Ejemplo Auditoria Informatica

AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS
RAFAEL ALEJANDRO GATICA PATRICIO. ROGELIO ELIAS LEMUS CORTES. GRICEL NOEMI LOZADA ZARATE. DIANA ANGELICA OROZCO GUTIERREZ. JORGE ENRIQUE REYES NICOLIN.
DICIEMBRE, 2010.
NDICE
CONOCIMIENTO GENERAL DEL REA A REVISAR. ........................................................... 4 OBJETIVO DE LA AUDITORA. ......................................................................................... 6 ALCANCE DE LA AUDITORA. .......................................................................................... 6 PROGRAMA DE TRABAJO............................................................................................... 7 FASE: ACTIVIDADES PREVIAS. ..................................................................................... 7 FASE: ACTIVIDADES INTERMEDIAS. ............................................................................ 8 FASE: ACTIVIDADES POSTERIORES.............................................................................. 8 CARTA DE PRESENTACIN. ............................................................................................ 9 POLTICAS Y PROCEDIMIENTOS EXISTENTES (NORMATIVIDAD). ................................... 10 MAAGTIC. ................................................................................................................ 10
Captulo I ................................................................................................................................... 10 Objetivo. .................................................................................................................................... 11 mbito de aplicacin / Alcance. ................................................................................................ 11 Marco Jurdico. .......................................................................................................................... 12
NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL (5000-001-001) .... 19
Objetivo. .................................................................................................................................... 20 mbito de aplicacin................................................................................................................. 20 Sujetos de la norma................................................................................................................... 20 Responsables de la aplicacin de la norma............................................................................... 20 Documentos de referencia. ....................................................................................................... 20 Disposiciones. ............................................................................................................................ 21
PRUEBAS DE CUMPLIMIENTO (PREPARACIN). ............................................................ 27 MATERIAL DE APOYO (PREPARACIN). ........................................................................ 30 ENCUESTA N 1. ....................................................................................................... 30 ENCUESTA N 2 ........................................................................................................ 33 LEVANTAMIENTO DE LA INFORMACIN....................................................................... 35 PRUEBAS DE CUMPLIMIENTO. ..................................................................................... 36 ANLISIS DE LA INFORMACIN. ................................................................................... 37 ENCUESTA N 1. ....................................................................................................... 37 ENCUESTA N 2. ....................................................................................................... 44 CONFIRMACIN DE OBSERVACIONES. ......................................................................... 49 IDENTIFICACIN DE NIVELES DE RIESGO. ..................................................................... 57 CONSOLIDACIN DE NIVELES DE RIESGO. .................................................................... 60
2010
MARCAS DE AUDITORA. ............................................................................................. 64 INFORME FINAL. .......................................................................................................... 65 ANEXOS. ..................................................................................................................... 68
CONOCIMIENTO GENERAL DEL REA A REVISAR. E
l Instituto Mexicano del Seguro Social, en el esfuerzo diario que realiza en beneficio de la poblacin derechohabiente y en apoyo del Proceso de Mejora de Medicina Familiar, crea progresivamente un Sistema de Informacin de Medicina Familiar (SIMF) que facilitar y respaldar las tareas de datos generados por el personal de las unidades mdicas del primer nivel de operacin y agilizar el otorgamiento de la atencin integral a la salud de los derechohabientes. Esta aplicacin, para ser completamente funcional dentro de cada una de las Unidades Medico Familiares y cuenta con los siguientes mdulos de informacin, los cuales son operados por el personal capacitado para dicha labor: Agenda de Citas. Atencin Integral. Atencin Mdica. Historia Clnica. Somatometra. PREVENIMSS (Programas Integrados). Estomatologa. Salud en el Trabajo. Trabajo Social. Nutricin y Diettica. Urgencias. Hojas de control. Auxiliares de Dx y Tx. Resultados. Administracin del SIMF.
La infraestructura de cada Unidad Mdica Familiar (UMF) est compuesta de las computadoras, cableado, concentradores y conectores compartiendo informacin mutuamente y con otros sistemas como el ACCEDER que proveer los datos afiliatorios del asegurado y sus beneficiarios. El Sistema de Abasto Institucional Farmacia (SAIF) que permitir identificar la existencia de medicamentos en farmacia. La computadora que mantiene el control se conoce como servidor y las otras como terminales o estaciones de trabajo. Debido a ser una herramienta de suma importancia para el Instituto, ya que en ella se registra informacin muy sensible de pacientes as como de su historial clnico, es necesario contar con una herramienta capaz de soportar cualquier eventualidad que se presentara, ya que incluso cuando se haya terminado el horario de atencin a derechohabientes (de 8 de la maana a 8 de la noche de lunes a viernes), siempre existir la posibilidad de que un paciente con alguna urgencia
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS se presente, y sin importar el da u hora en que esto ocurra, el SIMF deber estar disponible para el registro correspondiente de la informacin de este. Como se mencion anteriormente, el SIMF es instalado en cada una de las UMF pertenecientes al Instituto, lo que conlleva a que la informacin que posee cada una es de uso nico y exclusivo de la misma, solo coordinado por la Coordinacin Delegacional de Informtica (CDI) en caso de necesitar sincronizar o corroborar informacin que sea de uso general del Instituto. La siguiente auditora se realizar dentro de las instalaciones de la Unidad Mdica Familiar N 94, la informacin general de esta se especifica a continuacin: Director: Dr. Marco Antonio Pagola Martnez. Ubicacin: Antiguo camino San Juan de Aragn 235, Col. Casas Alemn, C.P. 07580, Delegacin Gustavo A. Madero. Telfono: 57672541, 57672977 y 57677499 A continuacin se presenta el mapa que muestra como est distribuida la Unidad Medica Familiar N 94:
2010
Donde las reas correspondientes del numero 15 al 29 son consultorios mdicos para derechohabientes, y la oficina marcada con el nmero 08 es donde se encuentra el site adaptado a las necesidades de la clnica y desde donde se proporciona el servicio del SIMF a todos los consultorios y equipos de las auxiliares medicas para gestionar el control de citas de los pacientes que se presenten, as como de la unidad de atencin medica continua, que trabaja las 24 horas del da los 365 das del ao. La actividad realizada en la clnica requiere de las Tecnologas de la Informacin con el fin de proporcionar el servicio que las personas quieren, esperan y necesitan, y as le da una importancia creciente a la Disponibilidad. Simplemente, los derechohabientes vern a la clnica (y en general al Instituto) con desdn si el Sistema no est disponible, bien porque el servicio no est operativo cuando el Instituto advirti que estara disponible, bien porque est no disponible cuando el derechohabiente siente que debera estar disponible.
OBJETIVO DE LA AUDITORA.
V
Erificar los controles establecidos ara mantener la disponibilidad y continuidad del Sistema de Informacin de Medicina Familiar (SIMF), para que con base en el anlisis de estos y de un registro de incidencias e interrupciones presentadas en el periodo comprendido del 1 de junio al 30 de noviembre del ao en curso, se puedan establecer puntos crticos en la operacin y gestin del sistema con la finalidad de realizar las recomendaciones necesarias que permitan la mejora en la implementacin de dichos controles para proporcionar una respuesta ms rpida en caso de presentarse una incidencia.
ALCANCE DE LA AUDITORA.
S
e analizarn los posibles riesgos que podran resultar en una afectacin a la disponibilidad del sistema SIMF, as como las incidencias e interrupciones que se han presentado en el lapso de tiempo de 6 meses, comprendido desde el 1 de Junio a la fecha; con el propsito de conocer las causas que las generaron y el impacto tanto econmico como operativo que tuvieron. La auditoria cubrir los siguientes puntos: Sistema SIMF que se opera en la Unidad Mdica Familiar N 94: (100%) Plan de evaluacin de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (100%). Personal encargado de responder a fallos (100%). Incidencias presentadas en el periodo (50%). Interrupciones en el servicio (50%). Plan de respaldos (30%). Entrevistas a usuarios de la aplicacin (25%). Documentacin del sistema (10%).
2010
PROGRAMA DE TRABAJO.
FASE: ACTIVIDADES PREVIAS.
ACTIVIDADES: A.1. CONOCIMIENTO GENERAL DEL REA A REVISAR. A.2. DEFINICIN DE OBJETIVO Y ALCANCE. A.3. PREPARACIN DEL PROGRAMA DE TRABAJO. A.4. PREPARACIN DE LA CARTA DE PRESENTACIN. A.5. CONOCIMIENTO PREVIO SOBRE LAS POLTICAS Y PROCEDIMIENTOS EXISTENTES. A.6. PREPARACIN DE PRUEBAS DE CUMPLIMIENTO. A.7. PREPARACIN DE MATERIAL DE APOYO.
ACTIV.
A.1. A.2. A.3. A.4. A.5. A.6. A.7.
16 DE NOVIEMBRE
17 18 19 20 21
17 DE NOVIEMBRE
17 18 19 20 21
18 DE NOVIEMBRE
17 18 19 20 21
19 DE NOVIEMBRE
17 18 19 20 21
22 DE NOVIEMBRE
17 18 19 20 21
23 DE NOVIEMBRE
17 18 19 20 21
FASE: ACTIVIDADES INTERMEDIAS.

ACTIVIDADES: A.1. LEVANTAMIENTO DE LA INFORMACIN. A.2. EVALUACIN DE LAS PRUEBAS DE CUMPLIMIENTO. A.3. ANLISIS DE LA INFORMACIN.
ACTIV.
A.1. A.2. A.3.
24 DE NOVIEMBRE
17 18 19 20 21
25 DE NOVIEMBRE
17 18 19 20 21
26 DE NOVIEMBRE
17 18 19 20 21
29 DE NOVIEMBRE
17 18 19 20 21
30 DE NOVIEMBRE
17 18 19 20 21 17
1 DE DICIEMBRE
18 19 20 21
FASE: ACTIVIDADES POSTERIORES.

ACTIVIDADES: A.1. IDENTIFICACIN DE NIVELES DE RIESGO. A.2. CONSOLIDACIN DE NIVELES DE RIESGO. A.3. ELABORACIN DEL INFORME FINAL.
ACTIV.
A.1. A.2. A.3.
2 DE DICIEMBRE
17 18 19 20 21 17
3 DE DICIEMBRE
18 19 20 21 17
6 DE DICIEMBRE
18 19 20 21 17
7 DE DICIEMBRE
18 19 20 21 17
8 DE DICIEMBRE
18 19 20 21 17
9 DE DICIEMBRE
18 19 20 21
2010
CARTA DE PRESENTACIN.
Mxico, D.F. a 22 de Noviembre de 2010.
Dr. Marco Antonio Pagola Martnez.
Director de la Unidad Mdica Familiar N 94. PRESENTE Sirva la presente para enviarle un cordial saludo y presentar al equipo de trabajo que estar realizando la auditora a la Oficina de Soporte Tcnico en referencia al Sistema de Informacin de Medicina Familiar, la cual tiene por objetivo identificar, analizar y evaluar las principales causas que han impactado en la disponibilidad de esta aplicacin en el periodo del 1 de junio al 30 de Noviembre del ao en curso, para que con base en la informacin recabada, se propongan posibles soluciones que han de ser implementadas en pro del servicio que esta herramienta proporciona a todos los usuarios. As mismo le informamos que el alcance quedar delimitado a la revisin de la Unidad de Medicina Familiar no. 94 considerando los siguientes rubros y el porcentaje que ser evaluado: Plan de evaluacin de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (100%). Incidencias presentadas en el periodo (50%). Interrupciones en el servicio (50%). Entrevistas a usuarios de la aplicacin (30%). Plan de respaldos (30%). Personal encargado de responder a fallos (10%). Documentacin del sistema (10%).
Las personas que integran el equipo de trabajo, son: Rafael Alejandro Gatica Patricio. Rogelio Elias Lemus Cortes. Gricel Noemi Lozada Zarate. Diana Angelica Orozco Gutierrez. Jorge Enrique Reyes Nicolin.
En cada miembro del equipo de trabajo existe el compromiso de realizar nuestro trabajo con tica y responsabilidad, para brindar resultados objetivos que sean de utilidad para mejorar el desempeo de esta aplicacin. Agradezco de antemano las facilidades otorgadas para la realizacin del trabajo antes mencionado, quedo a sus rdenes para cualquier duda o comentario. Atentamente _____________________________ Rogelio Elias Lemus Cortes Responsable del equipo de auditores
C.c.p. Ing. Enrique Garrido Gaspar.-Coordinador Delegacional de Informtica. Delegacin Norte DF.
POLTICAS Y PROCEDIMIENTOS EXISTENTES

