Auditorías de Seguridad en las TICs.
1. Hardware.
2. Aplicaciones del software.
3. Plan de contingencias y de recuperación.
• Verificar que existan los planes, políticas y procedimientos relativos a la seguridad dentro de la organización.
• Confirmar que exista un análisis costo / beneficio de los controles y procedimientos de seguridad antes de ser implantados.
• Comprobar que los planes y políticas de seguridad y de recuperación sean difundidos y conocidos por la alta dirección.
• Evaluar el grado de compromiso por parte de la alta dirección, los departamentos usuarios y el personal de informática con el cumplimiento satisfactorio de los planes, políticas y procedimientos relativos a la seguridad.
• Asegurar la disponibilidad y continuidad del equipo de cómputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones.
• Asegurar que las políticas y procedimientos brinden confidenciabilidad a la información manejada en el medio de desarrollo, implantación,
operación y mantenimiento.
• Verificar que exista la seguridad requerida para el aseguramiento de la integridad de la información procesada en cuanto a totalidad y exactitud.
• Constatar que se brinde la seguridad necesaria a los diferentes equipos de cómputo que existen en la organización.
• Comprobar que existan los contratos de seguro necesarios para el hardware y software de la empresa (elementos requeridos para el funcionamiento continuo de las aplicaciones básicas).
• Confirmar la presencia de una función responsable de la administración
de la seguridad en:
• Recursos humanos, materiales y financieros relacionados con la tecnología de informática.
• Recursos tecnológicos de informática.
Esto debe verificarse con los responsables de la seguridad de informática, con los responsables del centro de cómputo, de comunicaciones y usuarios que el auditor considere pertinentes.
1. Comparar proyectos con la planeación de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo
según necesidades específicas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
5. Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este
módulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la función de auditoria en informática.
8. Clasificar y almacenar la información de soporte en dispositivos de
almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las áreas
evaluadas.
10. Elaborar y documentar formalmente las conclusiones y recomendaciones
finales de esta revisión.
11. Anexar esta información al documento que contendrá el informe final.
1. Formalizar el apoyo de la alta dirección al auditor en informática con el fin
de brindarle las facilidades necesarias para la ejecución de su trabajo.
Algunas acciones de apoyo serian:
• La alta dirección hace del conocimiento de las áreas por auditar que
algunas de sus funciones serán revisadas y se requiere su apoyo.
• Proporcionar la información requerida por el auditor en informática.
• Externar comentarios y sugerencias al auditor.
2. Conocimiento del auditor acerca de los aspectos que se evaluarán en este
módulo; esto básicamente se logra mediante una capacitación teóricopráctica
en los temas que se relacionan con la auditoria en informática.
Técnicas para obtener y evaluar la información
Aspectos por evaluar:
1. ¿Hay políticas y procedimientos relativos al uso y protección del hardware
de la organización?
1.1 Si existen, indique si están formalmente identificados los siguientes
aspectos de seguridad:
• Administración del hardware.
• Micros, minis y supercomputadoras
• Tecnología de comunicaciones, redes, etc.
• Cuantificación del hardware.
• Descripción del hardware (características básicas)
• Distribución del hardware (ubicación física)
• Áreas de informática: departamentos usuarios y áreas locales y remotas.
• Registro del hardware instalado, dado de baja, en proceso de
adquisición, etc.
• Uso del hardware: desarrollo, operación, mantenimiento, monitoreo y
toma de decisiones.
• Funciones responsables del control del hardware.
• Otros.
• Procedimientos y controles de seguridad para la evaluación, selección y
adquisición de hardware.
• Políticas enfocadas a comprobar que el software adquirido cubra los
siguientes puntos:
•Módulos de seguridad: acceso al hardware (llaves de seguridad, por
ejemplo); uso del hardware (facilidades de monitorear la operación) y
bitácoras de uso del hardware (quién, cuándo, para qué, entre otros
puntos).
• La actualización del hardware:
• Políticas orientadas a confirmar que el hardware actualizado cubra los
siguientes puntos:
• Autorización del hardware por medio de la justificación de la
actualización
• Impacto de la implantación del hardware en el medio de informática:
aplicaciones, software y costos
• Implicaciones de control en la implantación y uso del hardware
actualizado
• Reemplazo del hardware.
• Políticas para verificar que el hardware reemplazado cubra los siguientes
puntos:
• Autorización por medio de la justificación del reemplazo.
• Impacto de la implantación en el medio de informática: aplicaciones,
hardware y costos.
• Implicaciones de control en la implantación y uso del hardware nuevo.
