Monografias.com > Uncategorized
Descargar Imprimir Comentar Ver trabajos relacionados

Manual de Auditoría de sistemas (página 2)




Enviado por otoroc



Partes: 1, 2, 3

Forma de
implementación

La finalidad de evaluar los trabajos que se realizan
para iniciar la operación de un sistema, esto es,
la prueba integral del sistema,
adecuación, aceptación por parte del usuario,
entrenamiento
de los responsables del sistema
etc.

Indicar cuáles puntos se toman en cuenta para la
prueba de un sistema:

Prueba particular de cada programa ( )
Prueba por fase validación, actualización ( )
Prueba integral del paralelo ( )
Prueba en paralelo sistema ( )
Otros
(especificar)____________________________________________

  

Entrevista a
usuarios

La entrevista se
deberá llevar a cabo para comprobar datos
proporcionados y la situación de la dependencia en el
departamento de Sistemas de
Información .

Su objeto es conocer la opinión que tienen los
usuarios sobre los servicios
proporcionados, así como la difusión de las
aplicaciones de la computadora
y de los sistemas en
operación.

Las entrevistas se
deberán hacer, en caso de ser posible, a todos los
asuarios o bien en forma aleatoria a algunos de los usuarios,
tanto de los más importantes como de los de menor
importancia, en cuanto al uso del equipo.

Desde el punto de vista del usuario los sistemas
deben:

  • Cumplir con los requerimientos totales del
    usuario.
  • Cubrir todos los controles necesarios.
  • No exceder las estimaciones del presupuesto
    inicial.
  • Serán fácilmente
    modificables.

Para que un sistema cumpla con los requerimientos del
usuario, se necesita una comunicación completa entre usuarios y
responsable del desarrollo del
sistema.

En esta misma etapa debió haberse definido la
calidad de la
información que será procesada por
la
computadora, estableciéndose los riesgos de la
misma y la forma de minimizarlos. Para ello se debieron definir
los controles adecuados, estableciéndose además los
niveles de acceso a la información, es decir, quién tiene
privilegios de consulta, modificar o incluso borrar información.

Esta etapa habrá de ser cuidadosamente verificada
por el auditor interno especialista en sistemas y por el
auditor en informática, para comprobar que se logro
una adecuada comprensión de los requerimientos del usuario
y un control
satisfactorio de información.

Para verificar si los servicios que
se proporcionan a los usuarios son los requeridos y se
están proporcionando en forma adecuada, cuando menos
será preciso considerar la siguiente información.

  • Descripción de los servicios
    prestados.
  • Criterios de evaluación que utilizan los usuarios para
    evaluar el nivel del servicio
    prestado.
  • Reporte periódico del uso y concepto del
    usuario sobre el servicio.
  • Registro de los requerimientos planteados por el
    usuario.

Con esta información se puede comenzar a realizar
la entrevista
para determinar si los servicios
proporcionados y planeados por la dirección de Informática cubren las necesidades de
información de las dependencias.

A continuación se presenta una guía de
cuestionario
para aplicarse durante la entrevista
con el usuario.

1. ¿Considera que el Departamento de Sistemas de
Información de los resultados esperados?.-
Si ( ) No ( )
¿Por que?

2. ¿Cómo considera usted, en general, el
servicio
proporcionado por el Departamento de Sistemas de
Información?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?

3. ¿Cubre sus necesidades el sistema que utiliza
el departamento de cómputo?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
¿Por que?

4. ¿Hay disponibilidad del departamento de
cómputo para sus requerimientos?
Generalmente no existe ( )
Hay ocasionalmente ( )
Regularmente ( )
Siempre ( )
¿Por que?

5. ¿Son entregados con puntualidad los
trabajos?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
¿Por que?

6. ¿Que piensa de la presentación de los
trabajadores solicitados al departamento de cómputo?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?

7. ¿Que piensa de la asesoría que se
imparte sobre informática?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
¿Por que?

8. ¿Que piensa de la seguridad en el
manejo de la información proporcionada por el sistema que
utiliza?
Nula ( )
Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( )
¿Por que?

9. ¿Existen fallas de exactitud en los procesos de
información?
¿Cuáles?

10. ¿Cómo utiliza los reportes que se le
proporcionan?

11. ¿Cuáles no Utiliza?

12. De aquellos que no utiliza ¿por que
razón los recibe?

13. ¿Que sugerencias presenta en cuanto a la
eliminación de reportes modificación, fusión,
división de reporte?

14. ¿Se cuenta con un manual de usuario
por Sistema?
SI ( ) NO ( )

15. ¿Es claro y objetivo el
manual del
usuario?
SI ( ) NO ( )

16. ¿Que opinión tiene el manual?
NOTA: Pida el manual del
usuario para evaluarlo.

17. ¿Quién interviene de su departamento
en el diseño de
sistemas?

