CASO PRACTICO 01 INDICE 1. Proforma de auditoria 2. Propuesta tcnica 2.1 Diagnostico de la situacin actual 2.2 Programa de auditoria 2.

3 Informe final de la auditoria 2.4 Documento de trabajo 2.4.1. Organizacin y administracin del rea 2.4.2. Seguridad Fsica Y Lgica 2.4.3. Desarrollo y mantenimiento de los sistemas de aplicaciones 2.4.4. Relevamiento de Hardware 2.4.5. Relevamiento De Software 2.4.6. Comunicaciones 1. PROFORMA DE AUDITORIA Auditoria informtica a la Cooperativa Mobilia NetWorks a cargo de Pamela Zapata Zamudio Seores Cooperativa Mobilia NetWorks Lima Per De nuestra consideracin Nos es grato someter a vuestra consideracin nuestra propuesta para la prestacin de los servicios profesionales de auditora informtica. Nuestra empresa tiene un particular inters en poder servir a la Cooperativa Mobilia Networks y habr de comprometer sus mejores recursos humanos y tcnicos para hacerlo. Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia, creatividad y por sobre todo, espritu de trabajo y dedicacin. Una caracterstica de la modalidad de servicio es el contacto personal con el cliente, en especial de los socios y gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de anticiparnos a los problemas. A. Descripcin de los servicios a ser prestados Asesorar a la Direccin para mejorar el Control Interno y el resguardo de los Activos. Emitir informes sobre los trabajos realizados y los cambios propuestos. Mantener reuniones con la Direccin y la Gerencia.

B. Equipo de trabajo El equipo de trabajo estar dirigido por un Socio de la Firma, quin ser el responsable de asegurar que reciban un servicio de la ms alta calidad. El trabajo de campo ser ejecutado por personal capacitado y experimentado en el rea informtico. C. Plazos e informes Los informes sern entregados en un plazo no mximo de 2 semanas, una vez discutido previamente con el personal afectado y con la alta Gerencia. Quedamos a vuestra disposicin para efectuar las aclaraciones o ampliaciones que Uds. Consideren necesarias. Sin otro particular, los saludamos muy atentamente. Pamela Zapata Zamudio

2. PROPUESTA TCNICA 2.1 Diagnostico de la situacin actual Presentacin de la empresa: Cooperativa Mobilia Networks ROL BASICO Se dedica al trabajo de imprenta y desarrollo de pginas web. NATURALEZA Produccin y comercializacin. UBICACIN Se encuentra ubicado en el distrito de Huacho, provincia de Huaura, calle Bolognesi N 271. ORGANIGRAMA DE LA EMPRESA - Asamblea General de Socios - Gerencia General: Administracin Comercializacin Produccin Informtica

ORGANIGRAMA DEL REA INFORMTICA - Gerencia de Informtica: Anlisis y Programacin Diseo Desarrollo 2.2 PROGRAMA DE AUDITORIA PROGRAMA DE AUDITORIA EMPRESA: Cooperativa Mobilia Networks FECHA: HOJA N FASE ACTIVIDAD
I VISITA PRELIMINAR  Solicitud de Manuales y Documentaciones.  Elaboracin de los cuestionarios.  Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos. DESARROLLO DE LA AUDITORIA  Aplicacin del cuestionario al personal.  Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.  Evaluacin de la estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades.  Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros, mobiliario y equipos.  Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema.  Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo. III REVISION Y PRE-INFORME  Revisin de los papeles de trabajo.  Determinacin del Diagnostico e Implicancias.  Elaboracin de la Carta de Gerencia.  Elaboracin del Borrador. INFORME  Elaboracin y presentacin del Informe. 16 Hs.

HORAS ESTIMADAS 8 Hs.