(NORMATIVIDAD).
ebido a que la Auditora est orientada a la revisin de controles para tener alta disponibilidad en el Sistema de Informacin SIMF de una Unidad Mdica Familiar del Instituto Mexicano del Seguro Social, dependencia de la Administracin Pblica Federal, se considera a MAAGTIC de observancia obligatoria, tomando como referencia, las recomendaciones que tienen relacin con prcticas de disponibilidad. Por tal motivo, se muestra a continuacin el marco de referencia MAAGTIC, su mbito de aplicacin y algunas disposiciones.
MAAGTIC.
SALVADOR VEGA CASILLAS, Secretario de la Funcin Pblica, con fundamento en lo dispuesto por el artculo 37, fracciones VI y XXVI de la Ley Orgnica de la Administracin Pblica Federal; 1 y 6, fracciones I y XXIV del Reglamento Interior de la Secretara de la Funcin Pblica, he tenido a bien emitir el siguiente: ACUERDO Captulo I Objeto, mbito de Aplicacin y Definiciones. Artculo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de tecnologas de la informacin y comunicaciones, y expedir el Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones, que en trminos del Anexo nico del presente Acuerdo, forma parte integrante del mismo. El Manual a que se refiere el prrafo anterior contiene las reglas, acciones y procesos que en materia de tecnologas de la informacin y comunicaciones debern observar de manera obligatoria, las dependencias y entidades de la Administracin Pblica Federal y, cuando corresponda, la Procuradura General de la Repblica. Artculo Segundo.- Para los efectos del presente Acuerdo, se entiende por: I. Dependencias: las secretaras de Estado, incluyendo a sus rganos administrativos desconcentrados y la Consejera Jurdica del Ejecutivo Federal, as como las unidades administrativas de la Presidencia de la Repblica, conforme a lo dispuesto en la Ley Orgnica de la Administracin Pblica Federal. La Procuradura General de la Repblica ser considerada con este
10
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS carcter en lo que el Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones le resulte aplicable conforme a lo previsto en su Ley Orgnica; II. Entidades: los organismos pblicos descentralizados, empresas de participacin estatal mayoritaria y fideicomisos pblicos que en trminos de la Ley Orgnica de la Administracin Pblica Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administracin Pblica Federal Paraestatal; III. Manual: el Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones, el cual se integra de diversos procesos asociados con las tecnologas de la informacin y comunicaciones; IV. Secretara o SFP: la Secretara de la Funcin Pblica; V. TIC: las tecnologas de la informacin y comunicaciones, y VI. Unidad: la Unidad de Gobierno Digital de la Secretara. Objetivo. Definir los procesos que en materia de TIC regirn hacia el interior de la UTIC, con el propsito de lograr la cobertura total de la gestin, de manera que, independientemente de la estructura organizacional con que cuenten o que llegaran a adoptar; los roles definidos puedan acoplarse a los procesos establecidos para lograr la cohesin total para una mejor gestin. Especficos. Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC, as como las correspondientes regulaciones para cada proceso. Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestin de la UTIC de manera que le sea posible definir estrategias de apalancamiento y apoyo a las Instituciones que lo requieran Contribuir, mediante la aplicacin generalizada del Marco rector de procesos en materia de TIC, a alcanzar una mayor eficiencia en las actividades y procesos institucionales e interinstitucionales, a partir del quehacer orientado al servicio y satisfaccin del ciudadano. *UTIC La unidad administrativa en las Instituciones, responsable de proveer de infraestructura y servicios de tecnologas de la informacin y comunicaciones. mbito de aplicacin / Alcance. Los procesos del Marco rector de procesos en materia de TIC debern implementarse en las Instituciones a travs de sus correspondientes UTIC.
2010
11
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Marco Jurdico. Constitucin Poltica de los Estados Unidos Mexicanos. Ley Orgnica de la Administracin Pblica Federal. Ley Federal de las Entidades Paraestatales. Ley Federal de Presupuesto y Responsabilidad Hacendaria. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Publico. Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental. Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos. Reglamento Interior de la Secretaria de la Funcin Pblica. Reglamento de Ley Federal de las Entidades Paraestatales. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria. Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Publico. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria. Plan Nacional de Desarrollo 2007-2012. Programa Especial de Mejora de la Gestin en la Administracin Pblica Federal 20082012, publicado en el Diario Oficial de la Federacin el 10 de noviembre de 2008. Decreto que establece las medidas de austeridad y disciplina del gasto de la Administracin Publica Federal, publicado en el Diario Oficial de la Federacin el 4 de diciembre de 2006. Lineamientos Especficos para la Aplicacin y Seguimiento de las Medidas de Austeridad y Disciplina del Gasto de la Administracin Publica Federal; publicado en el Diario Oficial de la Federacin el 29 de diciembre de 2006. Lineamientos de Proteccin de Datos Personales, emitidos por el Instituto Federal de Acceso a la Informacin. Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos por el Instituto Federal de Acceso a la Informacin. Agenda de Gobierno Digital. ARTI-2 Evaluar los riesgos de TIC. Descripcin. Evaluar los riesgos de TIC que permitan identificar los impactos sobre los procesos y los servicios de la Institucin.
Factores crticos. El Grupo de trabajo de riesgos de TIC deber: 1. Recopilar los datos relevantes relacionados con los riesgos de TIC, tales como: a) Incidentes que hayan tenido algn impacto en la Institucin.
12
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS b) Riesgos del activo o recurso a evaluar. c) Controles actualmente implementados en los activos o recursos a evaluar. 2. Identificar y clasificar las amenazas y riesgos en materia de TIC, conforme a lo siguiente: No causadas por el hombre: - Fallas de TIC o de infraestructura de soporte. - Desastres naturales. Causados por el hombre: - Dolosas, son aquellas realizadas con la intencin de causar un dao. - Culposas, son aquellas que sin intencin alguna se causa un dao. 3. Identificar los factores de riesgo que afecten a la Institucin, los cuales pueden clasificarse en: Financieros. Niveles de servicios en materia de TIC. Imagen o reputacin en materia de TIC. Regulatorios. 4. Identificar y analizar escenarios de riesgo de TIC que permitan evaluar y obtener los impactos potenciales considerando, entre otros, los elementos siguientes: Servicios. Procesos. Datos (operativos, nomina, contables, entre otros). Software (sistemas, aplicaciones, entre otros). Hardware. Equipos informticos que hospedan datos, aplicaciones y servicios. Equipos de comunicaciones. Dispositivos de almacenamiento. Usuarios y de personal externo a la Institucin.
2010
13
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Para cada escenario de riesgo se debe definir y acordar la prioridad para su implantacin, algunos de los parmetros que pueden ser considerados para dicha prioridad son: Severidad del riesgo. Nivel de impacto de la implantacin. Costo de la implantacin. 5. Integrar las matrices de riesgo de TIC, que sean necesarias, con la informacin referida en los numerales de 1 a 4 anteriores.
ARTI-3 Responder a los riesgos de TIC. Descripcin. Responder a los riesgos de TIC de acuerdo las decisiones para su tratamiento y los criterios de priorizacin.
Factores crticos. El Grupo de trabajo de riesgos de TIC deber: 1. Identificar el nivel de severidad del riesgo. 2. Identificar opciones para el tratamiento y control del riesgo a efecto de tomar las decisiones para: a) Aceptar el riesgo: No se efecta ninguna accin debido a que el nivel de riesgo est dentro de los niveles aceptables por la entidad o dependen b) Evitar el riesgo: Se elimina la causa que produce el riesgo. c) Transferir el riesgo: Se transfiere y comparte el riesgo. d) Mitigar el riesgo: Se implementan acciones para reducir el riesgo a un nivel aceptable. 3. Identificar acciones preventivas y correctivas y correlacionarlas para cada uno de los escenarios de riesgos identificados. Estas acciones se debern integrar a las Declaraciones de aplicabilidad. 4. Definir programas de mitigacin del riesgo, los cuales consideraran las acciones para implantar los controles de riesgos en las Declaraciones de aplicabilidad.
14
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 5. Definir un Programa de contingencia para hacer frente a los eventos o incidentes de los riesgos identificados que en materia de TIC pudieran presentarse. APTI-5: Administrar los riesgos. Descripcin. Eliminar o minimizar los riesgos por medio de un proceso sistemtico de planeacin, identificacin, anlisis, respuesta, monitoreo y control de las areas de la UTIC o unidades responsables involucradas, que tengan el potencial de ocasionar cambios no deseados. Factores crticos. El Administrador de proyectos y su grupo de trabajo debern: 1. Identificar riesgos. La identificacin de riesgos es un proceso iterativo debido a que se pueden descubrir nuevos riesgos a medida que el proyecto avanza a lo largo de su ciclo de vida. Los riesgos identificados se documentan en un registro de riesgos. 2. Clasificar riesgos. Los riesgos se categorizan por tipo, se identifican y agrupan por la causa raz y se elaboran propuestas que los minimicen o eliminen. 3. Responder a los riesgos. Se determina la prioridad de atencin de los riesgos identificados y las acciones que sern realizadas para atender el riesgo, incluyendo las acciones de mitigacin y la definicin de una propuesta de contingencia. 4. Dar seguimiento y controlar riesgos. Realizar el seguimiento de los riesgos identificados, identificar nuevos riesgos, ejecutar las respuestas a los riesgos y evaluar su efectividad a lo largo del ciclo de vida del proyecto. 5. Adecuar el documento de planeacin del proyecto/fase, para incluir los resultados que se obtengan de los numerales sealados en esta actividad y actualizar el Repositorio central de proyectos. DSTI-4 Administrar la disponibilidad de servicios de TIC. Descripcin. Revisar peridicamente la disponibilidad de los servicios de TIC, con el propsito de asegurar los requerimientos actuales y futuros de la entrega de dichos servicios, establecidos en los niveles de servicio acordados. Este proceso incluye la previsin de necesidades futuras, basadas en los requerimientos actuales y pronsticos futuros.
2010
15
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Factores crticos. El Responsable del diseo de servicios de TIC, conjuntamente con el Arquitecto de TIC, debe:
1. Desarrollar un Programa de disponibilidad que permita a la UTIC cumplir con los niveles de servicio acordados, con base en la capacidad actual, la mejora de los niveles de servicio y los nuevos servicios incluidos en el Portafolio de servicios de TIC. En la elaboracin del Programa de disponibilidad se deber considerar: Informacin suficiente para habilitar la toma de decisiones con respecto a: La disponibilidad de servicios de TIC y los requerimientos actuales y previstos, as como la disponibilidad de los activos que los soportan, incluyendo los proporcionados por terceros. El momento en que requiere adecuar la disponibilidad. Los costos estimados de la disponibilidad. El balance entre la oferta y la demanda, necesario para asegurar la suficiencia de recursos para responder a las necesidades de la Institucin frente a las condiciones de mercado. La participacin en la elaboracin del Programa de disponibilidad, de los servidores pblicos responsables y/o especializados en dominios tecnolgicos. 2. Revisar, peridicamente, la disponibilidad de los servicios de TIC, para determinar si se estn respetando los niveles de servicio acordados. Incluye el monitoreo de la disponibilidad actual soportada. Identificar y dar seguimiento a incidentes causados por problemas de falta de disponibilidad y promover que se lleven a cabo las acciones de solucin. Evaluar los niveles de disponibilidad de los servicios de TIC y componentes contra los niveles de servicio de TIC acordados y tendencias. 3. Llevar a cabo peridicamente pronsticos de capacidad, para los servicios de TIC, actuales y futuros, para minimizar el riesgo de interrupciones del servicio originadas por falta de disponibilidad. Identificar la disponibilidad de capacidad para una posible redistribucin. Identificar las tendencias de las cargas de trabajo y determinar sus proyecciones que se deben considerar en los planes de disponibilidad. 4. Proponer al Titular de la UTIC que los programas de contingencia incluyan de forma apropiada las condiciones de disponibilidad, capacidad y desempeo de los recursos individuales de TIC.
16
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 5. Efectuar el anlisis y la gestin de riesgos y promover medidas de mejora, considerando los costos estimados. 6. Monitorear continuamente la disponibilidad de servicios de TIC, con el propsito de: Mantener y afinar el uso de disponibilidad Reportar los niveles de servicio. Acompaar todos los reportes de excepcin con recomendaciones de acciones correctivas.
2010
DSTI-5 Administrar la continuidad de servicios de TIC. Descripcin. Procurar el mnimo impacto a la Institucin, en caso de una interrupcin en los servicios de TIC, mediante el desarrollo, mantenimiento, entrenamiento y pruebas de los programas de contingencia en materia de TIC.
Factores crticos.
El Responsable del diseo de servicios de TIC, conjuntamente con el arquitecto de TIC, realizaran lo siguiente: 1. Efectuar el anlisis de impacto al negocio. 2. Desarrollar y establecer un sistema de continuidad de servicios que incluya directrices, procedimientos, roles y responsabilidades necesarios para soportar la continuidad de los servicios de TIC en la Institucin. Lo anterior, tiene como propsito ayudar en la determinacin de la resistencia requerida de la infraestructura y guiar el desarrollo de los programas de recuperacin de desastres y contingencias de TIC. Dichas directrices, tomaran en cuenta lo siguiente: La estructura organizacional de la UTIC. La cobertura de roles y las responsabilidades de los proveedores de servicios, internos y externos, as como la administracin de los usuarios. Las reglas y estructuras para documentar, probar y ejecutar la recuperacin de desastres y los planes de contingencia de TIC.
17
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Los resultados del anlisis de impacto al negocio y la estrategia de recuperacin que se determine en el proceso de Administracin de riesgos de TIC. Los requerimientos de resistencia, procesamiento alternativo y capacidad de recuperacin de todos los servicios crticos de TIC. La identificacin de recursos crticos, el monitoreo y reporte de la disponibilidad de recursos crticos, el procesamiento alternativo y los principios de respaldo y recuperacin. 3. Desarrollar el Programa de continuidad de servicios de TIC, tomando en cuenta la informacin mencionada en el numeral anterior, el cual estar diseado para reducir el impacto de una interrupcin mayor de las funciones y los procesos clave de la Institucin. 4. Atender los puntos crticos previstos en el Programa de continuidad de TIC, para: Construir resistencia y establecer prioridades en situaciones de recuperacin. Evitar la distraccin de recuperar los puntos menos crticos y asegurarse de que la respuesta y la recuperacin estn alineadas con las necesidades prioritarias de la Institucin. Cuidar que los costos se mantengan a un nivel aceptable y que se cumpla con los requerimientos regulatorios que resulten aplicables, as como con los compromisos pactados en los contratos correspondientes. Considerar los requerimientos de resistencia, respuesta y recuperacin para diferentes niveles de prioridad. 5. Revisar el Programa de continuidad de servicios de TIC, mediante un procedimiento de control de cambios, para asegurar que el mismo se mantenga actualizado y refleje los requerimientos de la Institucin. Es esencial que los cambios que se realicen al Programa sean comunicados de forma clara y oportuna a todos los involucrados. 6. Efectuar pruebas de recuperacin, de forma peridica, al Programa de continuidad de servicios de TIC, para confirmar que los servicios de TIC puedan ser recuperados de forma efectiva, que las deficiencias sean atendidas y que el mismo permanece aplicable. 7. Definir el alcance de las pruebas de recuperacin en aplicaciones individuales, en escenarios de pruebas controlados, en pruebas de punta a punta y en pruebas integradas con el proveedor. 8. Procurar que los involucrados reciban peridicamente capacitacin respecto del contenido del Programa de continuidad de TIC y verificar sus resultados. 9. Procurar que el Programa de continuidad de servicios de TIC se distribuya de manera apropiada y segura, y que este disponible para los involucrados cuando lo requieran, cuidando su accesibilidad bajo cualquier escenario de desastre.
18