2. En cuanto al equipo de soporte, se han de tener los siguientes datos:
• Localización física de:
• Aire acondicionado
• Equipo
• Equipos contra Incendios
• Otros
3. ¿La ubicación física del equipo de cómputo en el edificio es la más
adecuada pensando en los diversos desastres o contingencias que se
pueden presentar (manifestaciones o huelgas, inundaciones, incendios,
otros)?
Verificar si el edificio cuenta con instalaciones de escape en casos de
emergencia.
4. ¿Hay procedimientos que garanticen la continuidad y disponibilidad del
equipo de cómputo en caso de desastres o contingencias?
4.1 Si es así, ¿están documentados y difundidos formalmente?
Indique si se cuenta con controles y procedimientos para:
• Clasificación y justificación del personal con acceso a los centros de
cómputo del negocio y a las oficinas donde se encuentra papelería o
accesorios relacionados con informática.
• Restringir el acceso a los centros de cómputo sólo al personal
autorizado.
• Definición y difusión de las horas de acceso al centro de cómputo.
• Uso y control de bitácoras de acceso a los centros de cómputo.
• Definir la aceptación de la entrada a visitantes.
• Manejo de bitácoras especiales para los visitantes a los centros de
cómputo.
Comprobar el cumplimiento de estos controles y procedimientos.
6. ¿Existe personal de seguridad encargado de la salvaguarda de los equipos
de cómputo de la empresa?
6.1 ¿Fue capacitado el personal para este trabajo o simplemente sigue las
normas de seguridad que se aplican en bancos o industrias?
6.2 Si no se cuenta con tal personal, ¿a qué área o función pertenecen los
responsables de proteger físicamente el equipo?
Analizar el grado de confianza que brinda dicho personal a la protección
de estos activos de la empresa.
7. Mencione si existen políticas relacionadas con el ingreso y salida del
hardware que aseguren al menos lo siguiente:
• Que la entrada y salida del hardware sea:
• Revisada (contenido, cantidad, destino)
• Justificada (compra, pruebas, reemplazo, devolución, dado de baja,
otros)
• Aprobada por el responsable de informática que va a recibirlo
• Registrada (responsables, hora, motivo, etc.)
• Devuelta (comparar con la fecha estimada de salida)
• Devuelta en las mismas condiciones de entrada.
• Devolución autorizada por medio de un responsable de informática.
8. ¿Existe alguna función de investigación, auditoria o seguridad que se
dedique a la evaluación permanente de software, métodos, procedimientos,
etc., sugeridos en el mercado (como conferencias, publicaciones, asesores,
investigaciones) para la implantación de nuevas acciones relativas a la
seguridad que brinden continuidad en la operación y cuidado de los recursos
relacionados con informática?
8.l Si es así, ¿cuáles son las actividades principales que se asignan a esta
tarea?
8.2 En caso de que lo anterior no ocurra, ¿qué acciones garantizan la
adecuación de los controles y procedimientos de seguridad en el
momento de implantar nuevas tecnologías?
Aspectos clave por evaluar:
1. ¿Se tienen políticas y procedimientos relativos al uso y protección del
software existente?
1.1 Si las hay, indique silos siguientes aspectos de seguridad están
formalmente identificados:
• Administración del software
• Sistemas operativos, utilerías, paquetes, etc.
• Cuantificación del software (original y copias)
• Descripción (por original)
• Distribución (en qué equipos o dispositivos de almacenamiento
secundarios se encuentra, en qué lugar físico se localizan: áreas del
negocio, bancos, etc.)
• Registro del software instalado, dado de baja, en proceso de adquisición, etc.)
• Uso del software (tipo de uso, responsables de su uso, entre otros puntos)
• Procedimientos y controles de seguridad para la evaluación, selección y adquisición de software.
• Políticas para verificar que el software adquirido cubra los siguientes puntos:
• Módulos de seguridad para acceso al software, uso y bitácoras de uso (quién, cuándo, qué, etc.)
• La actualización del software.
• Políticas para confirmar que el software actualizado cubra los siguientes puntos:
• Autorización del mismo por medio de la justificación de la actualización.
• Impacto de la implantación en el medio de informática, aplicaciones, hardware y costos.
• Implicaciones de control en la implantación y uso del software actualizado.
• Reemplazo del software actual por otro.
• Políticas para asegurar que el software reemplazado cubra los siguientes puntos:
• Autorización por medio de la justificación del reemplazo.
• Impacto de la implantación en el medio de informática: aplicaciones, hardware y costos.
• Implicaciones de control en la implantación y uso del software nuevo.