ENCARGADOS

II

32 HS.

PROGRAMA DE AUDITORIA

IV

4 Hs.

2.3 INFORME FINAL DE LA AUDITORIA Encarnacin, 02 de Junio de 2.011 Seores Cooperativa Mobilia Networks Atte. Sr. Gerente Omar Paredes De nuestra consideracin: Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance del trabajo de Auditora del rea de Informtica practicada, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado en las siguientes secciones: A. Organizacin y Administracin del rea B. Seguridad fsica y lgica C. Desarrollo y mantenimiento de los sistemas de aplicaciones El Contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis: a. Observaciones: Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables: Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. ndice de importancia establecida: Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto (acciones correctivas inmediatas) 1 = Alto (acciones preventivas inmediatas) 2 = Medio (acciones diferidas correctivas) 3 = Bajo (acciones diferidas preventivas) d. Sugerencias: Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas. Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan informtico; falta de organizacin y administracin del rea; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a todos sus clientes. Agradecemos Cooperativa. la colaboracin prestada durante nuestra visita por todo el personal de la

Atentamente. Pamela Zapata Zamudio

2.4 DOCUMENTO DE TRABAJO 2.4.1. Organizacin y administracin del rea 1. Comit y Plan Informtico a. Observaciones y No existe un Comit de Informtica o al menos no se encuentra formalmente establecido. y No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos. b. Efectos y/o implicancias probables y Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean parciales, tanto en Hardware como en Software. y Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o prestaciones que se deban implementar para atender la operatoria de la Cooperativa. c. Sugerencias y Establecer un Comit de Informtica integrado por representantes de las reas funcionales claves (Gerencia Administrativa, responsables de las reas Operativas, responsables de Informtica y el responsable Contable). y Reunirse por lo menos una vez al mes. y Trazar los lineamientos de direccin del rea de Informtica. y Implementar normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de las soluciones que se desarrollen y/o se requieran de terceros. 2. Organizacin y Administracin del rea a. Observaciones y El rea adolece de una estructura organizacional. y Ausencia de manual de funciones para cada puesto de trabajo dentro del rea. b. Efectos y/o implicancias probables y Al no tener una correcta estructura organizacional, disminuye la optimizacin de procesos en la compaa. As como tambin, el no tener definido las funciones de cada personal, genera confusin en las labores en cada integrante de la empresa. c. Sugerencias y Establecer una estructura organizacional del rea de la siguiente manera:  Gerencia del rea Informtica.  Jefe del rea.  Desarrollo y mantenimiento de aplicaciones.  Soporte tcnico.  Centro de atencin a usuarios. y Se establezca un manual de funciones para cada uno de los cargos funcionales en que se sub-divida el rea de cmputos.

2.4.2. Seguridad Fsica Y Lgica 1. Entorno General a. Observaciones *No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. *No existe detectores, ni extintores automticos. *Existe material altamente inflamable. *Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. *No existe un puesto o cargo especifico para la funcin de seguridad Informtica. b. Efectos y/o implicancias probables *Probable difusin de datos confidenciales. *Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. *Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas. c. ndice de importancia establecida ..0 ( cero ) d. Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere: *Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. *Colocar detectores y extintores de incendios automticos en los lugares necesarios. *Remover del Centro de Cmputos los materiales inflamables. *Determinar orgnicamente la funcin de seguridad. *Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten.

Diagrama propuesto por Yan Darrien.: 1. LA ORGANIZACIN GENERAL DEL SERVICIO INFORMATICO 2. LOS PROCEDIMIENTOS DE DESARROLLO Y MANTENIMIENTO DEL SOFTWARE 3. EL ENTORNO DE PRODUCCIN 4. LAS FUNCIONES DE ASISTENCIA TCNICA 5. LA PROTECCION Y LA CONFIDENCIALIDAD DE DATOS A. LA ORGANIZACIN GENERAL DEL SERVICIO INFORMATICO 1. la estructura del servicio informatico 1.1. Existe un organigrama escrito del departamento de informtica? Si 2. La planificacin de la actividad informtica 2.1. Existe un comit informtico, responsable de las principales decisiones estratgicas?

