Seguridad física
El objetivo es
establecer políticas,
procedimientos
y prácticas para evitar las interrupciones prolongadas del
servicio de
procesamiento de
datos, información debido a contingencias como
incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y
continuar en medio de emergencia hasta que sea restaurado el
servicio
completo.
Entre las precauciones que se deben revisar
están:
- Los ductos del aire
acondicionado deben estar limpios, ya que son una de las
principales causas del polvo y se habrá de contar con
detectores de humo que indiquen la posible presencia de
fuego. - En las instalaciones de alto riesgo se debe
tener equipo de fuente no interrumpible, tanto en la
computadora como en la red y los equipos de
teleproceso. - En cuanto a los extintores, se debe revisar en
número de estos, su capacidad, fácil acceso, peso
y tipo de producto que
utilizan. Es muy frecuente que se tengan los extintores, pero
puede suceder que no se encuentren recargados o bien que sean
de difícil acceso de un peso tal que sea difícil
utilizarlos. - Esto es común en lugares donde se encuentran
trabajando hombres y mujeres y los extintores están a
tal altura o con un peso tan grande que una mujer no
puede utilizarlos. - Otro de los problemas es
la utilización de extintores inadecuados que pueden
provocar mayor perjuicio a las máquinas (extintores
líquidos) o que producen gases
tóxicos. - También se debe ver si el personal sabe
usar los equipos contra incendio y si ha habido
prácticas en cuanto a su uso. - Se debe verificar que existan suficientes salidas de
emergencia y que estén debidamente controladas para
evitar robos por medio de estas salidas. - Los materiales
mas peligrosos son las cintas magnéticas que al
quemarse, producen gases
tóxicos y el papel
carbón que es altamente inflamable.
Tomando en cuenta lo anterior se elaboro el siguiente
cuestionario:
1. ¿Se han adoptado medidas de seguridad en el
departamento de sistemas de
información?
SI ( ) NO ( )
2. ¿Existen una persona
responsable de la seguridad?
SI ( ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la
seguridad?
SI ( ) NO ( )
4. ¿Existe personal de
vigilancia en la institución?
SI ( ) NO ( )
5. ¿La vigilancia se contrata?
a) Directamente ( )
b) Por medio de empresas que
venden ese servicio (
)
6. ¿Existe una clara definición de funciones entre
los puestos clave?
SI ( ) NO ( )
7. ¿Se investiga a los vigilantes cuando son
contratados directamente?
SI ( ) NO ( )
8. ¿Se controla el trabajo
fuera de horario?
SI ( ) NO ( )
9. ¿Se registran las acciones de
los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?.
SI ( ) NO ( )
10. ¿Existe vigilancia en el departamento de
cómputo las 24 horas?
SI ( ) NO ( )
11. ¿Existe vigilancia a la entrada del departamento
de cómputo las 24 horas?
a) Vigilante ? ( )
b) Recepcionista? ( )
c) Tarjeta de control de acceso
? ( )
d) Nadie? ( )
12. ¿Se permite el acceso a los archivos y
programas a
los programadores, analistas y operadores?
SI ( ) NO ( )
13. Se ha instruido a estas personas sobre que medidas
tomar en caso de que alguien pretenda entrar sin
autorización?
SI ( ) NO ( )
14. El edificio donde se encuentra la computadora
esta situado a salvo de:
a) Inundación? ( )
b) Terremoto? ( )
c) Fuego? ( )
d) Sabotaje? ( )
15. El centro de cómputo tiene salida al exterior al
exterior?
SI ( ) NO ( )
16. Describa brevemente la construcción del centro de cómputo,
de preferencia proporcionando planos y material con que
construido y equipo (muebles, sillas etc.) dentro del
centro.
17. ¿Existe control en el
acceso a este cuarto?
a) Por identificación personal? ( )
b) Por tarjeta magnética? ( )
c) por claves verbales? ( )
d) Otras? ( )
18. ¿Son controladas las visitas y demostraciones en
el centro de cómputo?