18. ¿Que sistemas
desearía que se incluyeran?

19. Observaciones:

Controles

Los datos son uno de
los recursos
más valiosos de las organizaciones y,
aunque son intangibles, necesitan ser controlados y auditados con
el mismo cuidado que los demás inventarios de
la
organización, por lo cual se debe tener
presente:

a) La responsabilidad de los datos es
compartida conjuntamente por alguna función determinada y
el departamento de cómputo.

b) Un problema de dependencia que se debe considerar es
el que se origina por la duplicidad de los datos y consiste
en poder
determinar los propietarios o usuarios posibles(principalmente en
el caso de redes y banco de datos) y la
responsabilidad de su actualización y
consistencia.

c) Los datos deberán tener una
clasificación estándar y un mecanismo de
identificación que permita detectar duplicidad y
redundancia dentro de una aplicación y de todas las
aplicaciones en general.

d) Se deben relacionar los elementos de los datos con
las bases de datos
donde están almacenados, así como los reportes y
grupos de
procesos donde
son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE
CONTROL

La mayoría de los Delitos por
computadora
son cometidos por modificaciones de datos fuente al:

  • Suprimir u omitir datos.
  • Adicionar Datos.
  • Alterar datos.
  • Duplicar procesos.

Esto es de suma importancia en caso de equipos de
cómputo que cuentan con sistemas en
línea, en los que los usuarios son los responsables de la
captura y modificación de la información al tener
un adecuado control con
señalamiento de responsables de los datos(uno de los
usuarios debe ser el único responsable de determinado
dato), con claves de acceso de acuerdo a niveles.

El primer nivel es el que puede hacer únicamente
consultas. El segundo nivel es aquel que puede hacer captura,
modificaciones y consultas y el tercer nivel es el que solo puede
hacer todos lo anterior y además puede realizar
bajas.

NOTA: Debido a que se denomina de diferentes formas la
actividad de transcribir la información del dato fuente a
la
computadora, en el presente trabajo se le denominará
captura o captación considerándola como
sinónimo de digitalizar (capturista,
digitalizadora).

Lo primero que se debe evaluar es la entrada de la
información y que se tengan las cifras de control
necesarias para determinar la veracidad de la información,
para lo cual se puede utilizar el siguiente cuestionario:

1. Indique el porcentaje de datos que se reciben en el
área de captación
2. Indique el contenido de la orden de trabajo que se recibe en
el área de captación de datos:
Número de folio ( ) Número(s) de formato(s) ( )
Fecha y hora de Nombre, Depto. ( )
Recepción ( ) Usuario ( )
Nombre del documento ( ) Nombre responsable ( )
Volumen
aproximado Clave de cargo
de registro ( )
(Número de cuenta) ( )
Número de registros ( )
Fecha y hora de entrega de
Clave del capturista ( ) documentos y
registros
captados ( )
Fecha estimada de entrega ( )

3. Indique cuál(es) control(es)
interno(s) existe(n) en el área de captación de
datos:
Firmas de autorización ( )
Recepción de trabajos ( ) Control de
trabajos atrasados ( )
Revisión del documento ( ) Avance de trabajos ( )
fuente(legibilidad,
verificación de datos
completos, etc.) ( )
Prioridades de captación ( ) Errores por trabajo ( )
Producción de trabajo ( ) Corrección
de errores ( )
Producción de cada operador ( ) Entrega de
trabajos ( )
Verificación de cifras Costo Mensual por
trabajo ( )
de control de entrada con
las de salida. ( )

4. ¿Existe un programa de
trabajo de captación de datos?
a) ¿Se elabora ese programa para
cada turno?
Diariamente ( )
Semanalmente ( )
Mensualmente ( )
b) La elaboración del programa de
trabajos se hace:
Internamente ( )
Se les señalan a los usuarios las prioridades (
)

c) ¿Que acción(es) se toma(n) si el trabajo
programado no se recibe a tiempo?

5. ¿Quién controla las entradas de
documentos
fuente?

6. ¿En que forma las controla?

7. ¿Que cifras de control se obtienen?

Sistema Cifras que se Observaciones
Obtienen

8. ¿Que documento de entrada se tienen?
Sistemas Documentos Depto.
que periodicidad Observaciones
proporciona
el documento

9. ¿Se anota que persona recibe la
información y su volumen?
SI NO

10. ¿Se anota a que capturista se entrega la
información, el volumen y la
hora?
SI NO

11. ¿Se verifica la cantidad de la
información recibida para su captura?
SI NO

12. ¿Se revisan las cifras de control antes de
enviarlas a captura?
SI NO

13. ¿Para aquellos procesos que
no traigan cifras de control se ha establecido criterios a fin de
asegurar que la información es completa y valida?
SI NO

14. ¿Existe un procedimiento
escrito que indique como tratar la información
inválida (sin firma ilegible, no corresponden las cifras
de control)?

