Está en la página 1de 47

CAPTULO I.

Generalidades de la empresa

Nombre de la empresa
Universidad Tecnolgica del Norte de Guanajuato; Organismo pblico
descentralizado del gobierno del estado.
Giro de la empresa.
La Universidad Tecnolgica del Norte de Guanajuato pertenece al sector
de servicios, ofreciendo educacin de nivel superior, enfocados a la excelencia y
calidad.
Ubicacin
Campus Dolores Hidalgo
Av. Educacin Tecnolgica No.34, Fraccionamiento Universidad,
Dolores Hidalgo Cuna de la Independencia Nacional,
Guanajuato, C.P. 37800, Tel. (418) 182 5500

Antecedentes de la empresa.
El 12 de noviembre de 1993, como parte de las estrategias para consolidar
la educacin superior en el norte de Guanajuato, el gobierno federal, por conducto
de la Secretara de Educacin Pblica, y el gobierno del Estado celebraron un
convenio de coordinacin para la creacin, operacin y apoyo financiero de una
Universidad Tecnolgica, la cual sera un detonante econmico en la regin, un
factor de desarrollo para la industria y un soporte para el nivel cultural y educativo
entre sus habitantes. Asimismo, en concordancia con lo establecido en el Decreto
Gubernativo No. 239 del Gobierno del Estado que establece la creacin del
Sistema de Educacin Superior Tecnolgica del Estado de Guanajuato (SESTEG)
y que seala que el mismo tendr por objeto consolidad y fortalecer, a travs de
una visin integral, la educacin superior tecnolgica mediante acciones tales
como la formacin integral de los educandos, la transformacin de los
conocimientos cientficos en aplicaciones tecnolgicas, el impulso a la creatividad
y el espritu emprendedor, as como la creacin y el desarrollo de empresas que
contribuyan al crecimiento econmico y desarrollo social de la regin, la
Universidad Tecnolgica del Norte de Guanajuato (UTNG) define y orienta su
misin educativa al cumplimiento de tales fines. La Universidad Tecnolgica del
Norte de Guanajuato inici actividades en septiembre de 1994 en Dolores Hidalgo,
en 1996 en la Unidad Acadmica en Victoria (UAV) y en el 2007 en la Unidad
Acadmica de San Miguel de Allende (UASMA), asumiendo el compromiso de
contribuir al mejoramiento del nivel de vida de los habitantes de las zonas antes
mencionadas Los municipios contemplados en la zona de influencia de la
Universidad son Allende, Atarjea, Dolores Hidalgo, Doctor Mora, Tierra Blanca,
Ocampo, Santa Catarina, San Diego, San Felipe, San Jos Iturbide, San Luis de la
Paz, Victoria y Xich; sin embargo la Universidad capta alumnos de otros

municipios. De esta manera la Institucin se constituye en una alternativa (pblica)
educativa necesaria en la regin a travs de la formacin de profesionistas de
calidad para responder a las expectativas y necesidades de los sectores
educativo, productivo y social a travs de un modelo que cuenta con atributos de
polivalencia, continuidad, intensidad, flexibilidad y pertinencia atendiendo el saber,
el saber ser y el saber hacer, cabe mencionar que la Institucin sustenta su
prestigio en la calidad de los estudios, as como en la efectividad de las acciones
de vinculacin realizadas.
En abril de 2002, la UTNG recibi la Certificacin ISO 9001:2000, que
acredita que el proceso educativo impartido cumple con estndares
internacionales de calidad; dicha certificacin forma parte integral de uno de los
proyectos ms importantes de la reforma educativa en Mxico, brindar educacin
de calidad. Es por esto que siguiendo dicho compromiso, en abril de 2006 se
ampli la cobertura del certificado para los servicios de Educacin Continua y
Servicios Tecnolgicos, as como para la Unidad Acadmica Victoria y en 2010 a
la Unidad Acadmica de San Miguel Allende. Con base en su sistema de gestin
de la calidad la institucin ha obtenido los siguientes logros: *La UTNG durante
2005 obtuvo el nivel 1 dentro de la clasificacin de los Comits Interinstitucionales
para la Evaluacin de la Educacin Superior (CIEES) en la totalidad de sus
programas educativos. Esto le permiti recibir un reconocimiento de la Presidencia
de la Repblica, otorgado el 22 de marzo de 2006, ya que el 100% de sus
estudiantes de Tcnico Superior Universitario se encuentra cursando programas
educativos de buena calidad, reconocidos por el Sistema Nacional de Evaluacin y
Acreditacin de la Educacin Superior.
Misin.

La UTNG es una Institucin de Educacin Superior de calidad reconocida
nacional e internacionalmente, dedicada a la formacin integral de personas
profesionales caracterizadas por sus competencias, orientadas al sector
productivo y social, con alta capacidad competitiva y responsabilidad social.

Asimismo, realiza con la calidad actividades de docencia, investigacin,
extensin y vinculacin: ofrece oportunidad de una educacin para todo a la vida
y, por su identidad como UT, promueve soluciones a travs de sus servicios
tecnolgicos a los sectores productivo y social.

Visin.

Para el 2030, la UTNG se reconoce y es reconocida como una institucin
de calidad por la formacin de sus alumnos mediante competencias laborales y
profesionales, por su informacin humana integral, as como por su promocin del
sentido emprendedor, tanto a nivel nacional como internacional y por su pluralidad
y adaptabilidad a diferentes culturas.


La UTNG responde y satisface a las necesidades y expectativas tanto del
estudiante como de la sociedad, para lo cual se mantiene vinculada y se adapta a
diferentes entornos. Mantiene por ello una imagen de participacin en el mbito
productivo con impacto social en sus programas educativos y de los servicios
tecnolgicos que ofrece, tanto presenciales como a distancia, que le permiten
lograr un liderazgo educativo sustentando en la tecnologa, distinguindose por las
tecnologas de la informacin y comunicacin.