No 2.2. Hay un plan informtico? No 3. El seguimiento de costos 3.1. Hay un presupuesto informtico? Si 3.2. Se justifican sistematicamente los incrementos de costo? Si 3.3. Hay un seguimiento de la actividad del personal de informtica? Si 3.4. Se facturan los costos de la informtica a los servicios de los usuarios? No 3.5. Hay en el seno del servicio de informacin una funcin de auditor de funcin? No 4. Las prcticas contables y financieras 4.1. La eleccin del modo de financiacin de los equipos, es econmicamente satisfactoria? Si 4.2. Son coherentes los perodos de amortizacin elegidos para los equipos y, en caso, para el software, con un perodo de utilizacin previsible? Si 5. Las relaciones con los servicios de los usuarios 5.1. Hay un seguimiento de la calidad del servicio prestado? Si 5.2. Est previsto en el servicio de usuarios una funcin de corresponsal informtico? Si 5.3. Se tienen en cuenta en el diseo de nuevas aplicaciones los problemas relacionados con la organizacin de los servicios de usuarios y con la adecuacin de los procedimientos administrativos? Si 6. La separacin de funciones 6.1. Hay en la organizacin del servicio informtico una separacin entre las funciones del personal de usuarios, de estudios y de explotacin? Si 7. El control de la actividad 7.1. Se efectan regularmente misiones de auditora de la actividad informtica? Si 8. El entorno social 8.1. Es coherente la tasa de rotacin del personal informtico? Si 8.2. Es satisfactoria la poltica de seleccin de personal? Si 8.3. La poltica de remuneraciones est de acuerdo con las normas del mercado? No 8.4. Es coherente la cualificacin del personal con la funcin que ejerce? Si 8.5. Est controlado el recurso de colaboradores externos? Si

8.6. Ha habido en el pasado hechos significativos en materias de gestin de personal? No 8.7. El inters tcnico de la actividad informtica permite una motivacin satisfactoria del personal? Si 8.8. Es suficiente la formacin del personal? No 8.9. El contexto general de la empresa es fuente de motivacin? Si 9. Las relaciones con los proveedores 9.1. Existe una licitacin o concurso para la eleccin de los suministradores de equipos o de software? No B. LOS PROCEDIMIENTOS DE DESARROLLO Y MANTENIMIENTO DEL SOFTWARE 1. La metodologa de desarrollo de las aplicaciones 1.1. Se realiza siempre un estudio de oportunidad previo al lanzamiento del diseo de una nueva aplicacin? 1.2. Ante todo desarrollo de software o toda adquisicin de programas, es analizan las ventajas y los inconvenientes respectivos de la adquisicin de un programa y de la realizacin de un sistema especfico? 1.3. Se redacta un pliego de condiciones previo al lanzamiento de la realizacin del nuevo software? 1.4. Existen normas en materia de desarrollo de aplicaciones? 1.5. Existen normas en materia de programacin? 1.6. Se utilizan herramientas CASE? 1.7. Se prevn en el proceso de desarrollo de nuevas aplicaciones las principales fases de puesta en prctica de un proyecto? 1.8. Se ha llevado a cabo regularmente un seguimineto del avance y de los costos de los proyectos? 1.9. Son los proyectos objeto de una coordinacin suficiente? 2. La calidad del software 2.1. Se procede con regularidad a los controles de calidad del software producido? 2.2. Los nuevos colaboradores son objeto de una atencin especial? 2.3. Es satisfactoria la calidad de los programas producidos por el estudio? 3. La documentacin 3.1. Es satisfactoria la calidad de la documentacin producida? 4. El mantenimiento 4.1. Que procedimientos de mantenimiento de software se formalizan? C. EL ENTORNO DE PRODUCCION 1. Los procedimientos de puesta en explotacin 1.1. Son satisfactorios los procedimientos de puesta en explotacin del software? 2. Los procedimientos de toma de datos 2.1. Los principios de un buen control interno, se respetan en el software de toma de datos? 3. La ejecucin de los procesos en tiempo diferido 3.1. La ejecucin de trabajos en tiempo diferido es objeto de una planificacin?