15. En caso de resguardo de información de
entrada en sistemas, ¿Se custodian en un lugar seguro?

16. Si se queda en el departamento de sistemas,
¿Por cuanto tiempo se
guarda?

17. ¿Existe un registro de
anomalías en la información debido a mala
codificación?

18. ¿Existe una relación completa de
distribución de listados, en la cual se
indiquen personas, secuencia y sistemas a los que
pertenecen?

19. ¿Se verifica que las cifras de las
validaciones concuerden con los documentos de
entrada?

20. ¿Se hace una relación de cuando y a
quién fueron distribuidos los listados?
_________________________________________________________________________

21. ¿Se controlan separadamente los documentos
confidenciales?
_________________________________________________________________________

22. ¿Se aprovecha adecuadamente el papel de los
listados inservibles?
_________________________________________________________________________

23. ¿Existe un registro de los
documentos que entran a capturar?
_________________________________________________________________________

24. ¿Se hace un reporte diario, semanal o mensual
de captura?
_________________________________________________________________________

25. ¿Se hace un reporte diario, semanal o mensual
de anomalías en la información de
entrada?

26. ¿Se lleva un control de la producción por persona?

27. ¿Quién revisa este control?

28. ¿Existen instrucciones escritas para capturar
cada aplicación o, en su defecto existe una
relación de programas?

CONTROL DE OPERACIÓN

La eficiencia y el
costo de la
operación de un sistema de cómputo se ven
fuertemente afectados por la calidad e
integridad de la documentación requerida para el proceso en
la
computadora.

El objetivo del
presente ejemplo de cuestionario
es señalar los procedimientos e
instructivos formales de operación, analizar su
estandarización y evaluar el cumplimiento de los
mismos.

1. ¿Existen procedimientos
formales para la operación del sistema de computo?
SI ( ) NO ( )

2. ¿Están actualizados los procedimientos?
SI ( ) NO ( )

3. Indique la periodicidad de la actualización de
los procedimientos:

Semestral ( )
Anual ( )
Cada vez que haya cambio de
equipo ( )

4. Indique el contenido de los instructivos de
operación para cada aplicación:

Identificación del sistema ( )
Identificación del programa (
)
Periodicidad y duración de la corrida ( )
Especificación de formas especiales ( )
Especificación de cintas de impresoras (
)
Etiquetas de archivos de
salida, nombre, ( )
archivo
lógico, y fechas de creación y
expiración
Instructivo sobre materiales
de entrada y salida ( )
Altos programados y la acciones
requeridas ( )
Instructivos específicos
a los operadores en caso de falla del equipo ( )
Instructivos de reinicio ( )
Procedimientos
de recuperación para proceso
de
gran duración o criterios ( )
Identificación de todos los
dispositivos de la máquina a ser usados ( )
Especificaciones de resultados
(cifras de control, registros de
salida por archivo, etc. )
( )

5. ¿Existen órdenes de proceso para
cada corrida en la computadora
(incluyendo pruebas,
compilaciones y producción)?
SI ( ) NO ( )

6. ¿Son suficientemente claras para los
operadores estas órdenes?
SI ( ) NO ( )

7. ¿Existe una estandarización de las
ordenes de proceso?
SI ( ) NO ( )

8. ¿Existe un control que asegure la
justificación de los procesos en el
computador?
(Que los procesos que se están autorizados y tengan una
razón de ser procesados.
SI ( ) NO ( )

9. ¿Cómo programan los operadores los
trabajos dentro del departamento de cómputo?
Primero que entra, primero que sale ( )
se respetan las prioridades, ( )
Otra (especifique) ( )

10. ¿Los retrasos o incumplimiento con el
programa de operación diaria, se revisa y analiza?
SI ( ) NO ( )

11. ¿Quién revisa este reporte en su
caso?

12. Analice la eficiencia con
que se ejecutan los trabajos dentro del departamento de
cómputo, tomando en cuenta equipo y operador, a
través de inspección visual, y describa sus
observaciones.

13. ¿Existen procedimientos escritos para la
recuperación del sistema en caso de falla?

14. ¿Cómo se actúa en caso de
errores?

15. ¿Existen instrucciones especificas para cada
proceso, con
las indicaciones pertinentes?

16. ¿Se tienen procedimientos específicos
que indiquen al operador que hacer cuando un programa interrumpe
su ejecución u otras dificultades en proceso?

17. ¿Puede el operador modificar los datos de
entrada?

18. ¿Se prohibe a analistas y programadores la
operación del sistema que programo o analizo?

19. ¿Se prohibe al operador modificar
información de archivos o
bibliotecas de
programas?

20. ¿El operador realiza funciones de
mantenimiento
diario en dispositivos que así lo requieran?