SI ( ) NO ( )
19. ¿Se registra el acceso al departamento de
cómputo de personas ajenas a la dirección de informática?
SI ( ) NO ( )
20. ¿Se vigilan la moral y
comportamiento
del personal de la
dirección de informática con el fin de mantener una
buena imagen y evitar
un posible fraude?
SI ( ) NO ( )
21. ¿Existe alarma para
a) Detectar fuego(calor o humo)
en forma automática? ( )
b) Avisar en forma manual la
presencia del fuego? ( )
c) Detectar una fuga de agua? ( )
d) Detectar magnéticos? ( )
e) No existe ( )
22. ¿Estas alarmas están
a) En el departamento de cómputo? ( )
b) En la cintoteca y discoteca? ( )
23. ¿Existe alarma para detectar condiciones
anormales del ambiente?
a) En el departamento de cómputo? ( )
b) En la cíntoteca y discoteca? ( )
c) En otros lados ( )
24. ¿La alarma es perfectamente audible?
SI ( ) NO ( )
25.¿Esta alarma también está
conectada
a) Al puesto de guardias? ( )
b) A la estación de Bomberos? ( )
c) A ningún otro lado? ( )
Otro_________________________________________
26. Existen extintores de fuego
a) Manuales? (
)
b) Automáticos? ( )
c) No existen ( )
27. ¿Se ha adiestrado el personal en el
manejo de los extintores?
SI ( ) NO ( )
28. ¿Los extintores, manuales o
automáticos a base de
TIPO SI NO
a) Agua, ( ) (
)
b) Gas? ( ) ( )
c) Otros ( ) ( )
29. ¿Se revisa de acuerdo con el proveedor el
funcionamiento de los extintores?
SI ( ) NO ( )
30. ¿Si es que existen extintores automáticos
son activador por detectores automáticos de fuego?
SI ( ) NO ( )
31. ¿Si los extintores automáticos son a base
de agua
¿Se han tomado medidas para evitar que el agua cause
mas daño que el fuego?
SI ( ) NO ( )
32. ¿Si los extintores automáticos son a base
de gas, ¿Se
ha tomado medidas para evitar que el gas cause mas
daño que el fuego?
SI ( ) NO ( )
33. ¿Existe un lapso de tiempo
suficiente, antes de que funcionen los extintores
automáticos para que el personal
a) Corte la acción de los extintores por
tratarse de falsas alarmas? SI ( ) NO ( )
b) Pueda cortar la energía
Eléctrica SI ( ) NO ( )
c) Pueda abandonar el local sin peligro
de intoxicación SI ( ) NO ( )
d) Es inmediata su acción? SI ( ) NO ( )
34. ¿Los interruptores de energía
están debidamente protegidos, etiquetados y sin
obstáculos para alcanzarlos?
SI ( ) NO ( )
35. ¿Saben que hacer los operadores del departamento
de cómputo, en caso de que ocurra una emergencia
ocasionado por fuego?
SI ( ) NO ( )
36. ¿El personal ajeno a operación sabe que
hacer en el caso de una emergencia (incendio)?
SI ( ) NO ( )
37. ¿Existe salida de emergencia?
SI ( ) NO ( )
38. ¿Esta puerta solo es posible abrirla:
a) Desde el interior ? ( )
b) Desde el exterior ? ( )
c) Ambos Lados ( )
39. ¿Se revisa frecuentemente que no esté
abierta o descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
SI ( ) NO ( )
40. ¿Se ha adiestrado a todo el personal en la forma
en que se deben desalojar las instalaciones en caso de
emergencia?
SI ( ) NO ( )
41. ¿Se ha tomado medidas para minimizar la
posibilidad de fuego:
a) Evitando artículos inflamables
en el departamento de cómputo? ( )
b) Prohibiendo fumar a los operadores
en el interior? ( )
c) Vigilando y manteniendo el
sistema
eléctrico? ( )
d) No se ha previsto ( )
42. ¿Se ha prohibido a los operadores el consumo de
alimentos y
bebidas en el interior del departamento de cómputo para
evitar daños al equipo?
