Anda di halaman 1dari 3

PROCESO PARA LEVANTAMIENTO DE INFORMACIN, PARA LA AUDITORIA EN EL REA DE SISTEMAS 1. Pedir Expediente Tecnolgico de la entidad a auditar. a.

Aplicar el software de auditora a una muestra considerable de la entidad, tanto en matriz como en sucursales. b. Visitar a las sucursales y llevar a cabo un levantamiento de toda la tecnologa correspondiente manejada en el expediente tecnolgico aplicada la entidad 2. Comunicaciones a. Existen sucursales en lnea. b. Tipo de Enlaces. c. Numero de enlaces. d. Redundancia en enlaces. e. Software Monitoreo de enlace. f. Procedimiento en caso de fallo de la lnea. 2.1 Redes g. Cableado estructurado. h. Qu tipo de red es la que se encuentra en la entidad (Red de Baja, Media o Alta Complejidad) i. Estndares de cableado. j. Certificacin de cableado. k. Monitoreo de red l. Se usa Dominio m. Uso de Active Directory n. Uso de contraseas o. Seguridad en la red p. Diagrama de Red. q. Control e inventario de IPs. r. Equipo Principal de Red y comunicaciones. s. Reportes mensuales de rendimiento y fallas. (Acciones correctivas realizadas y solucin de causas origen) t. Deshabilitar conexiones de red que no estn en uso. u. Aplicar Check-List de Charly sobre Redes 3. Seguridad a. Antivirus. (se tienen instalados, se ensea a los usuarios a usar el antivirus, se exige el uso del antivirus al introducir algn dispositivo externo, con qu frecuencia se actualizan los antivirus. b. Firewall. c. Uso y aplicacin de polticas de seguridad. d. Polticas para el manejo de los usuarios del Core Bancario y Red (complejidad, Cada cuando se cambia la contrasea, mantenimiento de cuentas-cuando se desactivan o borran-, e. Control de acceso a internet. f. Polticas de seguridad en cuanto accesos remotos y controles, al Servidor y otros equipos en la red. g. Registros de trabajos y actividades en el servidor. h. Polticas para el control e implementacin de un Sistema de Vigilancia Automatizado. i. Polticas de seguridad en el uso de recursos compartidos. (Horarios, Permisos de escritura o lectura, polticas para el acceso a los equipos en la red, mecanismos de autentificacin, canales seguros de servicios.

j.

Identificacin de equipos de misin crtica, y procedimientos para llevar a cabo alguna accin de recuperacin o salvamento. k. Polticas Generales de Seguridad. 1. Accesos a las instalaciones se tienen lugares de accesos restringidos 2. Mecanismos de seguridad para el acceso a eso lugares 3. Registro de las personas que accedan a las instalaciones y/o a los lugares restringidos. 4. Mencione los casos en que el personal ajeno al rea de cmputo puede tener acceso. 5. Polticas de uso de aparatos de comunicacin tanto para empleados, como para socios. 6. Procedimientos para la destruccin de informacin confidencial de la entidad. 4. Check-List Revisin Auditoria para Entidades Alianza, Requerimientos de CNBV. 5. Hardware a. Inventario de todo el equipo fsico de computo., en base al expediente tecnolgico b. Tipos de Servidores c. SAN d. Cluster e. Redundancia en fuentes y ventiladores. f. Arreglo de Discos. g. Procesadores h. RAM i. Discos duros j. Tipos de Clientes k. Reguladores, No-break y UPS l. Sistema de vigilancia m. Planta de emergencia n. Tierra fsica para todos los equipos o. Instalaciones elctricas de la entidad, (se cuenta con la implementacin de contactos regulados en las tomas de corriente) 6. SITE a. b. c. d. e. f. g. h. i. j. k. l. m. n. Aplicar Check-List del Os Aire de precisin o confort. Muros de concreto Piso Falso Condiciones ambientales Dispersador de Gas Cableado estructurado Puerta de acceso metlica. SITE alterno Control de acceso. Pintura retardante a incendios. Racks, gabinetes y divisin adecuada de equipo dentro del site. Tierra Fsica. Instalaciones elctricas de control fuera del SITE

7. Bases de datos a. Que manejador de base de datos se usa b. Cuando se respalda la base

c. d. e. f. g.

Como se respalda Se guarda una copia externa de la base. Donde se resguarda el respaldo. Accesos al apartado donde se resguardan los respaldos. En caso de algn fallo, se aplica completa la transaccin de la operacin realizada por algn usuario. h. Procedimiento para correccin de movimientos. i. Quien tiene acceso a la base j. Existen perfiles de usuario 8. Desarrollo a. Tiene desarrolladores de sistema. b. Como se conforma el rea de desarrollo c. En que lenguaje se desarrolla. d. Como se realizan las actualizaciones. e. Tienen ambiente de pruebas. f. Se realizan pruebas antes de actualizar. g. Tienen acceso a la base productiva. 9. Procesos y procedimientos del rea de sistemas a. Planes de recuperacin de desastres y/o contingencia de servicios de informacin. b. Plan de Continuidad del Negocio. c. Polticas de licitacin y adquisicin de equipo. d. Manuales y procedimientos que se manejan dentro del rea de sistemas. e. Manual de planeacin estratgica y de expansin en materia de sistemas informticos. f. Procesos de controles para cumplimiento de polticas en el rea de sistemas. g. Manual de gestin de centros de informacin h. Manual de estndares informticos. i. Manual de Administracin de proyectos TI. j. Manual de Sistema Institucional o Core Financiero. k. Manual de riesgos, sistemas e informtica, parte del manual de riesgos de la entidad. l. Procesos para la planificacin y programacin de mantenimiento a equipo de sistemas, incluyendo todo (Software y hardware) (Incluyendo, plizas de mantenimiento a equipo critico y de telecomunicaciones.) m. Guas Tcnicas (Usuario, Instalaciones, procesos del sistema) n. Mtodos de ejecucin, control y evaluacin de capacitaciones al personal 10.Core Bancario y Core Contable a. Revisin de que se tenga instalado todos los mdulos del Sistema existentes b. Control de ultima versin que debe tener la entidad en funcin c. Respaldos del Core Contable d. Perfiles de usuario en Core Contable y Core Bancario e. Instalaciones adecuadas del Core Contable, (Servidor, Sitio, Permisos, administracin, etc.)