Download pdf - Un lista de verificacion para una auditoria

Auditoría de sistemasAuditoría de sistemas

Lista de verificación para realizar Lista de verificación para realizar una auditoríauna auditoría

Lista de verificación para una auditoría a la Lista de verificación para una auditoría a la seguridad informáticaseguridad informática

Seguridad en la protección y conservación de Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos.locales, instalaciones, mobiliario y equipos.

Seguridad para el personal informático y los Seguridad para el personal informático y los usuarios del sistema.usuarios del sistema.


Seguridad en los accesos a las áreas de Seguridad en los accesos a las áreas de sistemas, así como a sus sistemas sistemas, así como a sus sistemas computacionales, información y software.computacionales, información y software.

Seguridad en los sistemas computacionales y Seguridad en los sistemas computacionales y dispositivos periféricos.dispositivos periféricos.


Seguridad en la información institucional y bases Seguridad en la información institucional y bases de datos.de datos.

Seguridad en los sistemas operativos, lenguajes, Seguridad en los sistemas operativos, lenguajes, programas, paqueterías, utilerías y demás programas, paqueterías, utilerías y demás software institucional.software institucional.

Seguridad en los activos informáticos del área de Seguridad en los activos informáticos del área de sistemas.sistemas.


Seguridad en la arquitectura de las Seguridad en la arquitectura de las telecomunicaciones.telecomunicaciones.

Seguridad en los sistemas de redes, sistemas Seguridad en los sistemas de redes, sistemas mayores y PC´s.mayores y PC´s.

Seguridad contra la piratería informática.Seguridad contra la piratería informática.

Seguridad contra los virus informáticos.Seguridad contra los virus informáticos.


Seguridad en la protección y conservación de Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos.locales, instalaciones, mobiliario y equipos.

Auditoría de la seguridad en las condiciones e Auditoría de la seguridad en las condiciones e

instalaciones físicas del área de sistemas.instalaciones físicas del área de sistemas.


Protección contra los riesgos y contingencias de Protección contra los riesgos y contingencias de origen natural relacionados con el ambiente de origen natural relacionados con el ambiente de trabajo.trabajo. Las condiciones generales de trabajo de los Las condiciones generales de trabajo de los

sistemas computacionales, para el bienestar y sistemas computacionales, para el bienestar y comodidad de los empleados y usuarios del comodidad de los empleados y usuarios del sistema.sistema.

Protección contra la humedad del ambiente.Protección contra la humedad del ambiente.


Medidas para prevenir que los sistemas Medidas para prevenir que los sistemas computacionales y las instalaciones eléctricas, computacionales y las instalaciones eléctricas, telefónicas y de datos tengan contacto con el telefónicas y de datos tengan contacto con el agua.agua.

Protección contra partículas de polvo y Protección contra partículas de polvo y deshechos volátiles de cualquier tipo en el deshechos volátiles de cualquier tipo en el ambiente, a fin de evitar desperfectos en los ambiente, a fin de evitar desperfectos en los sistemas computacionales y medios de sistemas computacionales y medios de almacenamiento, así como el deterioro de los almacenamiento, así como el deterioro de los activos informáticos del área de sistemas.activos informáticos del área de sistemas.

Seguridad en la protección y conservación Seguridad en la protección y conservación de locales, instalaciones, mobiliario y de locales, instalaciones, mobiliario y

equipos.equipos.

Protección contra la estática e imantación Protección contra la estática e imantación producidas por fibras sintéticas, metales, algunos producidas por fibras sintéticas, metales, algunos plásticos y por el cabello humano y animal que plásticos y por el cabello humano y animal que pueden repercutir en el funcionamiento de los pueden repercutir en el funcionamiento de los sistemas computacionales de la empresa.sistemas computacionales de la empresa.

Análisis de los sistemas de acondicionamiento y Análisis de los sistemas de acondicionamiento y pisos falsos.pisos falsos.

Seguridad en la protección y conservación Seguridad en la protección y conservación de locales, instalaciones, mobiliario y de locales, instalaciones, mobiliario y

equipos.equipos.

Análisis de la regulación de temperatura y aire Análisis de la regulación de temperatura y aire acondicionado.acondicionado.

