Gua de Auditoria.

Logo y nombre de la
empresa que realiza la
auditora.
Actividad que
Ref.
ser evaluada

Nombre de la empresa y rea de sistemas auditada.

Procedimientos
de auditoria

Herramientas que
sern utilizadas

Fecha
DD MM AA

Hoja
__ de __

Observaciones

Ejemplo:
Auditores de Sistemas
asociados
Ref.
SAS-01.

Actividad que
ser evaluada
Evaluar la
seguridad que
el acceso de
usuarios de la
red y la validez
de sus
atributos.

Empresa: Comercializadora, S.A.

rea: Centro de servicios de sistematizacin.
Procedimientos
de auditoria
Solicitar la asignacin de
una terminal para entrar al
sistema y accesar
informacin, cambiar
datos, instrucciones y
programas, hasta donde lo
permite el sistema.
Ingresar al administrador y
cambiar privilegios,
atributos y contraseas de
varios usuarios.

Herramientas que
sern utilizadas
Observacin partitiva,
oculta.
Pruebas al sistema y a
la base de datos.
Experimentacin a la
seguridad del sistema.
Revisin documental
(electromagntica)

Fecha
DD MM AA
21 07 2002

Hoja
1 de 12

Observaciones
El sistema no debe permitir
ningn acceso.
Obtener respaldo previo del
sistema y los movimientos
previos a la prueba.
Documentar los accesos y
cambios que se realicen al
sistema.

Entrar al sistema de red sin

ninguna autorizacin y
accesar a la informacin,
alterar base de datos o
cambios al sistema, hasta
donde permita el sistema.

SAS-02.

Evaluar la
seguridad de los
niveles de
acceso de
usuarios.

Entrar al sistema y dar de

alta a distintos accesos sin
tener autorizacin.
Solicitar a un usuario, sin
forzarle, que ingrese a un
nivel que no le corresponda
y verifique el sistema le
permita la operacin.

Observacin
participativa y oculta.

El sistema no debe de permitir

ningn acceso.

Pruebas al sistema y
las bases de datos.

Obtener respaldo previo del

sistema y los movimientos
previos a la prueba.

Experimentacin en la
seguridad del sistema.
Revisin documental
(electromagntica)

Documentar los accesos y

cambios que se realicen al
sistema.

SAS-03

Evaluar la
confiabilidad en
la
administracin
de la
contrasea.

Ingresar al sistema de red

sin contrasea.

Observacin
participativa, oculta.

Reiniciar el sistema y
utilizar teclas F5 o F8 al
acceder el sistema e
ingresar sin contrasea.

Pruebas al sistema y a
las bases de datos.

Entrar al sistema con disco

de arranque externo e
ingresar sin contrasea.

SAS-04

Evaluar la
administracin
y control de la
bitcora de
acceso a los
usuarios del
sistema.

Tratar de acceder al
sistema alterando tres
veces la contrasea y
observar las acciones del
sistema.
Solicitar la asignacin de
una terminal para entrar al
sistema y realizar diversas
actividades de las
autorizadas, verificando
documentalmente que se
tengan registradas estas en
la bitcora.
Hacer una revisin a la
bitcora y verificar la
informacin de los
usuarios: la fecha, hora de
ingreso y salida del sistema,
registro de sus actividades
y cualquier incidencia
durante su estancia.
Monitorear aleatoriamente
usuarios y evaluar si las
actividades que realizan
estn registradas en la
bitcora. Si es necesario
aplicar encuestas y
entrevistas sobre el control
de la bitcora de acceso.
Evaluar los derechos y
obligaciones de los usuarios
en el manual de usuarios o
reglamento del rea de
cmputo en cuando a su
cumplimiento y registro de
incidencias en la bitcora.
Verificar que se cumpla con
los tiempos lmites de
acceso y sus registros en la
bitcora.

Experimentacin en la
seguridad del sistema.
Revisin documental
(electromagntica)

Observacin
participativa, oculta.
Revisin documental
a los registros y el
sistema de cmputo.
Experimentacin en la
seguridad del sistema.
Entrevista con
administrador del
sistema, los usuarios y
personal del rea.

