Tipos de Redes y conexiones

¿Existe una función formal de administración de la red local?

¿Existe un grado alto de confianza, satisfacción y desempeño que brinda

las redes locales existentes de la entidad?

¿Existen parámetros de medición del desempeño de las redes (bitácoras,

graficas, estadísticas, entre otros)?

¿Existen los suficientes controles y procedimientos de seguridad para la

red de la entidad?

¿Se actualiza constantemente el equipo necesario para el funcionamiento

de los diversos componentes de las redes locales de la entidad?

¿Se encuentra instalado software adecuado para el funcionamiento de la

red local de la entidad?

¿Es la tecnología adecuada utilizada para las funciones requeridas dentro

de la empresa de reparto?

¿el personal utiliza sistemas actualizados constantemente y en red para

tener información real y de inmediato?

¿la entidad de encomienda verifica realiza verificaciones de conexión para que sea

adecuada?
TIPOS DE TRANSACCIONES

¿Conoce que tipos de transacciones realiza la entidad?

¿Las transacciones son eficientes para el uso interno de la entidad?

¿Las transacciones que se realizan son seguras y confiables?

¿Existe algún manual de procedimientos de las transacciones que se realizan dentro

de la entidad?

¿Se estudia la evolución del mercado y la adaptación del personal ante las nuevas

formas de transacciones?

¿Se realizan respaldo de toda la información manipulada a la hora de realizar una

transacción?

¿El sistema de transacciones puede ser actualizado de acuerdo a los avances que se

producen?

¿Al presentar algún inconveniente durante de la transacción hay formas de poder

resolverlo de inmediato?

¿el personal tiene todo el equipo necesario para poder realizar cualquier transacción

que se le presente?
¿Todo el personal esta autorizado para la utilización del equipo de realización de

transacciones?

TIPOS DE TERMINALES Y PROTECCIONES

¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o

causar algún daño a los equipos?

¿El lugar donde se ubica el centro de cómputo está seguro de inundaciones, robo o

cualquier otra situación que pueda poner en peligro los equipos?

¿Los cambios en los sistemas informáticos son consecuencia de la planificación más

que de la presión por necesidades operativas?

¿Se verifican con frecuencia la validez de los inventarios de los archivos y equipo

para el control?

¿Dentro de los tipos de terminales son las más adecuadas?

¿El personal recibe capacitación para su utilización?

¿Toda transacción es segura?

¿hay posibilidad de realizar fraude y manipular los equipos?

¿La entidad cuenta con personal especializado para la verificación de terminales?

¿La protección utilizada se considera segura para las terminales?

TRANSFERENCIA DE FICHEROS Y CONTROLES

EXISTENTES

¿Se realizan periódicamente análisis de información dentro de los sistemas,

presentando un informe de archivos con el objetivo de liberen los dispositivos de

almacenamiento?

¿Se tiene control del personal autorizado para firmar la salida de archivos

confidenciales?

¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que

se devolverán?

¿Se lleva control sobre los archivos prestados por la instalación?

¿Hay procedimientos en caso de robo o extravío de información?

¿Se tiene un responsable, por turno, de los servidores de datos e información?

¿Existe un plan estratégico del departamento de sistema de información?

¿Se conservan las constancias de traslados de información de la entidad?

¿se necesita la aprobación previa para realizar una transferencia de información?

¿los sistemas de control actuales son los mas adecuados para la entidad?

CONEXIONES EXTERNAS A TRAVÉS DE

PASARELAS (GATEWAW) Y ENCAMINADORES
(ROUTERS)

¿Existe un procedimiento para el manejo de la información en ubicaciones

espaciales con sistema frío?

¿El procedimiento para el manejo de la información del cuarto frío lo conoce y lo

sigue el operador?

¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de

almacenamiento, al personal autorizado?

¿Qué medidas se toman en el caso de extravío de algún dispositivo de conexión o

almacenamiento?

¿Las instalaciones asignadas a los equipos de comunicaciones entre servidores son

los adecuados?

¿Se ha realizado algún estudio de planificación del posible efecto de las cargas

normales de trabajo y los picos sobre la exigencia de los equipos?

¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las

normas bajo las cuales se rige?

¿Se dispone de aire acondicionado?

¿La instalación eléctrica del equipo de cómputo es independiente de otras

instalaciones?

¿Los equipos cuentan con una batería y regulador de voltaje?

¿Se tiene switch de apagado en caso de emergencia en algún lugar visible?

¿Tienen un lugar específico para guardar el material de mantenimiento de

hardware?

INTERNET

¿Existe un programa de protección de la información contra virus, spyware y

diferentes ataques cibernéticos?

¿Existe un responsable en caso de falla?

¿La entidad dispone de un plan informático?

¿En los procesos que manejan archivos en línea, ¿Existen procedimientos para

recuperar los archivos?

¿Los procedimientos para recuperar los archivos los conocen los operadores que

administran la página web?

¿Se verifica periódicamente el buen funcionamiento del sistema de internet?

¿se realizan capacitaciones constantes para la utilización adecuada?

¿Se actualiza constantemente los programas de protección de paginas maliciosas?