Análisis de la regulación de la humedad en el Análisis de la regulación de la humedad en el medio ambiente del área de sistemas.medio ambiente del área de sistemas.

Análisis de los suministros de energía, Análisis de los suministros de energía, comunicaciones y procesamiento de los datos.comunicaciones y procesamiento de los datos.

Análisis de la limpieza del área de sistemas.Análisis de la limpieza del área de sistemas.

Seguridad en los accesos a las áreas de Seguridad en los accesos a las áreas de sistemas, así como a sus sistemas sistemas, así como a sus sistemas

computacionales, información y software.computacionales, información y software.

Protección contra riesgos y contingencias Protección contra riesgos y contingencias relacionados con el ambiente de trabajo en las relacionados con el ambiente de trabajo en las áreas de sistemas de la empresa.áreas de sistemas de la empresa.

La iluminación artificial del área de sistemas y la La iluminación artificial del área de sistemas y la iluminación por medio de luz solar.iluminación por medio de luz solar.



Las instalaciones eléctricas, de datos y de Las instalaciones eléctricas, de datos y de comunicación.comunicación.

Los accesos y salidas en las áreas de sistemas.Los accesos y salidas en las áreas de sistemas.

La repercusión de los aspectos de carácter La repercusión de los aspectos de carácter ergonómico.ergonómico.



Las adaptaciones de los equipos de cómputo.Las adaptaciones de los equipos de cómputo.

Las condiciones de trabajo con computadora.Las condiciones de trabajo con computadora.

Protección contra contingencias causadas por la Protección contra contingencias causadas por la temperatura del sistema de aire acondicionado.temperatura del sistema de aire acondicionado.

La ventilación natural de las áreas y espacios.La ventilación natural de las áreas y espacios.



Protección contra riesgos y contingencias Protección contra riesgos y contingencias causados por factores meteorológicos, causados por factores meteorológicos, atmosféricos, y desastres naturales incontrolables.atmosféricos, y desastres naturales incontrolables.

Por precipitación pluvial, de nieve, de granizo y Por precipitación pluvial, de nieve, de granizo y otras precipitaciones.otras precipitaciones.



Por vientos, huracanes, ciclones y fenómenos Por vientos, huracanes, ciclones y fenómenos atmosféricos.atmosféricos.

Por terremotos y temblores.Por terremotos y temblores.

Por inundaciones, marejadas, maremotos y Por inundaciones, marejadas, maremotos y fenómenos marítimos.fenómenos marítimos.



Por tormentas eléctricas.Por tormentas eléctricas.

Por incendios accidentales.Por incendios accidentales.

Otros fenómenos de origen natural que afectan Otros fenómenos de origen natural que afectan a las áreas de sistemas y a los propios sistemas a las áreas de sistemas y a los propios sistemas computacionales.computacionales.



Protección contra riesgos y contingencias Protección contra riesgos y contingencias derivados del suministro de la energía eléctrica.derivados del suministro de la energía eléctrica.

Prevención de interrupciones y falta Prevención de interrupciones y falta permanente del suministro de energía permanente del suministro de energía eléctrica para el funcionamiento de los eléctrica para el funcionamiento de los sistemas computacionales.sistemas computacionales.



Continuidad del suministro de la energía Continuidad del suministro de la energía eléctrica, por medio de la red pública o eléctrica, por medio de la red pública o plantas de emergencia, fuentes plantas de emergencia, fuentes ininterrumpidas de poder y no-breaks.ininterrumpidas de poder y no-breaks.

Previsión en la funcionalidad, distribución Previsión en la funcionalidad, distribución adecuada y seguridad de las instalaciones adecuada y seguridad de las instalaciones eléctricas del área de sistemas.eléctricas del área de sistemas.



Previsión de fallas y deficiencias de la red Previsión de fallas y deficiencias de la red pública de suministro de electricidad.pública de suministro de electricidad.

Protección contra las variaciones de voltaje, Protección contra las variaciones de voltaje, así como el uso de reguladores de corriente, así como el uso de reguladores de corriente, contactos aterrizados, supresores de picos y contactos aterrizados, supresores de picos y sistemas no-breaks.sistemas no-breaks.