3.2. Se asume de manera satisfactoria la funcin de preparacin de los trabajos? 3.3. Las cadenas de proceso son sistemticamente objeto de controles a posteriori? 3.4. Estn claramente definidas las modalidades de recuperacin de la explotacin de la cadena en caso de incidente? 4. El control de supervisin del entorno de produccin 4.1. Existen herramientas de control y de asistencia destinadas a los digitadores? 5. El control de la calidad de la produccin informtica 5.1. Hay un seguimiento de la calidad de las prestaciones suministradas? 5.2. Existe un seguimiento destinado a optimizarlas actuaciones del sistema informtico? 5.3. Se edita y archiva sistemticamente el diario a bordo del (de los) ordenador (es)? 6. La gestin del espacio en disco 6.1. Se realiza regularmente un anlisis del contenido de los discos para suprimir archivos intiles? 6.2. La implantacin de archivos en los discos es objeto de una optimizacin? 7. La gestin de las bibliotecas de programas 7.1. Se conservan en bibliotecas, solo programas efectivamente utilizados? 7.2. Existen en bibliotecas los programas fuente de los programas ejecutables en uso? 7.3. Existe la seguridad de acceso a las bibliotecas? 8. La gestin de las copias de seguridad 8.1. Se salvaguarda regularmente el conjunto del software y archivos necesarios para el desarrollo y la explotacin? 8.2. Permiten las copias de seguridad resolver en un plazo satisfactorio todos los tipos de fallos? 8.3. Cuando el acervo lo justifica, hay un software de gestin d cintas o cartuchos? 8.4. Responde la gestin de las copias de seguridad a las obligaciones en materia de archivo? 8.5. Se llevan a cabo copias de seguridad en emplazamientos externos? 9. Los procedimientos de recuperacin en emplazamientos externos 9.1. Est previsto un procedimiento que permita en un plazo satisfactorio un nuevo arranque en otro emplazamiento? 9.2. Cuando la recuperacin en un emplazamiento externo implica la aplicacin de procedimientos deteriorados, han sido definidos estos? 9.3. Los procedimientos de recuperacin en un emplazamiento externo son comprobados con regularidad? 10. La seguridad fsica 10.1.Est protegido el acceso fsico al entorno informtico? 10.2.Est controlado el acceso fsico al lugar de almacenamiento de las cintas o cartuchos magnticos? 10.3.Los locales estn protegidos contra incendios? 10.4.Los locales estn protegidos contra los daos por agua? 10.5.Est el centro informtico protegido contra los fallos de fluido elctrico? 10.6.Se ha previsto un sistema de deteccin de intrusin? 11. Los seguros 11.1.Se han previsto seguros que cubran los riesgos en el entorno informtico? 12. La obligaciones legales de declaracin 12.1.Est la empresa suscrita al conjunto de declaraciones obligatorias? D. LAS FUNCIONES DE ASISTENCIA TCNICA

1. Las bases de datos 1.1. Hay un administrador de datos? 1.2. Se utiliza un diccionario de datos? 1.3. Se procede a tareas de bsqueda de optimizacin de la base de datos? 1.4. Se controla regularmente la integridad de las bases y la coherencia de los datos? 2. La gestin de redes 2.1. Existe una clula tcnica de gestin de redes? 2.2. Existe una clula de asistencia de red? 2.3. Estn controlados los accesos a la red? 2.4. Se han previsto tcnicas de salvaguarda y recuperacin especiales para la utilizacin de la aplicacin en procedimiento a distancia? 2.5. Si las aplicaciones lo necesitan, se ha previsto procedimientos de backup de la red? 3. La microinformtica 3.1. Estn coordinadas la adquisicin y la utilizacin de microordenadores? 3.2. Se pone cuidado para que la microinformtica no se transforme en el soporte de un desarrollo anrquico de aplicaciones autnomas y heterogneas? 3.3. Est controlado el acceso a las aplicaciones o a los datos sensibles gestionados por microordenadores? 3.4. Se toman las medidas especficas para limitar los riesgos de robo de los microordenadores? 3.5. La empresa no incurre en ninguna sancin penal por la implantacin de programas sin licencia de utilizacin? 3.6. Se ejecutan regularmente programas deteccin de virus en los microordenadores? 4. Los mtodos 4.1. Hay en la empresa una funcin de responsable de mtodos? 4.2. Las normas son objeto de una difusin sistemtica al conjunto de los colaboradores involucrados? 4.3. Efecta regularmente, el responsable de mtodos, los controles con vistas a la aplicacin efectiva de las normas? 5. El infoservicio 5.1. Las herramientas de infoservicio estn bien adaptadas para la utilizacin por parte de los no informticos? 5.2. Est controlado el acceso a las herramientas de infoservicio? 5.3. No se desvan las herramientas de infoservicio de su objetivo original en provecho del desarrollo de aplicaciones pirata ? 5.4. Se vigilan las cargasmquina imputables al infoservicio? 6. La funcin sistema 6.1. Se ha creado en los grandes centros un entorno especfico para los ingenieros de sistemas? 6.2. Si se ha elegido un software de base internamente, se ha justificado debidamente esta eleccin? 7. La funcin seguridad 7.1. Hay en la empresa una funcin de gestin de riesgos? 7.2. Hay un responsable de la seguridad en el departamento de informtica? 7.3. Hay un plan de seguridad informtico? E. LA PROTECCION Y LA CONFIDENCIALIDAD DE DATOS 1. Las contraseas se atribuyen individualmente a cada usuario?

2. Las contraseas deben modificarse regularmente? 3. Las contraseas son suficientemente sofisticadas ? 4. Se protege el cuadro de contraseas? 5. Es posible detectar las tentativas de acceso no autorizadas? 6. Despus de varias tentativas de acceso infructuoso, son desconectados los usuarios? 7. Se ha sensibilizado a los usuarios de los riesgos que puede originar el prstamo de sus contraseas? 8. Existen sistemas de autorizacin de acceso por medio de tarjetas magnticas? 9. Existen otros sistemas de identificacin? 10. El acceso a las aplicaciones transaccionales est protegido por contraseas? 11. Est prohibido a los usuarios el acceso al editor? 12. Est protegido con contrasea el arranque de programas en tiempo diferido? 13. Est estrictamente reglamentado el acceso al software de sistema de actualizacin de archivos? 14. La utilizacin de herramientas de infoservicio impide toda modificacin de los archivos de produccin? 15. Est previsto el control de acceso a los datos? 16. Estn previstos los controles de acceso a las bibliotecas? 17. Estn previstos los controles de acceso por volumendisco fsico? 18. Los controles de contrasea estn controlados en las tablas y no estn incluidos en bruto en los programas? 19. El software de control de autorizacin de acceso permite discernir entre la autorizacin de consultas de los datos y la autorizacin de actualizacin de los mismos? 20. Se ha implantado un software de control de la seguridad? 21. Hay un responsable de autorizaciones de acceso? 22. Las habilitaciones estn acordes con el principio de un buen control interno? 23. Est previsto un procedimiento de identificacin fsica del terminal que se conecta? 24. En la utilizacin de redes pblicas, se prevn, si esto es posible, procedimientos de recuperacin automtica del comunicante? 25. Los datos mas sensibles son objeto de codificacin? 26. Est previsto para algunos archivos o programas extremadamente sensibles que solo sean cargados en el momento de su ejecucin? 27. El acceso al parque de cartuchos o cintas est reglamentado? 28. Para los archivos sensibles se evitan los procedimientos de envos por mensajero? 29. Se han incluido en los archivos sensibles trampas que permitan comprobar que no hayan sido divulgados en el exterior? 30. Estn previstos, si fuera necesario, procedimientos de validacin de los datos contenidos en los archivos sensibles? 31. Exista un software que permita controlar la lectura y la reescritura de las cintas o cartuchos magnticos? 32. Se ha previsto un procedimiento de control especfico en el momento de la edicin de listados sensibles? 33. Se ha previsto la destruccin sistemtica despus de la utilizacin de los listados que contengan informaciones sensibles? 34. Se ha previsto la codificacin de las informaciones confidenciales que circulan en las redes pblicas o privadas?

