo que dura la UPS?
14- Se realiza mantenimiento a la UPS? X
6. CONTROLES EN LA SEGURIDAD LOGICA

DESCRIPCION N
SI N/A OBSERVACIÓN
O
1- ¿ Existen procedimientos para la creación, cambio o anulación de
X
los accesos a las diferentes aplicaciones ? INSTITUCIONAL OITEL
2- ¿ El jefe de cada área es quien aprueba los accesos a las
X
aplicaciones correspondientes a su área?
3- ¿ Los permisos de acceso definidos a cada usuario van de
X
acuerdo con las funciones que éste desempeña?
4- ¿ Se elimina oportunamente los accesos a los sistemas de
X
información del personal retirado o trasladado ?
X
5- ¿ Se revisa periódicamente los accesos asignados a los usuarios ?
6- ¿ Existen políticas que deben seguir los usuarios para el buen
X
manejo de la palabra clave?
7- ¿ La clave de acceso es confidencial y personal ? X
8- ¿Los usuarios cambian periódicamente la palabra clave (mínimo
X
cada mes)?
9- ¿El sistema pide automáticamente el cambio de la palabra clave
X
después de un tiempo determinado?
10- ¿Las palabras claves tienen mínimo una longitud de 6
X
caracteres?
11-¿La palabra clave tiene una composición variada de caracteres
X
(números, letras y caracteres especiales?
12- ¿El sistema guarda al menos las 3 ultimas contraseñas utilizadas
X
por el usuario?
13- ¿Después de varios intentos de acceso inútiles el usuario es
X
desconectado ?
14- ¿Las contraseñas son cifradas, de tal forma que no aparezcan
X
visibles en las pantallas y listados?
X
15- ¿Para las transacciones críticas de cada aplicación se deja Log? Fayol
16-¿El Log que deja el sistema es revisado periódicamente? X Fayol
17- ¿Para los usuarios existe restricción de acceso al sistema
X
operativo?
7. CONTROLES EN LA RED DE COMUNICACIONES

DESCRIPCION N
SI N/A OBSERVACIÓN
O
1- ¿Se lleva un inventario detallado y actualizado de los equipos y
X
software de comunicaciones? OITEL
2- ¿Los equipos de comunicaciones cuentan con mantenimiento
X
preventivo y correctivo? OITEL
3- ¿Se llevan bitácoras para registrar las fallas presentadas en la red
X
de comunicaciones? OITEL
4- ¿ Se documentan las soluciones dadas a las fallas presentadas en
X
las comunicaciones ? OITEL
X
5- ¿Existen procedimientos para la instalación y operación de la red? OITEL
6- ¿Se cuenta con un plan de contingencia para la recuperación de
X
los sistemas de comunicaciones? OITEL
7- ¿El acceso a la red de comunicaciones es restringido? X OITEL
8- ¿El sistema detecta cualquier intento de acceso no autorizado a la
X
red de comunicaciones? OITEL
9- ¿Se llevan estadísticas de tiempos de respuesta, porcentaje de
X
errores, retransmisiones, tráfico, etc.? OITEL
10- ¿Se lleva una documentación completa y actualizada de la red de
X
comunicaciones? OITEL
11- ¿Se aplican técnicas de criptografía cuando se va a transmitir
X
información? OITEL
12- ¿El sistema deja un registro (Log) de los usuarios que ingresan a
X
la red y el tipo de transacción que realizaron? OITEL
13- ¿Es revisado el Log periódicamente? X OITEL
14- ¿Se tiene definida la política para distribuir a las diferentes áreas
X
de la compañía los costos por el uso de la red? OITEL
 PESO RESULTADO
FACTORES INTERNOS CLAVES RELATIVO VALOR SOPESADO Ponderación

1 Plan estratégico 0.2 1 0.2 0 la tendencia a cero es nada importante

Procedimientos formales y actualizados para la operación del centro de computo
(procedimientos: administrativos, seguridad logica, hardware, software y redes) y que
2 estén bajo la responsabilidad de una persona (custodia) 0.1 2 0.2 1 la tendencia a uno es muy importante
3 Funciones del personal de informática delimitadas y documentadas 0.05 4 0.2

4 El departamento de informática tiene independencia frente a los departamentos usuarios 0.1 1 0.1 Valor
5 El personal es capacitado suficientemente cuando hay cambios tecnológicos? 0.05 1 0.05 1 Debilidad mayor
Inventario detallado y actualizado del hardware, redes y software con sus respectivas
6 licencias (aplicativo y operativo) 0.05 4 0.2 2 Debilidad menor
7 Procedimiento eficiente para comunicar las fallas en la utilización de los equipos 0.05 2 0.1 3 Fortaleza menor
Bitácora por cada servidor, donde se registre las actividades realizadas y problemas
8 presentados 0.1 1 0.1 4 Fortaleza mayor
9 Politicas y normas generales en el area tecnologíca 0.1 1 0.1
Copias de respaldo de todo el software y datos que requieren las aplicaciones para poder
operar? -Datos -Programas fuente - Programas Objeto - Sistemas operativos - Software
10 Utilitario 0.1 4 0.4
11 Plan de contingencia en general 0.1 1 0.1
1 1.75
Resultado del diagnostico
Sin importar cuantos factores se incluyan en la matriz del factor interno el resultado total
sopesado se compara con un promedio de 2.5 y de acuerdo a lo obtenido podemos
observar que tenemos una debilidad interna (1.75)