SI ( ) NO ( )
43. ¿Se limpia con frecuencia el polvo acumulado
debajo del piso falso si existe?
SI ( ) NO ( )
44. ¿Se controla el acceso y préstamo en
la
a) Discoteca? ( )
b) Cintoteca? ( )
c) Programoteca? ( )
45. Explique la forma como se ha clasificado la información vital, esencial, no esencial
etc.
46. ¿Se cuenta con copias de los archivos en lugar
distinto al de la
computadora?
SI ( ) NO ( )
47. Explique la forma en que están protegidas
físicamente estas copias (bóveda, cajas de seguridad etc.)
que garantice su integridad en caso de incendio,
inundación, terremotos,
etc.
48. ¿Se tienen establecidos procedimientos de
actualización a estas copias?
SI ( ) NO ( )
49. Indique el número de copias que se mantienen, de
acuerdo con la forma en que se clasifique la información:
0 1 2 3
50. ¿Existe departamento de auditoria interna en la
institución?
SI ( ) NO ( )
51. ¿Este departamento de auditoria interna conoce
todos los aspectos de los sistemas?
SI ( ) NO ( )
52. ¿Que tipos de controles ha propuesto?
53. ¿Se cumplen?
SI ( ) NO ( )
54. ¿Se auditan los sistemas en
operación?
SI ( ) NO ( )
55.¿Con que frecuencia?
a) Cada seis meses ( )
b) Cada año ( )
c) Otra (especifique) ( )
56.¿Cuándo se efectúan modificaciones
a los programas, a
iniciativa de quién es?
a) Usuario ( )
b) Director de informática ( )
c) Jefe de análisis y programación ( )
d) Programador ( )
e) Otras ( especifique)
________________________________________________
57.¿La solicitud de modificaciones a los programas se
hacen en forma?
a) Oral? ( )
b) Escrita? ( )
En caso de ser escrita solicite formatos,
58.Una vez efectuadas las modificaciones, ¿se
presentan las pruebas a los
interesados?
SI ( ) NO ( )
59.¿Existe control estricto
en las modificaciones?
SI ( ) NO ( )
60.¿Se revisa que tengan la fecha de las
modificaciones cuando se hayan efectuado?
SI ( ) NO ( )
61.¿Si se tienen terminales conectadas, ¿se
ha establecido procedimientos de
operación?
SI ( ) NO ( )
62.Se verifica identificación:
a) De la terminal ( )
b) Del Usuario ( )
c) No se pide identificación ( )
63.¿Se ha establecido que información puede ser acezada y por
qué persona?
SI ( ) NO ( )
64.¿Se ha establecido un número máximo
de violaciones en sucesión para que la computadora
cierre esa terminal y se de aviso al responsable de ella?
SI ( ) NO ( )
65.¿Se registra cada violación a los procedimientos
con el fin de llevar estadísticas y frenar las tendencias
mayores?
SI ( ) NO ( )
66.¿Existen controles y medidas de seguridad sobre
las siguientes operaciones?
¿Cuales son?
( )Recepción de
documentos___________________________________________
( )Información
Confidencial____________________________________________
( )Captación de
documentos____________________________________________
( )Cómputo
Electrónico_______________________________________________
(
)Programas_______________________________________________________
( )Discotecas y
Cintotecas_____________________________________________
( )Documentos de
Salida______________________________________________
( )Archivos
Magnéticos_______________________________________________
( )Operación del equipo de
computación__________________________________
( )En cuanto al acceso de
personal_______________________________________
( )Identificación del
personal___________________________________________
(
)Policia___________________________________________________________
( )Seguros contra
robo e incendio_______________________________________
( )Cajas de
seguridad_________________________________________________
( )Otras
(especifique)_________________________________________________
Seguridad en la
utilización del equipo
En la actualidad los programas y los
equipos son altamente sofisticados y sólo algunas personas
dentro del centro de cómputo conocen al detalle el
diseño,
lo que puede provocar que puedan producir algún deterioro
a los sistemas si no se
toman las siguientes medidas:
1) Se debe restringir el acceso a los programas y a los
archivos.
