Professional Documents
Culture Documents
Elaborado por:
Departamento de Control de
Calidad y Auditoría Informática
Contenido
Antecedentes
Introducción
Definición
Infraestructura
Instalaciones
Redes
Servicios
Servidores
Servicios
Seguridad
Acceso a las instalaciones
Acceso a los servicios.
Documentacion generada.
Politicas de seguridad.
Mantenimiento Lógico
Administración
Reglamento
Planes de contingencia
Bibliografía
Subdirección de Sistemas
2
Guía para Pruebas en Areas de Cómputo
Antecedentes
Introducción
Subdirección de Sistemas
3
Guía para Pruebas en Areas de Cómputo
Definición
Infraestructura.
Características Si No N/A
¿Se cuenta con un inventario de todos los equipos que integran el centro
de cómputo?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en los equipos?
Características de la bitácora (señale las opciones).
• ¿La bitácora es llenada por personal especializado?
• ¿Señala fecha de detección de la falla?
• ¿Señala fecha de corrección de la falla y revisión de que el
equipo funcione correctamente?
• ¿Se poseen registros individuales de los equipos.?
• ¿La bitácora hace referencia a hojas de servicio, en donde se
detalla la falla, y las causas que la originaron, así como las
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que a la finalización
de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
Subdirección de Sistemas
4
Guía para Pruebas en Areas de Cómputo
Características Si No N/A
¿Se cuenta con procedimientos definidos para la adquisición de nuevos
equipos?
¿Se tienen criterios de evaluación para determinar el rendimiento de los
equipos a adquirir y así elegir el mejor?
Documentos probatorios presentados:
Características Si No N/A
¿Se cuenta con un inventario de todos los equipos?
¿Con cuanta frecuencia se revisa el inventario?
Subdirección de Sistemas
5
Guía para Pruebas en Areas de Cómputo
Equipo de Red.
Características. Si No N/A
¿Se cuenta con un inventario de todos los equipos?
¿Con cuanta frecuencia se revisa el inventario?
¿Se posee de bitácoras de fallas detectadas en los equipos?
Características de la bitácora (señale las opciones).
• ¿La bitácora es llenada por personal especializado?
• ¿Señala fecha de detección de la falla?
• ¿Señala fecha de corrección de la falla y revisión de que el equipo
• funcione correctamente?
• ¿Se poseen registros individuales de los equipos?
• ¿La bitácora hace referencia a hojas de servicio, en donde se
detalle la falla, y las causas que la originaron, así como las
refacciones utilizadas?
¿Se lleva un control de los equipos en garantía, para que a la finalización
de ésta, se integren a algún programa de mantenimiento?
¿Se cuenta con servicio de mantenimiento para todos los equipos?
¿Con cuanta frecuencia se realiza mantenimiento a los equipos?
Instalaciones.
Características. Si No N/A
¿Las instalaciones (aulas, cubículos y oficinas) fueron diseñadas o
adaptadas específicamente para funcionar como un centro de cómputo?
¿Se tiene una distribución del espacio adecuada, de forma tal que facilite
el trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las instalaciones de forma que
permita una circulación fluida?
¿Existen lugares de acceso restringido?
¿Se cuenta con sistemas de seguridad para impedir el paso a lugares de
Subdirección de Sistemas
6
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
acceso restringido?
¿Se cuenta con sistemas de emergencia como son detectores de humo,
alarmas, u otro tipo de sensores?
¿Existen señalizaciones adecuadas en las salidas de emergencia y se
tienen establecidas rutas de evacuación?
¿Se tienen medios adecuados para extinción de fuego en el centro de
cómputo?
¿Cuales?
¿Se cuenta con iluminación adecuada y con iluminación de emergencia
en casos de contingencia?
¿Se tienen sistemas de seguridad para evitar que se sustraiga equipo de
las instalaciones?
¿Se tiene un lugar asignado a las cintas y discos magnéticos?
¿Se tiene un lugar asignado para papelería y utensilios de trabajo?
¿Son funcionales los muebles instalados dentro del centro de cómputo:
cintoteca, Discoteca, archiveros, mesas de trabajo, etc?
¿Existen prohibiciones para fumar, consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en lugares visibles que recuerdan
estas prohibiciones?
¿Con cuanta frecuencia se limpian las instalaciones ?
¿Con cuanta frecuencia se limpian los ductos de aire y la camara de aire que existe debajo del piso
falso (si existe)?
Controles Ambientales.
Características. Si No N/A
¿El centro de cómputo tiene alguna sección con sistema de
refrigeración.?
¿Con cuanta frecuencia se revisan y calibran los controles ambientales?
¿Se tiene contrato de mantenimiento para los equipos que proporcionan
el control ambiental?
¿Se tienen instalados y se limpian regularmente los filtros de aire?
¿Con cuanta frecuencia se limpian los filtros de aire?
Subdirección de Sistemas
7
Guía para Pruebas en Areas de Cómputo
Instalación Eléctrica.
Características. Si No N/A
¿Se cuenta con instalación con tierra física para todos los equipos?
¿La instalación eléctrica se realizó específicamente para el centro de
cómputo?
¿Se cuenta con otra Instalación dentro el centro de cómputo, diferente de
la que alimenta a los equipos de cómputo?
¿La acometida llega a un tablero de distribución?
¿El tablero de distribución esta en la sala, visible y accesible?
¿El tablero considera espacio para futuras ampliaciones de hasta de un
30 % (Considerando que se dispone de espacio físico para la instalación
de más equipos)?
¿La Instalación es independiente para el centro de cómputo?
¿La misma instalación con tierra física se ocupa en otras partes del
edificio?
Características. Si No N/A
¿La iluminación esta alimentada de la misma acometida que los equipos?
¿Las reactancias (balastras de las lamparas) están ubicadas dentro de la
sala?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a la planta de emergencia?
¿Los ventiladores y aire acondicionado están conectados en la misma
instalación de los equipos a los no-brake?
¿Se cuenta con interruptores generales?
¿Se cuenta con interruptores de emergencia en serie al interruptor
general?
¿Se cuenta con interruptores por secciones ó aulas?
¿Se tienen los interruptores rotulados adecuadamente?
¿Se tienen protecciones contra corto circuito?.
¿Se tiene implementado algún tipo de equipo de energía auxiliar?
¿Se cuenta con Planta de emergencia?
¿Se tienen conectadas algunas lamparas del centro de cómputo a la
planta de emergencia?
¿Que porcentaje de lamparas: % están conectadas a la planta
de emergencia (recomendable el 25 %)?
¿Se cuenta con equipos No-Break para todos los equipos?
¿Cuantos?
Voltaje de Salida Corriente máxima: Otra:
regulado.
No – Break.
Características de los No - Break.
Marca. Modelo. Tiempo de carga.
Subdirección de Sistemas
8
Guía para Pruebas en Areas de Cómputo
Consideraciones técnicas.
Tensión nominal especificada en los equipos: Volts.
Potencia consumida por los equipos: Watts.
Tolerancia máxima en tensión de 10% sobre tensión nominal.
Tolerancia mínima en tensión de 8% sobre tensión nominal.
Tolerancia máxima en frecuencia de 1/2 Hz.
Variación de voltaje entre fases máxima de 2.5% de la media aritmética de las tres fases.
Contenido de armónicas máximo inferior al 5% con equipo desconectado.
Instalación Telefónica.
Características. Si No N/A
¿Se cuenta con suficientes teléfonos para tener comunicado al centro de
cómputo con el resto de la organización?
¿Se tienen las suficientes líneas telefónicas para satisfacer las
necesidades del centro de cómputo?
¿Se utilizan líneas independientes para transmitir voz y para transmitir
datos?
¿El cableado telefónico se realizo tomando un estándar como referencia?
¿Cual estándar?
Subdirección de Sistemas
9
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
La calidad del servicio telefónico es:
( ) Excelente. ( ) Buena. ( ) Regular. ( ) Mala.
¿Se tiene tono de marcar en cuanto se levanta el auricular?
¿Se tiene interferencia con otras llamadas?
¿Se tiene interferencias por ruidos de la línea telefónica?
¿Se pueden transferir correctamente las llamadas?
¿Se tiene algún control de las llamadas efectuadas?
Documentos Probatorios Presentados:
Redes.
Características. Si No N/A
¿Se poseen planos de la topología del centro de cómputo?