21. ¿Las intervenciones de los
operadores:

Son muy numerosas? SI ( ) NO ( )
Se limitan los mensajes esenciales? SI ( ) NO ( )
Otras
(especifique)______________________________________________________

22. ¿Se tiene un control adecuado sobre los
sistemas y programas que
están en operación?
SI ( ) NO ( )
23. ¿Cómo controlan los trabajos dentro del
departamento de cómputo?

24. ¿Se rota al personal de
control de información con los operadores procurando un
entrenamiento
cruzado y evitando la manipulación fraudulenta de
datos?
SI ( ) NO ( )

25. ¿Cuentan los operadores con una
bitácora para mantener registros de
cualquier evento y acción tomada por ellos?
Si ( )
por máquina ( )
escrita manualmente ( )
NO ( )
26. Verificar que exista un registro de
funcionamiento que muestre el tiempo de paros y
mantenimiento
o instalaciones de software.

27.¿Existen procedimientos para evitar las
corridas de programas no
autorizados?
SI ( ) NO ( )

28. ¿Existe un plan definido
para el cambio de
turno de operaciones que
evite el descontrol y discontinuidad de la
operación.

29. Verificar que sea razonable el plan para
coordinar el cambio de
turno.

30. ¿Se hacen inspecciones periódicas de
muestreo?
SI ( ) NO ( )

31. Enuncie los procedimientos mencionados en el inciso
anterior:

32. ¿Se permite a los operadores el acceso a los
diagramas de
flujo, programas fuente,
etc. fuera del departamento de cómputo?
SI ( ) NO ( )

33. ¿Se controla estrictamente el acceso a la
documentación de programas o de aplicaciones
rutinarias?
SI ( ) NO ( )
¿Cómo?_______________________________________________________________

34. Verifique que los privilegios del operador se
restrinjan a aquellos que le son asignados a la
clasificación de seguridad de
operador.

35. ¿Existen procedimientos formales que se deban
observar antes de que sean aceptados en operación,
sistemas nuevos o modificaciones a los mismos?
SI ( ) NO ( )

36. ¿Estos procedimientos incluyen corridas en
paralelo de los sistemas modificados con las versiones
anteriores?
SI ( ) NO ( )

37. ¿Durante cuanto tiempo?

38. ¿Que precauciones se toman durante el periodo
de implantación?

39. ¿Quién da la aprobación formal
cuando las corridas de prueba de un sistema modificado o nuevo
están acordes con los instructivos de
operación.

40. ¿Se catalogan los programas liberados para
producción rutinaria?
SI ( ) NO ( )

41. Mencione que instructivos se proporcionan a las
personas que intervienen en la operación rutinaria de un
sistema.

42. Indique que tipo de controles tiene sobre los
archivos
magnéticos de los archivos de
datos, que aseguren la utilización de los datos precisos
en los procesos correspondientes.

43. ¿Existe un lugar para archivar las
bitácoras del sistema del equipo de cómputo?
SI ( ) NO ( )

44. Indique como está organizado este archivo de
bitácora.

  • Por fecha ( )
  • por fecha y hora ( )
  • por turno de operación ( )
  • Otros ( )

45. ¿Cuál es la utilización
sistemática de las bitácoras?

46. ¿Además de las mencionadas
anteriormente, que otras funciones o
áreas se encuentran en el departamento de cómputo
actualmente?

47. Verifique que se lleve un registro de
utilización del equipo diario, sistemas en línea y
batch, de tal manera que se pueda medir la eficiencia del
uso de equipo.

48. ¿Se tiene inventario
actualizado de los equipos y terminales con su
localización?
SI ( ) NO ( )

49. ¿Cómo se controlan los procesos en
línea?

50. ¿Se tienen seguros sobre
todos los equipos?
SI ( ) NO ( )

51. ¿Conque compañía?
Solicitar pólizas de seguros y
verificar tipo de seguro y
montos.

52. ¿Cómo se controlan las llaves de
acceso (Password)?.

CONTROLES DE SALIDA

1. ¿Se tienen copias de los archivos en otros
locales?

2. ¿Dónde se encuentran esos
locales?

3. ¿Que seguridad
física se
tiene en esos locales?

4. ¿Que confidencialidad se tiene en esos
locales?

5. ¿Quién entrega los documentos de
salida?

6. ¿En que forma se entregan?

7. ¿Que documentos?

8. ¿Que controles se tienen?

9. ¿Se tiene un responsable (usuario) de la
información de cada sistema? ¿Cómo se
atienden solicitudes de información a otros usuarios del
mismo sistema?

10. ¿Se destruye la información utilizada,
o bien que se hace con ella?

