Cuestionario Auditora de sistemas Seguridad de datos: Se tiene separada produccin?

la infraestructura de desarrollo, pruebas y

La base de datos transaccional est en una red interna protegida? Cada cuanto tiempo se hacen anlisis de coherencia de datos entre los sistemas existentes y las transacciones reales (ejemplo erificar mediante muestreo cuadre de facturas reales ersus transacciones ingresadas y reali!adas en el sistema"? Cul es el es#uema de respaldo de datos #ue se utili!a y cuando cunto se reali!a cada uno? Se respalda los datos en discos de almacenamientos #ue luego son lle ados fuera de la matri! o edificio central? Los accesos y cambios mediante transacciones o funciones de $% o cdigo #ue cambie la base de datos son registrados en un log de auditor&a con datos m&nimos de usuario, hora exacta, fecha, y transaccin reali!ada? 'xisten logs de ingreso y salidas de sistemas, y con #u( direccin )* son hechos los acceso externos? +ay alguna pol&tica de salida y,o copia de datos desde e#uipos de escritorio de la empresa?

Infraestructura: 'xiste un lugar destinado para el centro de datos (e#uipos de redes y ser idores"? 'l centro de datos est aislado de acceso externo del edificio? 'xisten controles de acceso biom(tricos, o #ue tipos de seguridades de acceso f&sico existen? +ay un sistema de acondicionamiento de aire apropiado? +ay una identificacin clara de direcciones )*, nombres de ser idor y funcin espec&fica de cada uno de ellos?

'xiste segmentacin f&sica de redes internas y externas de la empresa? Los ser idores y m#uinas de escritorio tienen planes de mantenimiento acti os, y reglas claras, ni eles de ser icio, de tiempos de ser icios del pro eedor #ue los brinda? Cunto es el promedio de tiempo de reempla!o de e#uipos, es slo reacti o o hay alg-n tiempo promedio de cambio? +ay un sistema de deteccin de incendios? 'xisten e#uipos de bac.ups listos, para suplir a ser idores en caso de fallas? Cunto es el tiempo de puesta en produccin de ser idores de bac.up, cada cunto se hace che#ueo y pruebas de estos e#uipos, para saber #ue estn listos? 'l centro de datos, cuenta un sistema el(ctrico, con bac.up y protector o supresor de picos, se cuenta con el diagrama el(ctrico a la mano de forma f&sica y digital?

Procedimientos de control, mantenimiento y documentacin: 'xisten procedimientos definidos de respaldo, hay responsables claros de cada accin del procedimiento? +ay procedimientos para acceso f&sico y lgico a centro de datos? 'xisten procedimientos definidos de puesta en produccin de sistemas, se hacen en horas no laborables? 'xisten procedimientos claros sobre ingresos de memorias externas (cd, pen dri e, d d" para entrada o salida de datos? 'xisten procedimientos de acceso para ser icios de soporte de terceros o personal interno, los n-meros telefnicos de los t(cnicos tanto internos como externos se encuentran isibles para todos en el departamento de sistemas, no slo los posee una persona? +ay procedimientos definidos de mantenimientos de e#uipos el(ctricos, y de computacin, hay formatos o documentos de salida y existe una bitcora de registro y #ue permita saber cuando toca un mantenimiento programado? +ay documentacin completa de/ o 0edes internas y externas, n-meros de )* de cada e#uipo, y persona #ue los utili!a

o o

%iagrama de sistema el(ctrico 1anuales de todos los sistemas, f&sicos y en digital/ %e instalacin %e respaldo %e administracin de bases de datos %e administracin funcional %e usuarios, organi!ado por perfil y funcionalidad

o o o

*ruebas de soft2are %e registro de puesta de produccin %e procedimientos de e acuacin en caso de desastres naturales ersionamiento, tanto de soft2are como de

*osee alg-n sistema de documentacin?

+ay alguna base de datos de conocimientos, de los problemas y respuesta, suscitados de usuarios en mbitos de computacin y de los sistemas existentes, cada cunto se actuali!a esa base de conocimiento

Procedimientos de anlisis, desarrollo y aprobacin de sistemas informticos: La empresa, posee una metodolog&a ya sea mundialmente aceptada, o propia de la empresa para el ciclo de ida de un proyecto de soft2are, si es propia descr&bala bre emente? Se utili!a para anlisis, dise3o lgico y f&sico, 41L (4nified 1odeling Language"? 'n caso de comprar un sistema ya hecho/ o Se pide al pro eedor todos los soportes de entre istas, anlisis, diagramacin lgica y f&sica, y pruebas del sistema? Se exige #ue dentro de la capacitacin establecida, no slo se capacite funcionalmente en el sistema, sino en su administracin? 'l pro eedor relacionada? entrega el cdigo fuente, y documentacin

'n caso de contar con el cdigo fuente, existe una capacitacin definida para hacer cambios al mismo? Los sistemas ad#uiridos separan claramente en capas las partes #ue se pueden modificar y las #ue no 'l pro eedor cuenta con una instancia de pruebas y produccin, fiel copia del sistema del cliente, en caso de restauracin ante fallas o p(rdida de datos? Se anali!a los curriculum el ser icio? itae de los consultores #ue brindarn

'xiste una metodolog&a definida para captura de re#uerimientos, y su redaccin y las consecuentes pruebas?

'n caso de hacer un soft2are internamente/ o o 5u( metodolog&a de desarrollo se utili!a en la empresa? Cules son los diagramas 41L #ue generalmente se utili!an y por#ue? 5ui(n da la aprobacin final de los sistemas, el rea de sistemas o cada usuario funcional y luego el l&der de proyecto? Se posee un soft2are para ersionamiento del soft2are a desarrollar, o al menos se documenta cada cambio, #u( informacin se documenta en cada cambio? 'xisten estndares iniciales antes de empe!ar el dise3o y desarrollo, para atributos, datos, objetos, clases, funciones, etc6? +ay un departamento, o persona encargada del control de calidad del desarrollo, y #ue gestiona las pruebas con los usuarios funcionales?