2. Diga si poseen políticas relacionadas con el ingreso y salida del software
que aseguren al menos lo siguiente:
• Que el software que salga de la empresa sea:
• Revisado (contenido, cantidad, destino)
• Esté registrado formalmente en la empresa
• Justificado
• Aprobado por el responsable de informática
• Registrado (quién y a qué hora lo sacó)
• Devuelto (comparar con fecha estimada de devolución)
• Devuelto en las mismas condiciones en que salió
• El personal esté comprometido formalmente a no hacer un mal uso del mismo (copiarlo, dañarlo, modificarlo, etc.)
• Que el software que ingrese a la empresa sea:
• Revisado (contenido, cantidad, destino)
• Justificado (evaluación, prueba o respaldo de las aplicaciones del
negocio)
• Aprobado por el responsable de informática
• Registrado (quién y a qué hora lo metió)
• Devuelto (Comparar con la fecha estimada de devolución)
• Devuelto en las mismas condiciones que tenía en la salida
• El personal esté comprometido formalmente a no hacer un mal uso del mismo (copiarlo, dañarlo, etc.)
3. En cuanto a las aplicaciones (sistemas de información) que se desarrollan en la empresa, ¿se tienen los controles y procedimientos necesarios para garantizar la seguridad mínima requerida?
3.1 En caso de que existan, ¿al menos contemplan lo siguiente?
• Procedimientos de llenado de documentos fuente
• Procedimientos de uso de la computadora
• Encendido e inicialización del equipo
• Reinicialización del equipo en caso de fallas
• Manejo de bitácoras de uso de la computadora
• Monitoreo de uso de la computadora
• Niveles de acceso (perfil de usuarios) a los módulos de:
• Captura
• Actualización
• Consulta
• Generación de reportes
• Respaldos
• Otros
• Procedimientos de uso de los módulos de:
• Captura
• Actualización
• Consulta
• Generación de reportes
• Respaldos
• Otros
4. ¿Existen procedimientos que verifiquen que la construcción (programación), prueba e implantación de los controles y procedimientos de seguridad sean formalmente aprobados antes de que se utilice el sistema?
5. ¿Participan funciones de control o evaluación de sistemas, como auditores o consultores, en la aprobación de los controles de seguridad de los sistemas antes de que sean formalmente aprobados por los usuarios?
5.1 Si es así, ¿en qué etapas del desarrollo participan?
5.2 ¿Se involucran en todos los proyectos de desarrollo?
6. Mencione si los controles aseguran que el sistema contemple los procedimientos necesarios para que la información manejada en el mismo sea total, exacta, autorizada, mantenida y actualizada.
6.1 ¿Existen procedimientos para comprobar que los totales de los reportes de validación del usuario concuerden con los totales de validación del sistema computarizado?
6.2 ¿Los documentos fuente por capturar llevan preimpresos sus números consecutivos o se los asigna el usuario? Si ocurre lo último, ¿hay alguno de los controles mencionados a continuación dentro del sistema que valide la no repetición o exclusión de algún número consecutivo?
• Control de disquetes, cintas, papelería, etc.
• Control de todos los movimientos o transacciones rechazados por el sistema (comprobar que los datos erróneos para el sistema sean registrados, corregidos, alimentados correctamente y actualizados).
• Entendimiento y buen uso de los mensajes del sistema, como manejo de errores.
• Uso de bitácoras por parte de usuarios y personal de informática como pistas para auditoria.
Revisar todos los posibles controles que debe asumir el sistema y que corresponden también al usuario.
6.3 ¿Cómo se aseguran que durante la operación de! sistema se den los controles mencionados en el punto 6?
Comprobar que existan cifras de control manuales o automatizadas antes, durante y después de la operación de los sistemas que aseguren exactitud, totalidad, etc., de los datos.
6.4 ¿Cómo se aseguran que al estar el sistema en operación se cumplan formal y oportunamente los procedimientos de seguridad contemplados en el desarrollo del mismo?
a) Con una auditoria de sistemas
• Con revisiones de consultores externos
• Con revisiones del personal de informática
• Analizar si las revisiones son planeadas o surgen de la administración
por crisis.
• ¿Cómo se aseguran de que los manuales de usuario, técnicos y de operación cumplan con los estándares de la metodología de CVDS y de que sean completos?
6.6 ¿Cómo se aseguran de que el personal que va a utilizar estos manuales se encuentre capacitado en el uso de los mismos?
6.7 ¿Se documentan todas las debilidades derivadas de la revisión del cumplimiento de controles y procedimientos de seguridad durante la operación de los sistemas?