El análisis del cableado, construcciones y El análisis del cableado, construcciones y adaptaciones eléctricas, contactos, sistema adaptaciones eléctricas, contactos, sistema de tierra física y demás instalaciones de tierra física y demás instalaciones eléctricas internas del área de sistemas.eléctricas internas del área de sistemas.

El análisis del cableado público de las El análisis del cableado público de las instalaciones eléctricas que están fuera de la instalaciones eléctricas que están fuera de la empresa.empresa.

Seguridad en los sistemas computacionales Seguridad en los sistemas computacionales y dispositivos periféricos.y dispositivos periféricos.

Auditoría de la seguridad y protección en Auditoría de la seguridad y protección en el diseño de las instalaciones del área de el diseño de las instalaciones del área de sistemas de la empresa y/o empresas de sistemas de la empresa y/o empresas de cómputo.cómputo.

En el análisis de los estudios de localización En el análisis de los estudios de localización de planta para instalar el área de sistemas.de planta para instalar el área de sistemas.


En el análisis para la localización de En el análisis para la localización de instalaciones físicas del área de sistemas.instalaciones físicas del área de sistemas.

En el análisis de los estudios de la densidad En el análisis de los estudios de la densidad de población.de población.


En el análisis de la infraestructura pública de En el análisis de la infraestructura pública de servicios.servicios.

En el análisis de los medios de comunicación En el análisis de los medios de comunicación pública, y de los medios de transporte de pública, y de los medios de transporte de pasajeros.pasajeros.

En el análisis de los estudios de composición En el análisis de los estudios de composición del suelo para prevenir desastres naturales.del suelo para prevenir desastres naturales.


En el análisis del cableado telefónico interno En el análisis del cableado telefónico interno para el funcionamiento del área de sistemas.para el funcionamiento del área de sistemas.

En el análisis del cableado externo y redes En el análisis del cableado externo y redes públicas del servicio telefónico, así como de públicas del servicio telefónico, así como de telecomunicación para el funcionamiento del telecomunicación para el funcionamiento del área de sistemas.área de sistemas.

Seguridad en la información institucional y Seguridad en la información institucional y bases de datos.bases de datos.

Auditoría de la seguridad en los sistemas Auditoría de la seguridad en los sistemas computacionales.computacionales. Evaluar el rendimiento y uso del sistema Evaluar el rendimiento y uso del sistema

computacional y de sus periféricos asociados.computacional y de sus periféricos asociados.

Evaluar la existencia, protección y Evaluar la existencia, protección y periodicidad de los respaldos de bases de periodicidad de los respaldos de bases de datos, software e información importante de datos, software e información importante de la organización.la organización.


Evaluar la configuración, instalaciones y Evaluar la configuración, instalaciones y seguridad del equipo de cómputo, mobiliario y seguridad del equipo de cómputo, mobiliario y demás equipos del área de sistemas.demás equipos del área de sistemas.

Evaluar el rendimiento, la aplicación y la Evaluar el rendimiento, la aplicación y la utilidad del equipo de cómputo, mobiliario y utilidad del equipo de cómputo, mobiliario y demás equipos.demás equipos.


Evaluar la seguridad en el procesamiento de Evaluar la seguridad en el procesamiento de información.información.

Evaluar los procedimientos de captura, Evaluar los procedimientos de captura, procesamiento de datos y emisión de procesamiento de datos y emisión de resultados de los sistemas computacionales.resultados de los sistemas computacionales.


Auditoría de la seguridad del hardware.Auditoría de la seguridad del hardware. Realizar inventarios de hardware, equipos y Realizar inventarios de hardware, equipos y

periféricos asociados.periféricos asociados.

Evaluar la configuración del equipo de Evaluar la configuración del equipo de cómputo (hardware).cómputo (hardware).


Evaluar el rendimiento y uso del sistema Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados.computacional y sus periféricos asociados.

Evaluar el estado físico del hardware, Evaluar el estado físico del hardware, periféricos y equipos asociados.periféricos y equipos asociados.