Lneas complementarias de la Visin

La UTNG es un sistema social complejo, abierto, flexible, eficaz, innovador,
incluyente e interrelacionado con otros subsistemas.
Implementa un Modelo Educativo basado en Competencias y con un
enfoque hacia una educacin a lo largo de la vida.
Mantiene sus programas educativos acreditados, y sus cuerpos acadmicos
consolidados, para lo cual cuenta con una infraestructura tecnolgica de
vanguardia.
Se caracteriza por mantener una cultura de calidad, con sustento en la
planeacin y la evaluacin externa, en la transparencia en el manejo de sus
recursos, y por la rendicin de cuentas a la sociedad, as como por su intencin de
ser una auto-eco-organizacin que logre una armona con la naturaleza y sea
promotora del desarrollo sustentable.
Satisface las necesidades del presente sin comprometer las necesidades
del futuro de satisfacer las suyas. Busca mejorar el bienestar de vida de la
poblacin y fomenta el desarrollo de las Pequeas y Medianas Empresas
(PYMES).



Poltica de calidad.

La Universidad Tecnolgica del Norte de Guanajuato se compromete con
sus alumnos y la sociedad a ofrecer servicios educativos del nivel superior con
calidad, empleando de manera eficiente los recursos y aplicando la mejora
continua en beneficio del desarrollo regional y ambiental previniendo la
contaminacin y apegndose a las disposiciones legales ambientales.

Valores
En el cumplimiento de nuestra misin la UTNG ratifica su compromiso con
la sociedad, poniendo en prctica permanente los siguientes valores:

Respeto
A las personas:
Tratndolas en forma digna, escuchando sus inquietudes y puntos de vista,
con apertura para que expresen de manera responsable y constructiva, en un
ambiente de confianza.

Al medio ambiente:
Haciendo buen uso de los recursos naturales, preservando el medio
ambiente y fomentando la cultura ecolgica.
Al tiempo:
Considerando la puntualidad como la base que nos permite cumplir en
armona nuestras actividades y atendiendo con oportunidad los compromisos;
haciendo buen uso del tiempo y de los recursos, de tal manera que se busca el
rendimiento y el buen desempeo, como parte importante de nuestra calidad de
vida.
A la institucin:
Conducindonos dignamente como comunidad universitaria, buscando el
bien comn y cuidando la identidad de nuestro entorno.
Lealtad
Actuando con honestidad y justicia, buscando la congruencia de nuestra
misin con el actuar y las acciones diarias que llevamos a cabo, protegiendo y
correspondiendo a la integridad de la institucin y de las personas, siendo fieles a
los valores de la comunidad universitaria y de uno mismo.
Trabajo en equipo
Desarrollando la capacidad de aprender y compartir conocimientos,
experiencias, xitos y errores con el grupo de trabajo. Apoyando las diferentes
actividades en las que se pueda aportar, con la disposicin de participar y la
capacidad de analizar, revisar y ajustar constantemente los distintos enfoques
personales, para mantenerlos integrados como equipo buscando la conjuncin de
esfuerzos en el logro de metas y objetivos comunes.
Disposicin al servicio
Ofreciendo atencin, comunicacin, cooperacin y ayuda a quienes utilizan
nuestro trabajo o servicio, porque nos ponemos en su lugar para poder
satisfacerlos, ofreciendo nuestro mejor trato y una actitud entusiasta.
Creatividad
Fomentando la iniciativa de buscar mejores caminos, al desarrollar
habilidades y talentos en la comunidad universitaria, que solucionen retos.
Profesionalidad
Actuando con responsabilidad, compromiso y disciplina al desarrollar
nuestro trabajo diario y esforzndonos por mejorar cada da.
Liderazgo
Entendido como el comportamiento y acciones que toma el lder para
inspirar, convencer o impulsar al personal y a la organizacin hacia el logro de la
visin, influyendo en los individuos para que contribuyan en forma voluntaria y
entusiasta al cumplimiento de las metas establecidas por el grupo.
Comunicacin efectiva
A travs de contactos frecuentes interactivos y transaccionales para la
reduccin de malos entendidos entre los equipos de trabajo. Compromiso
institucional Buscando la intensidad de la participacin de la persona y su
identificacin con la organizacin.
Calidad en los procesos
Mediante la bsqueda constante de la mejora continua de los productos,
bienes o servicios, sistemas y procesos de la organizacin, con el propsito de

crear valor para sus clientes y usuarios. Espritu de servicio Fomentando una
actitud de las personas en su diario actuar para aumentar o conservar el valor de
su producto (trabajo).
Reconocimiento
Motivando al personal en su quehacer cotidiano para estimular su sentido
de pertenencia en la organizacin.
Rendicin de cuentas
Actuando con eficiencia, eficacia, economa y calidad en la gestin de la
administracin pblica, para contribuir a la mejora continua y a su modernizacin y
teniendo como principios fundamentales la optimizacin de los recursos y la
rendicin de cuentas.
Transparencia
Garantizando el acceso a la informacin gubernamental, sin ms lmite que
el que imponga el inters pblico y los derechos de privacidad de los particulares,
establecidos por la ley; usar y aplicar con transparencia los recursos pblicos,
cuidando su manejo responsable y eliminar la discrecionalidad indebida.



CAPITULO II. Planteamiento de la situacin.

Situacin del rea donde se aplicar el proyecto y la necesidad del mismo.

La universidad cuenta con varias reas que conforman toda la estructura de la
universidad una de ellas el Centro Global de Tecnologas de la Informacin
(CGTI).