2) Los operadores deben trabajar con poca supervisión y sin la participación
de los programadores, y no deben modificar los programas ni los
archivos.
3) Se debe asegurar en todo momento que los datos y archivos
usados sean los adecuados, procurando no usar respaldos
inadecuados.
4) No debe permitirse la entrada a la red a personas no
autorizadas, ni a usar las terminales.
5) Se deben realizar periódicamente una
verificación física del uso de
terminales y de los reportes obtenidos.
6) Se deben monitorear periódicamente el uso que se le
está dando a las terminales.
7) Se deben hacer auditorías periódicas sobre el
área de operación y la utilización de las
terminales.
8) El usuario es el responsable de los datos, por lo que
debe asegurarse que los datos
recolectados sean procesados completamente. Esto sólo se
logrará por medio de los controles adecuados, los cuales
deben ser definidos desde el momento del diseño
general del sistema.
9) Deben existir registros que
reflejen la transformación entre las diferentes funciones de un
sistema.
10) Debe controlarse la distribución de las salidas (reportes,
cintas, etc.).
11) Se debe guardar copias de los archivos y programas en lugares
ajenos al centro de cómputo y en las instalaciones de alta
seguridad; por ejemplo: los bancos.
12) Se debe tener un estricto control sobre el
acceso físico a los archivos.
13) En el caso de programas, se debe asignar a cada uno de ellos,
una clave que identifique el sistema,
subsistema, programa y
versión.
También evitará que el programador ponga nombres
que nos signifiquen nada y que sean difíciles de
identificar, lo que evitará que el programador utilice
la computadora
para trabajos personales. Otro de los puntos en los que hay que
tener seguridad es en el manejo de información. Para
controlar este tipo de información se debe:
1) Cuidar que no se obtengan fotocopias de información
confidencial sin la debida autorización.
2) Sólo el personal autorizado debe tener acceso a la
información confidencial.
3) Controlar los listados tanto de los procesos
correctos como aquellos procesos con
terminación incorrecta.
4) Controlar el número de copias y la destrucción
de la información y del papel
carbón de los reportes muy confidenciales.
El factor más importante de la eliminación de
riesgos en la
programación es que todos los programas y
archivos estén debidamente documentados.
El siguiente factor en importancia es contar con los
respaldos, y duplicados de los sistemas,
programas, archivos y documentación necesarios para que
pueda funcionar el plan de
emergencia.
- Equipo, programas y archivos
- Control de aplicaciones por terminal
- Definir una estrategia de
seguridad de la red y de respaldos - Requerimientos físicos.
- Estándar de archivos.
- Auditoría interna en el momento del diseño del sistema, su
implantación y puntos de verificación y
control.
Seguridad al
restaurar el equipo
En un mundo que depende cada día mas de los servicios
proporcionados por las computadoras,
es vital definir procedimientos en
caso de una posible falta o siniestro. Cuando ocurra una
contingencia, es esencial que se conozca al detalle el motivo que
la originó y el daño causado, lo que
permitirá recuperar en el menor tiempo posible el
proceso
perdido. También se debe analizar el impacto futuro en el
funcionamiento de la
organización y prevenir cualquier implicación
negativa.
En todas las actividades relacionadas con las ciencias de la
computación, existe un riesgo aceptable,
y es necesario analizar y entender estos factores para establecer
los procedimientos que permitan analizarlos al máximo y en
caso que ocurran, poder reparar
el daño y reanudar la operación lo mas
rápidamente posible.
En una situación ideal, se deberían elaborar
planes para manejar cualquier contingencia que se presente.