Seguridad en los sistemas operativos, Seguridad en los sistemas operativos, lenguajes, programas, paqueterías, utilerías lenguajes, programas, paqueterías, utilerías

y demás software institucional.y demás software institucional. Auditoría de la seguridad del software.Auditoría de la seguridad del software.

Realizar inventarios de software, paqueterías Realizar inventarios de software, paqueterías y desarrollos empresariales.y desarrollos empresariales.

Evaluar las licencias, contratos, permisos y Evaluar las licencias, contratos, permisos y usos de los sistemas computacionales.usos de los sistemas computacionales.

Seguridad en los sistemas operativos, Seguridad en los sistemas operativos, lenguajes, programas, paqueterías, utilerías lenguajes, programas, paqueterías, utilerías

y demás software institucional.y demás software institucional. Evaluar el rendimiento y uso del software de Evaluar el rendimiento y uso del software de

los sistemas computacionales.los sistemas computacionales.

Verificar que la instalación de software, Verificar que la instalación de software, paqueterías y sistemas desarrollados en la paqueterías y sistemas desarrollados en la empresa sea la adecuada para cubrir las empresa sea la adecuada para cubrir las necesidades de esta última.necesidades de esta última.

Seguridad en los activos informáticos del Seguridad en los activos informáticos del área de sistemas.área de sistemas.

Auditoría para verificar la captura, Auditoría para verificar la captura, procesamiento de datos y emisión de procesamiento de datos y emisión de resultados.resultados.

Evaluar la totalidad, veracidad y confiabilidad Evaluar la totalidad, veracidad y confiabilidad de la captura de información.de la captura de información.

Evaluar la existencia, difusión, aplicación y Evaluar la existencia, difusión, aplicación y uso del plan contra contingencias en los uso del plan contra contingencias en los sistemas.sistemas.

Seguridad en los activos informáticos del Seguridad en los activos informáticos del área de sistemas.área de sistemas.

Evaluar la aplicación de simulacros, así como Evaluar la aplicación de simulacros, así como del plan contra contingencias durante la del plan contra contingencias durante la ocurrencia de siniestros en los sistemas.ocurrencia de siniestros en los sistemas.

Evaluar la confiabilidad, veracidad y Evaluar la confiabilidad, veracidad y oportunidad en la aplicación de las medidas oportunidad en la aplicación de las medidas del plan contra contingencias.del plan contra contingencias.


Auditoría de la prevención de actos Auditoría de la prevención de actos premeditados que afecten el premeditados que afecten el funcionamiento de los sistemas funcionamiento de los sistemas computacionales.computacionales.


Protección contra los actos ilegales en Protección contra los actos ilegales en contra de los sistemas, activos contra de los sistemas, activos informáticos e información.informáticos e información.

Contra sabotajes.Contra sabotajes. Por extorsión.Por extorsión. Por alteración o destrucción de datos.Por alteración o destrucción de datos. Por fraudes.Por fraudes.


Protección contra mal uso de la Protección contra mal uso de la información.información. Por invasión de la privacidad.Por invasión de la privacidad. Por mal uso de la confiabilidad.Por mal uso de la confiabilidad. Por uso inadecuado de los datos.Por uso inadecuado de los datos.


Protección contra la piratería y robo de Protección contra la piratería y robo de información.información. Con medidas preventivas.Con medidas preventivas. Con la protección de archivos.Con la protección de archivos. Con limitación de accesos.Con limitación de accesos. Con protección contra robos.Con protección contra robos. Con protección ante copias ilegales.Con protección ante copias ilegales.


Protección para el almacenamiento de la Protección para el almacenamiento de la información.información. Respaldos de programas e información.Respaldos de programas e información. Almacenamiento y custodia de CD´s, cintas, Almacenamiento y custodia de CD´s, cintas,

disquetes, etcétera.disquetes, etcétera. Lugares adecuados, como cintotecas, Lugares adecuados, como cintotecas,

discotecas, bóvedas, etcétera.discotecas, bóvedas, etcétera. El control y uso de información, programas y El control y uso de información, programas y

paquetes.paquetes.


Protección contra actos no intencionalesProtección contra actos no intencionales Por negligencia o descuido.Por negligencia o descuido. Por fallas del equipo y del sistemaPor fallas del equipo y del sistema Por fallas de carácter externo.Por fallas de carácter externo.