El Centro Global de Tecnologas de la Informacin, tiene como objetivo brindar los
servicios Informticos dentro de la Institucin como:

Soporte Tcnico a Equipos de Cmputo Institucionales

Soporte Tcnico a Laboratorios de Academia

Administracin de Servicios de Red

Administracin de Correo Electrnico Institucional

Administracin de Servidores Institucionales

Administracin de la Red Inalmbrica

Capacitacin a Personal Docente y Administrativo





Justificacin.

Las actividades que se realizarn surge como un proyecto escolar con la
necesidad de practicar los procesos que conllevan una Auditora, para lo cual se
ha escogido el CGTI, para realizar una auditoria informtica por la empresa
MEFAG Auditores (nombre que se le da para formalizar el ejercicio) enfocndonos
en los controles 8, que habla de Recursos Humanos y 10.4, que habla de Cdigo
Malicioso, de la norma ISO 27001

Objetivo del proyecto.
Los principales objetivos de la Auditora que se realizar a esta rea son los
siguientes:
1. El anlisis de la eficiencia de los Sistemas Informticos revisando con el
control de Software Malicioso.
2. La verificacin del cumplimiento de los datos proporcionados en la
informacin proporcionada por el personal.
3. La revisin de la eficaz gestin de los recursos Humanos.
4. Entregar un informe que le sirva a este departamento para que pueda
mejorar las siguientes caractersticas: eficiencia, eficacia, rentabilidad y
seguridad.
5. Hacer recomendaciones de seguridades y controles.
6. Dar a conocer la situacin actual del rea informtica y las actividades y
esfuerzos necesarios para lograr los objetivos propuestos.




Organigrama
MEFAG Auditores











PLANEACION
Objetivo: Asegurar que todos los empleados, contratistas y terceros estn al tanto de las
amenazas e inquietudes sobre la seguridad de informacin, sus responsabilidades y obligaciones,
y que estn equipados para apoyar la poltica de seguridad organizacional en el curso de su
trabajo normal, y
Reducir los riesgos de error humano
Alcance: La auditora se llevara a cabo en el CGTI y el edificio F (rea tecnologas de la
informacin)
Recursos: para llevar acabo la auditoria se har uso de dos laptops, y de entrevistas
elaboradas acorde a los controles que se auditaran
Fabiola
Rivas
Lder Auditor
Isaias Ortz
Aprendiz
Martha
Arvizu
Auditor
Rodrigo
Bautista
Auditor
Adriana
Rodrguez
Auditor
Jess Daz
Auditor
Jos Silva
Auditor
Gabriel
Jurez
Aprendiz

Metodologa de trabajo: Nos basaremos en el uso de la Norma ISO 27001-001, y en los
controles A-10.4 proteccin contra software malicioso y A.8.2 seguridad de los recursos
humanos
Plan de trabajo
Fecha Actividad observaciones Personas involucradas
03/07/2013 Aplicacin de entrevista inicial
al Lic. Jos Moiss Muoz
Garca , para acordar los
controles con los que se va a
trabajar A-10.4 proteccin
contra software malicioso y
A.8.2 seguridad de los
recursos humanos (durante el
empleo)
Se establecer un contrato de
auditoria. (anexo 1)

Se asignar a las
personas que
formalizarn la
auditora
Auditado (responsable
del CGTI)
Lder Auditor Fabiola
Rivas Vzquez
Auditora Adriana Ayde
Rodrguez Arguelles
Auditor Jess Edgar
Daz Delgado


04/07/2013 Elaboracin de entrevistas Equipo auditor
05/07/2013 Elaboracin de formatos a
llenar para el cumplimiento de
los procesos
Equipo auditor
06/07/2013 Descanso Equipo auditor
07/07/2013 Descanso Equipo auditor
08/07/2013 Reunin para asignar horario y
personal para la auditoria
Equipo auditor
09/07/2013 Solicitud de entrevista por
medio de oficio va correo
electrnico
Lder auditor Fabiola
Rivas Vzquez
LIC Jos Moiss Muoz
Garca
10/07/2013 Visitaremos el edificio F para
realizar anotaciones ,y ubicar
la poltica SGSI as como las
instalaciones del CGTI para
llevar a cabo la auditoria
Lder Auditor Fabiola
Rivas Vzquez
Auditora Adriana Ayde
Rodrguez Arguelles
Auditor Jess Edgar
Daz Delgado
Auditora Martha Arvizu
Galvn
Auditor Rodrigo Bautista

LIC. Jos Moiss Muoz
Garca
11/07/2013 Evaluacin de resultados de la
auditoria
Se realizarn
anotaciones a los
formatos de no
conformidades
Equipo Auditor

12/07/2013 Evaluacin de resultados de la
auditoria
Equipo Auditor
13/07/2013- Reunin de MEFAG Auditores Equipo Auditor

16/07/2013 para afinar detalles de reporte
final






ENTREGABLES ROLES
FRV JEDD MAG AARA ION GJ JS RB
GESTION DEL
PROYECTO

1 INICIACION
CONTRATO DE LA
AUDITORIA
R P A-V
REUNION CON EL
RESPONSABLE DEL CGTI
R P P
2 PLANEACION
ASIGNACION DE ROLES
DEL EQUIPO AUDITOR
R P P A-V P P P P
ELABORAR EL PLAN DE
PROYECTO
R V V V P P P P
REUNION DE EQUIPO DEL
PROYECTO
R P P P P P P P
DEFINIR Y SECUENCIAR
ACTIVIDADES
R P A-V
DIAGNOSTICO DE LA
EMPRESA
A-V P P R
IDENTIFICACION DE
RIESGOS DE LA
AUDITORIA
A-V P P R
DESCRIPCION DE LA
METODOLOGIA
A-V P R
3 EJECUCION
RECOPILACION DE
INFORMACION
R P P P P
GENERAR POLITICAS.
ELABORACION DE
FORMATOS
R P P A-V P P P P
REALIZAR ENTREVISTAS R P P P P P P P
DOCUMENTAR
EVIDENCIAS DE
AUDITORIA
ENCONTRADAS
R P P P P P P P
ACTIVIDAD DE
MUESTREO Y
VERIFICACION DE
R P P A-V P
MATRIZ DE
RESPONSABILIDADES
(RAM)
Folio :001