Analizando cada aplicación se deben definir planes de
recuperación y reanudación, para asegurarse que los
usuarios se vean afectados lo menos posible en caso de falla o
siniestro. Las acciones de
recuperación disponibles a nivel operativo pueden ser
algunas de las siguientes:
- En algunos casos es conveniente no realizar ninguna
acción y reanudar el proceso. - Mediante copias periódicas de los archivos se puede
reanudar un proceso a
partir de una fecha determinada. - El procesamiento anterior complementado con un registro de las
transacciones que afectaron a los archivos permitirá
retroceder en los movimientos realizados a un archivo al
punto de tener la seguridad del contenido del mismo a partir de
él reanudar el proceso. - Analizar el flujo de datos y
procedimientos y cambiar el proceso
normal por un proceso alterno de emergencia. - Reconfigurar los recursos
disponibles, tanto de equipo y sistemas como de comunicaciones.
Cualquier procedimiento que
se determine que es el adecuado para un caso de emergencia
deberá ser planeado y probado previamente.
Este grupo de
emergencia deberá tener un conocimiento
de los posibles procedimientos que puede utilizar, además
de un conocimiento
de las características de las aplicaciones, tanto
desde el punto técnico como de su prioridad, el nivel de
servicio
planeado y su influjo en la operación de la
organización.
Además de los procedimientos de recuperación y
reinicio de la información, se deben contemplar los
procedimientos operativos de los recursos
físicos como hardware y comunicaciones, planeando la utilización de
equipos que permitan seguir operando en caso de falta de la
corriente eléctrica, caminos alternos de comunicación y utilización de
instalaciones de cómputo similares. Estas y otras medidas
de recuperación y reinicio deberán ser planeadas y
probadas previamente como en el caso de la
información.
El objetivo del
siguiente cuestionario
es evaluar los procedimientos de restauración y
repetición de procesos en el
sistema de cómputo.
1) ¿Existen procedimientos relativos a la
restauración y repetición de procesos en el
sistema de cómputo?
SI ( ) NO ( )
2) ¿ Enuncie los procedimientos mencionados en el
inciso anterior?
3) ¿Cuentan los operadores con alguna
documentación en donde se guarden las instrucciones
actualizadas para el manejo de restauraciones?
SI ( ) NO ( )
En el momento que se hacen cambios o correcciones a los
programas y/o archivos se deben tener las siguientes
precauciones:
1) Las correcciones de programas deben ser debidamente
autorizadas y probadas. Con esto se busca evitar que se cambien
por nueva versión que antes no ha sido perfectamente
probada y actualizada.
2) Los nuevos sistemas deben estar adecuadamente documentos y
probados.
3) Los errores corregidos deben estar adecuadamente
documentados y las correcciones autorizadas y verificadas.
Los archivos de nuevos registros o
correcciones ya existentes deben estar documentados y verificados
antes de obtener reportes.
Procedimientos de
respaldo en caso de desastre
Se debe establecer en cada dirección de informática un plan de
emergencia el cual ha de ser aprobado por la dirección de informática y contener tanto procedimiento
como información para ayudar a la recuperación de
interrupciones en la operación del sistema de
cómputo.
El sistema debe ser probado y utilizado en condiciones
anormales, para que en casó de usarse en situaciones de
emergencia, se tenga la seguridad que funcionará.
La prueba del plan de
emergencia debe hacerse sobre la base de que la emergencia existe
y se ha de utilizar respaldos.
Se deben evitar suposiciones que, en un momento de emergencia,
hagan inoperante el respaldo, en efecto, aunque el equipo de
cómputo sea aparentemente el mismo, puede haber
diferencias en la configuración, el sistema
operativo, en disco etc.
El plan de
emergencia una vez aprobado, se distribuye entre personal
responsable de su operación, por precaución es
conveniente tener una copia fuera de la dirección de informática.
En virtud de la información que contiene el plan de
emergencia, se considerará como confidencial o de acceso
restringido.
La elaboración del plan y de los componentes puede
hacerse en forma independiente de acuerdo con los requerimientos
de emergencia, La estructura del
plan debe ser tal que facilite su actualización.
Para la preparación del plan se seleccionará el
personal que realice las actividades claves del plan. El grupo de
recuperación en caso de emergencia debe estar integrado
por personal de administración de la dirección de
informática, debe tener tareas específicas como la
operación del equipo de respaldo, la interfaz
administrativa.