¿Se poseen planos de la topología del centro de cómputo con el resto de
la organización?
¿Se indican los medios de comunicación principales y secundarios o de
respaldo?
¿Se identifican perfectamente los equipos involucrados en la red?
¿Se identifican los canales redundantes?
¿Existe nomenclatura para explicar el plano.?
Características. Si No N/A
¿Existen planos detallados de cada segmento de la red?
¿Existe un procedimiento para asignar las direcciones dentro de la red?
¿Existen inventarios de los equipos y las direcciones asociadas a cada
equipo?
¿Se siguió un estándar para el cableado de la red?
¿Cual estándar.?
¿Existen diferentes estándares para el cableado del centro de cómputo?
¿Se tienen perfectamente definidos los protocolos que se ocupan en
cada segmento de la red?
¿Se identifican perfectamente los equipos que utilizan protocolos distintos
y cual es el segmento en el que operan?
¿Con cuanta frecuencia se revisa el cableado?
¿El cableado se encuentra en zonas de acceso continuo como pasillos?
¿Se tienen equipos dedicados a monitorear el trafico de la red?
¿Con cuanta frecuencia se monitorea la red?
¿Se presentan reportes periódicos del trafico de la red?
¿Se restringe el acceso al personal a las áreas en donde se encuentra el
equipo de red?
¿Se Monitorea regularmente la actividad sobre los gateways?
Subdirección de Sistemas
10
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
¿Los usuarios tienen diferentes passwords sobre diferentes segmentos
de la red?
¿Se deshabilitan o resguardan físicamente los puntos de conexión de red
no usados?
Documentos Probatorios Presentados:
Servicios
Dentro de esta sección se definen los servicios que proporciona el
centro de cómputo, así como del equipo que se utiliza para brindar
servicios específicos.
Servidores
Características. Si No N/A
¿Se tienen establecidas reglas de seguridad para cada servidor o servicio
que se proporciona?
¿Con cuanta frecuencia se revisan las bitácoras?
¿Se determinan prioridades de acuerdo al tipo de usuario para el uso de
los recursos?
¿Existen mecanismos para asegurarse de que cada persona utilice su
propia cuenta?
¿Los permisos básicos de los usuarios son de sólo lectura?.
¿Se revisan periódicamente todos los archivos de arranque de los
sistemas y los archivos de configuración para detectar modificaciones y/o
cambios en ellos?
¿Se crean cuentas por defecto o “guest” para alguien que está
temporalmente en la organización?
¿Existen cuentas que estén compartidas por un grupo de gente?
¿Con cuanta frecuencia se actualizan las versiones de los programas
instalados en el servidor?
Subdirección de Sistemas
11
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
¿Que mecanismos de autentificación se tienen en el servidor?
¿Existen restricciones en algunas cuentas para tener acceso al servidor o
alguno de los recursos compartidos (archivos, impresión, etc.)?
¿En que consisten estas restricciones?
Servicios
Carácterísticas. Si No N/A
¿Se brindan asesorías?
¿Se imparten cursos?
¿Se proporciona acceso a Internet?
¿Se da servicio de digitalización?
¿Se presta equipo de cómputo para utilizarlo en el lugar?
¿Se brinda servicio de impresión?
¿Se presta equipo para exposiciones y conferencias?
¿Se proporciona servicio de Videoconferencia?
Carácterísticas. Si No N/A
¿Existe un reglamento para proporcionar estos servicios?
¿Existe un horario definido para dar alguno de estos servicios?
¿Existen procedimientos para solicitar estos servicios?
¿Existe el personal calificado para proporcionar este tipo de servicios?
¿Esta definido el costo de cada uno de estos servicios?
¿Que limitaciones tienen estos servicios?
Subdirección de Sistemas
12
Guía para Pruebas en Areas de Cómputo
Seguridad.
Características. Si No N/A
¿Se tienen lugares de acceso restringido?
¿Se poseen mecanismos de seguridad para el acceso a estos lugares?
¿A este mecanismo de seguridad se le han detectado debilidades?
¿Cuáles?
¿Que medidas se tienen implementadas ante la falla del sistema de
seguridad?
¿Con cuanta frecuencia se actualizan las claves o credenciales de
acceso?