6.8 Si es así, indique silos clasifican en:
• Debilidades en los procedimientos de entrada, proceso o salida
• Entendimiento o manejo del equipo donde se encuentran los sistemas
• Dificultades en la comunicación usuarios-informática para el manejo de nuevos requerimientos o cambios a los sistemas
• Otros
7. En cuanto al mantenimiento de sistemas señale si se cuenta con un procedimiento formal para asegurar que los cambios efectuados en los sistemas sean:
• Justificados (apoyo a los requerimientos de usuarios)
• Descritos (objetivos, función, etc.)
• Probados en el área de desarrollo antes de ser trasladados al área de producción
• Revisados por funciones de control (auditoria de sistemas, consultores, entre otros)
• Aprobados por los responsables correspondientes antes de ser puestos en operación
• Registrados en bitácoras de cambios
• Actualizados en la documentación correspondiente como manuales de usuario, técnicos y de operación
• Implantados los controles de seguridad de dichos cambios
• Otros
8. ¿Hay un procedimiento formal para asegurar que los requerimientos de los departamentos usuarios sean registrados, justificados, programados, probados e implantados de acuerdo con los estándares de la metodología del CVDS?
Conviene asegurarse de que este punto esté relacionado estrechamente con el séptimo punto.
9. ¿Cómo se da seguimiento a los cambios de los sistemas sugeridos por la función de informática? Asegúrese de que si estos cambios van a ser implantados en los sistemas, sigan la pauta del séptimo punto.
10. ¿Existen procedimientos que permitan identificar con claridad las responsabilidades en cuanto al uso del sistema y equipo de cómputo donde será implantado y operado?
11. ¿Qué procedimiento se utiliza para liberar formalmente el sistema?
11.1 Indique si se registran todos los sistemas liberados y aprobados formalmente por los usuarios, auditores, función de informática, consultores, etc.
12. Una vez que el sistema está en operación, ¿qué funciones verifican que los controles y procedimientos relativos a la seguridad se cumplan de manera satisfactoria?
13. ¿Los responsables de modificar los programas fuente del sistema enoperación están bien definidos?
13.1 Si es así, ¿cómo se aseguran de que sólo ellos tengan acceso a dichos programas?
13.2 ¿Cómo se aseguran que sólo se modifiquen programas autorizados en términos formales y que se documenten en los manuales correspondientes?
13.3 ¿Cómo se aseguran los responsables de estos cambios de incluir los controles de seguridad?
14. ¿Hay un registro de los archivos existentes en cada sistema en operación (maestros y de movimientos)?
14.1 Si es así, ¿existe un procedimiento que asegure que sólo sean accesados por personal autorizado?
14.2 ¿Se tiene algún procedimiento para especificar cuáles funciones se actualizarán, consultarán o eliminarán información de los archivos de los sistemas en operación?
14.3 ¿Están clasificados los procedimientos para actualizar archivos en línea o en lote?
15. ¿Se cuenta con procedimientos de respaldo de los programas Fuente, de la documentación y de los archivos en operación?
16. ¿El respaldo de la información se encuentra en el mismo edificio?
17. ¿Sucede lo mismo con el equipo de cómputo?
18. ¿Se tienen controles para que sólo personal autorizado tenga acceso a dichos respaldos?
Aspectos clave por evaluar:
1. ¿Considera que tanto la alta dirección, usuarios como el personal de informática están conscientes de que todos los recursos relacionados con la informática son activos del negocio y deben protegerse de una manera formal y permanente? ¿Por qué?
1.1 ¿Cuáles de los siguientes recursos vinculados con informática son más importantes para la organización y cuáles tienen más y mejores métodos de protección para seguir operando y apoyando los objetivos del negocio en condiciones optimas?
Comprobar que los recursos considerados básicos, importantes o necesarios tengan los métodos de seguridad para prevenir y enfrentar contingencias; en caso de que no existan, se podrá observar que dichas consideraciones son más teóricas que prácticas. En cuanto a los recursos de
importancia mínima o desconocida, se preguntará el por qué de tales afirmaciones.
1.2 ¿Existen planes de contingencia y de Recuperación de operaciones para casos de contingencia o desastres?
1.3 Indique si dichos planes contemplan los siguientes aspectos:
• Red de comunicaciones (RC)
• hardware
• Software, aplicaciones, datos
• Recursos humanos
• Lugares físicos donde se localizan los recursos anteriores
• Otros
1.4 Si es así, ¿fueron difundidos formalmente en toda la organización? ¿Fueron elaborados por terceros, personal de informática, usuarios o se trató de un proyecto donde intervinieron varias áreas del negocio?