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 10. Planear las acciones a implementar durante el periodo de recuperacin y reanudacin de los servicios de TIC. 11. Promover el resguardo fuera de las instalaciones de la Institucin de todos los medios de respaldo, documentacin y otros recursos de TIC crticos, necesarios para la recuperacin de los servicios de TIC y para los Programas de continuidad de la Institucin. 12. El contenido de los respaldos a almacenar se determinara entre el Grupo de trabajo para la direccin de TIC, los responsables de los procesos sustantivos de la Institucin y el personal de TIC. 13. La administracin del sitio de almacenamiento externo deber apegarse al SGSI de la UTIC, as como a la normatividad aplicable. 14. El titular de la UTIC deber supervisar peridicamente que los compromisos asumidos por los proveedores de sitios externos se cumplan, verificando el contenido de los respaldos, la proteccin ambiental y la seguridad fsica. 15. El titular de la UTIC se deber asegurar de la compatibilidad del hardware y del software de recuperacin, para poder restablecer los datos respaldados y peridicamente probar y renovar dichos datos. 16. Poner en marcha, cuando sea necesario, el Programa de continuidad de servicios de TIC y, una vez lograda la reanudacin de los servicios de TIC, evaluar las acciones ejecutadas contra las programadas. 17. Actualizar el Programa de continuidad con los hallazgos y lecciones aprendidas. Asimismo se muestra la Normatividad Interna del Propio Instituto, que regula el uso de la infraestructura de TI, y sus lineamientos correspondientes.
2010
NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMTICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL (5000001-001)
Validado y Registrado por la Unidad de Organizacin y Calidad el 22 de marzo del 2010 Con fundamento en lo dispuesto en los artculos 5 y 74 del Reglamento Interior del Instituto Mexicano del Seguro Social vigente, publicado en el Diario Oficial de la Federacin el 18 de septiembre de 2006, as como el numeral 7.6.1 de la Norma que establece las disposiciones para la elaboracin, autorizacin e implantacin de Normas en el Instituto Mexicano del Seguro Social, aprobada mediante acuerdo 54/2003 por el H. Consejo Tcnico del propio Instituto en sesin celebrada el 19 de febrero del 2003.
19
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Objetivo. Define las disposiciones mnimas a las que debern ajustarse los usuarios y administradores en el uso, administracin y mantenimiento de la infraestructura y servicios informticos del Instituto Mexicano del Seguro Social. mbito de aplicacin. La presente norma es de observancia obligatoria para los rganos Superiores, Secretara General, rgano Interno de Control, rganos Normativos, rganos Colegiados Delegaciones del Sistema y rganos de Operacin Administrativa Desconcentrada, as como Operativos del Instituto Mexicano del Seguro Social, definidas en el artculo 2 del Reglamento Interior del Instituto Mexicano del Seguro Social. Sujetos de la norma. El Personal del Instituto que haga uso de la infraestructura o servicios informticos, o bien que administre o desarrolle sistemas en todos los rganos y unidades administrativas del Instituto, as como cualquier otra persona que por existir relacin con el Instituto tenga que hacer uso de los servicios informticos en lo que le sea aplicable. Responsables de la aplicacin de la norma. Los Titulares de las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico y las Coordinaciones Delegacionales de Informtica del Instituto. Documentos de referencia. Cdigo Civil Federal. Cdigo de Comercio. Cdigo de Procedimientos Penales para el Distrito Federal. Cdigo Federal de Procedimientos Civiles. Cdigo Federal de Procedimientos Penales. Cdigo Penal Federal. Cdigo Penal para el Distrito Federal en materia de Fuero Comn y para toda la -Repblica en materia de Fuero Federal. Constitucin Poltica de los Estados Unidos Mexicanos. Contrato Colectivo de Trabajo IMSS-SNTSS. Ley de Planeacin. Ley del Seguro Social. Ley Federal del Derecho de Autor. Ley Federal de Procedimiento Administrativo. Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos. Ley Federal de Responsabilidad Patrimonial del Estado.
20
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental. Lineamientos Generales para la Clasificacin y Desclasificacin de la Informacin de las Dependencias y Entidades de la Administracin Publica Federal. Lineamientos de Proteccin de Datos Personales. Recomendaciones para la Organizacin y Conservacin de Correos Electrnicos Institucionales de las Dependencias y Entidades de la Administracin Pblica Federal. Reglamento Interior del Instituto Mexicano del Seguro Social.
2010
Disposiciones. De carcter general. La Divisin de Coordinaciones Delegacionales de Informtica, ser la responsable de la difusin del presente documento en el mbito Delegacional, a travs de la Coordinacin Delegacional de Informtica correspondiente. El Instituto a travs de las Direcciones Normativas y Unidades, ser responsable de la custodia y uso de la informacin que se almacena, procesa y transmite. Los rganos administrativos del Instituto que tengan bajo su responsabilidad la administracin de infraestructura y servicios informticos, debern nombrar un representante de seguridad ante la Divisin de Soporte Tcnico y Seguridad Informtica, con la finalidad de tener un punto de contacto para una oportuna distribucin de actualizaciones de seguridad en la infraestructura o reaccin ante eventos o incidentes de seguridad. Los representantes debern ser nombrados una vez publicada la presente norma y ratificados o rectificados segn sea el caso, cada seis meses. Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e infraestructura, servicios o datos del Instituto, revelacin no autorizada de su informacin, interrupcin o denegacin no autorizada de sus servicios, el uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir datos, cambios a las caractersticas de sus sistemas de hardware, firmware o software sin conocimiento y respectiva autorizacin escrita por cualquier medio de comunicacin formal y reconocido por el Instituto, por parte de los administradores del mismo o cualquier otra actividad que afecte los intereses del Instituto o bien cualquier actividad que no se apegue a la presente norma, ser investigada y, en su caso, sancionada por la Coordinacin Laboral o la Oficina de Investigaciones Laborales, del mbito Central o Delegacional, conforme a su competencia y formalmente documentada e informada al Titular del rgano Interno de Control por quien se entere de los actos antes mencionados para el mbito central y para el mbito delegacional y Unidades Medicas de Alta Especialidad, ser el rea de Auditora, Quejas y Responsabilidades, segn corresponda, previo reporte e investigacin conforme al Reglamento Interior de Trabajo, del Contrato Colectivo de Trabajo, la Ley Federal de Responsabilidades Administrativas de los Servidores Pblicos y, en su caso, la Ley Federal de Responsabilidad Patrimonial del Estado, cuando el hecho o acto que cause un dao a particulares, sea ocasionado por un trabajador del Instituto.
21
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Para el uso de la infraestructura y servicios informticos. Los usuarios deben utilizar los equipos de cmputo, perifricos y el software que tengan instalado, slo para el desarrollo de las actividades institucionales que le fueron conferidas, relacionadas con el desempeo de su empleo, cargo o comisin y de acuerdo a lo estipulado en esta norma. Los usuarios deben verificar que todo equipo de cmputo (computadoras de escritorio, computadoras porttiles y dispositivos perifricos) que utilicen para el desarrollo de sus actividades dentro del Instituto, cumplan con las siguientes condiciones: a. Estar conectado a una Unidad Ininterrumpible de Energa Elctrica (UPS o no-break), cuando se cuente con ste. b. La Unidad Ininterrumpible de Energa Elctrica deber estar conectada a la corriente regulada, cuando se cuente con este servicio. Los usuarios no deben alterar la configuracin de red que les fue asignada al momento de la instalacin de su equipo. Solicitud y uso de servicios informticos institucionales. Los usuarios deben de acudir a la Mesa de Servicio al personal de soporte tcnico local cuando: a. Se requiera asesora sobre el correcto uso de los recursos y/o servicios autorizados. b. Se presenten problemas en los equipos de cmputo y/o perifricos asignados, software instalado, o en los servicios que le son proporcionados. d. Requieran la instalacin de un nuevo software o hardware Institucional. f. Requieran del alta, baja y/o cambio de cuenta de usuario para acceso a la red, Sistemas Operativos, Bases de Datos o Aplicaciones Institucionales. La Coordinacin de Administracin de Infraestructura tiene la facultad de modificar o incluso suspender el servicio o partes del mismo cuando sea necesario, por razones administrativas, de mantenimiento de los equipos o por causas de fuerza mayor, todo ello, en la inteligencia de que ser notificado previamente, si las circunstancias lo permiten. Los usuarios del Instituto debern utilizar nicamente software institucional, que haya sido autorizado y asignado por el Instituto para el desarrollo de sus funciones.
22
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS De la administracin de infraestructura y servicios informticos. Plan de Recuperacin de Desastres El Plan de Recuperacin de Desastres deber de estar alineado a la presente norma. Cualquier accin que en el momento de la ejecucin del Plan de Recuperacin de Desastres, no est alineada o especificada en esta Norma, deber contar con la aprobacin de la Divisin de Soporte Tcnico y Seguridad Informtica El Instituto a travs de la Direccin de Innovacin y Desarrollo Tecnolgico instrumentar y aplicar un Plan de Recuperacin de Desastres en el mbito de su competencia alineado a las directrices que emanen de la Direccin General, el cual describa los procedimientos y planes de accin a desarrollar, as como los responsables de las mismas para la oportuna prevencin, disuasin y deteccin de amenazas y garantizar el restablecimiento y restauracin de la operacin en caso de desastres. Todas las Coordinaciones dependientes de la Direccin de Innovacin y Desarrollo Tecnolgico deben aplicar el Plan de Recuperacin de Desastres, las actividades a desarrollar en caso de presentarse alguna eventualidad, adems de contar con una copia y apoyar en el desarrollo y mantenimiento del mismo. El Plan de Recuperacin de Desastres definido debe estar actualizado y autorizado por la Direccin de Innovacin y Desarrollo Tecnolgico y debe existir una copia fuera de las instalaciones. El Plan de Recuperacin de Desastres debe ser probado y verificado bajo un ambiente controlado de simulacin de desastres peridicamente por la Direccin de Innovacin y Desarrollo Tecnolgico, las diferencias determinadas, resultado de las pruebas deben ser reflejadas en dicho plan. Los cambios en la operacin y en la infraestructura tecnolgica institucional deben reflejarse en los procedimientos descritos en el Plan de Recuperacin de Desastres. El personal involucrado en el Plan de Recuperacin de Desastres deber ser entrenado adecuadamente con el fin de minimizar los riesgos generados por descuido o desconocimiento. Las Coordinaciones de la Direccin de Innovacin y Desarrollo Tecnolgico debern contemplar en el presupuesto anual los recursos necesarios para atender las actividades asociadas con el Plan de Recuperacin de Desastres. Respaldos. Los respaldos deben garantizar la integridad de la informacin (programas, datos, documentos, etc.). En los sistemas que lo permitan se deber dejar registro electrnico del proceso realizado.
2010
23
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS La Divisin de Operaciones Centros Nacionales de Procesamiento debe implantar procedimientos para preparar, almacenar y probar peridicamente la integridad de las copias de seguridad y de toda la informacin necesaria para restaurar el sistema a una operacin normal. Los depositarios deben solicitar a la Divisin de Operaciones Centros Nacionales de Procesamiento de Informacin un respaldo total del sistema, antes de efectuar cualquier actualizacin del mismo. La Divisin de Operaciones Centros Nacionales de Procesamiento de Informacin debe generar las copias de los respaldos necesarios y almacenarlos en inmuebles diferentes, a fin de garantizar la recuperacin de la operacin en caso de contingencia. Las solicitudes de restauracin deben ser por escrito o por medios electrnicos y contener al menos: autorizacin del dueo de la informacin o en su defecto el depositario de sta, nombre del sistema del cual se desea recuperar la informacin, ruta de recuperacin y seccin que desea recuperar. Las reas depositarias en conjunto con las responsables de la informacin deben definir el procedimiento de eliminacin de respaldos, especfico por sistema o por tipo de informacin de acuerdo a las necesidades legales, contractuales y operacionales del Instituto. Las Coordinaciones Delegacionales de Informtica debern considerar las polticas definidas en la presente seccin en su mbito de competencia. Seguridad fsica. Los administradores de la infraestructura informtica del Instituto deben restringir y controlar el acceso a los componentes de cada uno de los elementos de la infraestructura informtica del Instituto de conformidad a la normatividad en materia de Administracin de Bienes Muebles. Los administradores de la infraestructura informtica del Instituto deben proteger los respaldos y datos institucionales del acceso de personal no autorizado para tal fin. Los administradores de la infraestructura informtica del Instituto deben llevar un registro del personal que accede a las reas restringidas incluyendo el motivo de la visita. Los administradores de la infraestructura informtica del Instituto deben mantener actualizadas las listas de autorizacin de acceso a personal contratado de proveedores de servicio de terceros. Los administradores de la infraestructura informtica del Instituto deben instalar la infraestructura informtica en ambientes adecuados para su operacin, administracin, monitoreo y control de acceso, para minimizar las amenazas a las que se encuentren expuestos. Los administradores de la infraestructura informtica del Instituto deben evaluar y aprobar las instalaciones elctricas, comunicaciones, sistemas contra incendios y de aire acondicionado y
24
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS dems recursos, que garanticen las condiciones adecuadas para la operacin ptima de la infraestructura tecnolgica del Instituto. Administracin de la infraestructura informtica. Los administradores de infraestructura informtica deben limitar el acceso a los sistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificacin del usuario, a travs de su cuenta y contrasea, as como, la asignacin de un perfil y un rol con nivel de acceso especfico. El registro de usuarios y la administracin de la seguridad de los sistemas de informacin que son accedidos en forma local y/o a travs de la red de comunicaciones, deber realizarse por los responsables de la seguridad de cada sistema o plataforma. Los administradores de infraestructura informtica deben personalizar las cuentas para las actividades de administracin de servidores, bases de datos, servicios o sistemas institucionales, as como las cuentas con atributos para realizar el monitoreo de las actividades realizadas por cada usuario. En referencia a las bases de datos, los responsables de su administracin debern considerar implementar esquemas en donde los datos viajen y se almacenen encriptados. Se deber considerar la segregacin de roles de tal manera que los administradores de base de datos slo tengan acceso a las estructuras de las bases de datos a las que tengan autorizacin y los usuarios autorizados slo a los datos. Se deber considerar el incluir mecanismos de seguridad en las bases de datos que coadyuven a identificar a los usuarios que modifiquen datos y que afecten a alguno de los atributos de la seguridad de la informacin Los closets de comunicaciones o de red debern estar ubicados en lugares cerrados y resguardados dentro de los edificios institucionales. Administracin de cuentas de usuario y contraseas. La asignacin de cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro del Instituto, deber identificar a un solo usuario que fungir como responsable de sta, siendo de uso exclusivo del titular de la cuenta e intransferible a otro usuario, por lo que las cuentas debern ser personalizadas y nicas. Los administradores deben establecer el perfil y el rol con el nivel de acceso especfico de acuerdo a las polticas de la aplicacin o sistema al que el usuario requiera acceder.
2010
25
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Para el desarrollo y liberacin de sistemas. Las Divisiones y Coordinaciones encargadas de desarrollar sistemas de informacin, deben definir la arquitectura de seguridad de acuerdo a las normas, guas tcnicas y procedimientos generados por la Divisin de Soporte Tcnico y Seguridad Informtica. Las Divisiones y Coordinaciones encargadas de desarrollar sistemas de informacin debern coordinarse con La Divisin de Soporte Tcnico y Seguridad Informtica, de Administracin de Bases de Datos, de Telecomunicaciones, de Operaciones Centros Nacionales de Procesamiento e Interoperabilidad para determinar los mecanismos y controles de autenticacin, autorizacin, confidencialidad, integridad, no repudio y disponibilidad de dichos sistemas.
26
2010
PRUEBAS DE CUMPLIMIENTO (PREPARACIN).

AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TCNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL. PRUEBAS DE CUMPLIMIENTO
No. de Prueba
Objetivo de la Prueba
Procedimiento de la Prueba A. A travs de la aplicacin de la encuesta aplicada al personal en turno del rea de Soporte, analizar si cuentan con el conocimiento que se requiere en el rea.
Resultado
Conocer si el personal tiene las aptitudes necesarias para desempear las actividades del rea de Soporte Tcnico
B. Elaboracin de preguntas bsicas relacionadas con el funcionamiento del Sistema de Informacin de Medicina Familiar(SIMF), de tal forma que se pueda detectar si el personal de soporte tiene la capacidad para responder a preguntas de los usuarios del sistema. C. Partiendo de la encuesta y de las preguntas hechas al personal del rea de soporte, identificar si asistieron a algn curso de capacitacin y si este dio los resultados deseados. A. Realizar observaciones de las actividades que lleva a cabo el personal del rea de soporte que est en turno cuando se reporta una o varias incidencias por parte de los usuarios del SIMF, as como tambin cuando se reportan problemas con equipos de cmputo. B. En base a las actividades que se detectaron en el punto anterior, observar como son desempeadas por el personal, esto es para evaluar el nivel de servicio que pueden ofrecer a los usuarios. C. Evaluar el compromiso del personal del rea con respecto al cumplimiento del horario del turno en el que se encuentra asignado.
Conocer si el personal tiene la capacidad fsica para atender las diferentes incidencias reportadas por los usuarios.
27
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS A. Solicitar tanto al personal del rea de soporte como a algunos de los usuarios del Sistema de Informacin de Medicina Familiar (SIMF), nos proporcionen los manuales de usuario correspondientes a ambos perfiles. B. Partiendo de la respuesta de parte de los usuarios y del personal del rea de soporte, analizar las encuestas realizadas, para definir si se tiene conocimiento de la existencia de dichos manuales. C. De igual manera a partir de las encuestas y de algunas preguntas que surjan en el momento de realizarlas definir si el personal conoce la normatividad que se debe de seguir en la operacin de este tipo de sistemas. A. A travs de la observacin revisar que en el rea en donde se encuentran los usuarios del SIMF, as como en el rea de soporte, no se encuentran papeles o notas donde estn escritas las claves de acceso al equipo de cmputo, el usuario y contrasea para ingreso al SIMF, entre otras claves que son de conocimiento nicamente de los usuarios. B. Haciendo uso de la ingeniera social, intentar obtener las claves de acceso mencionadas en el paso anterior. Tomar el rol de un usuario nuevo al que todava no le asignan su contrasea para el SIMF. A. Solicitar al personal del rea de soporte un inventario de los equipos de cmputo as como de las aplicaciones que se encuentran instaladas en cada una de estos.
Revisar que se cuente con los manuales de operacin del SIMF, as como la normativa establecida a nivel central.
Corroborar el correcto manejo de informacin confidencial por parte del personal.
Revisar si se tiene un inventario de los equipos de cmputo, y de la diferente paquetera de software que se tienen instalada en cada uno de ellos
B. Detectar mediante observacin las aplicaciones que utilizan los usuarios del sistema SIMF durante su turno de trabajo, lo anterior para identificar software de juegos, reproductores de msica, servicios de mensajera instantnea, etc., que no estn permitidos en la institucin. A. La ubicacin del servidor dentro de la unidad mdica es de bajo riesgo, observar las caractersticas Evaluar si la ubicacin del entorno en donde se encuentra el site. del servidor es la adecuada. B. Revisar si se cuenta con un adecuado control de acceso al lugar donde se encuentra instalado el servidor.
28
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Revisar que se cuenten con los requisitos necesarios para la implementacin del SIMF
2010
A. Mediante el anlisis de la encuesta realizada al rea de soporte, detectar si cada uno de los equipos de cmputo y del servidor cumple con los requerimientos necesarios para que el SIMF funcione adecuadamente.
A. Revisar si se cuenta con reguladores para cada uno de los equipos de cmputo y dems dispositivos que lo requieran, hacer esto mediante observacin. B. De igual forma a travs de la observacin, determinar si se cuenta con un sistema de ventilacin adecuado en el lugar donde se encuentra el servidor. Evaluar las condiciones en las que se encuentra el servidor y equipos de cmputo de los usuarios del sistema C. Observar cmo se encuentra la instalacin elctrica del lugar donde se localizan el servidor y equipos de cmputo, para detectar si se encuentran protegidos contra fallas en el suministro de energa. D. Evaluar las condiciones en las que se encuentra la red fsica de la Unidad de Medicina Familiar. Observar donde se encuentra el Rack de comunicaciones. E. El cable de red se encuentra protegido contra daos. F. Observar si las condiciones en las que estn los equipos de cmputo son las ptimas. Verificar existencia de planes de recuperacin o de contingencia que permitan restablecer el servicio del SIMF A. Solicitar al personal del rea de soporte tcnico los planes de contingencia en caso de presentarse un problema con el SIMF. B. Analizar las encuestas para detectar si se cuenta con un procedimiento para restablecer el Sistema de Informacin de Medicina Familiar, y si tienen conocimiento de cmo se lleva a cabo.
_________________________ ELABOR
_______________________ SUPERVIS
29
MATERIAL DE APOYO (PREPARACIN).