Destruye ( ) Vende ( ) Tira ( ) Otro
______________________________

CONTROL DE MEDIOS DE
ALMACENAMIENTO
MASIVO

Los dispositivos de
almacenamiento representan, para cualquier centro de
cómputo, archivos extremadamente importantes cuya
pérdida parcial o total podría tener repercusiones
muy serias, no sólo en la unidad de informática, sino en la dependencia de la
cual se presta servicio. Una
dirección de informática bien administrada debe tener
perfectamente protegidos estos dispositivos de
almacenamiento, además de mantener registros
sistemáticos de la utilización de estos archivos,
de modo que servirán de base a registros
sistemáticos de la utilización de estos archivos,
de modo que sirvan de base a los programas de limpieza (borrado
de información), principalmente en el caso de las
cintas.

Además se deben tener perfectamente identificados
los carretes para reducir la posibilidad de utilización
errónea o destrucción de la
información.

Un manejo adecuado de estos dispositivos
permitirá una operación más eficiente y
segura, mejorando además los tiempos de
procesos.

CONTROL DE ALMACENAMIENTO
MASIVO

OBJETIVOS

El objetivo de
este cuestionario
es evaluar la forma como se administran los dispositivos de
almacenamiento básico de la dirección.

1. Los locales asignados a la cintoteca y discoteca
tienen:

  • Aire acondicionado ( )
  • Protección contra el fuego ( )
  • (señalar que tipo de protección
    )__________________________________
  • Cerradura especial ( )
  • Otra

2. ¿Tienen la cintoteca y discoteca
protección automática contra el fuego?
SI ( ) NO ( )
(señalar de que
tipo)_______________________________________________

3. ¿Que información mínima contiene
el inventario de la
cintoteca y la discoteca?

Número de serie o carrete ( )
Número o clave del usuario ( )
Número del archivo
lógico ( )
Nombre del sistema que lo genera ( )
Fecha de expiración del archivo ( )
Fecha de expiración del archivo ( )
Número de volumen ( )
Otros

4. ¿Se verifican con frecuencia la validez de los
inventarios de
los archivos magnéticos?
SI ( ) NO ( )

5. En caso de existir discrepancia entre las cintas o
discos y su contenido, se resuelven y explican satisfactoriamente
las discrepancias?
SI ( ) NO ( )

6. ¿Que tan frecuentes son estas
discrepancias?
_________________________________________________________________________

7. ¿Se tienen procedimientos que permitan la
reconstrucción de un archivo en cinta a disco, el cual fue
inadvertidamente destruido?
SI ( ) NO ( )

8. ¿Se tienen identificados los archivos con
información confidencial y se cuenta con claves de
acceso?
SI ( ) NO ( )
¿Cómo?_______________________________________________________________

9. ¿Existe un control estricto de las copias de
estos archivos?
SI ( ) NO ( )

10. ¿Que medio se utiliza para almacenarlos?
Mueble con cerradura ( )
Bóveda ( )
Otro(especifique)_______________________________________________________

11. Este almacén
esta situado:
En el mismo edificio del departamento ( )
En otro lugar ( )
¿Cual?_________________________________________________________________

12. ¿Se borran los archivos de los dispositivos de
almacenamiento, cuando se desechan estos?
SI ( ) NO ( )

13. ¿Se certifica la destrucción o baja de
los archivos defectuosos?
SI ( ) NO ( )
14. ¿Se registran como parte del inventario las
nuevas cintas que recibe la biblioteca?
SI ( ) NO ( )

15 ¿Se tiene un responsable, por turno, de la
cintoteca y discoteca?
SI ( ) NO ( )

16. ¿Se realizan auditorías
periódicas a los medios de
almacenamiento?
SI ( ) NO ( )

17. ¿Que medidas se toman en el caso de
extravío de algún dispositivo de almacenamiento?

18. ¿Se restringe el acceso a los lugares
asignados para guardar los dispositivos de
almacenamiento, al personal
autorizado?
SI ( ) NO ( )

19. ¿Se tiene relación del personal
autorizado para firmar la salida de archivos confidenciales?
SI ( ) NO ( )

20. ¿Existe un procedimiento
para registrar los archivos que se prestan y la fecha en que se
devolverán?
SI ( ) NO ( )

21. ¿Se lleva control sobre los archivos
prestados por la instalación?
SI ( ) NO ( )

22. En caso de préstamo ¿Conque
información se documentan?
Nombre de la institución a quién se hace el
préstamo.

  • fecha de recepción ( )
  • fecha en que se debe devolver ( )
  • archivos que contiene ( )
  • formatos ( )
  • cifras de control ( )
  • código de grabación ( )
  • nombre del responsable que los presto ( )
  • otros

23. Indique qué procedimiento se
sigue en el reemplazo de las cintas que contienen los archivos
maestros:

24. ¿Se conserva la cinta maestra anterior hasta
después de la nueva cinta?
SI ( ) NO ( )