El sistema por ningn medio

debe permitir el acceso sin
contrasea y al tercer intento
bloquear la terminal.
Obtener respaldo previo del
sistema y los movimientos
previos a la prueba.
Documentar los accesos y
cambios que se realizan al
sistema.

SAS-05

SAS-06

SFA-01

Evaluar el
adecuado
cumplimiento
de las funciones
del
administrador
del sistema de
red.

Evaluar el
registro
histrico de las
incidencias de
seguridad de
acceso al
sistema de red.

Evaluar las
medidas de
seguridad para
el acceso fsico
del personal y
los usuarios del
sistema.

Entrevista al administrador
respecto al cumplimiento
de sus funciones, apoyadas
al manual de organizacin,
el manual de
procedimientos y de
operacin.
Encuestas entre el personal
de rea y los usuarios del
sistema.
Hacer la revisin
documental a cada una de
las bitcoras de incidencias
de tres meses, un semestre
y un ao anteriores y
evaluar la magnitud,
impacto y solucin de las
mismas.
Evaluar, mediante
entrevistas o encuestas, a
los empleados y usuarios
del rea, sobre las
incidencias ocurridas en
esas pocas, y obtener sus
opiniones sobre la
confiabilidad de registros
de incidencias en las
bitcoras pasadas.
Tratar de ingresar al rea
de sistemas sin ninguna
identificacin y evaluar las
incidencias.
Tratar de ingresar al rea
de sistemas con la
identificacin de cualquier
empleado y evaluar las
incidencias.
Evaluar actualizacin del
personal encargado de la
entrada y las medidas de
seguridad, vigilancia y del
rea de sistemas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre
las medidas de seguridad
del rea.
Verificar los cambios de
turno del personal de
vigilancia del rea de

Entrevista con el
administrador del
sistema, los usuarios y
personal de rea.

Llevar previamente elaborado

el cuestionario de las
entrevistas y los cuestionarios
de las encuestas.

Encuestas a los
empleados y usuarios
del sistema.

Revisin documental
histrica a las
bitcoras anteriores.

Elegir aleatoriamente los das y

las incidencias a revisar.

Entrevistas y
encuestas con
empleados y usuarios.

Observacin
participativa, directa y
oculta para el acceso
del rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios del rea.
Revisin documental
a reportes y bitcoras
de acceso.

Las pruebas de ingreso pueden

ser efectuadas por el auditor o
por terceros ajenos al rea.

sistemas.
Revisar los reportes de
novedades del personal de
vigilancia y las bitcoras de
acceso, as como su
oportunidad y suficiencia
en el registro.
SFS-02

Evaluar las
medidas de
seguridad para
el control de
acceso y salida
de los bienes
informticos del
rea de
sistemas.

Revisar los reportes de

novedades de salida y
entradas de bienes y
evaluar los contenidos,
oportunidades,
justificaciones e
incidencias.
Revisar las bitcoras de
entrad y salida de bienes
del rea de sistemas, as
como el correcto registro
de sus contenidos, su
oportunidad y las
justificaciones e
incidencias.
Revisar los controles,
formatos y registros
documentales de las salidas
y entrada de bienes en el
rea de sistemas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema, para
obtener su opinin sobre
las medidas de seguridad,
el registro y la solucin de
incidencias del rea.
Tratar de introducir un bien
sin notificarlo a vigilancia y
sin ninguna autorizacin.
Tratar de sacar un bien sin
notificarlo a vigilancia y sin
ninguna autorizacin.
Evaluar si existen
detectores de metales,
aduanas de revisin o
cualquier otra medida de
revisin para la entrada y
salida de bienes del rea.

Observacin
participativa, directa y
oculta para el acceso
de rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios del rea.
Revisin documental
a reportes y bitcoras
de acceso.
Experimentacin al
tratar de introducir y
de sacar bienes
informticos.

Las pruebas de ingreso pueden

hacerlas al auditor o terceros
ajenos al rea.

SFS-03

SPC-01

Evaluar los
reportes de
incidencias y las
acciones
preventivas y
correctivas en
su solucin en
el acceso fsico
de los usuarios.