ENCUESTA N 1.
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TCNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL. ENCUESTA AL EQUIPO DE SOPORTE TCNICO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF)
Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Trmino: |___|:|___|

Buenas tardes/noches, mi nombre es__________________ y junto con mis compaeros de equipo de trabajo estamos realizando una Auditora Informtica en sta UMF. Tengo el encargo de entrevistar a personas que como usted, se encargan de brindarles el soporte a los usuarios del SIMF en esta unidad. El objetivo de esta entrevista es conocer el procedimiento bajo el que se opera cuando el sistema deja de estar disponible y la manera en que atienden las incidencias reportadas por los usuarios del mismo. La informacin que proporcione ser confidencial y solamente ser usada con fines estadsticos para llevar a cabo el anlisis de la informacin de dicha Auditora Informtica. Ningn resultado del estudio har referencia a personas en particular.
CON RESPECTO A LOS REQUISITOS DE INSTALACIN

P1 Qu requerimientos se necesitan para la instalacin de SIMF? * Ver Tabla 1.1. Especificacin de Requisitos Qu tan seguido apoya a los usuarios con dudas o fallos con el sistema SIMF? 01 Si los conoce 02 No los conoce 01 Diario 02 Cada semana uno o dos casos 03 Nunca 01 Error Humano_________ 02 Error del sistema SIMF _________ 03 Error en la red _________ 04 Error en la base de datos _______ 05 Errores del equipo de computo_______ 06 Otros _________ 01 Capacitacin 02 Slo se proporciona el manual 01 Las conoce 02 Las desconoce |___|___|
CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

P2
|___|___|
P3
En porcentaje, del total de contingencias que se reportan cuantas se deben a Qu medidas se han implementado para reducir los errores humanos? Qu medidas se han implementado para reducir la indisponibilidad del sistema SIMF? * En base a las normativas
|___|___| *El ms alto |___|___| |___|___|
P4
P5
30
2010
Qu medidas se han implementado P6 para reducir los errores lgicos en la Red? *En base a las normativas Qu medidas se han implementado P7 para reducir los errores en la Base de Datos? *En base a las normativas Qu medidas se han implementado para reducir los errores producidos por P8 fallas en el equipo de cmputo de los usuarios? *En base a las normativas Con qu mtodos de respaldo se cuenta para garantizar la continuidad de P9 operacin en caso de emergencia? *En base a las normativas Cules son los procedimientos a seguir en caso de que se presente alguna P10 incidencia en el sistema? *En base a las normativas Cul fue la capacitacin que usted P11 recibi para desempear ste cargo? P12 P13 P14 P15 Cuntas personas integran el equipo de trabajo? Qu control de accesos tiene establecido para el acceso al site? Tiene acceso ilimitado a los recursos del servidor? La ventilacin en el SITE es la adecuada? Cul es el procedimiento establecido para cuando se instalan nuevas versiones del sistema SIMF? * En base a las normativas Conoce la normativa del IMSS para el uso del equipo de cmputo? Tiene SW personal instalado en el equipo?
01 Las conoce 02 Las desconoce 01 Las conoce 02 Las desconoce 01 Las conoce 02 Las desconoce
|___|___| |___|___|
|___|___|
01 Los conoce 02 Los desconoce
|___|___|
01 Los conoce 02 Los desconoce 01 Cuenta con la capacitacin requerida 02 No cuenta con la capacitacin requerida 01 1 5 02 6 10 03 11 a ms 01 Existe un control 02 No existe un control 01 Si 02 No 01 Si 02 No 01 Lo conoce 02 Lo desconoce 01 Si 02 No 01 Si 02 No
|___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___|
P16
P17 P18
Agradecemos su colaboracin y atencin prestada en la entrevista.
31
Tabla 1.1. Especificacin de Requisitos

ESPECIFICACIONES Sistema Operativo Windows 2000 Server con su respectivo Service Pack 4 Internet Explorer Versin 6.0 o superior Base de Datos Microsoft SQL Server 2000 versin Standard con Service Pack 4.0 Espacio en Discos Duros C:\ 5 gigabytes libres de espacio (mnimo) y 7 gigabytes (recomendable). D:\ 10 a 30 gigabytes libres dependiendo del tipo de servidor. Otras Especificaciones Actualizaciones Automticas al da. WebSphere y Fix WebSphere. REQUISITOS DE INSTALACIN DEL SISTEMA Servidor Antes de instalar el Sistema de Informacin de Medicina Familiar, asegrese de cumplir con los siguientes requisitos: Unidad D con al menos 20 GB de espacio disponible, con formato NTFS. Acceso al servidor como usuario Administrador MS Windows 2000 Server, con los ltimos parches aplicados. MSSQL Server 2000 standard instalado en D:\Microsoft SQL Server, adems de habrsele aplicado los ltimos parches. Password del usuario Master (SA) de MSSQL Server. Todos los servicios de MSSQL Server iniciados. Ninguna base de datos en MSSQL Server levantado como c_DBSIAIS, c_Farmacia, c_imss o p_imss. Usuario wasadmin con privilegios de administrador. Direccin IP del servidor donde se aloja la base de datos de Farmacia. Verificar que exista el usuario simf en el servidor de farmacia. Direccin IP del servidor donde se aloja la base de datos de Siais. Verificar que exista el usuario simf_siais en el equipo de SIAIS.
32
2010
ENCUESTA N 2
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TCNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL. ENCUESTA A LOS USUARIOS DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF).
Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Trmino: |___|:|___|

Buenas tardes/noches, mi nombre es__________________ y junto con mis compaeros de equipo de trabajo estamos realizando una Auditora Informtica en sta UMF. Tengo el encargo de entrevistar a personas que como usted, manejan el SIMF en esta unidad. El objetivo de esta entrevista es conocer qu mdulos del SIMF opera, si se le capacit para su uso y saber bajo que procedimiento reportan las incidencias del mismo. La informacin que proporcione ser confidencial y solamente ser usada con fines estadsticos para llevar a cabo el anlisis de la informacin de dicha Auditora Informtica. Ningn resultado del estudio har referencia a personas en particular.
CON RESPECTO AL ENTREVISTADO Qu funcin desempea en la Unidad Mdica 01 Mdico P1 |___|___| Familiar? 02 Asistente Mdica CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) Utiliza con frecuencia el Sistema de 01 Si P2 |___|___| Informacin de Medicina Familiar (SIMF)? 02 No 01 Agenda de Citas 02 Atencin Integral P3 Qu mdulos del SIMF utiliza frecuentemente? 03 Auxiliares de Dx y Tx |___|___| 04 Resultados 05 Administracin del SIMF 01 Si P4 Recibi alguna capacitacin para su operacin? |___|___| 02 No 01 Si P5 Cuenta con acceso al manual de usuario? |___|___| 02 No En los ltimos seis meses, Se ha presentado 01 Si P6 |___|___| algn incidente con el sistema? 02 No 01 SIMF no disponible En caso de ser afirmativa la respuesta de la P6 02 Tiempo de Respuesta P7 |___|___| Cul ha sido el incidente? lento 03 Otro 01 Notificar al Servicio de Cual es el procedimiento para reportar una P8 Soporte Tcnico |___|___| incidencia? 02 Otro 01 < a 1 hora P9 Cuanto tiempo se tardan en darle respuesta? |___|___| 02 a 1 hora
33
P10 Considera que es el adecuado? Cul es el modo en que opera cuando no esta disponible el SIMF? Conoce la normativa del IMSS para el uso del P12 equipo de cmputo? P11 P13 Tiene SW personal instalado en el equipo?
01 Si 02 No 01 Manualmente 02 Otro 01 Si 02 No 01 Si 02 No
|___|___| |___|___| |___|___| |___|___|
Agradecemos su colaboracin y atencin prestada en la entrevista.
34
2010
LEVANTAMIENTO DE LA INFORMACIN.
35
PRUEBAS DE CUMPLIMIENTO.
36
2010
ANLISIS DE LA INFORMACIN.
ENCUESTA N 1.
A continuacin se detallan los resultados obtenidos en la encuesta orientada al Equipo de Soporte Tcnico de la Unidad Mdica Familiar el cual entre otras actividades se encarga del Sistema de Informacin de Medicina Familiar (SIMF), los cuales le permitirn al Director de la Unidad Mdica Familiar saber si su personal conoce el procedimiento bajo el que se opera cuando el sistema deja de estar disponible y la manera en que deben atenderse las incidencias reportadas por los usuarios del mismo.
CON RESPECTO A LOS REQUISITOS DE INSTALACIN

P1 Qu requerimientos se necesitan para la instalacin de SIMF? * Ver Tabla 1.1. Especificacin de Requisitos
01 Si los conoce
02 No los conoce

P2 Qu tan seguido apoya a los usuarios con dudas o fallos con el sistema SIMF?
01 Diario 02 Cada semana uno o dos casos 03 Nunca
37

P3 En porcentaje, del total de contingencias que se reportan cuantas se deben a
01 Error Humano 02 Errores en el Sistema SIMF
03 Error en la Red
04 Error en la Base de Datos 05 Errores del Equipo de Cmputo 06 Otros

P4 Qu medidas se han implementado para reducir los errores humanos?
01 Capacitacin
02 Slo se proporciona el manual

P5 Qu medidas se han implementado para reducir la indisponibilidad del sistema SIMF? * En base a las normativas
01 Las conoce 02 No las conoce
38
2010

P6 Qu medidas se han implementado para reducir los errores lgicos en la Red? *En base a las normativas
01 Las conoce
02 No las conoce

P7 Qu medidas se han implementado para reducir los errores en la Base de Datos? *En base a las normativas

P8 Qu medidas se han implementado para reducir los errores producidos por fallas en el equipo de cmputo de los usuarios? *En base a las normativas
39

P9 Con qu mtodos de respaldo se cuenta para garantizar la continuidad de operacin en caso de emergencia? *En base a las normativas
01 Los conoce
02 No los conoce

P10 Cules son los procedimientos a seguir en caso de que se presente alguna incidencia en el sistema? *En base a las normativas
01 Los conoce 02 No los conoce

P11 Cul fue la capacitacin que usted recibi para desempear ste cargo?
01 Cuenta con la capacitacin requerida 02 No cuenta con la capacitacin requerida
40
2010

P12 Cuntas personas integran el equipo de trabajo?
02 6 10, 0 03 11 a ms, 0
01 1 5, 2

P13 Qu control de accesos tiene establecido para el acceso al site?
01 Existe un Control, 0
02 No existe un Control, 2

P14 Tiene acceso ilimitado a los recursos del servidor?
01 Si, 0
02 No, 2
41

P15 La ventilacin en el SITE es la adecuada?
01 Si, 0
02 No, 2

Cul es el procedimiento establecido para cuando se instalan nuevas versiones del sistema P16 SIMF? * En base a las normativas
02 Lo desconoce, 0
01 Lo conoce, 2

P17 Conoce la normativa del IMSS para el uso del equipo de cmputo?
02 No, 0
01 Si, 2
42
2010

P18 Tiene SW personal instalado en el equipo?
01 Si, 0
02 No, 2
En base a las grficas anteriores, se puede concluir que la unidad mdica cuenta con poco personal para asistir a tantos usuarios y que adems no estn capacitados de la mejor manera para llevar a cabo sus actividades pues no conocen sobre las mejores prcticas para asegurar la disponibilidad del SIMF a pesar de que el IMSS cuenta con normatividad establecida basadas en ellas. Adems, nos percatamos de que las instalaciones (site) en donde se encuentra el servidor en donde est alojado el SIMF no cuenta con la seguridad fsica necesaria y mucho menos con una ventilacin adecuada.
43
ENCUESTA N 2.
A continuacin se detallan los resultados obtenidos en la encuesta orientada a los usuarios del Sistema de Informacin de Medicina Familiar (SIMF), los cuales le permitirn al Director de la Unidad Mdica Familiar conocer de acuerdo a los mdulos del SIMF que operan, si se le capacit para su uso y saber bajo que procedimiento reportan las incidencias del mismo. CON RESPECTO AL ENTREVISTADO P1 Qu funcin desempea en la Unidad Mdica Familiar?
01 Mdico, 3
02 Asistente Mdica, 7
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P2 Utiliza con frecuencia el Sistema de Informacin de Medicina Familiar (SIMF)?
02 No, 0
01 Si, 10
44
2010
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P3 Qu mdulos del SIMF utiliza frecuentemente?
01 Agenda de Citas
03 Auxiliares de Dx y Tx 05 Administracin del SIMF
02 Atencin Integral
04 Resultados
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P4 Recibi alguna capacitacin para su operacin?
01 Si 02 No
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P5 Cuenta con acceso al manual de usuario?
01 Si 02 No
45
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P6 En los ltimos seis meses, Se ha presentado algn incidente con el sistema?
01 Si
02 No
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P7 En caso de ser afirmativa la respuesta de la P6 Cul ha sido el incidente?
01 SIMF no disponible 02 Tiempo de Respuesta lento 03 Otro
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P8 Cual es el procedimiento para reportar una incidencia?
01 Notificar al Servicio de Soporte Tcnico 02 Otro
46
2010
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P9 Cuanto tiempo se tardan en darle respuesta?
01 < a 1 hora
02 a 1 hora
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P10 Considera que es el adecuado?
01 Si 02 No
CON RESPECTO AL USO DEL SISTEMA DE INFORMACIN DE MEDICINA FAMILIAR (SIMF) P11 Cul es el modo en que opera cuando no esta disponible el SIMF?
01 Manualmente 02 Otro
47
CON RESPECTO AL CONOCIMIENTO DE LA NORMATIVA

P12 Conoce la normativa del IMSS para el uso del equipo de cmputo?
02 No, 2
01 Si, 8
CON RESPECTO A LA APLICACIN DE LA NORMATIVA

P13 Tiene SW personal instalado en el equipo?
01 Si, 0
02 No, 10
Analizando las respuestas obtenidas en base a las encuestas realizadas a los usuarios del SIMF, nos percatamos de que son muchas las solicitudes de servicio que se emiten hacia el departamento de Soporte Tcnico y que debido a que como se coment anteriormente, el tiempo de atencin a los mismos es muy lento y deficiente a pesar de que se tienen establecidas medidas de accin cuando el sistema presenta problemas.
48
2010
CONFIRMACIN DE OBSERVACIONES.
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TCNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL.
CDULA DE OBSERVACIONES
FECHA HORA OBSERVACIN
COMENTARIOS
RESPONSABLE
FIRMA
49
En la siguiente tabla se enlista cada una de las observaciones detectadas como resultado de la auditora, en la columna de cruce se hace referencia al soporte de cada observacin. N 1 OBSERVACIN No se cuenta con personal capacitado en el rea de soporte tcnico de la clnica. IMPACTO CAUSA SUGERENCIA Ofrecer un curso para capacitar al personal sobre las funciones a realizar en caso de problemas. Realizar pruebas piloto para consolidar que la informacin impartida en el curso se haya entendido bien. Brindar un manual de buenas prcticas para servicios de infraestructura al personal operador. Proponer nuevas polticas de capacitacin al personal para mejorar el servicio. Colocar una torre de refrigeracin en la oficina. Colocar al menos dos ventiladores para refrescar la temperatura ambiente. Sacar dos escritorios que no se utilizan para nada y as generar espacio suficiente para evitar sobrecalentamiento CRUCE
Tiempos de Falta de respuesta ante capacitacin al incidencias personal. largos. No se realizaron pruebas piloto sobre el que hacer en caso de contingencia.
Desconocimient o de mejores prcticas para personal de soporte en la UMF.
Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.
Polticas de capacitacin del Instituto Mexicano del Seguro Social.
No hay un control de temperatura, ni se tiene una ventilacin adecuada en la oficina donde se encuentra el servidor.
Sobrecalentami ento de los dispositivos que contiene la oficina.
La oficina donde se encuentra el servidor fue adaptada como site.
50
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 4 El rack encuentra expuesto fsicamente cualquier incidente. se Fallas en la red de uno o ms equipos clientes a de la aplicacin No se cuenta con la infraestructura necesaria para asegurar que el rack este completament e aislado de problemas. Se movieron los muebles que tapaban la vista de la ubicacin de los cables de corriente. El personal de soporte tcnico no cuenta con la versin actualizada a la fecha del 25 de octubre del 2010 de dicho manual. No se ha puesto atencin a generar este reporte ya que comentan que no servira para nada. Solicitar a la delegacin Norte un mueble que cuente con candados de seguridad. Actualizar el plan de infraestructura necesaria para la operacin de la red de la clnica. Mover los muebles con el fin de disfrazar la ubicacin del enchufe de corriente.
2010
Los cables de corriente del servidor estn libres para ser desconectados.
Apagn en el servidor que proporciona servicio de la aplicacin.
La ltima actualizacin al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008.
Desconocimient o de procedimientos y/o la solucin de nuevas incidencias que se pudieran presentar.
Verificar al menos cada mes si existe alguna actualizacin al plan para su revisin y lectura.
No existe un reporte de los tiempos de indisponibilidad del sistema.
Desconocimient o de los tiempos crticos en los cuales se debe poner ms atencin a la actividad del sistema.
La persona del turno de la tarde lleg a las 18:30 hrs cuando su entrada es a las 15:00 hrs y el personal del turno matutino sale a las 16:00
No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocar paro de labores y tiempos
Contractualme nte, tiene permiso de llegar a esa hora sin ser sancionado por ser personal de base
Generar un reporte semanal de los tiempos en los que el sistema estuvo fuera de servicio. Fomentar el uso de este como herramienta de control para prever tiempos crticos o cualquier problema. Definir a una persona que haga el enlace de cambio de turno con un horario mixto, realizar acuerdos con el personal de base para evitar ausentismos en horas picos,
51
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS hrs muertos, demora servicios estmulos por horas extras de trabajo al personal que entrega el servicio en la tarde
de
El personal para atender incidencias reportadas en el turno es insuficiente
10
No existe un plan de trabajo establecido para los procesos de actualizacin de la versin del sistema
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administracin de TI Paro total de actividades que no estn previstas con suficiente tiempo
Falta de personal, no hay definido un organigrama con actividades especficas
Modificar plantilla de personal en esa rea, revisar su programa de actividades y definir tareas especficas, realizar programas preventivos para evitar en lo posible retrasos por fallas tcnicas Establecer una comunicacin con la direccin de la UMF y de la Coordinacin Delegacional de Informtica para realizar un plan de trabajo en los tiempos que no est disponible el sistema (trabajo en forma manual) para la participacin de todo el personal involucrado con el uso de ste Implementar un dispositivo de acceso de mayor seguridad que una simple cerradura, los permisos de acceso del personal de soporte sean controlados desde la Coordinacin Delegacional de Informtica en comunicacin con la
No se consideran tiempos de soporte en caso de que algo salga mal en la actualizacin, se estiman tiempos debajo de los tiempos reales que se lleva la actualizacin
11
La seguridad Sabotaje en la que existe para infraestructura acceder al site, de TI de la UMF es prcticamente mnima
La Direccin de la UMF no ha implementado un control o procedimiento para el acceso a esa rea
52
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Direccin de la UMF
2010
12
El personal de soporte tcnico desconoce el Plan de Recuperacin de Desastres que de acuerdo a la Norma Institucional, deben de tener
Prdida de tiempo considerable para la recuperacin en contingencias
13
El personal no ha sido involucrado en el Plan de Recuperacin de Desastres
El personal no est capacitado integralmente en ese aspecto, argumentan que la Coordinacin Delegacional de Informtica no tiene un calendario de cursos de capacitacin Retraso del El personal trabajo de la argumenta Coordinacin que eso no es Delegacional de competencia Informtica de ese nivel jerrquico
Sugerir a la Coordinacin Delegacional de Informtica que haga partcipes al personal de soporte de la UMF en este proceso, delegar ms responsabilidad al personal de soporte para que se involucre en el Plan de Recuperacin de Desastres Revisar la Norma 5000-00-0001, que marca que si debe estar involucrado, sugerir un plan de capacitacin a la Coordinacin Delegacional de Informtica para la prctica de esta norma Comunicar a mesa de ayuda de nivel central para verificar que la arquitectura del sistema no se vea afectada por la infraestructura de TI de la UMF
14
5 equipos de usuarios, tienen perfil de administrador
Modificacin de la configuracin de red, modificacin a la configuracin del equipo para trabajar con los sistemas de informacin
Si no tienen ese perfil de administrador, no pueden imprimir recetas con cdigo de barras debido a que afecta la configuracin de seguridad del Explorador
53
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 15 No existe un registro de accesos al site por personas ajenas a ste. Prdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos Revisar la Norma 5000-00-0001, que marca que si debe realizar esa actividad, analizar su profesiograma de actividades de su contrato colectivo, llevar un control interno del acceso de proveedores externos y restringir el acceso a solo el personal autorizado En caso de Falta de Implementar algn peligro de importancia software que pueda contingencia, no por parte del ayudad a un se puede equipo tcnico monitoreo remoto y advertir. automtico Esa actividad no se les ha encomendado por escrito y argumentan que no lo marca su contrato colectivo de trabajo
16
17
Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automtica y remota, la cual informe de estados de peligro del servidor. No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
18
Si la base de datos no est respaldada, en caso de que el disco duro principal falle puede perderse la informacin o ser muy costoso el recuperarla. No existe No existe una subdivisiones en coordinacin de el rea de planes para soporte Tcnico mantenimiento o actualizacin de los sistemas y/o equipos de
Disco duro La sustitucin del secundario se disco duro daado dao y no ha sido sustituido (aprox. 3 meses)
Falta de organizacin del personal del rea de soporte de la clnica.
Crear roles para el personal del rea de soporte y rotacin de roles.
54
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS cmputo, aparte se deslindan de responsabilidad es por parte de las reas conflictivas. Dao fsico de los equipos e infeccin de los equipos con antivirus
2010
19
20
21
22
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamient o sin analizar (ignorancia de las normativas para el manejo de un equipo de computo) En 5 equipos existe software de mensajera, juegos, administracin de celulares e intercambio de archivos (msica, video, etc.), instalados en los equipos. Los datos copiados del servidor no cuentan con cifrado. Los usuarios puede copiar informacin de sus maquinas a sus memorias USB, sin problemas.
Existen manuales, pero no son del conocimiento de los usuarios.
Instruir a los usuarios sobre la utilizacin del equipo de computo, mediante alguna capacitacin
Alentamiento de los equipos, saturacin del disco duro, alta probabilidad de infeccin por virus
Los niveles de Creacin de ms usuario no tipos de Usuarios y estn lo limitacin de estos. suficientemen te restringidos.
En caso de robo de los datos, se puede tener acceso a ellos sin problemas Robo de informacin
Mala configuracin del Server.
Aumentar la seguridad de este.
Los puertos Limitarlos de USB estn acuerdo al tipo de abiertos usuario
55
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 23 Uno de las personas del rea de soporte no cuenta con el conocimiento tcnico para control de los usuarios. Lentitud en solucin problemas inexistencia estas la Nivel Capacitar al de inconcluso de elemento del rea de o estudios soporte. de
56
2010
IDENTIFICACIN DE NIVELES DE RIESGO.