¿se tiene programas de protección y registro de todo lo que se explora dentro del

internet?

¿El proveedor que proporciona el servicio de internet es eficiente?

CORREO ELECTRONICO

¿Se implementan medidas de seguridad en los correos electronicos de los

empleados para evitar que estos ejecuten programas peligrosos?

¿Los datos de clientes y proveedores se salvaguardan por parte del sistema?

¿Se realizan inspecciones por personal especializado en sistemas de envió de

correspondencia electrónica?

¿Se certifica la destrucción o baja de los archivos defectuosos enviados o recibidos

del correo electrónico?

¿Hay algún tipo de registros de correos entradas y salidas de cada colaborador?

¿existe algún correo específico para cada administrativo dentro de la entidad de

encomiendas?

¿Se borran los archivos enviados por correo o de los dispositivos de

almacenamiento, cuando se desechan estos?

¿Se realizan actualizaciones de cambios de códigos de seguridad constantemente

por seguridad?

¿Se realizan protocolos de seguridad para evitar robo de información?

¿Se capacita al personal para poder actuar de forma adecuada al recibir correos que

sean de procedencia desconocida?

PROTECCION DE PROGRAMAS

¿Se realizan auditorías periódicas a los medios de almacenamiento?

¿el personal informático recibe noticias del momento sobre programación y

tecnología por revistas, notas técnicas, etc.?

¿Se recibe formación y se planifica ésta mediante asistencia a cursos, seminarios,

etc.?

¿Tienen los servidores de datos protección automática contra el fuego?

¿Se tienen procedimientos que permitan la reconstrucción de un archivo, el cual fue

inadvertidamente destruido?

¿Se tienen identificados los archivos con información confidencial y se cuenta con

claves de acceso?

¿Existe un control estricto de las copias de estos archivos?

¿Se usan claves para acceder a las bases de datos?

¿Todos los empleados pueden acceder a estas?

¿se notifica al encargado ante cualquier eventualidad que pueda surgir?

CONTROL SOBRE LAS PAGINAS WEB

¿Conoce sobre páginas web y cómo funciona?

¿Es necesario optar por normas de uso de páginas web?

¿Se supervisan las acciones realizadas dentro de las paginas web?

¿existe algún capacitar del uso correcto de las paginas web?

¿Se realizan charlas constantes sobre el uso correcto de la utilización de páginas

web?

¿Concienciar de los peligros de la WEB?

¿Asegurar el no acceso a contenidos negativos?

¿utiliza softwares originales para garantizar la seguridad de la

información de la entidad?

¿la Entidad dispone de una página web centralizadora de información para sus

clientes y proveedores?

¿El plan recoge eficazmente toda la información necesaria para los diferentes

aspectos relacionados con la función de la página web?

VULNERABILIDAD DE COMUNICACIONES

¿Cuentan con manuales para el uso de la programación de comunicación que se

maneja?

¿El personal sabe del contenido de estos manuales de como fortalecer la

comunicación?

¿Se están siguiendo las directrices marcadas por el plan de llevar una comunicación

eficiente?

¿Se han adoptado medidas de seguridad en el departamento de sistemas de

comunicación?

¿Existen una persona responsable de la seguridad?

 ¿Existe una clara definición de funciones entre los puestos clave?

¿Existen sistemas de respaldo si colapsa la comunicación?

¿La comunicación es totalmente confidencial?

¿tiene sistemas de seguridad de cifrado para salvaguardar toda comunicación que se

realice entre los colaboradores?

¿Se ha instruido al personal sobre qué medidas tomar y como actuar en caso de

acceso no autorizado?

Objetivos generales de una auditoria de

sistemas

• Buscar una mejor relación

costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados por el
PAD

• Incrementar la satisfacción
de los usuarios de los sistemas computarizados

• Asegurar una mayor integridad,

confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y
controles.

• Conocer la situación actual

del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos,
hardware, software e instalaciones

• Apoyo de función
informática a las metas y objetivos de la
organización

• Decisiones de inversión y
gastos innecesarios

Objetivos específicos de la
auditoria de sistemas:

1. Participación en el desarrollo de
nuevos sistemas:

a. Evaluación de
controles

b. Cumplimiento de la
metodología.

2.

3. Evaluación de suficiencia en los

planes de contingencia.

a. Respaldos, prever qué va a pasar

si se presentan fallas.

4. Opinión de la utilización
de los recursos informáticos.

a. Resguardo y protección de
activos.

5. Control de modificación a las

aplicaciones existentes.

a. Fraudes

b. Control a las modificaciones de los

programas.
6. Participación en la
negociación de contratos con los proveedores.

7. Revisión de la utilización
del sistema operativo y los programas

a. Utilitarios.

b. Control sobre la utilización de

los sistemas operativos

c. Programas utilitarios.

8. Auditoría de la base de
datos.

a. Estructura sobre la cual se desarrollan

las aplicaciones.

9. Auditoría de la red de
teleprocesos.

10. Desarrollo de software de

auditoría.

Es el objetivo final de una auditoria de sistemas bien

implementada, desarrollar software capaz de estar ejerciendo un
control continuo de las operaciones del área de
procesamiento de datos.