25. ¿El cintotecario controla la cinta maestra
anterior previendo su uso incorrecto o su eliminación
prematura?
SI ( ) NO ( )

26. ¿La operación de reemplazo es
controlada por el cintotecario?
SI ( ) NO ( )

27. ¿Se utiliza la política de
conservación de archivos hijo-padre-abuelo?
SI ( ) NO ( )

28. En los procesos que manejan archivos en
línea, ¿Existen procedimientos para recuperar los
archivos?
SI ( ) NO ( )

29. ¿Estos procedimientos los conocen los
operadores?
SI ( ) NO ( )

30. ¿Con que periodicidad se revisan estos
procedimientos?
MENSUAL ( ) ANUAL ( )
SEMESTRAL ( ) OTRA ( )

31. ¿Existe un responsable en caso de falla?
SI ( ) NO ( )

32. ¿Explique que políticas
se siguen para la obtención de archivos de
respaldo?

33. ¿Existe un procedimiento
para el manejo de la información de la cintoteca?
SI ( ) NO ( )

34. ¿Lo conoce y lo sigue el cintotecario?
SI ( ) NO ( )

35. ¿Se distribuyen en forma periódica
entre los jefes de sistemas y programación informes de
archivos para que liberen los dispositivos de almacenamiento?
SI ( ) NO ( )

¿Con qué frecuencia?

CONTROL DE MANTENIMIENTO

Como se sabe existen básicamente tres tipos de
contrato de
mantenimiento:
El contrato de
mantenimiento
total que incluye el mantenimiento
correctivo y preventivo, el cual a su vez puede dividirse en
aquel que incluye las partes dentro del contrato y el que
no incluye partes. El contrato que
incluye refacciones es propiamente como un seguro, ya que en
caso de descompostura el proveedor debe proporcionar las partes
sin costo alguno.
Este tipo de contrato es
normalmente mas caro, pero se deja al proveedor la responsabilidad total del mantenimiento a
excepción de daños por negligencia en la
utilización del equipo. (Este tipo de mantenimiento
normalmente se emplea en equipos grandes).

El segundo tipo de mantenimiento es "por llamada", en el
cual en caso de descompostura se le llama al proveedor y
éste cobra de acuerdo a una tarifa y al tiempo que se
requiera para componerlo(casi todos los proveedores
incluyen, en la cotización de compostura, el tiempo de
traslado de su oficina a donde
se encuentre el equipo y viceversa). Este tipo de mantenimiento
no incluye refacciones.

El tercer tipo de mantenimiento es el que se conoce como
"en banco", y es
aquel en el cual el cliente lleva a
las oficinas del proveedor el equipo, y este hace una
cotización de acuerdo con el tiempo necesario para su
compostura mas las refacciones (este tipo de mantenimiento puede
ser el adecuado para computadoras
personales).

Al evaluar el mantenimiento se debe primero analizar
cual de los tres tipos es el que más nos conviene y en
segundo lugar pedir los contratos y
revisar con detalles que las cláusulas estén
perfectamente definidas en las cuales se elimine toda la
subjetividad y con penalización en caso de incumplimiento,
para evitar contratos que
sean parciales.

Para poder exigirle
el cumplimiento del contrato de debe tener un estricto control
sobre las fallas, frecuencia, y el tiempo de
reparación.

Para evaluar el control que se tiene sobre el
mantenimiento y las fallas se pueden utilizar los siguientes
cuestionarios:

1. Especifique el tipo de contrato de mantenimiento que
se tiene (solicitar copia del contrato).

2. ¿Existe un programa de mantenimiento
preventivo para cada dispositivo del sistema de computo?
SI ( ) NO ( )

3. ¿Se lleva a cabo tal programa?
SI ( ) NO ( )

4. ¿Existen tiempos de respuesta y de compostura
estipulados en los contratos?
SI ( ) NO ( )

5. Si los tiempos de reparación son superiores a
los estipulados en el contrato, ¿Qué acciones
correctivas se toman para ajustarlos a lo convenido?
SI ( ) NO ( )

6. Solicite el plan de mantenimiento
preventivo que debe ser proporcionado por el proveedor.-
SI ( ) NO ( )
¿Cual?

8. ¿Cómo se notifican las
fallas?

9. ¿Cómo se les da seguimiento?

Orden en el centro de
cómputo

Una dirección de Sistemas de
Información bien administrada debe tener y observar
reglas relativas al orden y cuidado del departamento de
cómputo. Los dispositivos del sistema de cómputo,
los archivos magnéticos, pueden ser dañados si se
manejan en forma inadecuada y eso puede traducirse en perdidas
irreparables de información o en costos muy
elevados en la reconstrucción de archivos. Se deben
revisar las disposiciones y reglamentos que coadyuven al
mantenimiento del orden dentro del departamento de
cómputo.