¿Se tiene un registro de las personas que ingresan a las instalaciones?
Mencione los casos en que el personal ajeno al área de cómputo puede
tener acceso.
Documentos Probatorios Presentados:
Subdirección de Sistemas
13
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
¿Se utilizan herramientas para detectar claves débiles en algún servidor?
¿Con cuanta frecuencia se exige a los usuarios cambiar sus claves?
Documentacion Generada.
Características. Si No N/A
¿Existe un proceso de clasificación de la documentación confidencial?
¿Que criterios se ocupan para identificar la documentación confidencial?
¿Que mecanismos de distribución y control se tienen para la documentación confidencial?
¿Se tienen mecanismos de seguridad para evitar la reproducción de
información confidencial?
¿Que mecanismos de seguridad se tienen para evitar la salida de
información confidencial.?
¿Se tienen mecanismos de destrucción para información confidencial?
¿Existe diferenciación de servidores de impresión para información
confidencial e información general?
¿Los lugares de impresión están restringidos solo a usuarios
autorizados?
¿Existe personal para administrar los servicios de impresión y de
fotocopiado?
¿Están documentados todos los procedimientos?
Documentos Probatorios Presentados:
Politicas de Seguridad.
Características. Si No N/A
¿Se tienen definidas políticas de seguridad?
Las políticas de seguridad ayudan a responder:
• ¿Qué es necesario proteger?
• ¿Se definen cuales son los riesgos a que están expuestos?
• ¿Están determinadas las consecuencias de estos riesgos?
Mencione los casos en que el personal ajeno al área puede operar el
sistema de cómputo
¿Están determinadas las prioridades para la seguridad y el uso de los
recursos?
¿Se tienen planes sobre que hacer en una emergencia?
¿Se trabaja para educar a los usuarios sobre las necesidades y las
ventajas de la buena seguridad?
¿Se limita el acceso físico a cables de red, ruteadores, gateways,
repetidores y puntos de red?
Subdirección de Sistemas
14
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
¿Se desactivan las cuentas de las personas que se encuentran fuera de
la organización por largo tiempo?
¿Después de cuanto tiempo se dan de baja las cuentas de las personas
que salen de la organización?
¿Se desactivan las cuentas “inactivas” por mucho tiempo?
¿Por cuanto tiempo?
¿Se concientiza a los usuarios de prevenir los “Caballos de Troya”, al
momento de ingresar a sus cuentas?
¿Se registran y documentan los accidentes inusuales y comportamientos
extraños?
¿Están las copias de seguridad bien resguardadas?
¿Se almacenan las copias de seguridad en el mismo lugar en donde se
realizan?
¿Si se realizan copias de seguridad de directorios/archivos críticos, ¿Se
usa chequeo de comparación para detectar modificaciones no
autorizadas?
¿Los discos de recuperación/respaldos están al alcance de todos los
usuarios?
¿Se entrena a los usuarios sobre qué hacer cuando se activan las
alarmas?
¿Se tienen configurados adecuadamente los mecanismos de seguridad
en los servidores, dependiendo el sistema operativo instalado?
¿Se documentan las intrusiones al equipo?
¿Se pertenece a listas de discusión referentes a aspectos de seguridad?
¿Se pertenece a listas de discusión de los sistemas operativos
instalados?
¿Se tienen instaladas distintas versiones del mismo sistema operativo en
los servidores?
¿Se poseen notificaciones de intrusiones en los sistemas operativos, y los respectivos parches para
corregirlos en?
UNIX (En todas las versiones instaladas).
LINUX (En todas las versiones instaladas).
WINDOWS NT (En todas las versiones instaladas).
OS/2 (En todas las versiones instaladas).
AS/400 (En todas las versiones instaladas).
Otra, Especifique.
¿Se poseen notificaciones de intrusiones en las bases de datos, y los respectivos parches para
corregirlos? en:
Sybase (En todas las versiones instaladas).
Oracle (En todas las versiones instaladas).
Informix (En todas las versiones instaladas).
SQLServer(En todas las versiones instaladas).
Otras bases de datos que se ejecuten en servidores, especifique
Subdirección de Sistemas
15
Guía para Pruebas en Areas de Cómputo
Características. Si No N/A
¿Se tiene establecido un plan de respaldos?