Protección y seguridad para el desarrollo Protección y seguridad para el desarrollo de programas y proyectos de sistemas.de programas y proyectos de sistemas. Desarrollo de programas y nuevos proyectos Desarrollo de programas y nuevos proyectos

de sistemas.de sistemas. Protección contra deficiencias de programas y Protección contra deficiencias de programas y

lenguajes.lenguajes. Prevención de fallas del sistema operativo.Prevención de fallas del sistema operativo. Protección en el establecimiento de Protección en el establecimiento de

estándares de proyectos.estándares de proyectos.


Protección y seguridad para los accesos al Protección y seguridad para los accesos al sistema computacional y a la información.sistema computacional y a la información. En el uso de contraseñas.En el uso de contraseñas.

Establecimiento de niveles de acceso y uso Establecimiento de niveles de acceso y uso de archivos.de archivos.

Para el uso de sistemas de encriptación.Para el uso de sistemas de encriptación. Para el uso de estándares de seguridad y Para el uso de estándares de seguridad y

protección.protección.


Protección contra virus informáticos.Protección contra virus informáticos. Medidas preventivas y correctivas.Medidas preventivas y correctivas. Uso de vacunas y buscadores de virus.Uso de vacunas y buscadores de virus. Protección de archivos, programas e Protección de archivos, programas e

información.información.

Seguridad en la arquitectura de las Seguridad en la arquitectura de las telecomunicaciones.telecomunicaciones.

Seguridad en los sistemas de redes, sistemas Seguridad en los sistemas de redes, sistemas mayores y PC´s.mayores y PC´s.

Periféricos más comunes del sistemaPeriféricos más comunes del sistema

Periféricos externos asociados al sistemaPeriféricos externos asociados al sistema

Periféricos más comunes del sistemaPeriféricos más comunes del sistema

Teclado y ratón.Teclado y ratón. Lector de códigos de barra.Lector de códigos de barra. Monitor.Monitor. Impresora.Impresora. CD-ROMCD-ROM CD-RWCD-RW DVD-Multimedia.DVD-Multimedia. FAX-MODEM.FAX-MODEM. Otros periféricos.Otros periféricos.

Periféricos externos asociados al sistemaPeriféricos externos asociados al sistema

Impresoras.Impresoras. Sistemas de video conferencias.Sistemas de video conferencias. Escáner y dictador de textos.Escáner y dictador de textos.

Seguridad en los sistemas de redes, Seguridad en los sistemas de redes, sistemas mayores y PC´s.sistemas mayores y PC´s.

Seguridad ante fenómenos sociales.Seguridad ante fenómenos sociales. Prevención de huelgas.Prevención de huelgas. Prevención de bloqueos a las instalaciones.Prevención de bloqueos a las instalaciones.

Prevención ante cambios sociales, económicos, Prevención ante cambios sociales, económicos, legales, etcétera. legales, etcétera.


Protección y seguridad del hardware, Protección y seguridad del hardware, componentes del sistema, periféricos y componentes del sistema, periféricos y equipos asociados.equipos asociados.

Protección a la CPU.Protección a la CPU. Protección a los periféricos más comunes Protección a los periféricos más comunes

del sistema.del sistema. Protección a los periféricos externos Protección a los periféricos externos

asociados al sistemaasociados al sistema


Mantenimiento preventivo y correctivo a la Mantenimiento preventivo y correctivo a la CPU.CPU.

Medidas de seguridad y protección.Medidas de seguridad y protección. Rutinas internas para el inicio del sistema.Rutinas internas para el inicio del sistema. Rutinas internas de auditoría y verificación Rutinas internas de auditoría y verificación

de componentes.de componentes.


Mantenimiento preventivo y correctivo al Mantenimiento preventivo y correctivo al sistema de cómputo.sistema de cómputo.

Rutinas internas de auditoría y verificación de Rutinas internas de auditoría y verificación de conexiones.conexiones.

Con el uso de manuales e instructivos de Con el uso de manuales e instructivos de operación.operación.


Mantenimiento preventivo y correctivo a Mantenimiento preventivo y correctivo a los periféricos.los periféricos.