PROCESOS
REUNION DE EQUIPO DEL
PROYECTO
R P P A-V P P P P
ANALISIS DE LA
INFORMACION
RECABADA
A-V P P R P P P P
FRV JEDD MAG AARA ION GJ JS RB

DOCUMENTACION DE LAS
OPORTUNIDADES DE
MEJORA
R P P A-V P P P P
DIRIGIR Y GESTIONAR LA
EJECUCION DE LA
AUDITORIA
R A-V
GESTIONAR LAS
ESPECTATIVAS DE LOS
INTERESADOS.
R P A-V
SEGUIMIENTO Y
CONTROL DE LA
AUDITORIA

VERIFICAR EL ALCANCE A-V P P R
CONTROLAR EL
CRONOGRAMA
R A-V
SEGUIMIENTO Y
CONTROL DE RIESGOS
A-V P R R
CIERRE
GENERAR LAS NO
CONFORMIDADES
R P P A-V P P P P
REUNION DE EQUIPO DEL
PROYECTO
R P P P P P P P
GENERAR EL INFORME
FINAL DE LA AUDITORIA
R P A-V P
EXPOSICION DE LOS
RESULTADOS
OBTENIDOS
R P P P P P P P
CIERRE DEL PROYECTO. R P P A-V P P P P

CODIGOS DE
RESPONSABILIDADES
CODIGOS DE ROLES
R
A
P
V
Responsable del entregable
Aprueba el entregable
Participa
Revisa
FRV

AARA

JEDD
MAG
ION
GJ
JS
RB
Lder Auditor Fabiola Rivas
Vzquez
Auditora Adriana Ayde Rodrguez
Arguelles
Auditor Jess Edgar Daz Delgado
Auditora Martha Arvizu Galvn
Aprendiz Isaas Ortz Neave
Aprendiz Gabriel Jurez
Aprendiz Jos Silva
Auditor Rodrigo Bautista








RIESGOS DEL PROYECTO DE LA AUDITORIA
El riesgo se considera como una incertidumbre o probabilidad de que alguna
amenaza encuentre una vulnerabilidad y est gener prdidas o daos.
Es importante tomar en cuenta los riesgos que estn latentes al momento de
realizar una auditora, ahora bien, nuestro grupo consider como principal riesgo la
posibilidad de emitir un informe de auditora incorrecto por no haber detectado
errores o irregularidades significativas, que modificaran el sentido de la opinin
vertida en el informe.
Como riesgo global del auditor consideramos varios tipos de riesgos, por ejemplo
el riesgo inherente el cual en este caso sera las trabas que pudiramos tener en
llevar a cabo la auditoria en el CGTI, digamos que por ejemplo se diera el caso de
que al querer llevar acabo la entrevista al encargado del CGTI no lo pudiramos
hacer debido a que se encontrar de vacaciones, es un riesgo fuera de control por
parte del auditor.
En otro ejemplo consideramos el riesgo de deteccin el cual como su nombre lo
dice este riesgo se puede detener o evitar por parte del grupo auditor ya que una
vez realizado el anlisis de los riesgos estos salen a relucir y de esta forma el
grupo auditor encuentra la forma de combatirlos o a su vez evitarlos.


ELAVUACIN DEL RIESGO DE AUDITORIA

Nivel de riesgo Significatividad

Factores de
riesgo
Probabilidad de
errores
Mnimo No significativo No existen Remota
Bajo Significativo
Existe algunos
pero pocos
Improbable
Medio Muy significativo Existen algunos Posible
Alto Muy significativo
Existen varios y
son importantes
Probable


ELAVUACIN DEL RIESGO DE AUDITORIA
Cdigo
del
riesgo
Descripcin del
Riesgo
Causa
Raz
Partes
afectadas
Tipo de
riesgo
Objetivo
Afectado
R01
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


R02
R03
R04


INFORME DE MONITOREO DE RIESGOS
RIESGOS ACTULES POTENCIALES










PLAN DE RESPUESTA A RIESGOS
Cdigo
del
riesgo
Descripcin
del Riesgo
Respuesta
planificada
Tipo de
respuesta
Fecha
planificada
Plan de
contingencia
R01
R02
R03
R04









MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


V. FORMATO DE REPORTE DE NO CONFORMIDADES




PROCESO DE AUDITORIA AL CGTI
RESPONSABLE DEL PROCESO O DEPENDENCIA: LIC, MOISES MUOZ GARCIA
AUDITOR PRINCIPAL: MEFAG AUDITORES
FECHAS DE REALIZACIN DE LA AUDITORIA: 3 DE JULIO
FECHA DE PRESENTACIN DEL INFORME DE AUDITORIA: 13 DE JULIO

PARTE 1 REPORTE DE LA NO CONFORMIDAD
1. Nombre del emisor


JESUS EDGAR DIAZ
DELGADO


2. Cargo del emisor

AUDITOR
2. No conformidad
# 1 de #4



4. Hallazgo:



El responsable del rea refiere que no cuenta con polticas generadas en su rea



5. Accin tomada:
Se indica verbalmente la importancia de generar y documentar polticas para
garantizar la seguridad en la informacin y control de activos.



PARTE 3 VERIFICACIN
6. La accin tomada fue eficaz?
S No
7. Si no fue eficaz diga la razn:

El CGTI se en cuenta en proceso de
documentacin de polticas.
8. Firma del responsable del proceso: 9. Fecha:

3/07/2013



MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



V. FORMATO DE REPORTE DE NO CONFORMIDADES




PROCESO DE AUDITORIA AL SGTI
RESPONSABLE DEL PROCESO O DEPENDENCIA: LIC, MOISES MUOZ GARCIA
AUDITOR PRINCIPAL: MEFAG AUDITORES
FECHAS DE REALIZACIN DE LA AUDITORIA: 4 DE JULIO
FECHA DE PRESENTACIN DEL INFORME DE AUDITORIA: 13 DE JULIO

PARTE 1 REPORTE DE LA NO CONFORMIDAD
3. Nombre del emisor


ADRIANA AYDE
RODRIGUEZ ARGUELLES


2. Cargo del emisor

AUDITOR
4. No conformidad
# 2 de # 4



4. Hallazgo:



El personal no conoce la existencia de la poltica de SGSI general que corresponde
a la Universidad Tecnolgica del Norte de Guanajuato publicada en todas las reas de
la universidad.



5. Recomendacin:
Informar al personal sobre las polticas existentes.

PARTE 3 VERIFICACIN
6. La accin tomada fue eficaz?
S No
7. Si no fue eficaz diga la razn:


8. Firma del responsable del proceso: 9. Fecha:

3/07/2013


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



V. FORMATO DE REPORTE DE NO CONFORMIDADES




PROCESO DE AUDITORIA AL CGTI
RESPONSABLE DEL PROCESO O DEPENDENCIA: LIC, MOISES MUOZ GARCIA
AUDITOR PRINCIPAL: MEFAG AUDITORES
FECHAS DE REALIZACIN DE LA AUDITORIA: 10 DE JULIO
FECHA DE PRESENTACIN DEL INFORME DE AUDITORIA: 13 DE JULIO

PARTE 1 REPORTE DE LA NO CONFORMIDAD
6. Nombre del emisor

Martha Arvizu Galvan


2. Cargo del emisor

AUDITOR
7. No conformidad
# 3 de # 4



4. Hallazgo:


Existen problemas de comunicacin en el personal de Recursos humanos, ya que el
responsable del CGTI refiere que es responsabilidad de personal del edificio F el
soporte a laboratorios.
Mientras que en el edificio F, el responsable no autorizo el acceso para muestreo a los
laboratorios
Argumentando que no se cuenta con el tiempo para dar mantenimiento a todos los
equipos.



5. Accin tomada:


PARTE 3 VERIFICACIN
6. La accin tomada fue eficaz?
S No
7. Si no fue eficaz diga la razn:


8. Firma del responsable del proceso: 9. Fecha:

10/07/2013


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



V. FORMATO DE REPORTE DE NO CONFORMIDADES




PROCESO DE AUDITORIA AL SGTI
RESPONSABLE DEL PROCESO O DEPENDENCIA: LIC, MOISES MUOZ GARCIA
AUDITOR PRINCIPAL: MEFAG AUDITORES
FECHAS DE REALIZACIN DE LA AUDITORIA: 10 DE JULIO
FECHA DE PRESENTACIN DEL INFORME DE AUDITORIA: 13 DE JULIO

PARTE 1 REPORTE DE LA NO CONFORMIDAD
8. Nombre del emisor


Rodrigo Pedro Bautista,


2. Cargo del emisor

AUDITOR
9. No conformidad
# 4 de #4



4. Hallazgo:



El muestreo tomado a los laboratorios del rea arroja como resultado que la versin
instalada del software antivirus no corresponde a la versin reportada por el personal.



5. Accin tomada:
Indicar verbalmente.

PARTE 3 VERIFICACIN
6. La accin tomada fue eficaz?
S No
7. Si no fue eficaz diga la razn:


8. Firma del responsable del proceso: 9. Fecha:

10/07/2013


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO






























Anexos
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO





LUGAR:CGTI FECHA:03-07-2013 HORA:04:00 pm
HORA DE INICIO: 04:00 pm HORA DE TERMINO:
OBJETIVO DE LA REUNION: Reunin de la Apertura de la Auditoria

No. PARTICIPANTES ASISTIO NO ASISTIO
1 Ing. Jos Moiss Muoz Garca
2 Adriana Ayde Rodrguez Arguelles
3 Jess Edgar Delgado Daz
4 Fabiola Rivas Vzquez

Orden del Dia

Bienvenida a los asistentes


Resumen de las actividades de la auditora


Lectura del Plan de auditora


Comentarios

Aviso de reunin de cierre de auditora interna

ACUERDOS RESPONSABLE FECHA LIMITE
Los auditores internos se
apegarn al plan de
auditora definido.

Equipo auditor


Las auditoras se realizarn
a las horas programadas
para el mejor
aprovechamiento del
tiempo.

Equipo auditor
Auditados

Los auditores enviarn sus
evidencias a la
coordinacin para la
Equipo auditor


MINUTA DE APERTURA
AUDITORIA
Folio :001
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


elaboracin del reporte.


PROXIMA REUNION Reunin de cierre de auditoria
OBJETIVO Dar lectura la reporte de auditoria



MINUTA REUNION DE RESULTADOS
DE LA AUDITORIA
Folio :004

LUGAR: Edificio Biblioteca FECHA:13-07-2013 HORA:11:00 am
HORA DE INICIO: 11:20 am HORA DE TERMINO: 12:20 pm
OBJETIVO DE LA REUNION: Realizar reportes de los datos levantados en las entrevistas, as
como generar los reportes de los datos de los equipos de computo

No. PARTICIPANTES ASISTIO NO ASISTIO
1 Adriana Ayde Rodrguez Arguelles X
2 Jess Edgar Delgado Daz X
3 Fabiola Rivas Vzquez X
4 Martha Arvizu Galvn X
5 Gabriel Jurez Rojas X
6 Isaas Ortiz Neave X
7 Pedro Rodrigo Bautista X
8 Jos Guadalupe Silva Romero X

Orden del Da
Llenando formatos (no conformidades, reporte de auditoria )
Acomode de evidencia fotogrfica

Generando informes de datos de entrevistas




ACUERDOS RESPONSABLE FECHA LIMITE




MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO





PROXIMA REUNION Presentar informes de auditoria
OBJETIVO Revisin de informacin

MINUTA DEL DIA DE AUDITORIA Folio :003

LUGAR: Edificio CGTI FECHA:10-07-2013 HORA:2:30 pm
HORA DE INICIO: 03:00 pm HORA DE TERMINO: 7:00 pm
OBJETIVO DE LA REUNION: Realizar entrevistas a encargados de reas y se corrobor la
informacin en los equipos

No. PARTICIPANTES ASISTIO NO ASISTIO
1 Adriana Ayde Rodrguez Arguelles X
2 Jess Edgar Delgado Daz X
3 Fabiola Rivas Vzquez X
4 Martha Arvizu Galvn X
5 Pedro Rodrigo Bautista X
6 Moiss Muoz Garca (encargado CGTI) X
7 Carolina Vargas (Encargada de centro computo F) X

Orden del Da
Se reunin con el encargado del CGTI
Aplicar los cuestionarios a los encargados del CGTI

Aplicar los cuestionarios a encargada de centros de cmputo del edificio F

Revisar los equipos de cmputo para verificar la informacin proporcionada por los encargado del
CGTI


Revisar los equipos de cmputo para verificar la informacin proporcionada por los encargados del
centro de cmputo del edificio F


ACUERDOS RESPONSABLE FECHA LIMITE
Se qued que con esta
informacin se realizara l
informa de resultados de la
auditoria
Equipo auditor





MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO




PROXIMA REUNION Revisar informacin y realizar reportes
OBJETIVO Generar avances y resultados


Dolores Hidalgo C.I.N, Guanajuato
Julio 2 del 2013
Asunto: Solicitud de entrevista.
Ing. Jos Moiss Muoz Garca
Responsable del CGTI UTNG
Presente.

Por medio de la presente me dirijo a usted de la manera ms atenta, para
solicitar una cita para la entrevista inicial, correspondiente a la auditoria, que se
realizara en el departamento a su cargo, con fecha tentativa del el da 3 de julio
del presente a las 16:00 hrs. La cual tiene como objetivo definir los objetivos y
alcance de la auditoria, as como los controles, reas y procesos a auditar.

Sin otro particular me despido agradeciendo la atencin prestada, y en
espera de una respuesta favorable a la presente, reiterndole la seguridad de
nuestras ms finas atenciones.

ATENTAMENTE

_________________________________
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


Fabiola Rivas Vzquez
Lder del proyecto
Auditoria MEFAG-CGTI


C.C.P. Archivo

ANEXO 1
Contrato de Auditora en Informtica

Contrato de prestacin de servicios profesionales de auditora en informtica que
celebran por una parte EL CGTI DE LA UNIVERSIDAD TECNOLOGICA DEL
NORTE DE GUANAJUATO_, representado por LIC. JOS MOISS MUOZ
GARCA en su carcter de RESPONSABLE y que en lo sucesivo se denominar
el cliente, por otra parte MEFAG AUDITORES (estudiantes universitarios)
Representada por FABIOLA RIVAS VAZQUEZ a quien se denominar el auditor,
de conformidad con las declaraciones y clusulas siguientes:
DECLARACIONES
I El cliente declara:
a) Que es una Institucin educativa.
b) Que est representado para este acto por ING. JOS MOISS MUOZ
GARCA y tiene como su domicilio Direccin: Av. Educacin Tecnolgica No.
34, Fraccionamiento Universidad, Dolores Hidalgo, C.I.N., Guanajuato
c) Que requiere tener servicios de auditora en informtica, por lo que ha
decidido controlar los servicios del auditor.
II Declara el auditor:
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


Que es una sociedad annima, constituida y existente de acuerdo con las
leyes y que dentro de sus objetivos primordiales est el de prestar auditoria en
informtica al CGTI-UTNG.
b) Que est constituida legalmente segn escritura nmero 98765=01
de fecha 04/09/2012 ante el notario pblico nm.1 de la notaria publica de San
Luis de la Paz, Gto, Lic. Jos de la Parra
c)Que seala como su domicilio Abasolo # 102 Col. Buenavista..
III Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo
formalizan otorgando el presente contrato que se contiene en las siguientes:



C L U S U L A S
PRIMERA. OBJETO
El auditor se obliga a prestar a el cliente los servicios de auditora en
informtica para llevarla a cabo la evaluacin del CGTI del cliente, que se detallan
en la propuesta de servicios anexa que, firmada por las partes, forma parte
integrante del contrato .

SEGUNDA. ALCANCE DEL TRABAJO

El alcance de los trabajos que llevar a cabo el auditor dentro de este contrato
son:
a) Evaluacin de las reas y los procesos que intervienen en el CGTI en los
controles A.10.4 Proteccin contra software malicioso y cdigo mvil y A.8.2
Recursos Humanos
Evaluacin de equipos
- Seguridad fsica y lgica
- Respaldos de equipo

MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


B) Elaboracin de informes que contengan conclusiones y recomendaciones
por cada uno de los trabajos sealados en el inciso a de esta clusula.

TERCERA. PROGRAMA DE TRABAJO

El cliente y el auditor convienen en desarrollar en forma conjunta un
programa de trabajo en el que se determinen con precisin las actividades a
realizar por cada una de las partes, los responsables de llevarlas a cabo y las
fechas de realizacin.





CUARTA. SUPERVISION

El cliente o quien designe tendr derecho a supervisar los trabajos que se le han
encomendado al auditor dentro de este contrato y a dar por escrito las
instrucciones que estime convenientes.
QUINTA. COORDINACIN DE LOS TRABAJOS

El cliente designar por parte de la organizacin a un coordinador del proyecto
quien ser el responsable de coordinar la recopilacin de la informacin que
solicite el auditor y de que las reuniones y entrevistas establecidas en el programa
de trabajo se lleven a cabo en las fechas establecidas.

SEXTA. HORARIO DE TRABAJO

El personal del auditor dedicar el tiempo necesario para cumplir
satisfactoriamente con los trabajos materia de la celebracin de este contrato, de
acuerdo al programa de trabajo convenido por ambas partes y gozarn de libertad
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


fuera del tiempo destinado al cumplimiento de las actividades, por lo que no
estarn sujetos a horarios y jornadas determinadas.

SEPTIMA. PERSONAL ASIGNADO

El auditor designar para el desarrollo de los trabajos objeto de este contrato a
socios del despacho quienes, cuando consideren necesario incorporarn personal
tcnico capacitado de que dispone la firma, en el nmero que se requiere de
acuerdo a los trabajos a realizar.
OCTAVA. RELACIN LABORAL

El personal del auditor no tendr ninguna relacin laboral con el cliente y queda
expresamente estipulado que este contrato se suscribe en atencin a que el
auditor en ningn momento se considere intermediario del cliente respecto al
personal que ocupe para dar cumplimiento de las obligaciones que se deriven de
las relaciones entre l y su personal, y exime al cliente de cualquier
responsabilidad que a este respecto existiere.

NOVENA. PLAZO DE TRABAJO

El auditor se obliga a terminar los trabajos sealados en la clusula segunda de
este contrato en 20 das hbiles despus de la fecha en que se firme el contrato
y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin
de los trabajos est en relacin a la oportunidad en que el cliente entregue los
documentos requeridos por el auditor y por el cumplimiento de las fechas
estipulada en el programa de trabajo aprobado por las partes, por lo que cualquier
retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas
repercutirn en el plazo estipulado, el cual deber incrementarse de acuerdo a las
nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el
auditor.



DECIMA. HONORARIOS.
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


El cliente no pagara cantidad alguna al auditor por los trabajos del presente
contrato, debido a que se trata de una actividad correspondiente a la asignatura
de auditoria para T.I. de los estudiantes universitarios.

DECIMOPRIMERA.. CAUSAS DE RESICIN

Sern causas de rescisin del presente contrato la violacin o incumplimiento de
cualquiera de las clusulas de ste contrato.

DECIMOPRIMERA. JURISDICCIN

Todo lo no previsto en este contrato se regir por las disposiciones relativas,
contenidas en el cdigo civil del contrato de trabajo y, en caso de controversia
para su interpretacin y cumplimiento, las partes se someten a la jurisdiccin de
los tribunales federales, renunciando al fuero que les pueda corresponder en
razn de su domicilio presente o futuro.
Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y
firman de conformidad en original y tres copias, en la ciudad de DOLORES
HIDALGO CIN GTO, el da 3 DE JULIO DEL 2013.


___________________ _______________________
EL CLIENTE EL AUDITOR








MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO








Dolores Hidalgo C.I.N, Guanajuato
Julio 9 del 2013
Asunto: Solicitud de entrevista.
Ing. Jos Moiss Muoz Garca
Responsable del CGTI UTNG
Presente.
Por medio de la presente me dirijo a usted de la manera ms atenta, para
solicitar una cita para realizar las entrevistas correspondientes a la auditoria que
se realizar en el departamento a su cargo, teniendo como fecha tentativa el da
10 de Julio del presente a las 15:00 hrs. La cual tiene como objetivo la evaluacin
en base a los controles acordados en la reunin anterior.

Sin otro particular me despido agradeciendo la atencin prestada, y en
espera de una respuesta favorable a la presente, reiterndole la seguridad de
nuestras ms finas atenciones.

ATENTAMENTE

_________________________________
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


Fabiola Rivas Vzquez
Lder del proyecto
Auditoria MEFAG-CGTI

C.C.P. Archivo

ANEXO 2
Control A.10.4
Nombre: Proteccin contra software malicioso y cdigo mvil
Objetivo: Proteger la integridad del software y la informacin.
Numero de control: A.10.4.1
Ttulo: Controles contra software malicioso
Definicin: Se deben implementar controles de deteccin, prevencin y recuperacin para
protegerse de cdigos malicioso y se deben implementar procedimientos de conciencia
apropiados.CUESTIONARIO SOBRE EL EQUIPO DE CMPUTO.OBJETIVO: RECOLECTAR
INFORMACION SOBRE LAS MEDIDAS DE CONTROL SOBRE DETECCION DE CODIGOS MALICIOSOS.
Indicaciones:
Marque con una X y Complemente donde se le pide, las siguientes
Pregunta Respuesta
Todo el personal conoce las polticas
contra software malicioso?


Si ( ) No ( )
Se hacen notificaciones al responsable
del centro de cmputo de los problemas
existentes de la funcionalidad del centro
de cmputo y/o aula informtica?

Si ( ) No ( )
Todos los equipos tiene instalado un
software antivirus?
Si ( ) No ( )
Cul y que versin es?
____________________________________________________________

Con que periodicidad escanea los
equipos y unidades extrables?

________________________________________
Existe algn control sobre los equipos Si ( ) No ( )
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


Interrogantes, segn lo estime conveniente.
ANALISIS SOBRE EL EQUIPO DE CMPUTO.
OBJETIVO: RECOLECTAR INFORMACION SOBRE LAS MEDIDAS DE CONTROL IMPLEMENTADAS
PARA LA DETECCION DE CODIGOS MALICIOSOS EN EL EQUIPOS DE CMPUTO.
Indicaciones: Marque con una X segn corresponda.
Medida Aplica al 100% No aplica observaciones

Se tiene instalado
software antivirus en
todos los equipos.


Existe control de
acceso de equipo
informtico externo


Existe un responsable
de instalar antivirus a
un equipo antes de
ser conectado a la red.


Se encuentra
actualizado el
software antivirus en
todos los equipos.


La versin del
software antivirus es
reciente en todos los
equipos.


Existe un control de
fallas y
mantenimiento en el

externos como laptops, unidades
extrables, discos duros etc., que son
conectados a los equipos y/o la red?

Descrbalo:_________________________________
El personal recibe capacitacin sobre
las medidas de seguridad contra cdigos
maliciosos?.

Si ( ) No ( )

El personal conoce las acciones
correctivas en caso de sospecha o certeza
de la existencia de alguna amenaza en
algn equipo de cmputo?



Si ( ) No ( )
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


equipo de computo
DESCRIPCION DE CLAVE FORMATO
A1= NUMERO DE AUDITORIA
FI= CORRESPONDE A LA ETAPA DE LA AUDITORIA EJEMPLO FORMATO INICIO
1= NUMERO DE FORMATO
V1= NUMERO DE VERSION
Las fotografas que se mostrarn a continuacin son la evidencia fotogrfica del da que
se realiz la Auditora.


Imagen 1. Parte el equipo Auditor en Recepcin del CGTI
Presentndose a la cita hecha.

MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 2. Solicitando al Equipo de Soporte Tcnico nos respondieran la entrevista.






Imagen 3. Realizando las entrevistas


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 4. Realizando las Entrevistas






MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


Imagen 5. Personal de Soporte Tcnico contestando un cuestionario.

Imagen 6. Personal encargado del area de sorporte Tcnico en el area de docencia F que
corresponde a Tecnologas de la Informacin y Comunicacin.


Imagen 7. Procedemos a corroborar la informacion proporcionada por el personal del area
se sistemas


Despus de haber recolectado la informacin nos disponemos a verificar que los Equipos
si cuenten con lo estipulado en sus respuestas. Se tomaron 2 computadoras al azar en
cada laboratorio, en total fueron 4 laboratorios los analizados.

MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 8. Uno de los 5 laboratorios donde se tomaron las muestras.

Imagen 9. Una de las pantallas para verificar el estado de los Antivirus.


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 10. Checando las computadoras y llenando los formatos correspondientes de
cumplimiento.

Imagen 11. Corroborando informacion con los equipos informaticos en el laboratorio 7 del
CGTI
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 12. Laboratorio 5 perteneciente al CGTI

I
Imagen 13. Revisando la informacin que nos proporcionaron en cuanto la actualizacin
del software.
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 14. Auditando el control de cdigo malicioso en el laboratorio 1 del CGTI



Imagen 15. Personal del rea de Soporte Tcnico nos informa de los procesos que
Se llevan a cabo.


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 16. Formato de bitcora de actividades diarias (vaco).


Imagen 17. Formato de bitcora de actividades diarias (lleno).


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 18. Formato Orden de servicio a Equipo de Cmputo.
En el que llevan el control del servicio que se le da a las computadoras.


Imagen 19. Recopilacin de los formatos de: Orden de servicio a Equipo de Cmputo.


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 20. Recopilacin de los formatos de: Orden de servicio a Equipo de Cmputo.
La informacin que se contiene en stos es capturada en una base de datos y luego se
archivan dejndose como respaldo.



Imagen 21.


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Imagen 22.

Imagen 21 y 22.
Despus de haber realizado la Auditora el Equipo Auditor en la salida de la Institucin
donde se realiz el trabajo encomendado.
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO


MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO






NO. Problema detectado Causas del
problema
Repercusiones Alternativas de
Solucin
Recomendaciones Fecha Probable
de la
implementacin
Responsable de
la
recomendacin







REPORTE DE LA EVALUACION SOBRE LAS MEDIDAS DE CONTROL SOBRE DETECCION DE CODIGOS MALICIOSOS.

NOMBRE DE LA INSTITUCION :
DIRECCION:
AUDITORIA A : HOJA NO. DE
FECHA DE INICIO : FECHA DE FINALIZACION
NOMBRE DEL AUDITOR:
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO






















MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO



Anexo 3 FORMATO DE REPORTE DE NO CONFORMIDADES

PROCESO O DEPENDENCIA AUDITADA:
RESPONSABLE DEL PROCESO O DEPENDENCIA:
AUDITOR PRINCIPAL:
FECHAS DE REALIZACIN DE LA AUDITORIA:
FECHA DE PRESENTACIN DEL INFORME DE AUDITORIA:

PARTE 1 REPORTE DE LA NO CONFORMIDAD
1. Nombre del emisor 2. Cargo del emisor 3. No conformidad # de
#
MEFAG AUDITORES FORMATO: A1FI-1-V1
FECHA: 01/07/2013 EJECUTOR: JEDD
FORMATO






4. Hallazgo:



5. Accin tomada:
PARTE 3 VERIFICACIN
6. La accin tomada fue eficaz?
S No
7. Si no fue eficaz diga la razn:
8. Firma del responsable del proceso: 9. Fecha: