PROGRAMA DE AUDITORIA PARA EVALUAR UN SISTEMA DE

CORREO ELECTRONICO EN LA NUBE Office 365

OBJETIVO: La empresa “VIRGEN DE GUADALUPE S.A.C” ha solicitado

auditar el servicio de correo electrónico en la nube Office 365 del área de
Sistemas.
Fase I: Planificación
1. Planificación Previa:
 Designar Líder del Equipo Auditor.
 Establecimiento del contacto inicial la empresa “VIRGEN DE
GUADALUPE S.A.C” y con el área de sistemas de la misma.
2. Información Preliminar:
 Evaluar la viabilidad de una propuesta de tarea de auditoría y su
posible impacto.
 Selección del equipo auditor.
 Definición de los objetivos, el alcance y los criterios de auditoría.
3. Comprensión de control interno:
 Evaluación de controles.
 Revisión de los documentos pertinentes, correspondientes al control
interno.
4. Desarrollo de estrategia de la auditoria:
 Establecimiento de términos de referencia.
 Seguimiento de hallazgos y recomendaciones.
 Programación de la estrategia de auditoria.
 Ajustes a la planeación estratégica.
 Revisión de Auditorías Previas.
 Asignación de Tareas al Equipo Auditor.
5. Programa de auditoria:
 Evaluación de política.
 Evaluación de medidas de seguridad.
 Respaldo en caso de desastre.
 Contrato de Mantenimiento.
 Preparación de los Documentos de Trabajo.
6. Cronograma:
 Creación de un cronograma especificando por horas o días el proceso
de auditoría.
7. Determinación los recursos humanos y materiales que han de emplearse en
la auditoría:
a. Recursos materiales:

Son proporcionados por el cliente la mayoría de ellos, sobre el cual

gravita el aumento de carga y las interferencias sobre el desarrollo
normal de su trabajo.
 Las herramientas software propias del equipo auditor van a utilizarse
igualmente en el sistema auditado, por lo que han de convenirse en lo
posible las fechas y horas de uso entre auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

 Recursos materiales Software

- Programas propios de la Auditoría.

- Se verificara que el proveedor este cumpliendo debidamente con
las normativas, como son el acceso privilegiado a los usuarios de
acuerdo al uso y/o área en el que estén además de verificar de que
la ubicación de los datos estén debidamente protegida y se cumpla
con las medidas de seguridad adecuadas para el control de
segregación de datos.

 Recursos materiales Hardware:

- Los recursos hardware que el auditor necesita son proporcionados

por el cliente. Es una máxima de la auditoría informática que los
procesos de control deben efectuarse necesariamente en los
Ordenadores del auditado.Por tanto, habrán de convenirse,
fundamentalmente, tiempo de máquina y oportunidad de fecha,
hora y duración de las sesiones de medida.
- En el caso de evaluar un sistema de Correo Electrónico en la Nube
se revisaría si el proveedor está utilizando todas las medidas de
seguridad para que prevenga problemas a largo plazo como
también tenga un medio de recuperación alterna en caso de que se
pierda el motor principal de almacenamiento.
- Finalmente, se convendrán: Cantidad de pantallas, espacio en
disco, montajes de cintas, impresoras ocupadas y líneas de
comunicaciones si van a utilizarse en exclusiva.

El auditor deberá calcular con la mayor precisión posible los incrementos de

carga por él generados.

b. Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las

características y perfiles del personal seleccionado dependen de la
materia auditable.

Debe resaltarse que el equipo auditor no es solamente la agregación de

expertos. Por el contrario, es necesaria la cohesión entre sus
integrantes. Esta suele ser proporcionada por un informático generalista.

Fase II: Ejecución

 Reunión de apertura (anunciar que se está realizando una auditoria)
  Comunicación durante la auditoría (dependiendo la complejidad, entre el
auditor y el auditado)
 Verificación y recopilación de la información