Evaluar los
planes de
contingencias
del rea de
sistemas.

Revisar los controles,

formatos y registros
documentales de las salidas
y entradas de bienes en el
rea de sistemas.
Entrevistas y cuestionarios
a los directivos empleados
y usuarios del sistema, para
obtener su opinin sobre
las medidas de seguridad,
el registro y la solucin de
incidencias del rea.
Solicitar el plan de
contingencia y evaluar su
correcta elaboracin la
asignacin de funcionarios
responsables, funciones y
medidas preventivas y
correctivas.

Observacin
participativa, directa y
oculta para el acceso
del rea.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.
Revisin documental
a reportes bitcoras
de acceso.
Revisin documental
a reportes y bitcoras
de acceso.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.

Evaluar que el plan de

contingencia contenga
acciones a realizar antes,
durante y despus de un
siniestro, as como los
responsables de las
mismas.
Evaluar la vigilancia,
constante actualizacin,
disponibilidad y difusin del
plan de contingencia entre
directivos, empleados y
personal de reas de
sistema.

SPC-02

Evaluar la
realizacin de
simulacros en el
rea de
sistemas.

Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema para
obtener su opinin sobre el
plan de contingencias su
utilidad, conocimiento,
difusin y actualizacin.
Revisar las bitcoras de
elaboracin de simulacros y
evaluar el registro de
incidencias, cumplimiento
de actividades, objetivos y
correcciones a las medidas
preventivas y correctivas.
Entrevistas y cuestionarios
a los directivos, empleados
y usuarios del sistema, para
obtener su opinin sobre el
plan de contingencias, su

Revisin documental
a reportes y bitcoras
de acceso.
Entrevistas y
encuestas a
directivos, empleados
y usuarios.

Si existiesen incidencias
verdaderas y no simulacros,
aplicar estos mismos puntos.

utilidad, conocimiento,
difusin y actualizacin.
Obtener los reportes de
novedades, incidencias y
medidas correctivas,
derivada de los simulacros
y evaluar las
modificaciones al plan de
contingencia.
Evaluar que el plan de
simulacin contenga
acciones preventivas para
realizar el simulacro y
correctivas para despus
del mismo. As como la
correcta documentacin de
su realizacin.

Columna 1
Actividades que van a ser evaluadas
y ponderadas
1. Objetivos del centro de computo
2. Estructura de organizacin
Definicin de estructura de organizacin
Definicin de funciones
Descripcin de puestos
Definicin de canales de comunicacin
Definicin de autoridad
Actualizacin de estructuras y puestos
Evaluacin peridica de funciones
Total del factor a ponderar
3. Funciones y actividades
Definicin de funciones
Cumplimiento de las funciones
Manuales e instructivos
Mtodos y procedimientos
Cumplimiento de actividades
Seguimiento de actividades
Total del factor a ponderar
4. Sistema de informacin
Definicin del sistema (software)
Definicin del equipo (hardware)
Definicin de instalaciones
Evaluacin de adquisiciones
Interrelacin de funciones
Total del factor a ponderar
5. Personal y usuarios
6. Documentacin de los sistemas
Manual de usuarios

Columna 2 Columna 3
Peso por
Peso por factor
actividad
Ponderar

25%
25%
20%
10%
10%
5%
5%
100%

Columna 4
Valor de
ponderacin
10%
10%

2.5%
2.5%
2.0%
1.0%
1.0%
0.5%
0.5%
10.0%
15%

20%
30%
10%
15%
20%
5%
100%

3.0%
4.5%
1.5%
2.25%
3.0%
0.75%
15.0%
20%

30%
30%
15%
10%
15%
100%

6.0%
6.0%
3.0%
2.0%
3.0%
20.0%
15%
2%

30%

0.6%

Manual tcnico del sistema

Manuales de capacitacin
Actualizacin de funciones
Total del factor a ponderar
7. Actividades y operacin del sistema
Definicin del equipo (hardware)
Definicin de instalaciones
Evaluacin de adquisiciones
Interrelacin de funciones
Total del factor a ponderar
8. Configuracin del sistema
Definicin del sistema (software)
Definicin del equipo (hardware)
Adaptacin de instalaciones
Adaptacin del medio ambiente
Planes contra contingencias
Total del factor a ponderar
9. Instalaciones del centro de computo
Adaptacin de instalaciones
Adaptacin de medidas de seguridad
Adaptacin del medio ambiente
Adaptacin de comunicaciones
Mantenimiento del sistema
Total del factor a ponderar