Los desastres que pueden suceder podemos clasificar
así:
a) Completa destrucción del centro de
cómputo,
b) Destrucción parcial del centro de cómputo,
c) Destrucción o mal funcionamiento de los equipos
auxiliares del centro de cómputo (electricidad,
aire,
acondicionado, etc.)
d) Destrucción parcial o total de los equipos
descentralizados
e) Pérdida total o parcial de información, manuales o
documentación
f) Pérdida del personal clave
g) Huelga o
problemas
laborales.
El plan en caso de desastre debe incluir:
- La documentación de programación y de operación.
- Los equipos:
- El equipo completo
- El ambiente
de los equipos - Datos y archivos
- Papelería y equipo accesorio
- Sistemas (sistemas
operativos, bases de
datos, programas).
El plan en caso de desastre debe considerar todos los puntos
por separado y en forma integral como sistema. La
documentación estará en todo momento tan
actualizada como sea posible, ya que en muchas ocasiones no se
tienen actualizadas las últimas modificaciones y eso
provoca que el plan de emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el
grupo
deberá:
- Asegurarse de que todos los miembros sean notificados,
- informar al director de informática,
- Cuantificar el daño o pérdida del equipo,
archivos y documentos para
definir que parte del plan debe ser activada. - Determinar el estado de
todos los sistemas en proceso, - Notificar a los proveedores
del equipo cual fue el daño, - Establecer la estrategia para
llevar a cabo las operaciones de
emergencias tomando en cuenta: - Elaboración de una lista con los métodos disponibles para realizar la
recuperación - Señalamiento de la posibilidad de alternar los
procedimientos de operación (por ejemplo, cambios en
los dispositivos, sustituciones de procesos
en línea por procesos en lote). - Señalamiento de las necesidades para armar y
transportar al lugar de respaldo todos los archivos,
programas, etc., que se requieren. - Estimación de las necesidades de tiempo de
las computadoras para un periodo largo.
- Elaboración de una lista con los métodos disponibles para realizar la
Cuando ocurra la emergencia, se deberá reducir la carga de
procesos, analizando alternativas como:
- Posponer las aplicaciones de prioridad más
baja, - Cambiar la frecuencia del proceso de trabajos.
- Suspender las aplicaciones en desarrollo.
Por otro lado, se debe establecer una coordinación
estrecha con el personal de seguridad a fin de proteger la
información.
Respecto a la configuración del equipo hay que tener
toda la información correspondiente al hardware y software del equipo propio y
del respaldo.
Deberán tenerse todas las especificaciones de los
servicios
auxiliares tales como energía
eléctrica, aire
acondicionado, etc. a fin de contar con servicios de
respaldo adecuados y reducir al mínimo las restricciones
de procesos, se deberán tomar en cuenta las siguientes
consideraciones:
- Mínimo de memoria
principal requerida y el equipo periférico que permita
procesar las aplicaciones esenciales. - Se debe tener documentados los cambios de software.
- En caso de respaldo en otras instituciones, previamente se deberá
conocer el tiempo de
computadora
disponible.
Es conveniente incluir en el acuerdo de soporte
recíproco los siguientes puntos:
- Configuración de equipos.
- Configuración de equipos de captación de
datos. - Sistemas operativos.
- Configuración de equipos periféricos.
PROGRAMA DE AUDITORIA EN | ||||||||||||||
INSTITUCION________________________ HOJA FECHA DE FORMULACION____________ | ||||||||||||||
FASE | DESCRIPCION | ACTIVIDAD | NUMERO DE PERSONAL | PERIODO ESTIMADO | DIAS HAB EST. | DIAS HOM. EST. | ||||||||
PARTICIPANTE | INICIO | TERMINO | ||||||||||||
|
|
|
|
|
|
|
| |||||||
|
|
|
|
|
|
|
| |||||||
|
|
|
|
|
|
|
| |||||||
AVANCE DEL CUMPLIMIENTO DEL DE AUDITORIA EN SISTEMAS |
INSTITUCION_______________________ PERIODO QUE |
FASE | SITUACION DE LA | PERIODO REAL DE LA | DIAS REALES UTILIZADOS | GRADO DE AVANCE | DIAS HOM. EST. | EXPLICACION DE LAS VARIACIONES EN | |||
NO INICIADA | EN PROCESO | TERMINADA | INICIADA | TERMINADA | |||||
|
|
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ejemplo de Propuesta de Servicios de
Auditoria en Informática
(Anotar los antecedentes específicos del
proyecto de
Auditoria)- ANTECEDENTES
(Anotar el objetivo
de la Auditoria) - OBJETIVOS
- ALCANCES DEL PROYECTO
El alcance del proyecto
comprende:
- Evaluación de la Dirección de
Informática en lo que corresponde a:
- Capacitación
- Planes de trabajo
- Controles
- Estándares
- Evaluación de los Sistemas
- Evaluación de los diferentes sistemas en
operación (flujo de información,
procedimientos, documentación, redundancia, organización de archivos,
estándares de programación, controles,
utilización de los sistemas) - Evaluación del avance de los sistemas en
desarrollo
y congruencia con el diseño general - Evaluación de prioridades y recursos
asignados (humanos y equipos de
cómputo) - Seguridad física y lógica de los sistemas, su
confidencialidad y respaldos
- Evaluación de los equipos
- Capacidades
- Utilización
- Nuevos Proyectos
- Seguridad física y lógica
- Evaluación física y lógica
- METODOLOGIA
La metodología de investigación a utilizar en el proyecto se
presenta a continuación:
- Para la evaluación de la Dirección de
Informática se llevarán a cabo las siguientes
actividades:
- Solicitud de los estándares utilizados y
programa de
trabajo - Aplicación del cuestionario al personal
- Análisis y evaluación del a
información - Elaboración del informe
- Para la evaluación de los sistemas tanto en
operación como en desarrollo
se llevarán a cabo las siguientes
actividades:
- Solicitud del análisis y diseño del os sistemas en desarrollo
y en operación - Solicitud de la documentación de los
sistemas en operación (manuales
técnicos, de operación del usuario,
diseño de archivos y programas) - Recopilación y análisis de los procedimientos
administrativos de cada sistema (flujo de información,
formatos, reportes y consultas) - Análisis de llaves, redundancia, control,
seguridad, confidencial y respaldos - Análisis del avance de los proyectos en
desarrollo, prioridades y personal
asignado - Entrevista con los usuarios de los
sistemas - Evaluación directa de la información
obtenida contra las necesidades y requerimientos del
usuario - Análisis objetivo
de la estructuración y flujo de los
programas - Análisis y evaluación de la información
recopilada - Elaboración del informe
- Para la evaluación de los equipos se
levarán a cabo las siguientes actividades:
- Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos
sobre ampliación de equipo, su
actualización - Solicitud de contratos de
compra y mantenimientos de equipo y sistemas - Solicitud de contratos y
convenios de respaldo - Solicitud de contratos de
Seguros - Elaboración de un cuestionario sobre la utilización de
equipos, memoria,
archivos, unidades de entrada/salida, equipos periféricos y su seguridad - Visita técnica de comprobación de
seguridad física y lógica de la instalaciones de la
Dirección de Informática - Evaluación técnica del sistema
electrónico y ambiental de los equipos y del local
utilizado - Evaluación de la información
recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su
justificación
- Elaboración y presentación del
informe
final ( conclusiones y recomendaciones)
- TIEMPO Y COSTO
(Poner el tiempo en que
se llevará a cabo el proyecto , de
preferencia indicando el tiempo de cada una de las etapas,
costo del
proyecto
Se agradece a las Corporaciones, que en forma
desinteresa a través de Internet, ponen
información de valor, al
alcance de todos .-
Trabajo enviado y realizado por:
Oscar Toro
Centro de Formación Técnica
DIEGO PORTALES
Concepción
CHILE
 Página anterior | Volver al principio del trabajo | Página siguiente  |