2. En el proceso de planeación de contingencias y recuperación y de su implantación en la empresa, indique cuáles fueron las tareas realizadas, cuáles están pendientes, cuáles en desarrollo y quiénes son sus responsables:
1. Definición de metas y objetivos del plan
2. Evaluación e identificación de riesgos
3. Elaboración de acciones, políticas y procedimientos por tipo de riesgo
4. Documentación del plan
5. Aprobación y difusión del plan
6. Simulación del plan
7. Actualización del plan
en desarrollo T = terminada 1— no iniciada
2.1 ¿Se han presentado contingencias que hayan sido enfrentadas con el plan de contingencias y de recuperación diseñado para la empresa? ¿Con qué resultados?
2.2 Si no tienen este plan, ¿qué acciones han tomado para enfrentar tales eventualidades y quiénes han sido los responsable de ejecutarlas?
3. Señale si poseen una función responsable de seguridad que verifique y de seguimiento a los siguientes puntos:
• Actualización formal de los planes
• Capacitación a los usuarios y personal de informática en cuanto a la aplicación de los procedimientos contemplados en los planes
• Supervisión y orientación en la ejecución de simulacros
• Asignación de los responsables de la ejecución de las actividades contempladas en los planes para:
• Prevención de contingencias.
• Apoyo a la empresa en casos de desastres o de contingencias con el fin de reducir en lo posible las pérdidas humanas, equipos, datos, etc.
• Reinicio inmediato o en el tiempo mínimo posible de las operaciones de la empresa.
• Otros.
4. ¿Las funciones involucradas en dichos planes los han probado? ¿Contemplan todas las contingencias o desastres probables en la(s) localidad(es) donde tiene instalaciones la organización (huelgas, diluvios, robos, incendios, otros)?
6. ¿Los planes cubren los procedimientos necesarios para prevenir los elementos causales o restaurar los primordiales?
7. ¿Se clasificó el orden en que reiniciará la operación de cada aplicación de acuerdo con las prioridades y estrategias del negocio?
8. ¿Existen acuerdos con empresas o proveedores que tengan la misma tecnología (o que sea la más compatible)?
9. Mencione si se cuenta con contratos legales que aseguren los siguientes elementos de la función de informática y de los departamentos usuarios:
• Personal (de informática y usuarios), equipos de cómputo, software, aplicaciones, telecomunicaciones, edificios o instalaciones, entre otros.
10. ¿Existe algún procedimiento formal para efectuar todo el proceso de evaluación, selección y contratación de los seguros? ¿Cuáles son dichos procedimientos?
10.1 ¿Quiénes llevaron o están llevando a cabo la negociación de los seguros?
10.2 ¿En este proceso intervienen expertos en evaluación de riesgos (administrador, responsables de seguridad, auditores en informática, especialistas o expertos financieros)?
10.3 ¿Qué plazos de cobertura marcan estos seguros?
10.4 ¿Se tienen previstas acciones legales para prevenir posibles incumplimientos por parte de las compañías aseguradoras?
11. ¿Existe una clasificación de los elementos prioritarios para que la operación de los sistemas básicos no se interrumpa por un desastre o contingencia?
11.1 Indique si la clasificación contempla los siguientes elementos: equipo de cómputo, archivos, programas fuentes, lenguajes de desarrollo, sistemas operativos, documentación, personal, entre otros
Hay que comprobar si existe un programa de capacitación formal para que el personal usuario y de informática tome conciencia de la importancia que tiene el concepto de seguridad y la oportuna y correcta aplicación de los controles y procedimientos relativos a dicho concepto.
Metodología
Técnicas
Herramientas
Capacitación y actualización
• Detectar la existencia, formalización y conocimiento de la planeación de informática en las áreas clave del negocio
• Verificar que la planeación de informática haya sido evaluada y aprobada por la alta dirección.
• Comprobar que la planeación de informática se enfoque en el soporte de los objetivos, planes, políticas y estrategias de la empresa.
• Evaluar el grado de compromiso por parte de la alta dirección con informática para determinar si el apoyo que brinda a la planeación de informática es el adecuado.
• Confirmar la existencia de una metodología en informática.
• Investigar si existen técnicas y herramientas de productividad para el
desarrollo del plan.
• Comprobar que exista un proceso formal de capacitación para el entendimiento y manejo satisfactorio de la metodología de planeación en informática.
• Evaluar el grado de cumplimiento de la metodología, técnicas y herramientas en el proceso de planeación de informática.
• Comprobar si la alta dirección, los responsables de las áreas usuarias y los responsables de informática se han involucrado en el proceso de planeación de informática.
• Verificar si se da cumplimiento a los proyectos surgidos del plan de informática.
• Evaluar el grado de dominio que tiene el personal de informática sobre la metodología, técnicas y herramientas de productividad que utilizan para el desarrollo del plan de informática.