Diagrama propuesto por Yan Darrien.: 1. LA ORGANIZACIN GENERAL DEL SERVICIO INFORMATICO 2. LOS PROCEDIMIENTOS DE DESARROLLO Y MANTENIMIENTO DEL SOFTWARE 3. EL ENTORNO DE PRODUCCIN 4. LAS FUNCIONES DE ASISTENCIA TCNICA 5. LA PROTECCION Y LA CONFIDENCIALIDAD DE DATOS A. LA ORGANIZACIN GENERAL DEL SERVICIO INFORMATICO 1. la estructura del servicio informatico 1.1. Existe un organigrama escrito del departamento de informtica? Si 2. La planificacin de la actividad informtica 2.1. Existe un comit informtico, responsable de las principales decisiones estratgicas? No 2.2. Hay un plan informtico? No 3. El seguimiento de costos 3.1. Hay un presupuesto informtico? Si 3.2. Se justifican sistematicamente los incrementos de costo? Si 3.3. Hay un seguimiento de la actividad del personal de informtica? Si 3.4. Se facturan los costos de la informtica a los servicios de los usuarios? No 3.5. Hay en el seno del servicio de informacin una funcin de auditor de funcin? No 4. Las prcticas contables y financieras 4.1. La eleccin del modo de financiacin de los equipos, es econmicamente satisfactoria? Si 4.2. Son coherentes los perodos de amortizacin elegidos para los equipos y, en caso, para el software, con un perodo de utilizacin previsible? Si 5. Las relaciones con los servicios de los usuarios 5.1. Hay un seguimiento de la calidad del servicio prestado? Si 5.2. Est previsto en el servicio de usuarios una funcin de corresponsal informtico? Si 5.3. Se tienen en cuenta en el diseo de nuevas aplicaciones los problemas relacionados con la organizacin de los servicios de usuarios y con la adecuacin de los procedimientos administrativos? Si

6. La separacin de funciones 6.1. Hay en la organizacin del servicio informtico una separacin entre las funciones del personal de usuarios, de estudios y de explotacin? Si 7. El control de la actividad 7.1. Se efectan regularmente misiones de auditora de la actividad informtica? Si 8. El entorno social 8.1. Es coherente la tasa de rotacin del personal informtico? Si 8.2. Es satisfactoria la poltica de seleccin de personal? Si 8.3. La poltica de remuneraciones est de acuerdo con las normas del mercado? No 8.4. Es coherente la cualificacin del personal con la funcin que ejerce? Si 8.5. Est controlado el recurso de colaboradores externos? Si 8.6. Ha habido en el pasado hechos significativos en materias de gestin de personal? No 8.7. El inters tcnico de la actividad informtica permite una motivacin satisfactoria del personal? Si 8.8. Es suficiente la formacin del personal? No 8.9. El contexto general de la empresa es fuente de motivacin? Si 9. Las relaciones con los proveedores 9.1. Existe una licitacin o concurso para la eleccin de los suministradores de equipos o de software? No B. LOS PROCEDIMIENTOS DE DESARROLLO Y MANTENIMIENTO DEL SOFTWARE 1. La metodologa de desarrollo de las aplicaciones 1.1. Se realiza siempre un estudio de oportunidad previo al lanzamiento del diseo de una nueva aplicacin? 1.2. Ante todo desarrollo de software o toda adquisicin de programas, es analizan las ventajas y los inconvenientes respectivos de la adquisicin de un programa y de la realizacin de un sistema especfico? 1.3. Se redacta un pliego de condiciones previo al lanzamiento de la realizacin del nuevo software? 1.4. Existen normas en materia de desarrollo de aplicaciones? 1.5. Existen normas en materia de programacin? 1.6. Se utilizan herramientas CASE? 1.7. Se prevn en el proceso de desarrollo de nuevas aplicaciones las principales fases de puesta en prctica de un proyecto? 1.8. Se ha llevado a cabo regularmente un seguimineto del avance y de los costos de los