40%
20%
10%
100%

0.8%
0.4%
0.2%
2.0%

30%
30%
20%
20%
100%

4.2%
4.2%
2.8%
2.8%
16.0%

14%

4%
25%
25%
15%
15%
20%
100%

1.0%
1.0%
0.6%
0.6%
0.8%
4.0%
10%

30%
30%
10%
20%
10%
100%

3.0%
3.0%
1.0%
2.0%
1.0%
10.0%

Para evaluar la aplicacin y seguimiento de la norma ISO 9000, como gua para las normas ISO
9001, ISO 9002, ISO 9003, conforme a lo que indica el autor de referencia, lo cual se considera
aplicable en todos sus prrafos:
- 4.1 Responsabilidad administrativa
- 4.2 Sistemas de calidad
- 4.3 Revisin del contrato
- 4.4 Control de proyectos
- 4.5 Control de documentos e informacin
- 4.6 Compras (adquisiciones)
- 4.7 Control de productos proporcionados al cliente
- 4.8 Identificacin del producto y posibilidad del seguimiento
- 4.9 Control de procesos
- 4.10 Inspecciones y pruebas
- 4.11 Control de inspecciones, equipos de mediciones y prueba
- 4.12 Estado de inspeccin y prueba
- 4.13 Control de productos que no llenan requisitos
- 4.14 Acciones correctivas y preventivas
- 4.15 Manejo, almacenamiento, embalaje, preservacin y envo
- 4.16 Control de registros de calidad
- 4.17 Auditoras internas de calidad
- 4.18 Capacitacin
- 4.19 Servicio
- 4.20 Tcnicas estadsticas

Verificar el funcionamiento y cumplimiento adecuado de la red de cmputo, as como la inclusin de

sus componentes, su aplicacin y su uso.
Descripcin del concepto
Cumple
La instalacin de la red es flexible y adaptable a las necesidades de la empresa.
La lista de componentes de la red contiene todo el hardware requerido para
su funcionamiento adecuado.
La lista de componentes de la red contiene todo el software requerido para su
funcionamiento adecuado.
La red de cmputo es aprovechada al mximo en la empresa.
Los recursos de la red se comparten de acuerdo con las necesidades de la
empresa.
La configuracin de recursos de la red es la mejor para el uso correcto de los
sistemas computacionales de la empresa.
Se acepta la transferencia frecuente de grandes volmenes de informacin.
Existen niveles de acceso y seguridad en la red
Verificar la seguridad en el centro de cmputo, y calificar slo una de las columnas de cada concepto
segn su grado de cumplimiento
Descripcin del concepto
100%
80%
60%
40%
Excelente Cumple
Mnimo
Deficiente
1. Evaluacin de la seguridad en el acceso al
sistema
Evaluar los atributos de acceso al sistema.
Evaluar los niveles de acceso al sistema.
Evaluar la administracin de contraseas
del sistema.
Evaluar la administracin de la bitcora de
acceso al sistema.
Evaluar el monitoreo en el acceso al
sistema.
Evaluar las funciones del administrador del
acceso al sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros en el
sistema.
2. Evaluacin de la seguridad en el acceso al
rea fsica
Evaluar el acceso del personal al centro de
cmputo.
Evaluar el acceso de los usuarios y terceros
al centro de cmputo
Evaluar la administracin de la bitcora de
acceso fsico al rea de sistemas.
Evaluar el control de entradas y salidas de
bienes informticos del centro de cmputo
Evaluar la vigilancia del centro de cmputo
Evaluar las medidas preventivas o
correctivas en caso de siniestros en el
centro de cmputo