• Valorar el nivel de estandarización que tiene la metodología de planeación de informática con respecto a las aceptadas comúnmente en el mercado (fases, tareas, actividades, productos terminados, funciones y responsabilidades, revisiones, aseguramiento de calidad, entre otros
puntos).
En caso de que personal externo realice la planeación de informática, asegurar que se cumplan al menos las consideraciones mencionadas; además, obtener evidencia de la seriedad y confidencialidad de dichos asesores, por el tipo de información que se maneja en este proceso.
1. Comparar proyectos con la planeación de auditoria.
2. Concertar citas con el personal que se va a entrevistar.
3. Revisar el formulario correspondiente y ver la conveniencia de actualizarlo según necesidades especificas del negocio.
4. Ratificar y formalizar las fechas de entrevistas y visitas.
5. Efectuar las entrevistas y visitas necesarias para cubrir los puntos de este módulo.
6. Elaborar un borrador con las principales conclusiones y recomendaciones.
7. Revisarlo con el encargado de la función de auditoría en informática.
8. Clasificar y almacenar la información de soporte en dispositivos de almacenamiento seguros.
9. Revisar el borrador con el responsable del proyecto por parte de las áreas evaluadas.
10. Elaborar y documentar las conclusiones y recomendaciones finales de esta revisión.
11. Anexar esta información al documento que contendrá el informe final.
1. Formalizar el apoyo de la alta dirección al auditor en informática con el fin de brindarle las facilidades necesarias para la ejecución de su trabajo.
Algunas acciones de apoyo serian:
• La alta dirección hace del conocimiento de las áreas por auditar que algunas de sus funciones serán revisadas y se requiere su apoyo.
• Proporcionar la información requerida por el auditor en informática.
• Externar comentarios y sugerencias al auditor.
2. Conocimiento del auditor acerca de los aspectos que se evaluarán en este módulo; esto básicamente se logra mediante una capacitación teóricopráctica en los temas que se relacionan con la auditoria en informática.
Técnicas para obtener y evaluar la información (véase tabla H. 1)
Aspectos clave por evaluar:
1. ¿Existe en su área una metodología para la planeación de informática?
1.1 ¿Esta metodología contempla qué hacer, quién debe hacerlo y cuándo debe hacerse durante los proyectos de planeación de informática?
1.2 Si es así, indique si también abarca los pasos y lineamientos requeridos para la siguiente clasificación de proyectos:
• Planeación de sistemas de información por desarrollar e implantar (corto, mediano y largo plazos).
• Desarrollo e implantación de sistemas de las diferentes áreas del negocio.
• Compra e implantación de aplicaciones de mercado.
• Adaptación de aplicaciones adquiridas a externos (aplicaciones de mercado).
• Proyectos de telecomunicaciones.
• Proyectos de investigación tecnológica (hardware, software, telecomunicaciones, entre otros).
• Proyectos de evaluación y selección de proveedores de productos y servicios.
• Proyectos de desarrollo e implantación de sistemas estratégicos de información para toma de decisiones.
• Proyectos de auditoría y evaluación de informática.
• Proyectos de desarrollo e implantación de planes de contingencia y recuperación.
• Proyectos de capacitación o actualización ejecutiva, técnica y de usuarios.
• Rediseño de sistemas existentes.
• Desarrollo e implantación de sistemas integrales en el negocio.
• Aseguramiento de calidad.
• Otros relacionados con la función de informática.
1.3 ¿Esta documentada formalmente dicha metodología?
1.4 Si es así, indique si cubre cada uno de los siguientes puntos: *
• Un panorama general de la metodología
• Equipos de trabajo sugeridos según el tipo de proyecto
• Etapas de la metodología
• Tareas de cada etapa
• Secuencia de las etapas y tareas
• Responsables e involucrados en cada etapa y tarea.
• Productos terminados por cada etapa o tarea.
• Requerimientos técnicos y administrativos para el cumplimiento de cada
tarea.
• Revisiones formales e informales sugeridas para cada etapa.
• Duraciones estimadas de cada etapa del proyecto.
• Consideraciones para proyectos especiales.
* El auditor en informática debe verificar que la documentación de la metodología contemple los diferentes proyectos mencionados en la pregunta
2. ¿Cómo se aseguran un compromiso formal, un desarrollo y seguimiento eficientes, así como la aprobación final de los proyectos si no se cuenta con una metodología que contenga lo mencionado en las preguntas 1.3, 1.4 3. En caso de contar con una metodología de planeación de informática, ¿ésta fue desarrollada por personal de informática de la empresa, se compró o se
renta cuando se requiere?