proyectos? 1.9. Son los proyectos objeto de una coordinacin suficiente? 2. La calidad del software 2.1. Se procede con regularidad a los controles de calidad del software producido? 2.2. Los nuevos colaboradores son objeto de una atencin especial? 2.3. Es satisfactoria la calidad de los programas producidos por el estudio? 3. La documentacin 3.1. Es satisfactoria la calidad de la documentacin producida? 4. El mantenimiento 4.1. Que procedimientos de mantenimiento de software se formalizan? C. EL ENTORNO DE PRODUCCION 1. Los procedimientos de puesta en explotacin 1.1. Son satisfactorios los procedimientos de puesta en explotacin del software? 2. Los procedimientos de toma de datos 2.1. Los principios de un buen control interno, se respetan en el software de toma de datos? 3. La ejecucin de los procesos en tiempo diferido 3.1. La ejecucin de trabajos en tiempo diferido es objeto de una planificacin? 3.2. Se asume de manera satisfactoria la funcin de preparacin de los trabajos? 3.3. Las cadenas de proceso son sistemticamente objeto de controles a posteriori? 3.4. Estn claramente definidas las modalidades de recuperacin de la explotacin de la cadena en caso de incidente? 4. El control de supervisin del entorno de produccin 4.1. Existen herramientas de control y de asistencia destinadas a los digitadores? 5. El control de la calidad de la produccin informtica 5.1. Hay un seguimiento de la calidad de las prestaciones suministradas? 5.2. Existe un seguimiento destinado a optimizarlas actuaciones del sistema informtico? 5.3. Se edita y archiva sistemticamente el diario a bordo del (de los) ordenador (es)? 6. La gestin del espacio en disco 6.1. Se realiza regularmente un anlisis del contenido de los discos para suprimir archivos intiles? 6.2. La implantacin de archivos en los discos es objeto de una optimizacin? 7. La gestin de las bibliotecas de programas 7.1. Se conservan en bibliotecas, solo programas efectivamente utilizados? 7.2. Existen en bibliotecas los programas fuente de los programas ejecutables en uso? 7.3. Existe la seguridad de acceso a las bibliotecas? 8. La gestin de las copias de seguridad 8.1. Se salvaguarda regularmente el conjunto del software y archivos necesarios para el desarrollo y la explotacin? 8.2. Permiten las copias de seguridad resolver en un plazo satisfactorio todos los tipos de fallos? 8.3. Cuando el acervo lo justifica, hay un software de gestin d cintas o cartuchos? 8.4. Responde la gestin de las copias de seguridad a las obligaciones en materia de archivo? 8.5. Se llevan a cabo copias de seguridad en emplazamientos externos? 9. Los procedimientos de recuperacin en emplazamientos externos 9.1. Est previsto un procedimiento que permita en un plazo satisfactorio un nuevo

arranque en otro emplazamiento? 9.2. Cuando la recuperacin en un emplazamiento externo implica la aplicacin de procedimientos deteriorados, han sido definidos estos? 9.3. Los procedimientos de recuperacin en un emplazamiento externo son comprobados con regularidad? 10. La seguridad fsica 10.1.Est protegido el acceso fsico al entorno informtico? 10.2.Est controlado el acceso fsico al lugar de almacenamiento de las cintas o cartuchos magnticos? 10.3.Los locales estn protegidos contra incendios? 10.4.Los locales estn protegidos contra los daos por agua? 10.5.Est el centro informtico protegido contra los fallos de fluido elctrico? 10.6.Se ha previsto un sistema de deteccin de intrusin? 11. Los seguros 11.1.Se han previsto seguros que cubran los riesgos en el entorno informtico? 12. La obligaciones legales de declaracin 12.1.Est la empresa suscrita al conjunto de declaraciones obligatorias? D. LAS FUNCIONES DE ASISTENCIA TCNICA 1. Las bases de datos 1.1. Hay un administrador de datos? 1.2. Se utiliza un diccionario de datos? 1.3. Se procede a tareas de bsqueda de optimizacin de la base de datos? 1.4. Se controla regularmente la integridad de las bases y la coherencia de los datos? 2. La gestin de redes 2.1. Existe una clula tcnica de gestin de redes? 2.2. Existe una clula de asistencia de red? 2.3. Estn controlados los accesos a la red? 2.4. Se han previsto tcnicas de salvaguarda y recuperacin especiales para la utilizacin de la aplicacin en procedimiento a distancia? 2.5. Si las aplicaciones lo necesitan, se ha previsto procedimientos de backup de la red? 3. La microinformtica 3.1. Estn coordinadas la adquisicin y la utilizacin de microordenadores? 3.2. Se pone cuidado para que la microinformtica no se transforme en el soporte de un desarrollo anrquico de aplicaciones autnomas y heterogneas? 3.3. Est controlado el acceso a las aplicaciones o a los datos sensibles gestionados por microordenadores? 3.4. Se toman las medidas especficas para limitar los riesgos de robo de los microordenadores? 3.5. La empresa no incurre en ninguna sancin penal por la implantacin de programas sin licencia de utilizacin? 3.6. Se ejecutan regularmente programas deteccin de virus en los microordenadores? 4. Los mtodos 4.1. Hay en la empresa una funcin de responsable de mtodos? 4.2. Las normas son objeto de una difusin sistemtica al conjunto de los colaboradores involucrados? 4.3. Efecta regularmente, el responsable de mtodos, los controles con vistas a la aplicacin efectiva de las normas? 5. El infoservicio

