Please enable JavaScript.
Coggle requires JavaScript to display documents.
TÉCNICAS DE EVALUACIÓN Y TÉCNICAS ESPECIALES DE AUDITORÍA DE SISTEMAS,…
TÉCNICAS DE EVALUACIÓN Y TÉCNICAS ESPECIALES DE AUDITORÍA DE SISTEMAS
Técnicas especiales
11.4 Evaluación
11.4.2.6 Evaluación de controles de seguridad
La seguridad es fundamental para el buen funcionamiento de los sistemas computacionales
Auditor
Evalúa la existencia de controles de seguridad
Uso adecuado
Evaluar la existencia y aplicación de las medidas de seguridad y protección del sistema
Ejemplo
Programas, información, instalaciones, empleados, usuarios, equipos y mobiliario
Evaluar la administración y control de accesos lógicos al sistema
Ejemplo
Contraseñas, privilegios en el manejo de la información, medidades de seguridad en las bases de datos
Evaluar la existencia y funcionamiento de los sistemas de control de acceso físicos y la seguridad de las áreas
Verificar la existencia y funcionamiento de acceso a las áreas mediante reconocimiento de huellas dactilares, de rostro, o geometría de la mano
Evaluar la existencia de salidas de emergencia
Ejemplo
Señales de evacuación
Evaluar si existen y se aplican procedimientos de acceso a los sistemas computacionales
Ejemplo
Procesador, terminales, programas e información
Evaluar la existencia y aplicación de medidas de seguridad relacionadas con la comunicación de datos, redes de comunicación e internet
Evitar
piratería de la información , infiltración de virus
Evaluar la administración, control de seguridad y protección de las bases de datos e información
Verificar si se cumple con guardar backups en determinados tiempo, y avisos de cambios recurrentes en la información
Evaluar las medidas de seguridad, protección y erradicación de virus informáticos
difundir
las medidas preventivas y correctivas para evitar la propagación del virus
Evaluar las medidas de seguridad y protección establecidas para el manejo adecuado de la información
Evaluar la existencia de funcionarios responsables de la seguridad y protección de bienes informáticos
por ejemplo
información, personal y usuarios
Evaluar las medidas de seguridad, protección y funcionamiento de los bienes informáticos
ejemplo
Hardware, software, instalaciones, mobiliario , equipos
Evaluar la existencia, difusión y actualización de planes contra contingencias informáticas
Evaluar la existencia y actualizacion
Evaluar la existencia y aplicación periódica de simulacros de contingencias informáticas
Evaluar la existencia de seguros que amparen al personal, usuarios, bienes informáticos, la información, mobiliario y equipo
verificar la existencia de
Seguro Informático de Internet:
Un seguro que ofrece protección a las empresas frente al riesgo de ataques informáticos, ciberataques y las consecuencias negativas que se deriven de los mismos
Responsabilidad Civil para Profesionales Informáticos:
El seguro de RC para profesionales informáticos da cobertura a programadores, desarrolladores, blogueros y similares por daños y perjuicios en que pudieran incurrir frente a clientes y terceros en el ejercicio de su actividad profesional.
Seguro de Equipos Electrónicos
Son seguros que cubren los daños que sufren los equipos electrónicos que están asegurados causados por un accidente, robo, incendio, la caída de un rayo y otros fenómenos meteorológicos, incluso por sabotajes o actos intencionados de terceros.
11.6 Lista de verificación (o lista de chequeo)
Métodos de recopilación y evaluación mas sencillos
Esta herramienta
consiste
Elaborar una lista ordenada
Se anota todos los aspectos por revisar
desarrollo de una actividad
cumplimiento de una operación
funcionamiento de un sistema y sus componentes
esta lista se complementa con una o varias columnas
se palomea el cumplimiento :check:
se tacha el incumplimiento :red_cross:
o se deja en blanco
la lista de verificación puede ser diseñada
en dos columnas
concepto, cumplimiento o incumplimiento
ejemplo
lista de chequeo sencilla donde se verificará que una red de cómputo cuente con todos sus componentes. es una lista de dos columnas, donde en la primera columna esta el concepto y en la otra columna para verificar si cumple o no
varias columnas
concepto y mas opciones a elegir según el grado de cumplimiento
ejemplo de lista de chequeo de varias columnas
Se revisará la seguridad del centro de cómputo , en un cuadro nos muestra el concepto, y en los siguientes los grados de calificación del cumplimiento
11.4.2.7 Evaluación de controles adicionales para la operación del sistema
Evaluar la existencia, uso y actualización de todos los manuales e instructivos de operación
del
sistema, usuarios y de procedimientos del área de sistemas
Evaluar la existencia, uso y actualización de las metodologías y estándares institucionales
Evaluar la existencia, uso y actualización de los estándares de programación y documentación de sistemas
conforme
normas, políticas y lineamientos establecidos en la empresa
Evaluar la existencia, uso y actualización de la estandarización de lenguajes, programas y paqueterías de uso institucional
Evaluar uso y actualización de bitácoras
para
el registro de incidencias y reportes
llevar un registro y control
de los
cambios, errores, mantenimiento y operaciones
Evaluar el uso de programas, paquetes de auditoría y seguimiento de actividades en la redes de sistemas
para
valorar el aprovechamiento de sus recursos, la administración y control de lasoperaciones
Evaluar la existencia de diagramas para el desarrollo de sistemas
de acuerdo
con normas y estándares establecidos
verificar
codificación del sistema se haga de acuerdo a esos documentos
Ejemplo