3.1 ¿Se capacitó al personal de desarrollo en el entendimiento y uso práctico de la misma?
3.2 Indique si la capacitación fue impartida de manera formal por grupos de trabajo o individualmente y con casos prácticos o proyectos piloto.
3.3 ¿Se evaluó el grado de asimilación de la metodología? ¿Cómo?
3.4 Si no se capacitó al personal en el uso de la metodología, ¿cómo se asegura su entendimiento y uso eficiente durante los proyectos?
¿Desde cuándo están usando dicha metodología?
3.6 ¿Se capacita al personal de desarrollo de reciente ingreso a la empresa en el entendimiento y uso de la metodología? ¿Se contemplan los puntos mencionados en la pregunta 3.2?
3.7 ¿Se actualiza la metodología cuando es necesario?
3.8 ¿Qué actividades de investigación o consulta se realizan para formular cambios o adaptaciones en la metodología?
3.9 ¿Se documentan formalmente estos cambios?
3.10 ¿Quién aprueba los cambios a la metodología?
3.11 ¿Capacitan formalmente al personal en lo referente a la actualización de la metodología?
4. ¿Existe una congruencia de la metodología de planeación de informática con las metodologías recomendadas como .estándares en cl mercado?
¿Cómo se aseguran de que las metodologías de planeación de informáticacompradas o rentadas a externos satisfagan los requerimientos del negocio?
6. Mencione cuáles son las etapas, tareas, productos y los responsables del proceso de planeación de informática que se lleva en la empresa (verificar la congruencia con los estándares metodológicos más aceptados).
6.1 Las etapas mencionadas deben cubrir al menos los siguientes
aspectos:
• Estudio de la situación actual y tendencias de los aspectos culturales, tecnológicos y económicos, entre otros.
• Análisis de la competencia: fortalezas, debilidades, imagen, aspectos financieros, etc.
• Expectativas y grado de satisfacción de los clientes: productos, servicios, expectativas, oportunidades.
• Evaluación de la situación actual del negocio: aspectos culturales, tecnológicos y económicos, sistemas de información, fortalezas y debilidades.
• Análisis de los planes del negocio: metas, objetivos, planes tácticos y estratégicos, etc..
• Evaluación de cada una de las áreas del negocio en aspectos relativos a sistemas de información, tecnología, proyectos estratégicos, entre otros.
• Análisis y formulación de las áreas de oportunidad para apoyo a la alta dirección: factores básicos de éxito, proyectos estratégicos, inversiones, expectativas, apoyo requerido de informática, etc.
• Elaboración y formulación del plan de informática.
• Proyectos tácticos y estratégicos que cubran los siguientes puntos:
• Sistemas de información, administración de la función, equipos de cómputo, telecomunicaciones, auditoría en informática, investigación de la tecnología de informática, evaluación y adquisición de productos y servicios, proyectos conjuntos alta dirección — informática, proyectos conjuntos entre usuarios e
informática, etc.
Aspectos clave por evaluar:
1. ¿El personal de informática sabe cuáles son las técnicas requeridas para el desarrollo, seguimiento y documentación de las etapas de planeación de informática?
1.2 ¿Existen dichas técnicas para la planeación de informática en la empresa?
1.3 ¿Se capacita formalmente al personal de desarrollo de sistemas en el uso y aplicación de estas técnicas?
1.4 ¿Se capacita al personal recién contratado en el manejo de las mismas?
1.5 ¿Qué procedimiento se utiliza para la capacitación del personal de desarrollo en el uso de metodologías y técnicas?
2. Explique cuáles de las técnicas siguientes son usadas en el desarrollo de sistemas por su empresa:
Listas de verificación
Entrevistas
Listas de verificación de aseguramiento de calidad
Control de proyectos
Análisis organizacional (sistemas de negocio)
Análisis costo/beneficio
Documentación
Diagramación
Modelación de datos y procesos
Investigación
Manejo de equipos de trabajo
Otros (especifique)
3. ¿Quiénes y cómo determinaron cuáles eran las técnicas requeridas para el desarrollo e implantación de sistemas de información del negocio?
311 ¿Su uso está generalizado en la empresa? ¿Cómo se aseguran deque se aplique?
Aspectos clave por evaluar:
1. ¿Existe una clasificación de las herramientas de productividad utilizadas por su empresa en la planeación de informática? (Entiéndase por herramientas de productividad los medios computarizados — hardware o
software— y manuales
— instrumentos de medición, diagramación, etc.— que utiliza el personal de
informática en la planeación.)
1.2 Si es así, ¿podría indicar cuáles de los siguientes utilizan en su
empresa?