En la siguiente tabla se presenta la identificacin de los niveles de riesgo (impacto de la observacin detectada) con su respectiva justificacin. Cabe mencionar que los niveles de riesgos se clasifican en: a) Inminente: Se denota de esta manera cuando el problema est presente o en su defecto puede generar prdidas cuantiosas a la entidad. b) Potencial: Cuando el problema an no est presente pero es muy probable que ocurra y, c) Controlable, cuando es poco probable que ocurra o que puedan generarse perdidas mnimas en la entidad. N 1 OBSERVACIN IMPACTO NIVEL DE RIESGO Potencial.
No se cuenta con personal Tiempos de respuesta ante capacitado en el rea de incidencias largos. soporte tcnico de la clnica. Desconocimiento de mejores Carencia de entendimiento prcticas para personal de del manual de soporte en la UMF. procedimientos a seguir ante incidencias reportadas. No hay un control de Sobrecalentamiento de los temperatura, ni se tiene una dispositivos que contiene la ventilacin adecuada en la oficina. oficina donde se encuentra el servidor. El rack se encuentra Fallas en la red de uno o ms expuesto fsicamente a equipos clientes de la cualquier incidente. aplicacin Los cables de corriente del Apagn en el servidor que servidor estn libres para ser proporciona servicio de la desconectados. aplicacin. La ltima actualizacin al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008. Desconocimiento de procedimientos y/o la solucin de nuevas incidencias que se pudieran presentar. No existe un reporte de los Desconocimiento de los tiempos de indisponibilidad tiempos crticos en los cuales del sistema. se debe poner ms atencin a la actividad del sistema.
Controlable.
Potencial.
Inminente.
Inminente.
Potencial.
Controlable.
57
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 8 La persona del turno de la tarde lleg a las 18:30 hrs cuando su entrada es a las 15:00 hrs y el personal del turno matutino sale a las 16:00 hrs El personal para atender incidencias reportadas en el turno es insuficiente No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocar paro de labores y tiempos muertos, demora de servicios Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administracin de TI Paro total de actividades que no estn previstas con suficiente tiempo Inminente
Potencial
10
No existe un plan de trabajo establecido para los procesos de actualizacin de la versin del sistema
Inminente
11
La seguridad que existe para Sabotaje en la acceder al site, es infraestructura de TI de la prcticamente mnima UMF El personal de soporte tcnico desconoce el Plan de Recuperacin de Desastres que de acuerdo a la Norma Institucional, deben de tener Prdida de tiempo considerable para la recuperacin en contingencias
Potencial
12
Potencial
13
El personal no ha sido Retraso del trabajo de la involucrado en el Plan de Coordinacin Delegacional Recuperacin de Desastres de Informtica 5 equipos de usuarios, Modificacin de la tienen perfil de configuracin de red, administrador modificacin a la configuracin del equipo para trabajar con los sistemas de informacin No existe un registro de Prdida de insumos o accesos al site por personas herramientas resguardadas ajenas a ste. en el Site, conflictos con prestadores de servicios externos Para poder saber el estado En caso de peligro de del servidor necesita revisar contingencia, no se puede de manera directa y no advertir. cuentan con una herramienta la cual lo haga
Controlable
14
Controlable
15
Potencial
16
Inminente
58
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS de forma automtica y remota, la cual informe de estados de peligro del servidor. No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
2010
17
18
No existe subdivisiones en el rea de soporte Tcnico
19
20
21
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo) En 5 equipos existe software de mensajera, juegos, administracin de celulares e intercambio de archivos (msica, video, etc.), instalados en los equipos. Los datos copiados del servidor no cuentan con cifrado.
Si la base de datos no est respaldada, en caso de que el disco duro principal falle puede perderse la informacin o ser muy costoso el recuperarla. No existe una coordinacin de planes para mantenimiento o actualizacin de los sistemas y/o equipos de cmputo, aparte se deslindan de responsabilidades por parte de las reas conflictivas. Dao fsico de los equipos e infeccin de los equipos con antivirus
Inminente
Inminente
Controlable
Controlable
En caso de robo de los datos, se puede tener acceso a ellos sin problemas
Controlable
22
Los usuarios puede copiar Robo de informacin informacin de sus maquinas a sus memorias USB, sin problemas Uno de las personas del rea Lentitud en la solucin de de soporte no cuenta con el problemas o inexistencia de conocimiento tcnico para estas control de los usuarios.
Controlable
23
Controlable
59
CONSOLIDACIN DE NIVELES DE RIESGO.

PERSONAL Y USUARIOS.
N 1
OBSERVACIN
IMPACTO
NIVEL DE RIESGO Inminente
No existe un plan de trabajo Paro total de actividades que establecido para los no estn previstas con procesos de actualizacin de suficiente tiempo la versin del sistema No existe subdivisiones en el No existe una coordinacin rea de soporte Tcnico de planes para mantenimiento o actualizacin de los sistemas y/o equipos de cmputo, aparte se deslindan de responsabilidades por parte de las reas conflictivas. La persona del turno de la No hay nadie en la UMF que tarde lleg a las 18:30 hrs pueda auxiliar cualquier cuando su entrada es a las incidencia que se presente 15:00 hrs y el personal del de 16:00 a 18:30 hrs, turno matutino sale a las provocar paro de labores y 16:00 hrs tiempos muertos, demora de servicios No se cuenta con personal Tiempos de respuesta ante capacitado en el rea de incidencias largos. soporte tcnico de la clnica. El personal de soporte tcnico desconoce el Plan de Recuperacin de Desastres que de acuerdo a la Norma Institucional, deben de tener Prdida de tiempo considerable para la recuperacin en contingencias
Inminente
Inminente
Potencial.
Potencial
El personal para atender Tiempos muy largos de incidencias reportadas en el espera para recibir soporte turno es insuficiente debido a que una persona ve todas las actividades relacionadas a la administracin de TI
Potencial
60
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 7 La ltima actualizacin al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008. Desconocimiento de procedimientos y/o la solucin de nuevas incidencias que se pudieran presentar. Desconocimiento de mejores Carencia de entendimiento prcticas para personal de del manual de soporte en la UMF. procedimientos a seguir ante incidencias reportadas. El personal no ha sido Retraso del trabajo de la involucrado en el Plan de Coordinacin Delegacional Recuperacin de Desastres de Informtica Uno de las personas del rea Lentitud en la solucin de de soporte no cuenta con el problemas o inexistencia de conocimiento tcnico para estas control de los usuarios. Potencial.
2010
Controlable.
Controlable
10
Controlable
INSTALACIONES.
N 1
OBSERVACIN
IMPACTO
NIVEL DE RIESGO Inminente.
El rack se encuentra Fallas en la red de uno o ms expuesto fsicamente a equipos clientes de la cualquier incidente. aplicacin Los cables de corriente del Apagn en el servidor que servidor estn libres para ser proporciona servicio de la desconectados. aplicacin. La seguridad que existe para Sabotaje en la acceder al site, es infraestructura de TI de la prcticamente mnima UMF No hay un control de Sobrecalentamiento de los temperatura, ni se tiene una dispositivos que contiene la ventilacin adecuada en la oficina. oficina donde se encuentra el servidor. No existe un registro de Prdida de insumos o accesos al site por personas herramientas resguardadas ajenas a ste. en el Site, conflictos con prestadores de servicios externos
Inminente.
Potencial
Potencial.
Potencial
61
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS SOFTWARE Y HARDWARE.
N 1
OBSERVACIN Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automtica y remota, la cual informe de estados de peligro del servidor. No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
IMPACTO En caso de peligro de contingencia, no se puede advertir.
NIVEL DE RIESGO Inminente
Si la base de datos no est respaldada, en caso de que el disco duro principal falle puede perderse la informacin o ser muy costoso el recuperarla. Los datos copiados del En caso de robo de los datos, servidor no cuentan con se puede tener acceso a ellos cifrado. sin problemas Los usuarios puede copiar Robo de informacin informacin de sus maquinas a sus memorias USB, sin problemas No existe un reporte de los Desconocimiento de los tiempos de indisponibilidad tiempos crticos en los cuales del sistema. se debe poner ms atencin a la actividad del sistema. 5 equipos de usuarios, Modificacin de la tienen perfil de configuracin de red, administrador modificacin a la configuracin del equipo para trabajar con los sistemas de informacin Dos usuarios apaga de golpe Dao fsico de los equipos e el equipo, 3 no actualiza infeccin de los equipos con antivirus, y 5 mete antivirus dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo
Inminente
Controlable
Controlable
Controlable.
Controlable
Controlable
62
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS de un equipo de computo)
2010
En 5 equipos existe software de mensajera, juegos, administracin de celulares e intercambio de archivos (msica, video, etc.), instalados en los equipos.
Controlable
63
MARCAS DE AUDITORA.
N MARCA DESCRIPCION Observaciones que hacen referencia al personal y/o usuarios. 1
Observaciones relacionadas con las instalaciones.
Observaciones que hacen referencia al software o hardware Indica que se inform la observacin, pero no se emiti una accin inmediata para su correccin.
Indican las observaciones que surgen a partir de las encuestas.
Observaciones fundamentadas con las pruebas de cumplimiento Conector para identificar cual es el nmero de cdula de observacin al que se refiere. Conector con el que se hace el cruce de la cdula de observacin a la matriz de observacin
64
2010
INFORME FINAL.
Mxico, D.F. a 9 de Diciembre de 2010.
Dr. Marco Antonio Pagola Martnez.
Director de la Unidad Mdica Familiar N 94. PRESENTE Por medio de la presente me dirijo a usted de la manera ms cordial, para presentarle el Informe Final que muestra los resultados obtenidos a travs de la auditora al sistema de Informacin de Medicina Familiar, la cual se llev a cabo en el periodo del 24 de Noviembre al 2 de Diciembre del presente ao, en la Oficina de Soporte Tcnico de la Unidad de Medicina Familiar N 94. Dicho informe contempla cada una de las observaciones identificadas, el origen de las mismas, el impacto que stas pueden provocar o inclusive han provocado, as como una propuesta para evitar que en un futuro se puedan ocasionar fallas en la disponibilidad del sistema. Se puede identificar que el objetivo planteado en el inicio de la auditora se alcanz casi ntegramente, despus de verificar los controles de disponibilidad y de continuidad implementados con base al anlisis de estos, as como en el anlisis de incidencias e interrupciones, presentadas en el periodo del 1 de Junio al 30 de Noviembre, como resultado se pueden establecer puntos crticos en la operacin y gestin del sistema para realizar las mejoras necesarias en los controles definidos. Del alcance que se planteo en la planeacin de la auditoria, se lograron cubrir los siguientes rubros: Sistema SIMF que se opera en la Unidad Mdica Familiar N 94: (100%) Plan de evaluacin de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (50%). Personal encargado de responder a fallos (50%). Incidencias presentadas en el periodo (25%). Interrupciones en el servicio (20%). Plan de respaldos (0%). Entrevistas a usuarios de la aplicacin (20%). Documentacin del sistema (5%).
65
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS El detalle del porque no se pudo completar el alcance planeado se describe a continuacin: Plan de continuidad del servicio.- Comento el Sr. David Gmez que desconoce la existencia de dicho plan en s, que solo tienen el plan de recuperacin de desastres en caso de problemas y unos procedimientos en checklist. Personal encargado de responder a fallos.- Solo se pudo realizar la auditoria en el turno vespertino, por esto nunca se platico con el personal del turno matutino. Incidencias presentadas en el periodo.- El Sr. David Gmez afirm que no existe un documento en la clnica que contenga esta informacin, comento que todas las incidencias las manejan a nivel central. Interrupciones en el servicio.- El Sr. David Gmez afirm que no existe un documento en la clnica que contenga esta informacin, comento que es una de las acciones a realizar como objetivos a corto plazo. Plan de respaldos.- El Sr. David Gmez desconoce si existe un plan para generar respaldos, que ese tipo de acciones no les cometen al personal de soporte tcnico. Entrevistas a usuarios de la aplicacin.- Las seoritas Mara de Lourdes Hernndez Perez y Gabriela Quiones Lopez se rehusaron a contestar la encuesta argumentando tener una carga de trabajo muy pesada. Documentacin del sistema.- En la clnica no existe informacin tcnica sobre cmo actuar en casos graves de la aplicacin, solo una serie de pasos para liberar recursos en caso de lentitud en su operacin.
En el informe se anexan los cuadros de observaciones, los cuales incluyen la observacin, el impacto que alcanza, la causa de origen, y una sugerencia para cada caso, esto es en relacin al personal, usuarios, instalaciones, software y hardware. CONCLUSIONES. Partiendo de la informacin obtenida de la presente auditora, se puede concluir que dentro de los principales elementos que se deben considerar para garantizar la existencia del servicio que brinda la aplicacin SIMF, se debe considerar una capacitacin exhaustiva al personal de soporte tcnico para una mayor rapidez en la reaccin en caso de contingencias que afecten la disponibilidad de la aplicacin, esta debe incluir una serie de pruebas en entornos controlados de contingencia del sistema as como la aplicacin de pruebas sobre el manual de operaciones para comprobar que se conocen los lineamientos solicitados por el Instituto Mexicano del Seguro Social para dar un soporte adecuado a la herramienta. Otro de los puntos ms crticos que se debe revisar es el acceso a la oficina que se adapto como site de la aplicacin, ya que el hecho de controlar la entrada solo con una cerradura no garantiza que personas malintencionadas pudieran entrar y desconectar los equipos que dan servicio a la aplicacin, o al menos siempre garantizar que la puerta tenga llave porque un descuido en este aspecto puede ser muy grave.
66
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS Por ltimo, se debe verificar que los usuarios directos de la aplicacin conozcan la existencia del manual de usuario ya que se detecto que muchos operadores al realizarles unas preguntas informales sobre su funcin dentro del sistema desconocan muchos mdulos o funcionalidades que contiene la herramienta, como los tiempos de expiracin de la contrasea y el rol que tienen para operarlo, estas medidas de seguridad se crearon por una razn y el personal no ha tomado las medidas pertinentes para utilizarlas. Agradecemos las facilidades otorgadas para la realizacin de este proyecto. Sin ms por el momento y en espera de sus comentarios, se despide atentamente.
2010
______________________ Rogelio Elias Lemus Cortes. Responsable del equipo de auditores.

C.c.p. Ing. Enrique Garrido Gaspar.-Coordinador Delegacional de Informtica. Delegacin Norte DF..
67
ANEXOS.
CUADRO DE OBSERVACIONES. PERSONAL Y USUARIOS N 1 OBSERVACIN No existe un plan de trabajo establecido para los procesos de actualizacin de la versin del sistema IMPACTO Paro total de actividades que no estn previstas con suficiente tiempo CAUSA No se consideran tiempos de soporte en caso de que algo salga mal en la actualizacin, se estiman tiempos debajo de los tiempos reales que se lleva la actualizacin SUGERENCIA Establecer una comunicacin con la direccin de la UMF y de la Coordinacin Delegacional de Informtica para realizar un plan de trabajo en los tiempos que no est disponible el sistema (trabajo en forma manual) para la participacin de todo el personal involucrado con el uso de ste Crear roles para el personal del rea de soporte y rotacin de roles.
No existe subdivisiones en el rea de soporte Tcnico
La persona del turno de la tarde lleg a las 18:30 hrs cuando su entrada es a las 15:00 hrs y el personal del turno matutino sale a las 16:00 hrs
No existe una coordinacin de planes para mantenimiento o actualizacin de los sistemas y/o equipos de cmputo, aparte se deslindan de responsabilidad es por parte de las reas conflictivas. No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocar paro de labores y tiempos
Falta de organizacin del personal del rea de soporte de la clnica.
Contractualmente, tiene permiso de llegar a esa hora sin ser sancionado por ser personal de base
Definir a una persona que haga el enlace de cambio de turno con un horario mixto, realizar acuerdos con el personal de base para evitar ausentismos en horas picos, estmulos por horas extras de trabajo al personal que
68
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS muertos, demora de servicios No se cuenta con Tiempos de Falta de personal respuesta ante capacitacin al capacitado en el incidencias personal. rea de soporte largos. No se realizaron tcnico de la pruebas piloto clnica. sobre el que hacer en caso de contingencia. entrega el servicio en la tarde Ofrecer un curso para capacitar al personal sobre las funciones a realizar en caso de problemas. Realizar pruebas piloto para consolidar que la informacin impartida en el curso se haya entendido bien. Sugerir a la Coordinacin Delegacional de Informtica que haga partcipes al personal de soporte de la UMF en este proceso, delegar ms responsabilidad al personal de soporte para que se involucre en el Plan de Recuperacin de Desastres Modificar plantilla de personal en esa rea, revisar su programa de actividades y definir tareas especficas, realizar programas preventivos para evitar en lo posible retrasos por fallas tcnicas
2010
El personal de soporte tcnico desconoce el Plan de Recuperacin de Desastres que de acuerdo a la Norma Institucional, deben de tener
Prdida de tiempo considerable para la recuperacin en contingencias
El personal no est capacitado integralmente en ese aspecto, argumentan que la Coordinacin Delegacional de Informtica no tiene un calendario de cursos de capacitacin Falta de personal, no hay definido un organigrama con actividades especficas
El personal para atender incidencias reportadas en el turno es insuficiente
La ltima actualizacin al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008.
Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administracin de TI Desconocimient o de procedimientos y/o la solucin de nuevas incidencias que se pudieran presentar.
El personal de soporte tcnico no cuenta con la versin actualizada a la fecha del 25 de octubre del 2010 de dicho manual.
Verificar al menos cada mes si existe alguna actualizacin al plan para su revisin y lectura.
69
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 8 Desconocimiento de mejores prcticas para personal de soporte en la UMF. Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas. Polticas de capacitacin del Instituto Mexicano del Seguro Social. Brindar un manual de buenas prcticas para servicios de infraestructura al personal operador. Proponer nuevas polticas de capacitacin al personal para mejorar el servicio. Revisar la Norma 500000-0001, que marca que si debe estar involucrado, sugerir un plan de capacitacin a la Coordinacin Delegacional de Informtica para la prctica de esta norma Capacitar al elemento del rea de soporte.
El personal no ha sido involucrado en el Plan de Recuperacin de Desastres
Retraso del trabajo de la Coordinacin Delegacional de Informtica
El personal argumenta que eso no es competencia de ese nivel jerrquico
10
Uno de las Lentitud en personas del rea solucin de soporte no problemas cuenta con el inexistencia conocimiento estas tcnico para control de los usuarios.
la Nivel inconcluso de de estudios o de
INSTALACIONES
N 1
OBSERVACIN El rack encuentra expuesto fsicamente cualquier incidente.
IMPACTO se Fallas en la red de uno o ms equipos clientes a de la aplicacin
CAUSA No se cuenta con la infraestructura necesaria para asegurar que el rack este completamente aislado de problemas. Se movieron los muebles que tapaban la vista de la ubicacin de los cables de corriente.
SUGERENCIA Solicitar a la delegacin Norte un mueble que cuente con candados de seguridad. Actualizar el plan de infraestructura necesaria para la operacin de la red de la clnica. Mover los muebles con el fin de disfrazar la ubicacin del enchufe de corriente.
Los cables de corriente del servidor estn libres para ser desconectados.
Apagn en el servidor que proporciona servicio de la aplicacin.
70
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS 3 La seguridad que Sabotaje en la existe para acceder infraestructura al site, es de TI de la UMF prcticamente mnima La Direccin de la UMF no ha implementado un control o procedimiento para el acceso a esa rea Implementar un dispositivo de acceso de mayor seguridad que una simple cerradura, los permisos de acceso del personal de soporte sean controlados desde la Coordinacin Delegacional de Informtica en comunicacin con la Direccin de la UMF Colocar una torre de refrigeracin en la oficina. Colocar al menos dos ventiladores para refrescar la temperatura ambiente. Sacar dos escritorios que no se utilizan para nada y as generar espacio suficiente para evitar sobrecalentamiento Revisar la Norma 500000-0001, que marca que si debe realizar esa actividad, analizar su profesiograma de actividades de su contrato colectivo, llevar un control interno del acceso de proveedores externos y restringir el acceso a solo el personal autorizado
2010
No hay un control de temperatura, ni se tiene una ventilacin adecuada en la oficina donde se encuentra el servidor.
Sobrecalentami ento de los dispositivos que contiene la oficina.
La oficina donde se encuentra el servidor fue adaptada como site.
No existe un registro de accesos al site por personas ajenas a ste.
Prdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos
Esa actividad no se les ha encomendado por escrito y argumentan que no lo marca su contrato colectivo de trabajo
71
SOFTWARE Y HARDWARE
N 1
OBSERVACIN Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automtica y remota, la cual informe de estados de peligro del servidor. No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos
IMPACTO En caso de peligro de contingencia, no se puede advertir.
CAUSA
SUGERENCIA
Falta de Implementar algn importancia por software que pueda parte del equipo ayudad a un monitoreo tcnico remoto y automtico
Los datos copiados del servidor no cuentan con cifrado. Los usuarios puede copiar informacin de sus maquinas a sus memorias USB, sin problemas. No existe reporte de tiempos indisponibilidad sistema. un los de del
Si la base de datos no est respaldada, en caso de que el disco duro principal falle puede perderse la informacin o ser muy costoso el recuperarla. En caso de robo de los datos, se puede tener acceso a ellos sin problemas Robo de informacin
Disco duro La sustitucin del disco secundario se dao duro daado y no ha sido sustituido (aprox. 3 meses)
Mala configuracin Aumentar la seguridad del Server. de este.
Los puertos USB Limitarlos de acuerdo al estn abiertos tipo de usuario
Desconocimient o de los tiempos crticos en los cuales se debe poner ms atencin a la actividad del sistema.
No se ha puesto atencin a generar este reporte ya que comentan que no servira para nada.
Generar un reporte semanal de los tiempos en los que el sistema estuvo fuera de servicio. Fomentar el uso de este como herramienta de control para prever tiempos crticos o
72
AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS cualquier problema.
2010
5 equipos de usuarios, tienen perfil de administrador
Modificacin de la configuracin de red, modificacin a la configuracin del equipo para trabajar con los sistemas de informacin Dao fsico de los equipos e infeccin de los equipos con antivirus
Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo) En 5 equipos existe software de mensajera, juegos, administracin de celulares e intercambio de archivos (msica, video, etc.), instalados en los equipos.
Si no tienen ese perfil de administrador, no pueden imprimir recetas con cdigo de barras debido a que afecta la configuracin de seguridad del Explorador Existen manuales, pero no son del conocimiento de los usuarios.
Comunicar a mesa de ayuda de nivel central para verificar que la arquitectura del sistema no se vea afectada por la infraestructura de TI de la UMF
Instruir a los usuarios sobre la utilizacin del equipo de computo, mediante alguna capacitacin
Los niveles de Creacin de ms tipos usuario no estn lo de Usuarios y limitacin suficientemente de estos. restringidos.
73

Ejemplo Auditoria Informatica

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ejemplo Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

AUDITORA INFORMTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR N 94 DEL IMSS

CONOCIMIENTO GENERAL DEL REA A REVISAR. E

FASE: ACTIVIDADES INTERMEDIAS.

FASE: ACTIVIDADES POSTERIORES.

POLTICAS Y PROCEDIMIENTOS EXISTENTES

PRUEBAS DE CUMPLIMIENTO (PREPARACIN).

Corroborar el correcto manejo de informacin confidencial por parte del personal.

MATERIAL DE APOYO (PREPARACIN).

Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Trmino: |___|:|___|

CON RESPECTO A LOS REQUISITOS DE INSTALACIN

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

|___|___| *El ms alto |___|___| |___|___|

01 Los conoce 02 Los desconoce

|___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___| |___|___|

Agradecemos su colaboracin y atencin prestada en la entrevista.

Tabla 1.1. Especificacin de Requisitos

Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Trmino: |___|:|___|

|___|___| |___|___| |___|___| |___|___|

Agradecemos su colaboracin y atencin prestada en la entrevista.

CON RESPECTO A LOS REQUISITOS DE INSTALACIN

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Diario 02 Cada semana uno o dos casos 03 Nunca

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Error Humano 02 Errores en el Sistema SIMF

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

02 Slo se proporciona el manual

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Las conoce 02 No las conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Las conoce 02 No las conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Las conoce 02 No las conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Los conoce 02 No los conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 Cuenta con la capacitacin requerida 02 No cuenta con la capacitacin requerida

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

CON RESPECTO A LAS FUNCIONES QUE DESEMPEA

01 SIMF no disponible 02 Tiempo de Respuesta lento 03 Otro

01 Notificar al Servicio de Soporte Tcnico 02 Otro

CON RESPECTO AL CONOCIMIENTO DE LA NORMATIVA

CON RESPECTO A LA APLICACIN DE LA NORMATIVA

Desconocimient o de mejores prcticas para personal de soporte en la UMF.

Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.

Polticas de capacitacin del Instituto Mexicano del Seguro Social.

Sobrecalentami ento de los dispositivos que contiene la oficina.

La oficina donde se encuentra el servidor fue adaptada como site.

Apagn en el servidor que proporciona servicio de la aplicacin.

Desconocimient o de procedimientos y/o la solucin de nuevas incidencias que se pudieran presentar.

No existe un reporte de los tiempos de indisponibilidad del sistema.

El personal para atender incidencias reportadas en el turno es insuficiente

Falta de personal, no hay definido un organigrama con actividades especficas

La Direccin de la UMF no ha implementado un control o procedimiento para el acceso a esa rea

Prdida de tiempo considerable para la recuperacin en contingencias

El personal no ha sido involucrado en el Plan de Recuperacin de Desastres

5 equipos de usuarios, tienen perfil de administrador

Falta de organizacin del personal del rea de soporte de la clnica.

Fecha: |_|/|_|/|_10_| Hora de Inicio: |_|:|_| Hora de Trmino: |_|:|_|

|_|_| *El ms alto |_|_| |_|_|

|_|_| |_|_| |_|_| |_|_| |_|_| |_|_| |_|_| |_|_| |_|_|

Fecha: |_|/|_|/|_10_| Hora de Inicio: |_|:|_| Hora de Trmino: |_|:|_|

|_|_| |_|_| |_|_| |_|_|