5.1. Las herramientas de infoservicio estn bien adaptadas para la utilizacin por parte de los no informticos? 5.2. Est controlado el acceso a las herramientas de infoservicio? 5.3. No se desvan las herramientas de infoservicio de su objetivo original en provecho del desarrollo de aplicaciones pirata ? 5.4. Se vigilan las cargasmquina imputables al infoservicio? 6. La funcin sistema 6.1. Se ha creado en los grandes centros un entorno especfico para los ingenieros de sistemas? 6.2. Si se ha elegido un software de base internamente, se ha justificado debidamente esta eleccin? 7. La funcin seguridad 7.1. Hay en la empresa una funcin de gestin de riesgos? 7.2. Hay un responsable de la seguridad en el departamento de informtica? 7.3. Hay un plan de seguridad informtico? E. LA PROTECCION Y LA CONFIDENCIALIDAD DE DATOS 1. Las contraseas se atribuyen individualmente a cada usuario? 2. Las contraseas deben modificarse regularmente? 3. Las contraseas son suficientemente sofisticadas ? 4. Se protege el cuadro de contraseas? 5. Es posible detectar las tentativas de acceso no autorizadas? 6. Despus de varias tentativas de acceso infructuoso, son desconectados los usuarios? 7. Se ha sensibilizado a los usuarios de los riesgos que puede originar el prstamo de sus contraseas? 8. Existen sistemas de autorizacin de acceso por medio de tarjetas magnticas? 9. Existen otros sistemas de identificacin? 10. El acceso a las aplicaciones transaccionales est protegido por contraseas? 11. Est prohibido a los usuarios el acceso al editor? 12. Est protegido con contrasea el arranque de programas en tiempo diferido? 13. Est estrictamente reglamentado el acceso al software de sistema de actualizacin de archivos? 14. La utilizacin de herramientas de infoservicio impide toda modificacin de los archivos de produccin? 15. Est previsto el control de acceso a los datos? 16. Estn previstos los controles de acceso a las bibliotecas? 17. Estn previstos los controles de acceso por volumendisco fsico? 18. Los controles de contrasea estn controlados en las tablas y no estn incluidos en bruto en los programas? 19. El software de control de autorizacin de acceso permite discernir entre la autorizacin de consultas de los datos y la autorizacin de actualizacin de los mismos? 20. Se ha implantado un software de control de la seguridad? 21. Hay un responsable de autorizaciones de acceso? 22. Las habilitaciones estn acordes con el principio de un buen control interno? 23. Est previsto un procedimiento de identificacin fsica del terminal que se conecta? 24. En la utilizacin de redes pblicas, se prevn, si esto es posible, procedimientos de recuperacin automtica del comunicante?

25. Los datos mas sensibles son objeto de codificacin? 26. Est previsto para algunos archivos o programas extremadamente sensibles que solo sean cargados en el momento de su ejecucin? 27. El acceso al parque de cartuchos o cintas est reglamentado? 28. Para los archivos sensibles se evitan los procedimientos de envos por mensajero? 29. Se han incluido en los archivos sensibles trampas que permitan comprobar que no hayan sido divulgados en el exterior? 30. Estn previstos, si fuera necesario, procedimientos de validacin de los datos contenidos en los archivos sensibles? 31. Exista un software que permita controlar la lectura y la reescritura de las cintas o cartuchos magnticos? 32. Se ha previsto un procedimiento de control especfico en el momento de la edicin de listados sensibles? 33. Se ha previsto la destruccin sistemtica despus de la utilizacin de los listados que contengan informaciones sensibles? 34. Se ha previsto la codificacin de las informaciones confidenciales que circulan en las redes pblicas o privadas?