Procesadores de palabras
Hojas electrónicas
Graficadores
Diagramadores
Presentadores
Generadores de aplicaciones
Generadores de bases de datos
Ingeniería de software
Índices de productividad
Otros (especifique)
1.3 ¿Su uso está generalizado en la empresa? ¿Cómo se aseguran de
que se aplique?
Aspectos clave por evaluar;
1. Mencione si existen procedimientos formales para capacitar al personal de planeación de informática (o puestos equivalentes) en:
• Entendimiento y aplicación de metodología de planeación de informática.
• Técnicas para efectuar las etapas de la planeación de informática.
• Herramientas de productividad requeridas en la planeación de informática.
1.2 ¿Se documentan dichos procedimientos?
1.3 ¿Hay un responsable directo de elaborar, actualizar, documentar y
definir estos procedimientos de capacitación?
1.4 ¿Cómo se asegura el cumplimiento oportuno de tales procedimientos?
1.5 Si existen, ¿al menos contemplan lo siguiente?
• Calendarios de los cursos.
• Responsables de impartir los cursos (personal externo o interno).
• Puestos o funciones que requieren dichos cursos.
• Costos estimados de los cursos.
• Beneficios esperados de cada curso.
• Parámetros de medición para asistentes y expositores.
• Material requerido para cada curso.
• Responsables de la organización de los cursos.
2. Si no se tiene un proceso formal de capacitación, ¿cómo se da seguimiento al entendimiento, uso y actualización oportuna de la metodología, técnicas y herramientas de productividad requeridas por parte del personal durante la planeación de informática?
3. ¿El responsable de informática está consciente de la importancia que tiene la actualización y mejoramiento continuos del personal de desarrollo de sistemas de información para la implantación de soluciones del negocio?
4. Cuando intervienen terceros (personal externo) en proyectos de planeación de información, ¿cómo se aseguran de que la metodología, técnicas y herramientas de productividad que usan cubran por lo menos los estándares (o normas) mínimos de la empresa? ¿Qué se hace si la
organización no tiene dichos estándares definidos?
El auditor en informática ha de recomendar al menos los siguientes puntos:
a) Documentar formalmente los siguientes aspectos relevantes del negocio:
• Misión
• Objetivos
• Estrategias
• Oportunidades
• Fortalezas
• Debilidades
• Amenazas
• Planes a corto, mediano y largo plazos
• Políticas
• Funciones primordiales
• Información básica para dichas funciones
• Requerimientos
• Otros
E Dirigir el plan de informática a las estrategias y objetivos del negocio orientados a planes de corto, mediano y largo plazos.
F Que sea aprobada formalmente por la alta dirección.
G Participación de los usuarios en la definición, formalización y aprobación del plan.
H Darle seguimiento formal a dicha planeación elaborando y revisando reportes específicos.
I Utilizar siempre una metodología formal de planeación de informática. La metodología debe cubrir los aspectos más relevantes de las metodologías habituales.
K La función de informática ha de desarrollar los proyectos con base en el plan maestro de informática.
L Debe existir una función de administración de los proyectos de informática
para el seguimiento del plan de informática, actualización del plan, etc.
M Todos los proyectos de informática tendrán un análisis costo / beneficio.
N Realizar estudios de manera periódica para tener:
• Una evaluación de la eficiencia en el uso de la tecnología informática
• Una evaluación de la infraestructura tecnológica actual.
• Una evaluación de los sistemas de información.
• Una evaluación de los datos de los sistemas.
• Una evaluación de la función de informática (aspectos administrativos).
Con base en los puntos mencionados, resolver el siguiente cuestionario:
1. ¿Se tienen estrategias claras y documentadas para la implantación de los proyectos de la planeación?
2. ¿Están bien definidas las funciones y responsabilidades de los recursos involucrados en cada proyecto?
3. ¿Están conscientes la alta dirección e informática del compromiso que se deriva de la planeación?
4. ¿Está consciente la alta dirección del apoyo que requiere la función de informática para el logro satisfactorio de cada proyecto de la planeación?
¿Se tiene contemplada la participación de asesores externos en el desarrollo de ciertos proyectos?
6. ¿Se utilizó algún procedimiento formal para la selección del mejor asesor?
7. Indique si se cuenta con políticas y procedimientos formales para proyectos
de:
• Evaluación y adquisición del hardware y software.
• Desarrollo de sistemas de información.
• Telecomunicaciones.
• Intercambio electrónico de datos.
• Automatización de oficinas.
• Automatización de procesos de producción.
• Otros.
Espero les sea de su utilidad. Saludos y espero sus comentarios.
No hay comentarios:
Publicar un comentario
Muchas Gracias por tus comentarios ...