¿Se realizan respaldos frecuentemente?
Describa brevemente su plan de respaldos.
Mantenimiento Lógico
Características. Si No N/A
¿Se permite a los usuarios grabar información en el disco duro?
¿Se depuran los de Archivos de Trabajo periódicamente en los equipos?
¿Con cuanta frecuencia se realiza esta depuración?
Subdirección de Sistemas
16
Guía para Pruebas en Areas de Cómputo
Administración.
Características. Si No N/A
¿Se tiene organigrama del área?
¿Se tienen organigrama de toda la organización?
¿Se tienen disposiciones para que se acomoden en un lugar específico,
despues de su uso, las cintas, discos, papeleria, impresiones, etc?
¿Se cuenta con manual de procedimientos?
¿Este manual esta actualizado?
¿Se definen todos los procedimientos claramente?
¿Se indica la secuencia de actividades?
¿Se cuenta con manual de organización?
¿Este manual esta actualizado?
¿Se describe el perfil de todo el personal del centro de cómputo?
¿Se definen claramente los puestos?
¿Se definen claramente las responsabilidades de cada puesto?
¿Se define claramente la autoridad de cada puesto?
¿Se define claramente al personal de base y al personal de apoyo?
De acuerdo a los tiempos de utilización de cada dispositivo del sistema de
cómputo, Existe:
• Equipo con poco uso
• Equipo ocioso
• Equipo con capacidad superior a la necesaria
Describa cual es
Subdirección de Sistemas
17
Guía para Pruebas en Areas de Cómputo
Reglamento.
Características. Si No N/A
¿Se tiene definido un reglamento para el centro de cómputo?
¿Este reglamento esta difundido a toda la organización?
¿Se plantean los objetivos del reglamento?
¿Se identifica quien puede ser usuario del centro de cómputo?
¿Se identifican los tipos de usuarios, sus responsabilidades, permisos y
restricciones?
¿Se indica el procedimiento para hacer uso del equipo de cómputo?
¿Se indica si se debe registrar y que datos ingresar en una bitácora?
¿Se indica el procedimiento para hacer uso de los servicios del centro?
¿Se indican las actividades que se prohibe hacer como fumar, tirar
basura, consumir alimentos, etc?
¿Se especifica el máximo de personas que pueden estar por equipo?
¿Se especifica cuantas veces por día y cuantos días puede un usuario
usar un equipo, así como el límite de horas de uso?
¿Se indican los requisitos para uso de servicio de impresión?
¿Se indican los requisitos para uso de servicio de préstamo para
conferencias o clases?
¿Se indica el horario de servicio, entre semana y fines de semana?
¿Se indican las sanciones a que son acreedores los que incurren en
alguna falta?
¿Se indica la vigencia del reglamento?
Documentos Probatorios Presentados:
Subdirección de Sistemas
18
Guía para Pruebas en Areas de Cómputo
Planes de Contingencia.
Características SI NO N/A
¿Se tienen planes de contingencia?
¿En el plan de contingencia se analizan los riesgos más probables a los
que esta expuesto el centro de cómputo?
¿Se tienen identificados los equipos de misión crítica.?
¿Se tienen identificadas las actividades de misión crítica?
¿Se ha seguido una metodología para hacer el plan de contingencias?
¿Se ha realizado un análisis de riesgo?
¿Se tienen establecidas las actividades de recuperación?
¿Se establece la secuencia de las actividades para la recuperación ante
riesgos específicos?
¿Se identifican los responsables de cada actividad y el tiempo estimado
para realizarla?
¿Se cuenta con los recursos necesarios para efectuar el plan de
contingencia?
¿Se tiene establecido un equipo para atención de emergencia?
¿Se tiene un directorio actualizado del equipo de atención de
emergencia?
¿Los planes de contingencia se conocen en toda la organización?
¿Se realizan simulacros para probar los planes de contingencia?
¿Se actualizan periódicamente los planes de contingencia.?
¿Se tienen procedimientos para actualizar y distribuir los planes de
contingencia?
Documentos Probatorios Presentados:
Subdirección de Sistemas
19
Guía para Pruebas en Areas de Cómputo
Bibliografía
http://www.minfin.gob.gt/politicas/a13.htm
Subdirección de Sistemas
20