Rutinas internas de auditoría y verificación de Rutinas internas de auditoría y verificación de periféricos.periféricos.

Para promover el uso adecuado de los Para promover el uso adecuado de los periféricos.periféricos.


Mantenimiento preventivo y correctivo al equipo Mantenimiento preventivo y correctivo al equipo adicional.adicional. Rutinas internas de auditoría y verificación de Rutinas internas de auditoría y verificación de

equipos.equipos.

Resultados de auditorías de sistemas.Resultados de auditorías de sistemas.

Prevención ante cambios tecnológicos.Prevención ante cambios tecnológicos.

El levantamiento de inventarios, a fin de hacer El levantamiento de inventarios, a fin de hacer un recuento de los bienes informáticos del área un recuento de los bienes informáticos del área de sistemas cuya seguridad se tenga que de sistemas cuya seguridad se tenga que evaluar; para llevar a cabo esto, es evaluar; para llevar a cabo esto, es recomendable realizar los siguientes inventarios:recomendable realizar los siguientes inventarios:


Inventarios de los equipos de cómputo, Inventarios de los equipos de cómputo, contemplando la seguridad, protección y contemplando la seguridad, protección y salvaguarda de los bienes informáticos y salvaguarda de los bienes informáticos y sistemas computacionales, sus marcas, sistemas computacionales, sus marcas, procesadores, tarjetas madre, velocidad, procesadores, tarjetas madre, velocidad, configuración, componentes, memorias, configuración, componentes, memorias, sistemas de almacenamiento, tarjetas sistemas de almacenamiento, tarjetas adicionales, números de serie, responsables de adicionales, números de serie, responsables de su resguardo y todos los demás aspectos su resguardo y todos los demás aspectos relacionados con el inventario de la seguridad de relacionados con el inventario de la seguridad de estos equipos.estos equipos.


Inventario del personal informático y usuarios Inventario del personal informático y usuarios del sistema, a fin de evaluar la protección de del sistema, a fin de evaluar la protección de este importante recurso.este importante recurso.

Inventario de las medidas de seguridad y Inventario de las medidas de seguridad y protección para los sistemas operativos, protección para los sistemas operativos, lenguajes, programas, paqueterías, utilerías y lenguajes, programas, paqueterías, utilerías y demás software institucional, incluyendo sus demás software institucional, incluyendo sus licencias, resguardos y copias de seguridad.licencias, resguardos y copias de seguridad.


Inventario de los bienes muebles, inmuebles, Inventario de los bienes muebles, inmuebles, materiales y consumibles del área de sistemas, a materiales y consumibles del área de sistemas, a fin de valorar su protección y uso adecuados.fin de valorar su protección y uso adecuados.

Inventario de los accesos a los sistemas de Inventario de los accesos a los sistemas de redes o sistemas mayores, dependiendo del redes o sistemas mayores, dependiendo del diseño del sistema, así como del acceso a la diseño del sistema, así como del acceso a la información y a los sistemas operativos, información y a los sistemas operativos, lenguajes, programas y demás software lenguajes, programas y demás software institucional de esas redes o sistemas mayores.institucional de esas redes o sistemas mayores.


Inventario de las instalaciones físicas, a fin de Inventario de las instalaciones físicas, a fin de evaluar la vigilancia y los accesos establecidos evaluar la vigilancia y los accesos establecidos para la protección y seguridad de los bienes para la protección y seguridad de los bienes informáticos del área de sistemas.informáticos del área de sistemas.

Inventario de las normas, políticas, reglamentos Inventario de las normas, políticas, reglamentos y medidas preventivas y correctivas del área de y medidas preventivas y correctivas del área de sistemas, a fin de evaluar la seguridad sistemas, a fin de evaluar la seguridad establecida para satisfacer las necesidades de establecida para satisfacer las necesidades de protección en la función informática.protección en la función informática.


Otros inventarios relacionados con la seguridad, Otros inventarios relacionados con la seguridad, protección y salvaguarda de los bienes protección y salvaguarda de los bienes informáticos del área de sistemas.informáticos del área de sistemas.

Fin del temaFin del tema