1. Evaluación de los sistemas

 Solicitud del análisis y diseño del os sistemas en desarrollo y en
operación.
 Solicitud de la documentación de los sistemas en operación
(manuales técnicos, de operación del usuario, diseño de archivos y
programas).
 Recopilación y análisis de los procedimientos administrativos de cada
sistema (flujo de información, formatos, reportes y consultas).
 Análisis de llaves, redundancia, control, seguridad, confidencial y
respaldos.
 Análisis del avance de los proyectos en desarrollo, prioridades y
personal asignado.
 Entrevista con los usuarios de los sistemas.
 Evaluación directa de la información obtenida contra las necesidades
y requerimientos del usuario.
 Análisis objetivo de la estructuración y flujo de los programas.
 Análisis y evaluación de la información recopilada.
2. Evaluación de los Equipos
 Solicitud de los estudios de viabilidad y características de los equipos
actuales, proyectos sobre ampliación de equipo, su actualización.
 Solicitud de contratos de compra y mantenimientos del servicio.
 Solicitud de contratos y convenios de respaldo.
 Solicitud de contratos de Seguros.
 Elaboración de un cuestionario sobre la utilización del servicio y los
equipos, memoria, archivos, unidades de entrada/salida, equipos
periféricos y su seguridad del mismo.
 Visita técnica de comprobación de seguridad física y lógica de las
instalaciones del servicio.
 Evaluación técnica del sistema electrónico y ambiental de los equipos
y del local utilizado.
3. Evaluación de la información recopilada, obtención de gráficas, porcentaje
de utilización de los equipos y su justificación
4. Técnicas de auditoria informática
 Técnica y procedimientos.
 Técnica de auditoria asistió por el computador.
5. Evidencia sobre información procesada por medios electrónicos
6. Tipos de procedimientos
 Pruebas de cumplimiento.
 Pruebas sustantivas.
 Pistas de auditoria informática.
 Generación de hallazgos de la auditoria.
Fase III: Informe de auditoría
1. Evaluación de los hallazgos y conclusiones de auditoria:
 Preparar conclusiones de la Auditoria.
 Realizar reunión de Cierre.
2. Discusión de informe:
 Preparar Informe de Auditoria.
 Aprobación y Distribución de Informe de la Auditoria.
 Finalización de la Auditoria.
 Realización de las actividades de seguimiento de una auditoría.

TIEMPO DE NO
ASPECTOS A EVALUAR RESPUESTA VALORACION
CONTROL PROCEDE
LOS SERVIDORES DE CORREO ELECTRÓNICO
1 El número de estafetas
de correo es suficiente
para soportar la carga
del sistema.
2 El administrador de los
servidores de correo es
el único que tiene
acceso.
3 Los usuarios solo
pueden acceder a los
correos electrónicos que
se encuentren en su
buzón.
4 Existen servidores anti
spam que eviten que los
usuarios reciban correos
no deseados y de
escasa utilidad.
SERVIDORES DE RED VINCULADOS AL SISTEMA DE CORREO ELECTRONICO
6 Existen cortafuegos en
los servidores de red.
7 Existen utilidades de
antivirus.
8 El administrador de los
servidores de correo es
el único que tiene
acceso.
9 El acceso a los
servidores está
limitados y controlados.
10 Los servidores de red
están debidamente
actualizados con las
últimas versiones de los
paquetes de seguridad.
COPIAS DE SEGURIDAD
11 Comprobar que todos
los servidores realicen
copias de seguridad.
12 Solo los administradores
tienen acceso a las
diferentes copias de
seguridad.
EN LAS APLICACIONES DE CORREO ELECTRONICO
13 Los usuarios solo han
de poder acceder a las
aplicaciones mediante el
gestor de correo
electrónico.
14 Los usuarios
únicamente pueden
acceder a la información
asociada a su usuario.
15 La información
almacenada en las
aplicaciones se
encuentra debidamente
cifrada y es de acorde a
la información protegida.

Checklist: Office 365

1. Identificación de la auditoría
2.
Institución auditada:
Proyecto: Fase del ciclo de vida
 Planificación  Integración y pruebas
Iniciador:
 Esp. de Requerimientos  Aceptación y entrega
 Diseño  Mantención
Tipo de auditoría: Interna
 Implementación
 Externa
3. Auditor
Nombre
e-mail CEL
4. Checklist
Sí No
SERVICIO DE LA PLATAFORMA DE OFFICE 365
 ¿El sistema funciona en internet explorer 11 y 10?
 ¿El sistema funciona en la última versión del navegador Firefox y
googlechrome y safary?
 ¿El sistema está diseñado para funcionar con Office Professional Plus 2010
y 2013?
SERVICIO EXCHANGE ONLINE
 ¿El sistema cuenta con permisos basados en roles?
 ¿Se pueden crear grupos de roles?
 ¿El sistema tiene directivas de asignación de roles?
 ¿El servicio ofrecido en la nube da disponibilidad las 24 H?
 ¿Al perder el suministro eléctrico el servicio sigue ejecutándose?
 El plan de SQA incluye: (a) los requerimientos para SQA y las actividades
que deben ser desarrolladas, (b) la calendarización de las actividades
definidas, (c) los recursos requeridos, (d) la participación de SQA en el
desarrollo de software, (e) la participación de SQA en el proceso de SCM, y
(f) la participación de SQA en el proceso de pruebas.
 ¿El hardware utilizado es de calidad?
 ¿El tipo de software ofrecido es el correcto?
 ¿El tiempo de respuesta es el debido?
 ¿El personal asignado para el servicio es competente?
 ¿Se pueden entrelazar los entornos físicos y virtuales?
 ¿Hay monitoreo para asegurar el fortalecimiento de la red, capacidad de
memoria, capacidad de disco?
 ¿El rendimiento y ancho de banda son los requeridos?
 ¿El proveedor cuenta con HelpDesk?
 ¿El servicio cuenta con servidores de respaldo en caso de daños en el
servidor principal?
 ¿Los mecanismos de respaldo son los adecuados para el sistema?
 ¿Se cumple el SLA acordado?