1. Indique la periodicidad con que se hace la limpieza
del departamento de cómputo y de la cámara de
aire que se
encuentra abajo del piso falso si existe y los ductos de aire:

Semanalmente ( ) Quincenalmente ( )
Mensualmente ( ) Bimestralmente ( )
No hay programa ( ) Otra (especifique) ( )

2. Existe un lugar asignado a las cintas y discos
magnéticos?
SI ( ) NO ( )

3. ¿Se tiene asignado un lugar especifico para
papelería y utensilios de trabajo?
SI ( ) NO ( )

4. ¿Son funcionales los muebles asignados para la
cintoteca y discoteca?
SI ( ) NO ( )

5. ¿Se tienen disposiciones para que se acomoden
en su lugar correspondiente, después de su uso, las
cintas, los discos magnéticos, la papelería,
etc.?
SI ( ) NO ( )

6. Indique la periodicidad con que se limpian las
unidades de cinta:

Al cambio de
turno ( ) cada semana ( )
cada día ( ) otra (especificar) ( )

7. ¿Existen prohibiciones para fumar, tomar
alimentos y
refrescos en el departamento de cómputo?
SI ( ) NO ( )

8. ¿Se cuenta con carteles en lugares visibles
que recuerdan dicha prohibición?
SI ( ) NO ( )

9. ¿Se tiene restringida la operación del
sistema de cómputo al personal
especializado de la Dirección de Informática?
SI ( ) NO ( )

10. Mencione los casos en que personal ajeno al
departamento de operación opera el sistema de
cómputo:

Evaluación de la
configuración del sistema de cómputo

Los objetivos son
evaluar la configuración actual tomando en
consideración las aplicaciones y el nivel de uso del
sistema, evaluar el grado de eficiencia con el
cual el sistema operativo
satisface las necesidades de la instalación y revisar las
políticas seguidas por la unidad de
informática en la conservación de su
programoteca.

Esta sección esta orientada a:

a) Evaluar posibles cambios en el hardware a fin de nivelar el
sistema de cómputo con la carga de trabajo actual o de
comparar la capacidad instalada con los planes de desarrollo a
mediano y lago plazo.

b) Evaluar las posibilidades de modificar el equipo para
reducir el costo o bien el
tiempo de proceso.

c) Evaluar la utilización de los diferentes
dispositivos periféricos.

1. De acuerdo con los tiempos de utilización de
cada dispositivo del sistema de cómputo, ¿existe
equipo?
¿Con poco uso? SI ( ) NO ( )
¿Ocioso? SI ( ) NO ( )
¿Con capacidad superior a la necesaria? SI ( ) NO (
)

Describa cual es
____________________________________________________

2. ¿El equipo mencionado en el inciso anterior
puede reemplazarse por otro mas lento y de menor costo?
SI ( ) NO ( )

3. Si la respuesta al inciso anterior es negativa,
¿el equipo puede ser cancelado?
SI ( ) NO ( )

4. De ser negativa la respuesta al inciso anterior,
explique las causas por las que no puede ser cancelado o
cambiado.
________________________________________________________________

5. ¿El sistema de cómputo tiene capacidad
de teleproceso?
SI ( ) NO ( )

6. ¿Se utiliza la capacidad de teleproceso?
SI ( ) NO ( )

7. ¿En caso negativo, exponga los motivos por los
cuales no utiliza el teleproceso?
SI ( ) NO ( )

8. ¿Cuantas terminales se tienen conectadas al
sistema de cómputo?

9. ¿Se ha investigado si ese tiempo de respuesta satisface
a los usuarios?
SI ( ) NO ( )

10. ¿La capacidad de memoria y de
almacenamiento máximo del sistema de cómputo es
suficiente
para atender el proceso por lotes y el proceso remoto?
SI ( ) NO ( )

Seguridad
lógica
y confidencial

La computadora es
un instrumento que estructura
gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o
instituciones,
y puede ser mal utilizada o divulgada a personas que hagan mal
uso de esta. También puede ocurrir robos, fraudes o
sabotajes que provoquen la destrucción total o parcial de
la actividad computacional.

Esta información puede ser de suma importancia, y
el no tenerla en el momento preciso puede provocar retrasos
sumamente costosos. Antes esta situación, en el transcurso
del siglo XX, el mundo ha sido testigo de la
transformación de algunos aspectos de seguridad y de
derecho.

En la actualidad y principalmente en las computadoras
personales, se ha dado otro factor que hay que considerar el
llamado ""virus" de las
computadoras,
el cual aunque tiene diferentes intenciones se encuentra
principalmente para paquetes que son copiados sin
autorización ("piratas") y borra toda la
información que se tiene en un disco.

Al auditar los sistemas se debe tener cuidado que no se
tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras,
no exista la posibilidad de transmisión del virus.

El uso inadecuado de la computadora
comienza desde la utilización de tiempo de máquina
para usos ajenos de la
organización, la copia de programas para fines de
comercialización sin reportar los derechos de
autor hasta el acceso por vía telefónica a
bases de datos
a fin de modificar la información con propósitos
fraudulentos.

Un método
eficaz para proteger sistemas de computación es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso
protegen contra el acceso no autorizado, pues piden del usuario
una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido
populares desde hace muchos años en el mundo de las
computadoras
grandes, y los principales proveedores
ponen a disposición de clientes algunos
de estos paquetes.

El sistema integral de seguridad debe
comprender:

  • Elementos administrativos
  • Definición de una política de
    seguridad
  • Organización y división de
    responsabilidades
  • Seguridad física y contra
    catástrofes(incendio, terremotos,
    etc.)
  • Prácticas de seguridad del
    personal
  • Elementos técnicos y
    procedimientos
  • Sistemas de seguridad (de equipos y de sistemas,
    incluyendo todos los elementos, tanto redes como
    terminales.
  • Aplicación de los sistemas de seguridad,
    incluyendo datos y archivos
  • El papel de los
    auditores, tanto internos como externos
  • Planeación de programas de desastre y su
    prueba.

Se debe evaluar el nivel de riesgo que puede
tener la información para poder hacer un
adecuado estudio costo/beneficio entre el costo por perdida de
información y el costo de un sistema de seguridad, para lo
cual se debe considerar lo siguiente:

  • Clasificar la instalación en términos
    de riesgo (alto,
    mediano, pequeño).
  • Identificar aquellas aplicaciones que tengan un alto
    riesgo.
  • Cuantificar el impacto en el caso de
    suspensión del servicio en
    aquellas aplicaciones con un alto riesgo.
  • Formular las medidas de seguridad necesarias
    dependiendo del nivel de seguridad que se requiera.
  • La justificación del costo de implantar las
    medidas de seguridad para poder
    clasificar el riesgo e
    identificar las aplicaciones de alto riesgo, se debe preguntar
    lo siguiente:
    • Que sucedería si no se puede usar el
      sistema?
    • Si la contestación es que no se
      podría seguir trabajando, esto nos sitúa en
      un sistema de alto riego.
  • La siguiente pregunta es:
    • ¿Que implicaciones tiene el que no se
      obtenga el sistema y cuanto tiempo podríamos estar
      sin utilizarlo?
    • ¿Existe un procedimiento alterno y que problemas nos
      ocasionaría?
    • ¿Que se ha hecho para un caso de
      emergencia?

Una vez que se ha definido, el grado de riesgo, hay que
elaborar una lista de los sistemas con las medias preventivas que
se deben tomar, así como las correctivas en caso de
desastre señalándole a cada uno su prioridad
.

Hay que tener mucho cuidado con la información
que sale de la oficina, su
utilización y que sea borrada al momento de dejar la
instalación que está dando respaldo.

Para clasificar la instalación en términos
de riesgo se debe:

  • Clasificar los datos, información y programas
    que contienen información confidencial que tenga un alto
    valor dentro
    del mercado de
    competencia de
    una organización, e información que
    sea de difícil recuperación.
  • Identificar aquella información que tenga un
    gran costo financiero en caso de pérdida o bien puede
    provocar un gran impacto en la toma de
    decisiones.
  • Determinar la información que tenga una gran
    pérdida en la
    organización y, consecuentemente, puedan provocar
    hasta la posibilidad de que no pueda sobrevivir sin esa
    información.

Para cuantificar el riesgo es necesario que se
efectúen entrevistas
con los altos niveles administrativos que sean directamente
afectados por la suspensión en el procesamiento y que
cuantifíquen el impacto que les puede causar este tipo de
situaciones.

Para evaluar las medidas de seguridad se debe:

  • Especificar la aplicación, los programas y
    archivos.
  • Las medidas en caso de desastre, pérdida
    total, abuso y los planes necesarios.
  • Las prioridades que se deben tomar en cuanto a las
    acciones a
    corto y largo plazo.
  • En cuanto a la división del trabajo se debe
    evaluar que se tomen las siguientes precauciones, las cuales
    dependerán del riesgo que tenga la información y
    del tipo y tamaño de la
    organización.
    • El personal que prepara la información no
      debe tener acceso a la operación.
    • Los análisis y programadores no deben
      tener acceso al área de operaciones
      y viceversa.
    • Los operadores no debe tener acceso irrestringido
      a las librerías ni a los lugares donde se tengan los
      archivos almacenados; es importante separar las funciones
      de librería y de operación.
    • Los operadores no deben ser los únicos que
      tengan el control sobre los trabajos procesados y no deben
      hacer las correcciones a los errores
      detectados.

Al implantar sistemas de seguridad puede, reducirse la
flexibilidad en el trabajo,
pero no debe reducir la eficiencia.

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter