rea Acadmica: Tecnologas de la Informacin y Comunicacin.

Programa Educativo: Ingeniera en Tecnologas de la Informacin y

Comunicacin.
Asignatura: Auditoria de Sistemas de TI.
Alumnos: Cristo!er "dgar #$%&ue% Arredondo' (uan Eloy )*+iga Serrato y
Camilo Tavera ,artne%.
-ru!o: -ITI./0123
Perodo de entrega: 4/ de agosto del 5.41.
Prof. 6SC 7 ,IE: 8oana Eli%a9et ,ata Silva.
Contenido
1. NTRODUCCN.............................................................................................5
2. ABSTRACT......................................................................................................6
3. OBJETVO GENERAL Y OBJETVOS ESPECFCOS DEL PROYECTO........8
4. ALCANCE DE LA AUDTORA...........................................................................9
1
5. PRESENTACN DEL EQUPO AUDTOR.......................................................9
6. MARCO TERCO (DESCRPCN DE LOS CONCEPTOS GENERALES DE
AUDTORA Y SUS REAS DE T., FUNDAMENTADO EN NVESTGACONES,
DRECCN DE MODELOS, ESTNDARES Y METODOLOGAS)...................10
7. DESCRPCN GENERAL DE LA EMPRESA...............................................14
7.1 ORGANGRAMA............................................................................................17
7.2 POLTCAS.....................................................................................................18
7.3 DESCRPCN DE LOS PROCESOS GENERALES DEL REA DE T..
(LCENCAS, HW Y SW, PROVEEDORES, SEGURDAD SO 27001, REDES
568B, SSTEMAS CMM).....................................................................................19
7.4 RESULTADOS DEL ANLSS DEL FODA REALZADO PREVAMENTE.
(NCLUR REA DE R.H Y CONTROLES NTERNOS PARA EL
CUMPLMENTO DE LOS PROCESOS; BTCORAS, REGSTROS, ETC.)....21
8. PLAN DE AUDTORA Y CRONOGRAMA DE TAREAS (MCROSOFT
PROJECT)............................................................................................................23
9 ELABORACN DE UN CONTRATO DE AUDTORA.....................................24
10. DSEO DE LSTAS DE VERFCACN PARA:..........................................36
10.1 EVALUACN DE LA SEGURDAD.............................................................36
10.2 EVALUACN EN SELECCN DE PROVEEDORES...............................38
10.3 LCENCAMENTO DE SOFTWARE...........................................................42
10.4 EVALUACN DEL HARDWARE, SOFTWARE Y SSTEMAS...................43
10.5 EVALUACN DE LA RED...........................................................................46
2
10. APLCACN PRCTCA DE LA AUDTORA...........................................48
11.1 RESULTADOS OBTENDOS EN CADA UNA DE LAS REAS DE T.., DE
ACUERDO A LOS ESTNDARES APLCADOS.................................................48
11.1.1 EVALUACN DE LA SEGURDAD..........................................................49
11.1.2 EVALUACN EN SELECCN DE PROVEEDORES.............................52
11.1.3 LCENCAMENTO DE SOFTWARE.........................................................57
11.1.4 EVALUACN DEL HARDWARE Y SOFTWARE.....................................59
11.1.5 EVALUACN DE SSTEMAS..................................................................61
11.1.6 EVALUACN DE LA RED........................................................................61
12. DAGNSTCO DE NO CONFORMDADES................................................64
13. ACCONES CORRECTVAS..........................................................................64
14. PROPUESTAS DE MEJORA.........................................................................65
15. LSTAS DE DSTRBUCN DE AUDTORA DE T......................................66
16. MEJORA DE SERVCOS DE T.. BASADOS EN TL V3 Y COMO
NNOVACN COBT 5.0.....................................................................................67
17. EXPERENCAS Y CONCLUSONES DEL EQUPO AUDTOR...................69
18 GLOSARO......................................................................................................71
19 REFERENCAS BBLOGRFCAS................................................................73
3
1.INTRODUCCIN
La nformtica hoy, est subsumida en la gestin integral de la empresa, y
por eso las normas y estndares propiamente informticos deben estar, por lo
tanto, sometidos a los generales de la misma.
Las organizaciones informticas forman parte de lo que se ha denominado
el "management" o gestin de la empresa. Debido a su importancia en el
funcionamiento de una empresa, existe la Auditoria nformtica.
La palabra auditora proviene del latn auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de or.
4
Para realizar auditora de gestin a las tecnologas de informacin y
comunicaciones requiere realizar una adecuada planeacin de la auditora, se
debe tener un conocimiento general razonable que permita determinar el alcance,
tamao y caractersticas de cada rea de Tecnologa de la nformacin y
Comunicacin dentro de la organizacin que se auditar, sus sistemas, procesos
sistematizados, normativa tcnica utilizada por la entidad, adopcin e
implementacin de estndares internacionales relacionados con seguridad de la
informacin, control interno y servicios tecnolgicos, organizacin y equipo fsico y
lgico.
2.ABSTRACT
This manual audit the information and communications technologies describes
procedures that auditors must be used to verify the use of technological resources,
confidentiality, reliability, integrity and availability of information processed by
automated information systems and support automation of operational and
administrative processes of the entity to grow to management indicators of
efficiency, effectiveness and economy of information and communications
technologies implemented by the institution and submit timely and accurate
conclusions and recommendations to guide to correct deficiencies which may
come into existence and achieve improvement.
5
n the first section an overview of the research are described as: title of the
research, problem definition, research objectives, scope of the research process
including audit the information and communication technologies, the methodology
used, a history of the information technology and communications in the different
entities of public and municipal sector continually working with computer systems.
n another aspect, the development of research, the objectives of the manual, the
design, preparation and storage of working papers and the nature of audit
documentation are described, along with the procedures to be developed by
auditors in the planning phase and international auditing standards involved in the
process of auditing the information and communications technologies.
n another area, describes the development of a management audit of the CT in
the planning phase to give an understanding and comprehension of the following:
environment of the institution and the Department of nformation Technology,
systematized processes, risk management, evaluation of performance indicators,
internal control and organization of the area of information and communications
technology.
n another aspect, the computer tests that can be applied to research and obtaining
evidence of the causes weakness in technology management, evaluation and
collection of sufficient appropriate evidence to allow assisted to make findings
about the described operational management of information technology and
communications.
Finally described in a preliminary report, the results that will be released to the
administration including all matters of minor importance, these minor issues are
risks that can be managed and that the auditor's judgment are not impact on the
management of information technology and communications, having guaranteed
the right of defense management, analyzed the responses and comments, the
audit report the auditor's conclusions based on the use of information technology
6
and communications issues and indicators measuring management efficiency and
effectiveness.
3. OBJETIVO GENERAL Y OBJETIVOS
ESPECFICOS DEL PROYECTO
El objetivo general de la auditora de gestin a las tecnologas de informacin y
comunicaciones es evaluar la eficiencia, economa, efectividad y confiabilidad de
la informacin, para la toma de decisiones que permitan corregir los errores, en
caso de que existan, o bien mejorar la forma de actuacin.

:9;etivos Es!ecficos.
7
Asegurar la integridad, confidencialidad, confiabilidad y oportunidad de la
informacin.
Seguridad de los datos, el hardware, el software y las instalaciones.
Minimizar existencias de riesgos en el uso de tecnologa de informacin en
los procesos sistematizados.
Conocer la situacin actual del rea informtica para el logro de objetivos
estratgicos y operativos de la institucin.
Apoyo de funcin del rea de tecnologa de informacin y comunicaciones
a las metas y objetivos de la organizacin.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
tecnolgico.
ncrementar la satisfaccin de los usuarios que reciben los servicios
sistematizados.
Buscar una mejor relacin costo-beneficio de los sistemas automatizados.
4. ALCANCE DE LA AUDITORA
El alcance que tendr la investigacin comprende todo el proceso de auditora de
gestin a las tecnologas de informacin y comunicaciones, e incluye las fases de
planificacin, ejecucin e informe.
La Auditora de Gestin a las Tecnologas de nformacin y
Comunicaciones, comprender un examen a los controles generales y especficos
TC's y procedimientos sustantivos y administrativos de la entidad, apoyados por
8
recursos tecnolgicos, para el cumplimiento de sus objetivos estratgicos y
operativos, con el propsito de mejorar la efectividad, eficiencia, economa y
confidencialidad de la informacin y la prestacin de los servicios en las entidades
pblicas y municipales.
5. PRESENTACIN DEL EQUIPO AUDITOR
Juan Eloy Ziga Serrato.
Christopher dgar Vzquez Arredondo
Camilo Tavera Martnez.
6. MARCO TERICO DESCRIPCIN DE LOS
CONCEPTOS GENERALES DE AUDITORA
Y SUS !REAS DE T.I" FUNDAMENTADO
EN INVESTIGACIONES" DIRECCIN DE
MODELOS" EST!NDARES Y
METODOLOGAS#
El auditor de las tecnologas de informacin y comunicaciones, deber de tener
conocimientos de los diferentes estndares que ayudan al control, operacin y
9
administracin de los recursos tecnolgicos, control de inversiones en tecnologa
de informacin y comunicaciones a nivel fsico y lgico y procesos documentados
de tecnologa de informacin y comunicaciones. Dichos estndares inciden en el
proceso de la auditoria, ya que las entidades de gobierno los implementan segn
sus necesidades de resguardo, uso y proteccin de la informacin, que es un
activo importante dentro de la organizacin para asegurarse que la informacin se
encuentre disponible, oportuna y utilizada por los funcionarios autorizados.
Para la realizacin de una auditora de TCS, existen Normas de
relacionadas a la Auditora de Sistemas las cuales son emitidas por el Consejo
Normativo de la Asociacin de Auditora y Control de Sistemas de nformacin
(nformation Systems Audit and Control Association SACA).
Para documentar el proceso de auditora, la Organizacin nternacional de
Entidades Fiscalizadoras (NTOSA), ha emitido lineamientos generales que
destacan la importancia de documentar el trabajo de auditora.
ITI6 Esta metodologa es la aproximacin ms globalmente aceptada para la
gestin de servicios de tecnologas de informacin en todo el mundo, ya que es
una recopilacin de las mejores prcticas tanto del sector pblico como del sector
privado que se apoyan en herramientas de evaluacin e implementacin.
ITI6 como metodologa propone el establecimiento de estndares que ayudan al
control, operacin y administracin de los recursos.
Plantea hacer una revisin y reestructuracin de los procesos existentes en
caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una
forma ms eficiente de hacer las cosas), lo que nos lleva a una mejora continua.
Otra de las cosas que propone es que para cada actividad que se realice se
debe de hacer la documentacin pertinente, ya que esta puede ser de gran utilidad
para otros miembros del rea, adems de que quedan asentados todos los
10
movimientos realizados, permitiendo que toda los usuarios estn al tanto de los
cambios y no se tome a nadie por sorpresa.
C:<IT conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la
eficiencia en TC que son necesarias para alinear TC con el negocio, identificar
riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el
cumplimiento de metas y el nivel de madurez de los procesos de la organizacin y
tiene como propsito "investigar, desarrollar, publicar y promocionar un conjunto
de objetivos de control generalmente aceptados para las tecnologas de la
informacin que sean autorizados (dados por alguien con autoridad), actualizados,
e internacionales para el uso continuo de los gestores de negocios (tambin
directivos) y auditores." Gestores, auditores, y usuarios se benefician del
desarrollo de COBT porque les ayuda a entender sus sistemas de informacin (o
tecnologas de la informacin) y decidir el nivel de seguridad y control que es
necesario para proteger los activos de sus compaas mediante el desarrollo de
un modelo de administracin de las tecnologas de la informacin.
=:>,A ?E E#A6@ACIA= IS:BIEC 045C: Esta norma nternacional fue publicada
en 1992, la cual es usada para la evaluacin de la calidad de software, llamado
"nformation technology-Software product evaluation-Quality characteristics and
guidelines for their use; o tambin conocido como SO 9126 (o SO/EC 9126).
Este estndar describe 6 caractersticas generales: Funcionalidad, Confiabilidad,
Usabilidad, Eficiencia, Mantenibilidad, y Portabilidad.
6a norma IS:BIEC 045C permite especificar y evaluar la calidad del software
desde diferentes criterios asociados con adquisicin, requerimientos, desarrollo,
uso, evaluacin, soporte, mantenimiento, aseguramiento de la calidad y auditoria
de software. Los modelos de calidad para el software se describen as:
Calidad interna y externa: Especifica 6 caractersticas para calidad interna y
externa, las cuales, estn subdivididas. Estas divisiones se manifiestan
externamente cuando el software es usado como parte de un sistema nformtico,
y son el resultado de atributos internos de software.
11
Calidad en uso: Calidad en uso es el efecto combinado para el usuario final de las
6 caractersticas de la calidad interna y externa del software. Especifica 4
caractersticas para la calidad en uso. Funcionalidad, Confiabilidad, Usabilidad y
Eficiencia.
El IS:BIEC 455.D: Es el estndar para los procesos de ciclo de vida del software
de la organizacin SO.
Este estndar se concebi para aquellos interesados en adquisicin de
software, as como desarrolladores y proveedores. El estndar indica una serie de
procesos desde la recopilacin de requisitos hasta la culminacin del software.
El estndar comprende 17 procesos lo cuales son agrupados en tres categoras:
Principales
De apoyo
De organizacin
Este estndar agrupa las actividades que se pueden llevar a cabo durante el
ciclo de vida del software en cinco procesos principales, ocho procesos de apoyo y
cuatro procesos organizativos. Cada proceso del ciclo de vida est divido en un
conjunto de actividades; cada actividad se sub -divide a su vez en un conjunto de
tareas.
Los procesos principales del ciclo de vida son cinco el cual brinda
servicio a las partes principales durante el ciclo de vida del software. Una
parte principal es aquella que inicia o lleva a cabo el desarrollo, operacin, o
mantenimiento de los productos software. Estas partes principales son el
adquiriente, el proveedor, el desarrollador, el operador y el responsable de
mantenimiento de productos software. Los procesos principales son:
Proceso de Ad&uisicin: Define las actividades del adquiriente, es decir, la
organizacin que adquiere un sistema, producto software o servicio software
12
Proceso de Suministro: Se relaciona con las actividades del proveedor,
organizacin que proporciona sistema, producto o servicio software al adquiriente
Proceso de ?esarrollo: Define las actividades que tiene que llevar a cabo el
desarrollador, organizacin que define y desarrolla el producto software
Proceso de :!eracin: Define las actividades del operador, organizacin que
proporciona el servicio, organizacin que proporciona el servicio de operar un
sistema informtico en su entorno real
Proceso de ,antenimiento: Define las actividades del responsable de
mantenimiento o la organizacin que se encarga de esta funcin; es decir, la
gestin de las modificaciones al producto para mantenerlo actualizado y operativo
$. DESCRIPCIN GENERAL DE LA EMPRESA
,isin
Promover una administracin escolar eficiente que apoye la labor educativa;
facilitar la participacin de los particulares en la prestacin de los servicios
educativos; el trnsito de los educandos en el sistema educativo nacional,
mediante polticas que faciliten las resoluciones de la autoridad en materia de
equivalencias y revalidaciones de estudios; la acreditacin de los conocimientos
adquiridos de manera autodidacta, por la experiencia laboral o con base en el
rgimen de certificacin referido a la formacin para el trabajo, y el otorgamiento
de becas.
13
#isin
En el ao 2025, Guanajuato cuenta con un sistema educativo amplio,
articulado y diversificado, que ofrece educacin para el desarrollo humano integral
de su poblacin. El sistema es reconocido nacional e internacionalmente por su
calidad y constituye el eje bsico del desarrollo cultural, cientfico, tecnolgico,
econmico y social.
#alores
Honestidad.
Responsabilidad.
Honradez.
Respeto.
Compromiso.
ntegridad.
Liderazgo y Actitud de Servicio.
Disciplina e igualdad.
:<(ETI#:S :>-A=I)ACI:=A6ES
Pro!sito
La SEG tiene como propsito esencial crear condiciones que permitan
asegurar el acceso de todas las mexicanas y mexicanos a una educacin de
calidad, en el nivel y modalidad que la requieran y en el lugar donde la demanden.
:9;etivo general
Promover la mejora de la gestin institucional de la Secretara de
Educacin de Guanajuato apoyando en el control de sus procesos, la alineacin
de sus estructuras organizacionales y la implementacin de modelos innovadores
14
de direccin que contribuyan a la mejora de la calidad educativa y a la percepcin
ciudadana de los servicios que ofrece la Secretara.
:9;etivos es!ecficos
Promover e impulsar la gestin para resultados de la Secretara mediante
el control e innovacin de los procesos, servicios y arquitecturas normativas de la
SEG aplicando metodologas estratgicas en la materia.
Proporcionar la asesora tcnica y orientacin en materia organizacional
para que las unidades de la Secretara de Educacin Pblica realicen, conforme a
la normatividad y procedimientos vigentes, los estudios necesarios que les
permitan elaborar propuestas para contar con estructuras orgnicas ptimas y
manuales administrativos actualizados que propicien la calidad y eficiencia en los
servicios que ofrecen.
Cdigo de conducta
Quienes laboramos en la Secretara de Educacin de Guanajuato
compartimos la responsabilidad y el privilegio de contribuir a la tarea fundamental
para el desarrollo y prosperidad de Mxico: la formacin de las y los buenos
ciudadanos que habrn de tomar las riendas de nuestro gran pas en el futuro
cercano. De ah la importancia de desempear con eficiencia y eficacia nuestro
trabajo, de hacerlo con honestidad, apego a la legalidad, con vocacin de servicio,
respeto, equidad, amabilidad, inclusin, tolerancia y no discriminacin de ningn
tipo, lo mismo hacia nuestras compaeras y compaeros de trabajo que con las y
los nios, jvenes y ciudadana a los cuales nos debemos. De igual manera, es
esencial actuar con transparencia y rendicin de cuentas, as como perseverar en
nuestro desarrollo profesional y humano, observar una vida sana y cuidar el medio
ambiente.
Para alcanzar estos propsitos, es necesario contar con un referente tico
que oriente las conductas de quienes colaboramos en esta Secretara. Este
15
modelo de comportamiento, contiene los elementos que expresan la manera en
que las y los servidores pblicos habremos de conducirnos, considerando ante
todo la bsqueda del bien comn.
$.1 ORGANIGRAMA
16
$.2 POLTICAS
17
"Brindar servicios de excelencia para satisfacer las expectativas de
nuestros usuarios con relacin a las Tecnologas de la nformacin y de
Telecomunicaciones, cumpliendo con apego a la normatividad vigente y con el
compromiso de mantener un Sistema de Gestin de la Calidad y de mejora
continua".
:9;etivos de Calidad
Los objetivos generales de la calidad de la SEG, son los siguientes:
Atender en el tiempo establecido los servicios interrumpidos; los
mantenimientos preventivos de cmputo y telecomunicaciones; los
desarrollos de sistemas informticos y su mantenimiento, as como los
dems servicios prestados de tecnologa de la informacin.
Ejercer el presupuesto calendarizado para gastos de administracin
(Captulos 2000 y 3000) mediante la administracin y gestin en tiempo y
forma del presupuesto total asignado.
Obtener un nivel promedio de 4 de calificacin en la encuesta de medicin
de expectativas de servicio.
ncrementar un punto en la encuesta de clima organizacional, con respecto
a la encuesta aplicada en el ao anterior.
Cabe destacar que cada rea que conforma a la SEG, ha establecido
objetivos especficos de calidad, mediante los cuales se da seguimiento al
cumplimiento de los procesos, as como de los requisitos de los productos
y/o servicios proporcionados.
18
$.3 DESCRIPCIN DE LOS PROCESOS
GENERALES DEL !REA DE T.I.
LICENCIAS" %& Y S&" PROVEEDORES"
SEGURIDAD ISO 2$''1" REDES 56(B"
SISTEMAS CMMI#
En la empresa auditada, en el rea de TCs se encuentra diferente tipo de
software y hardware, en el caso del licenciamiento de software, se tiene gran
variedad tal como:
Free software (Freeware): Libre
Software gratuito.
Software Semilibre
De prueba.
Software con licencia.
En relacin a los proveedores, cuenta con gran variedad de los cules estos
estn altamente posicionados en el mercado adems de brindar un servicio
oportuno, eficiente y de calidad.
Respecto a certificacin, no cuenta con certificacin alguna como tal ya que
solo brindan servicio a los usuarios correspondientes al giro de la empresa, el
desarrollo de software lo realizan a travs de la contratacin de una empresa
externa con posicionamiento en el mercado regional y estatal, tal es el caso de
CADES.
19
Este punto se puede observar muy poco puesto que el rea auditada es
una extensin de la matriz que se encuentra en el estado de Guanajuato y la
mayor parte del control se lleva directamente por la misma empresa.
20
$.4 RESULTADOS DEL AN!LISIS DEL FODA
REALI)ADO PREVIAMENTE. INCLUIR
!REA DE R.% Y CONTROLES INTERNOS
PARA EL CUMPLIMIENTO DE LOS
PROCESOS* BIT!CORAS" REGISTROS"
ETC.#
3ortale%as :!ortunidades
Calidad total de los productos
adquiridos.
nnovacin en la tecnologa que
se maneja.
Misin, Visin, Objetivos y Metas
bien definidos.
Actitud positiva de los
empleados.
Cumplimiento con el horario de
trabajo.
Cursos de capacitacin y
actualizacin por personal y
empresas certificadas.
Destitucin de personal
incompetente por personal
competente.
ncremento en la disponibilidad
de recurso monetario para la
adquisicin de equipo.
Debilidades Amena%as
Servicio al cliente.
Alta resistencia al cambio.
Retraso en capturas de los
procesos.
Los equipos y servicios se
utilizan para fines personales y
no para los que fueron
instalados.
Personal incompetente en el uso
y manejo de los sistemas de T.
Equipos de cmputo
Contratacin de personal que no
cumple con los perfiles
solicitados en el manual de
organizacin.
ngreso de productos importados.
Sistema y modelos educativos
diferentes.
21
desactualizados.
Mala administracin de la red y
el ancho de banda.
Las licencias utilizadas.
Seguridad de la informacin.
Mala administracin de los
sistemas.
22
(. PLAN DE AUDITORIA Y CRONOGRAMA DE
TAREAS MICROSOFT PROJECT#
Acciones
4. >eco!ilacin de informacin acerca de la em!resa y es!ecficamente
so9re el softEare y el softEare &ue utili%a la misma em!resa.
5. ?efinicin de recursos a utili%ar Fumanos' financieros y tcnicosG.
H. Ela9oracin del !lan y !rogramas de tra9a;o.
>eali%acin del formato de solicitud.
Ela9oracin del cronograma de actividades.
-eneracin de erramientas !ara la auditora inform$tica.
CecIlist Fseguridad inform$tica' res!aldo de informacin' mane;o de
softEare' e&ui!amiento' infraestructura de redG
Entrevistas
Cuestionarios
Ela9oracin de formatos de re!ortes de resultados.
1. Iniciacin de la auditoria.
/. An$lisis Bsntesis de los resultados o9tenidos.
C. #erificacin de la informacin.
D. Evaluacin de cum!limiento de o9;etivos.
J. >edaccin de informe final.
0. Entrega de resultados de la auditoria
23
+ ELABORACIN DE UN CONTRATO DE
AUDITORIA
CONTRATO 025D
En Dolores Hidalgo C.I.N., Gto, a 25 de julio del 2013
REUNIDOS
DE UNA PA!E, SECRETARIA DE EDUCACIN DE GUANA1UATO
Representada por MARIO GMEZ PREZ "a#or de edad, $on D.N.I. n%"ero 89415
# en no"&re # re'resenta$i(n de SUPERVISIN ESCOLAR, en adelante, el
)CLIENTE*, do"i$iliada en Dolores Hidalgo, $alle Prolongacin Veracruz n+ S/N, C.P.
37800 # C.I.,. 89574
DE -!A PA!E, CAMILO TAVERA MARTINEZ "a#or de edad, $on D.N.I.
n%"ero 158935H15 # en no"&re # re'resenta$i(n de la "er$antil, Avantelogic en
adelante, el )PROVEEDOR*, do"i$iliada en Quertaro, Quertaro, $alle Pinos n+ )85,
C.P. 98621 # C.I.,. 789521.
El C.IEN!E # el P-/EED-, en adelante, 'odr0n ser deno"inadas,
indi1idual"ente, )la Parte* #, $onjunta"ente, )las Partes*, re$ono$i2ndose "utua"ente
$a'a$idad jur3di$a # de o&rar su4i$iente 'ara la $ele&ra$i(n del 'resente Contrato
EXPONEN
PRIMERO5 6ue el C.IEN!E est0 interesado en la $ontrata$i(n de los ser1i$ios de5
a7 Auditoria de los siste"as in4or"0ti$os.
&7 eali8a$i(n de un in4or"e detallado so&re la situa$i(n de los siste"as in4or"0ti$os,
$on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os.
El C.IEN!E est0 interesado en $ontratar di$:os ser1i$ios 'ara $ono$er la situa$i(n # la
o'erati1idad de sus siste"as in4or"0ti$os, so4t;are, :ard;are # red [Auditoria Externa]
24
SEGUNDO5 6ue el P-/EED- es una e"'resa es'e$iali8ada en la 'resta$i(n de
ser1i$ios de Auditoria, segui"iento, $onser1a$i(n de siste"as in4or"0ti$os # 4or"a$i(n.
TERCERO5 6ue las Partes est0n interesadas en $ele&rar un $ontrato de PE<!ACI=N
DE <E/ICI-< IN,->?!IC-< en 1irtud del $ual el P-/EED- 'reste al
C.IEN!E los ser1i$ios de5
a7 Auditoria de los siste"as in4or"0ti$os.
&7 eali8a$i(n de un in4or"e detallado so&re la situa$i(n de los siste"as in4or"0ti$os,
$on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os.
6ue las Partes reunidas en la sede so$ial del C.IEN!E, a$uerdan $ele&rar el 'resente
$ontrato de PE<!ACI=N DE <E/ICI-< IN,->?!IC-<, en adelante, el
)Contrato*, de a$uerdo $on las siguientes
CLUSULAS
PRIMERA.- OB1ETO
En 1irtud del Contrato el P-/EED- se o&liga a 'restar al C.IEN!E los
ser1i$ios de auditoria de los siste"as in4or"0ti$os del C.IEN!E # la reali8a$i(n 'osterior
de un in4or"e detallado 'ara $ono$er la situa$i(n # la o'erati1idad de sus siste"as
in4or"0ti$os, so4t;are # :ard;are, $on un 'lan 9ue garanti$e el ('ti"o ni1el de los
siste"as in4or"0ti$os. [Auditora general] en adelante, )los Servicios*, en los t2r"inos #
$ondi$iones 're1istos en el Contrato y en todos sus Anexos.
SEGUNDA.- TRMINOS Y CONDICIONES GENERALES Y ESPECIFICOS
DE PRESTACIN DE LOS SERVICIOS
2.1. .os <er1i$ios se 'restar0n en los siguientes t2r"inos # $ondi$iones generales5
2.1.1. El P-/EED- res'onder0 de la $alidad del tra&ajo desarrollado $on la
diligen$ia e@igi&le a una e"'resa e@'erta en la reali8a$i(n de los tra&ajos
o&jeto del Contrato.
2.1.2. El P-/EED- se o&liga a gestionar # o&tener, a su $argo, todas las li$en$ias,
'er"isos # autori8a$iones ad"inistrati1as 9ue 'udieren ser ne$esarias 'ara la
reali8a$i(n de los <er1i$ios.
2.1.3. El P-/EED- se :ar0 $argo de la totalidad de los tri&utos, $ual9uiera 9ue
sea su naturale8a # $ar0$ter, 9ue se de1enguen $o"o $onse$uen$ia del Contrato,
25
as3 $o"o $uales9uiera o'era$iones 43si$as # jur3di$as 9ue $onlle1e, sal1o el
I"'uesto so&re el /alor AAadido BI/A7 o su e9ui1alente, 9ue el P-/EED-
re'er$utir0 al C.IEN!E.
2.1.C. El P-/EED- guardar0 $on4iden$ialidad so&re la in4or"a$i(n 9ue le 4a$ilite
el C.IEN!E en o 'ara la eje$u$i(n del Contrato o 9ue 'or su 'ro'ia naturale8a
de&a ser tratada $o"o tal. <e e@$lu#e de la $ategor3a de in4or"a$i(n
$on4iden$ial toda a9uella in4or"a$i(n 9ue sea di1ulgada 'or el C.IEN!E,
a9uella 9ue :a#a de ser re1elada de a$uerdo $on las le#es o $on una resolu$i(n
judi$ial o a$to de autoridad $o"'etente. Este de&er se "antendr0 durante un
'la8o de tres aAos a $ontar desde la 4inali8a$i(n del ser1i$io.
2.1.5. En el $aso de 9ue la 'resta$i(n de los <er1i$ios su'onga la ne$esidad de
a$$eder a datos de $ar0$ter 'ersonal, el P-/EED-, $o"o en$argado del
trata"iento, 9ueda o&ligado al $u"'li"iento de la .e# 15D1EEE, de 13 de
di$ie"&re, de Prote$$i(n de Datos de Car0$ter Personal # del eal De$reto
1F20D200F, de 21 de di$ie"&re, 'or el 9ue se a'rue&a el egla"ento de
desarrollo de la .e# -rg0ni$a 15D1EEE # de"0s nor"ati1a a'li$a&le.
El P-/EED- res'onder0, 'or tanto, de las in4ra$$iones en 9ue 'udiera
in$urrir en el $aso de 9ue destine los datos 'ersonales a otra 4inalidad, los
$o"uni9ue a un ter$ero, o en general, los utili$e de 4or"a irregular, as3 $o"o
$uando no ado'te las "edidas $orres'ondientes 'ara el al"a$ena"iento #
$ustodia de los "is"os. A tal e4e$to, se o&liga a inde"ni8ar al C.IEN!E, 'or
$uales9uiera daAos # 'erjui$ios 9ue su4ra dire$ta"ente, o 'or toda re$la"a$i(n,
a$$i(n o 'ro$edi"iento, 9ue traiga su $ausa de un in$u"'li"iento o
$u"'li"iento de4e$tuoso 'or 'arte del P-/EED- de lo dis'uesto tanto en
el Contrato $o"o lo dis'uesto en la nor"ati1a reguladora de la 'rote$$i(n de
datos de $ar0$ter 'ersonal.
A los e4e$tos del art3$ulo 12 de la .e# 15D1EEE, el P-/EED- %ni$a"ente
tratar0 los datos de $ar0$ter 'ersonal a los 9ue tenga a$$eso $on4or"e a las
instru$$iones del C.IEN!E # no los a'li$ar0 o utili8ar0 $on un 4in distinto al
o&jeto del Contrato, ni los $o"uni$ar0, ni si9uiera 'ara su $onser1a$i(n, a otras
'ersonas. En el $aso de 9ue el P-/EED- destine los datos a otra 4inalidad,
los $o"uni9ue o los utili$e in$u"'liendo las esti'ula$iones del Contrato, ser0
$onsiderado ta"&i2n res'onsa&le del trata"iento, res'ondiendo de las
in4ra$$iones en 9ue :u&iera in$urrido 'ersonal"ente.
El P-/EED- de&er0 ado'tar las "edidas de 3ndole t2$ni$a # organi8ati1as
ne$esarias 9ue garanti$en la seguridad de los datos de $ar0$ter 'ersonal # e1iten
su altera$i(n, '2rdida, trata"iento o a$$eso no autori8ado, :a&ida $uenta del
estado de la te$nolog3a, la naturale8a de los datos al"a$enados # los riesgos a
26
9ue est0n e@'uestos, #a 'ro1engan de la a$$i(n :u"ana o del "edio 43si$o o
natural. A estos e4e$tos el P-/EED- de&er0 a'li$ar los ni1eles de
seguridad 9ue se esta&le$en en el eal De$reto 1F20D200F de a$uerdo a la
naturale8a de los datos 9ue trate.
2.1.G. El P-/EED- res'onder0 de la $orre$$i(n # 're$isi(n de los do$u"entos
9ue a'orte al C.IEN!E en eje$u$i(n del Contrato # a1isar0 sin dila$i(n al
C.IEN!E $uando dete$te un error 'ara 9ue 'ueda ado'tar las "edidas #
a$$iones $orre$toras 9ue esti"e o'ortunas.
2.1.F. El P-/EED- res'onder0 de los daAos # 'erjui$ios 9ue se deri1en 'ara el
C.IEN!E # de las re$la"a$iones 9ue 'ueda reali8ar un ter$ero, # 9ue tengan su
$ausa dire$ta en errores del P-/EED-, o de su 'ersonal, en la eje$u$i(n del
Contrato o 9ue deri1en de la 4alta de diligen$ia re4erida anterior"ente.
2.1.H. .as o&liga$iones esta&le$idas 'ara el PROVEEDOR 'or la 'resente $l0usula
ser0n ta"&i2n de o&ligado $u"'li"iento 'ara sus 'osi&les e"'leados,
$ola&oradores, tanto e@ternos $o"o internos, # su&$ontratistas, 'or lo 9ue el
PROVEEDOR res'onder0 4rente al C.IEN!E si tales o&liga$iones son
in$u"'lidas 'or tales e"'leados.
2.2. El P-/EED- 'restar0 los <er1i$ios en los siguientes t2r"inos #
$ondi$iones es'e$34i$os5
2.2.1. El P-/EED- reali8ar0 una auditoria de los siste"as in4or"0ti$os del
C.IEN!E 'ara $ono$er la situa$i(n e@a$ta en 9ue se en$uentran los siste"as
in4or"0ti$os del C.IEN!E, so4t;are # :ard;are.
2.2.2. Una 1e8 reali8ada la auditoria, los t2$ni$os en$argados de la "is"a reali8ar0n
un in4or"e detallado de la situa$i(n, $on un 'lan 9ue garanti$e el ('ti"o ni1el
de los siste"as in4or"0ti$os en el d3a a d3a # 9ue 'lani4i9ue las ne$esidades 9ue
1an surgiendo en el C.IEN!E, atendiendo a las nue1as te$nolog3as # su
$onstante e1olu$i(n. Di$:o 'lan 'odr0 lle1ar a la $ontrata$i(n de otros ser1i$ios
'restados 'or el P-/EED-.
2.2.3. Para la reali8a$i(n de la auditoria se des'la8ar0n a la sede del C.IEN!E dos
t2$ni$os del P-/EED-, uno $o"o analista de siste"as # otro $o"o asesor
in4or"0ti$o.
2.2.C. .os t2$ni$os del P-/EED- reali8ar0n su tra&ajo durante el :orario
$o"er$ial del C.IEN!E [indicar horario e incluir cuando proceda fines de
semana y festivos].
27
2.2.5. El C.IEN!E $on la asisten$ia del P-/EED- reali8ar0 las $o'ias ne$esarias
de la 'rogra"a$i(n, in4or"a$i(n, et$., 'ara e1itar su desa'ari$i(n en el
trans$urso de la auditoria.
2.2.G. El P-/EED- reali8ar0 $ontroles re"otos, 'ara ela&orar un diagn(sti$o a
tra12s de so'orte $on P.C. o 'or tel24ono, de los siste"as in4or"0ti$os del
C.IEN!E.
2.2.F. El en$argado de los siste"as in4or"0ti$os del C.IEN!E estar0 en todo
"o"ento a dis'osi$i(n de los t2$ni$os del P-/EED- 'ara la reali8a$i(n de
la auditoria # 4a$ilitar0 las $la1es # 'ass;ords ne$esarios 'ara $o"'ro&ar todos
los siste"as # la des$ri'$i(n de los "is"os.
2.2.H. eali8ada la auditoria # antes de 4inali8ar el in4or"e $o"'leto, sin el 'lan 'ara
garanti8ar el ('ti"o ni1el, se entregar0 al C.IEN!E una $o'ia del in4or"e, en
su estado, 'ara su estudio.
2.2.E. Una 1e8 estudiado 'or el C.IEN!E el in4or"e # antes de ela&orar el 'lan 9ue
garanti$e el ('ti"o ni1el de los siste"as, el en$argado de los siste"as
in4or"0ti$os del C.IEN!E tendr0 las reuniones ne$esarias $on los t2$ni$os del
P-/EED- 'ara $on$retar las ne$esidades del C.IEN!E. Cada 'arte lle1ar0
a las reuniones una 'ro'uesta. Una 1e8 $on$retadas las ne$esidades, los
t2$ni$os del P-/EED- reali8ar0n el 'lan.
2.2.10. .os 'la8os de entrega del in4or"e # del 'lan se entregar0n $on4or"e la $l0usula
5I de este $ontrato. Una 1e8 entregado el in4or"e in$lu#endo el 'lan, el $ontrato
estar0 $u"'lido
2.2.11. El $ontrato 'odr0 ser a"'liado 'ara reali8ar los ser1i$ios ne$esarios 'ara lle1ar
el 'lan a &uen t2r"ino. Di$:a a"'lia$i(n ser0 'or a$uerdo es$rito entre las
'artes # el do$u"ento se unir0 al 'resente $ontrato.
2.2.12. El P-/EED- eje$utar0 el Contrato reali8ando de "anera $o"'etente #
'ro4esional los <er1i$ios, $u"'liendo los ni1eles de $alidad e@igidos #
$uidando diligente"ente los "ateriales del C.IEN!E 9ue tu1iera 9ue utili8ar
$o"o $onse$uen$ia del Contrato.
TERCERA.- POLITICA DE USO
28
3.1 El C.IEN!E es el %ni$o res'onsa&le de deter"inar si los ser1i$ios 9ue $onstitu#en el
o&jeto de este Contrato se ajustan a sus ne$esidades, 'or lo 9ue el
P-/EED- no garanti8a 9ue los ser1i$ios $ontratados se ajuste a las
ne$esidades es'e$34i$as del C.IEN!E.
CUARTA.- PRECIO Y FACTURACIN.-
4.1 El 're$io del Contrato es de ??? I/A e@$luido.
4.2 El 'ago de las 4a$turas se reali8ar0, tras la a$e'ta$i(n de los tra&ajos 'or el C.IEN!E,
"ediante trans4eren$ia &an$aria a los 30 d3as de la 4e$:a de re$e'$i(n de la 4a$tura
a la siguiente $uenta $orriente titularidad del P-/EED-5 HSBC
125898741588
QUINTA.- DURACIN DEl CONTRATO
5.1 El 'la8o de reali8a$i(n de la auditoria es de 25 d3as
5.2 El 'la8o de entrega del in4or"e 'ara su estudio es de 5 d3as
5.3 El 'la8o de entrega del in4or"e de4initi1o es de 30 d3as a 'artir de la 4e$:a re4erida en
el en$a&e8a"iento del Contrato.
SEXTA.- ACUERDO DE NIVEL DE SERVICIO
G.1 !odos los <er1i$ios 'restados 'or el P-/EED- se reali8ar0n 'or 'ersonal
es'e$iali8ado en $ada "ateria. El 'ersonal del P-/EED- a$udir0 're1isto de
todo el "aterial ne$esario, ade$uado # a$tuali8ado, 'ara 'restar los <er1i$ios.
G.2 El P-/EED- de&er0 $u"'lir los 'la8os de entrega 9ue se a$uerden $on el
C.IEN!E. <e $onsiderar0 un in$u"'li"iento de los 'la8os $uando se su'ere [33
das] # en ese $aso el C.IEN!E 'odr0 e@igir al P-/EED- el 'ago de los
daAos # 'erjui$ios 9ue $orres'onda.
SPTIMA.- MODIFICACIN
.as Partes 'odr0n "odi4i$ar el $ontrato de "utuo a$uerdo # 'or es$rito.
OCTAVA.- RESOLUCIN
29
.as Partes 'odr0n resol1er el Contrato, $on dere$:o a la inde"ni8a$i(n de daAos #
'erjui$ios $ausados, en $aso de in$u"'li"iento de las o&liga$iones esta&le$idas en el
"is"o.
NOVENA.- NOTIFICACIONES
.as noti4i$a$iones 9ue se reali$en las Partes de&er0n reali8arse 'or $orreo $on a$use
de re$i&o [A travs de oficio] a las siguientes dire$$iones5
C.IEN!E Prolonga$i(n /era$ru8 <DN, Dolores Hidalgo, C.I.N, Gto. CP5
37800
P-/EED-5 en Quertaro, Quertaro, $alle Pinos n+ )85, C.P. 98621
DCIMA.- REGIMEN 1URIDICO
El 'resente $ontrato tiene $ar0$ter "er$antil, no e@istiendo en ning%n $aso 13n$ulo
la&oral alguno entre el C.IEN!E # el 'ersonal del P-/EED- 9ue 'reste
$on$reta"ente los <er1i$ios.
!oda $ontro1ersia deri1ada de este $ontrato o 9ue guarde rela$i(n $on 2l Jin$luida
$ual9uier $uesti(n relati1a a su e@isten$ia, 1alide8 o ter"ina$i(nK ser0 resuelta "ediante
ar&itraje DE DEECH-, ad"inistrado 'or la Asociacin Mexicana de Arbitraje
(AMAMEX), de $on4or"idad $on su egla"ento de Ar&itraje 1igente a la 4e$:a de
'resenta$i(n de la soli$itud de ar&itraje. El !ri&unal Ar&itral 9ue se designe a tal e4e$to
estar0 $o"'uesto 'or un %ni$o 0r&itro e@'erto # el idio"a del ar&itraje ser0 el (castellano).
.a sede del ar&itraje ser0 (xico !.".).
L en 'rue&a de $uanto ante$ede, las Partes sus$ri&en el Contrato, en dos eje"'lares
# a un solo e4e$to, en el lugar # 4e$:a seAalados en el en$a&e8a"iento
POR EL CLIENTE POR EL PROVEEDOR
SECRETARIA DE EDUCACIN DE
GTO A TRAVS DE SU
REPRESENTANTE
MARIO GMEZ PREZ
AVANTELOGIG
REPRESENTADO POR
CAMILO TAVERA MARTINEZ.
30
Fdo.: Fdo.:
31
A=EK:
C6@S@6A PE=A6' C:=#E=IE=TE E= CAS: ?E P:?E> SE> =E-:CIA?A
En virtud de la presente clusula penal que tiene carcter cumulativo y no
sustitutivo a los efectos de lo dispuesto en el artculo 1152 del Cdigo Civil, el
CLENTE podr aplicar las siguientes penalizaciones por incumplimiento del
acuerdo de nivel de servicio.
A los efectos de lo previsto en el artculo 1.153 del Cdigo Civil, el PROVEEDOR
no podr eximirse del cumplimiento de sus obligaciones pagando la pena.
Asimismo, el PROVEEDOR, adems de satisfacer la pena establecida, deber
cumplir las obligaciones cuyo incumplimiento se penaliza.
Las penalizaciones se detraern del importe pendiente de pago al PROVEEDOR
32
,odo de
tarea
=om9re de tarea ?uracin Comien%o 3in
Predeceso
ras
=om9res
de los
recursos
L
com!letado
Programada
manualmente
Conocimiento general del
$rea de sistemas
/ das lun 4CB.CB41 vie 5.B.CB41
E&ui!o
Auditor
4..L
Programada
manualmente
Organigrama 1 da lun 16/06/14 lun 16/06/14
Equipo
Auditor
100%
Programada
manualmente
Estructura del rea o
departamento
1 da lun 16/06/14 lun 16/06/14 2
Equipo
Auditor
100%
Programada
manualmente
Relaciones funcionales y
jerrquicas
1 da mar 17/06/14 mar 17/06/14 3
Equipo
Auditor
100%
Programada
manualmente
Recursos (Equipos con los
que se cuenta)
1 da mi 18/06/14 mi 18/06/14 4
Equipo
Auditor
100%
Programada
manualmente
Aplicaciones en desarrollo 1 da jue 19/06/14 jue 19/06/14 5
Equipo
Auditor
100%
Programada
manualmente
Aplicaciones en produccin 1 da vie 20/06/14 vie 20/06/14 6
Equipo
Auditor
100%
Programada
manualmente
Planificacin 4. das lun 5HB.CB41 vie .1B.DB41
E&ui!o
Auditor
4..L
Programada
manualmente
Concentracin de objetivos 2 das lun 23/06/14 mar 24/06/14 7
Equipo
Auditor
100%
Programada
manualmente
Definicin de objetivos y
alcances
1 da mar 24/06/14 mar 24/06/14 9
Equipo
Auditor
100%
Programada
manualmente
Personas de la organizacin
que se involucrarn en el
proceso de auditora
2 das mi 25/06/14 jue 26/06/14 10
Equipo
Auditor
100%
Programada
manualmente
Plan de trabajo (Tareas,
calendario, resultados
parciales y presupuesto)
6 das vie 27/06/14 vie 04/07/14 11
Equipo
Auditor
100%
33
Programada
manualmente
?esarrollo de la auditora 5. das lun .DB.DB41 vie .4B.JB41
E&ui!o
Auditor
4..L
Programada
manualmente
Entrevistas 3 das lun 07/07/14 mi 09/07/14 12
Equipo
Auditor
100%
Programada
manualmente
Cuestionarios 3 das jue 10/07/14 lun 14/07/14 14
Equipo
Auditor
100%
Programada
manualmente
Observacin de las
situaciones deficientes
7 das mar 15/07/14 mi 23/07/14 15
Equipo
Auditor
100%
Programada
manualmente
Observacin de los
procedimientos
7 das jue 24/07/14 vie 01/08/14 16
Equipo
Auditor
100%
Programada
manualmente
3ase de diagnstico 5 das lun .1B.JB41 mar ./B.JB41
E&ui!o
Auditor
4..L
Programada
manualmente
Definicin de los puntos
dbiles y fuertes, los riesgos
eventuales y posibles tipos de
solucin y mejora
2 das lun 04/08/14 mar 05/08/14 17
Equipo
Auditor
100%
Programada
manualmente
Presentacin de las
conclusiones
H das mar ./B.JB41 ;ue .DB.JB41
E&ui!o
Auditor
4..L
Programada
manualmente
ntegracin de soporte
documental
1 da mar 05/08/14 mar 05/08/14 19
Equipo
Auditor
100%
Programada
manualmente
Formulacin de cdulas de
observaciones y papeles de
trabajo
1 da mi 06/08/14 mi 06/08/14 21
Equipo
Auditor
100%
Programada
manualmente
nforme final 1 da jue 07/08/14 jue 07/08/14 22
Equipo
Auditor
100%
Programada
manualmente
3ormulacin del !lan de
me;oras
1 das vie .JB.JB41 mi 4HB.JB41
E&ui!o
Auditor
J.L
Programada
manualmente
Resumen de las deficiencias
encontradas
1 da vie 08/08/14 vie 08/08/14 23
Equipo
Auditor
100%
34
Programada
manualmente
Medidas a corto plazo:
calidad y planificacin
1 da lun 11/08/14 lun 11/08/14 25
Equipo
Auditor
100%
Programada
manualmente
Medidas a mediano plazo:
mayor necesidad de recursos,
optimizacin de programas o
documentacin y aspectos de
diseo
1 da jue 11/09/14 jue 11/09/14 26
Equipo
Auditor
100%
Programada
manualmente
Medidas a largo plazo:
cambios en polticas, medios y
estructura del servicio
1 da mi 13/08/14 mi 13/08/14 27
Equipo
Auditor
100%
Programada
manualmente
Seguimiento de cumplimiento
de recomendaciones
0%
35
1'. DISE,O DE LISTAS DE VERIFICACIN
PARA-
1'.1 EVALUACIN DE LA SEGURIDAD
Seguridad de la Informacin en el e&ui!o de com!uto
=o. Pregunta Si =o
4 Los equipos tienen firewall integrado y activado?
5 Los equipos tienen antivirus?
H El antivirus instalado
Es gratuito
Es de paga
Es para mltiples usuarios
Esta actualizado a la ltima
versin
nterfaz grfica de usuario
Tiene escudo web
Proteccin de e-mail
Firewall
Proteccin para compras
Permite ejecutar programas en
modo evaluacin de riesgos
Es actualizable
1
Existen copias de respaldos
de la informacin generada en
el equipo?
mpresas
CD, DVD o Blu-ray
Segundo disco duro o particin
secundaria del disco duro
Discos duros externos
Servidores propios
Servidores externos
36
Estado de las instalaciones
=o Cuestin Si =o
4 Existe el espacio suficiente para los equipos?
5 La iluminacin del lugar es adecuada?
H Existen carteles de reglamento de uso?
1 Existe una salida de emergencia?
/
El lugar donde est el equipo
de cmputo est a salvo de:
nundaciones
Terremotos
ncendios
Robos
C La temperatura a la que opera el equipo es la adecuada?
D El nmero de computadores es suficiente para realizar las
tareas del rea?
>esguardo im!reso y digital
=o Cuestin Si =o
4 Existe un lugar de resguardo impreso y digital?
5 Existen libreros?
H Existen carpetas y organizadores?
1 La informacin impresa est organizada en los libreros y carpetas?
/
Existen cajas para
almacenar CD, DVD o
Blu-ray?
1 CD por caja
2 CDs por caja
5 CDs por caja
Disquetera
C Los CD, DVD o Blu-ray tiene una etiqueta o caratula que
identifique su contenido?
D Los CD, DVD o Blu-ray estn almacenados dentro de cajas y/o
disqueteras?
37
J Los CD, DVD o Blu-ray, cajas y disqueteras se encuentras
resguardados en un locker?
0
Quin tiene acceso a los
resguardos impresos y
digitales?
Director o Jefe y supervisor de rea de
TC's
Coordinador, Directores y Jefes de
reas
Cualquier empleado de la SEP
Solo personal autorizado
Quines?
________________________________
________________________________
1'.2 EVALUACIN EN SELECCIN DE
PROVEEDORES.
De acuerdo con el sistema de gestin calidad propuesto bajo la SO 9001,
las evaluaciones para los proveedores con los que se pretende realizar o se estn
realizando negociaciones deben ser en tres momentos que son: al inicio para
adjudicar las adquisiciones al mejor postor, despus de la compra para verificar
que se cumplan las condiciones y durante las compras futuras con el fin seguir
contando con el proveedor o buscar otro que satisfaga las necesidades de la
organizacin.
:9;etivo: La presente, tiene el objetivo de evaluar la capacidad de los
proveedores de la SEG de satisfacer sus necesidades, con el fin de actualizar,
clasificar y conservar a los proveedores calificados como aptos. La evaluacin de
proveedores se realizara en 3 momentos con la finalidad de dar continuidad a los
proveedores aceptados y evaluar la probabilidad de continuar con ellos.
Evaluacin inicial de !roveedores
38
>egistro de Proveedores
?atos -enerales
=om9re o >a%n social:
>3C: Direccin:
Tel: Casa: Cel.: E-mail:
6istado de !roductos ofertados
Cdigo Nombre Descripcin Unidad de
medida
Precio
unitario
Condiciones y ofertas
Pro!uestas:
Condiciones
de !ago
?escuentos:
Evaluacin !reliminar
=o. Pregunta Si =o =o
a!lica
4 El proveedor, Es una empresa establecida,
pertenece a una o es una persona
debidamente registrada?
5 El listado de productos cubre nuestras
necesidades?
H El proveedor, Cuenta con tiempos de entrega
bien definidos?
1 El proveedor, tiene a capacidad para
proporcionar sus servicios?
/ El proveedor, cuida de sus productos durante
el transporte de sus almacenes hacia los
39
nuestros?
C El proveedor, respeta los precios, ofertas y
condiciones establecidas?
D El proveedor, mantiene contacto con sus
clientes?
J El proveedor, brinda asistencia tcnica antes,
durante y despus de la venta?
0 El proveedor, realiza cotizaciones precisas de
manera rpida?
4. El proveedor, ofrece garanta y cumple con las
condones de esta?
Calificacin
A!to En Desarrollo No apto
Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera:
A!to: al reunir J !untos o mas
En ?esarrollo: Al reunir C o D !untos
=o A!to: al reunir / !untos o menos
3eca de evaluacin
3irma del evaluador
>eevaluacin del !roveedor
40
Proveedor
=o. :rden o factura Fecha de
evaluacin
?escri!cin de la
entrega
Acciones adicionales
solicitadas al
!roveedor
Seguimiento de !roveedores
=o. Pregunta Si =o
4 El proveedor, dio respuesta por escrito o por telfono a las
acciones solicitadas?
5 El proveedor, realizo las acciones propuestas?
H
En las 3 compras anteriores El proveedor, ha respondido
de acuerdo a lo acordado?
No. Orden o Factura ______________________
No. Orden o Factura ______________________
No. Orden o Factura ______________________
Calificacin
A!to =o a!to
El !roveedor conserva su clasificacin de a!to si o9tiene como mnimo con
5 res!uestas afirmativas
3eca de evaluacin
3irma del evaluador
1'.3 LICENCIAMIENTO DE SOFT&ARE.
41
Aplicando y adaptando las normativas SO 14764 y SO/EC 12207, para el
Proceso de Mantenimiento de Software, el cual se aplica a software comercial y
libre y ser empleado por la organizacin para regular las instalaciones y
mantener un orden en el software que es instalado para el uso de la SEG.
=om9re
SoftEare de Paga Libre Arquitectura X64 X86
Sistemas
:!erativos
com!ati9les
Windows Linux Mac OS
Ti!o de ficero SO RAR EXE Resguardo o
soportado en:
#ersin Fecha de
lanzamiento
6icencia ti!o Copylefted /GNU Patente y/o
Copyright
Otra
?escri!cin del
softEare
>e&uerimientos
de softEare
9$sicos
EMiste
documentacin
!ara el uso del
softEare
Si No La documentacin
esta:
mpresa
Digital
En lnea
n*mero de
e&ui!os en los
&ue se a
instalado
La licencia se
encuentra
mpresa
Digital
1'.4 EVALUACIN DEL %ARD&ARE"
SOFT&ARE Y SISTEMAS
42
De acuerdo a la SO/EC 9126, se realiza la verificacin de software y hardware,
con la intencin de evaluar si estos son funcionales, confiables, eficientes,
usables, almacenados y empleados de la manera adecuada en sus ablentes de
operacin.
Basado en las mejores prcticas que promueve la biblioteca TL, la
evaluacin de los sistemas es una parte fundamental para determinar el estado de
un rea de informtica.
SoftEare y Sistemas
=om9re del sistema o softEare
=o. Cuestin Si =o
4 La interfaz es amigable para el usuario?
5 existe falla de exactitud en los procesos de informacin
H Es necesaria la implementacin de nuevos procesos?
1 Los reportes generados con el sistema son adecuados?
/ El sistema fue especialmente diseado para la SEP?
C Sistema cuenta con:
Manual de usuario
Base de datos
Diccionario de datos
Sistema de almacenamiento
Sistema de recuperacin
D
El sistema se conecta con otros sistemas?
Cules:
J El sistema es intuitivo?
0 El personal recibi capacitacin para manejar el sistema?
4. El sistema se conecta a internet?
44 E sistema es empleado por mltiples usuarios al mismo
43
tiempo?
45 El sistema mantiene la misma velocidad en horas pico?
NardEare
E&ui!o de cm!uto
-eneralidades del e&ui!o
Cdigo Tipo
Es!acio en disco
duro
Candad de RAM
nstalada
#elocidad de
!rocesador
Numero de
ncleos
,aratial del
casis
Numero de
ventiladores
Tar;eta gr$fica
ti!o
Sistema operativo
instalado
=o Cuestin Si =o
4 Los equipos cumplen con los requisitos mnimos de
los sistemas instalados?
5 Existe un programa de mantenimiento preventivo?
H El equipo es usado por ms de 1 persona?
1 Se lleva una bitcora de cada equipo?
/ El equipo esta encendido durante toda la jornada
laboral?
C El equipo est asegurado?
D
El equipo se conecta a
internet?
Ethernet
WiFi
J La temperatura est en los rangos de operacin del
equipo?
44
E#A6@ACIA= #IS@A6 ?E NA>?OA>E' S:3TOA>E 8 SISTE,AS
=o Cuestin Si =o
4 El estado de los equipos de cmputo es ptimo?
5 Los procesos de los sistemas son rpidos y precisos?
H Existen respaldos de informacin?
1 El lugar donde se encuentra el equipo de cmputo es el
adecuado?
1'.5 EVALUACIN DE LA RED.
6ista de ce&ueo
6C2...4
Em!resa @nidad rea Perodo
45
=o Caracterstica a evaluar: SI =:
4 Se comprobaron los elementos y dispositivos fsicos de
la plataforma de red?
5 La cantidad de equipos o nodos est acorde con el
diseo y configuracin de red?
H Existe alguna aplicacin cliente-servidor en particular
que demande recursos y comprometa el desempeo de
red?
1 Se verific el ancho de banda de la red?
/ Se analiz la tasa de transferencia en la red?
C Se comprob la existencia de prdidas de paquetes en
la red?
D Se verific que la topologa estuviese acorde al diseo y
requerimientos propios de la red?
6C2...5
Ti!o de
documento
Cdigo
Auditor Pgina
Em!resa Fecha
=o Preguntas < F<uenoG > F>egularG , F,aloG
4 Considera que la velocidad para
mover y consultar archivos en la red
es?
5 La velocidad de descarga de
informacin, videos, imgenes, etc.,
de la red es?
H Cmo considera la velocidad de la
conexin?
46
1 La velocidad para enviar y recibir
correos es?
/ Cmo evala la disponibilidad de la
red?
C La disponibilidad de los dispositivos
o recursos compartidos es?
D El acceso a internet habitualmente
es?
6C2...H
Ti!o de
documento
Cdigo
Auditor Pgina
Em!resa Fecha
=o Preguntas S FSiG = F=oG =: F=o
:9servaG
4 Se observan problemas de prdida
de informacin?
5 Existen intermitencias en la red?
H Ha observado problemas de
conexin con equipos u otros
dispositivos de red?
1 La impresin en red mantiene una
velocidad apropiada?
/ Considera que los usuarios que
concurren a los servicios de la red
afectan el rendimiento?
C Las aplicaciones o sistema ERP se
encuentra siempre disponible?
D Ha observado algn tipo de error al
47
almacenar o registrar su informacin?
1'. APLICACIN PR!CTICA DE LA
AUDITORA
11.1 RESULTADOS OBTENIDOS EN CADA
UNA DE LAS !REAS DE T.I." DE ACUERDO
A LOS EST!NDARES APLICADOS
A continuacin se presenta los resultados de las evaluaciones en las diferentes
reas de Tecnologa de la informacin siguiendo al pie las normas SO/EC 9126 y
la norma SO 12207.
Se ha tomado en cuenta la norma SO 12207 por que tiene como finalidad
regular el ciclo de vida, uso del software, resguardo de la seguridad en la
informacin digital e impresa. Estudiando la norma mencionada anteriormente se
han formulado una serie de preguntas que permiten identificar si la empresa
cumple con la norma para acreditar una auditoria y saber si realmente cumple con
la seguridad adecuada para trabajar.
11.1.1 EVALUACIN DE LA SEGURIDAD.
Seguridad de la Informacin en el e&ui!o de cm!uto
=o. Pregunta Si =o
4 Los equipos tienen firewall integrado y activado? x
5 Los equipos tienen antivirus? X
H El antivirus instalado Es gratuito X
Es de paga X
Es para mltiples usuarios X
Esta actualizado a la ltima
versin
X
48
nterfaz grfica de usuario
Tiene escudo web X
Proteccin de e-mail X
Firewall X
Proteccin para compras X
Permite ejecutar programas en
modo evaluacin de riesgos
X
Es actualizable X
1
Existen copias de respaldos
de la informacin generada en
el equipo?
mpresas X
CD, DVD o Blu-ray x
Segundo disco duro o particin
secundaria del disco duro
X
Discos duros externos X
Servidores propios X
Servidores externos X
>esguardo im!reso y digital
=o Cuestin Si =o
4 Existe un lugar de resguardo impreso y digital? x
5 Existen libreros? X
H Existen carpetas y organizadores? X
1 La informacin impresa est organizada en los libreros y carpetas? X
/
Existen cajas para
almacenar CD, DVD o
Blu-ray?
1 CD por caja X
2 CDs por caja X
5 CDs por caja X
Disquetera X
C Los CD, DVD o Blu-ray tiene una etiqueta o caratula que
identifique su contenido?
X
D Los CD, DVD o Blu-ray estn almacenados dentro de cajas y/o
disqueteras?
J Los CD, DVD o Blu-ray, cajas y disqueteras se encuentras
resguardados en un locker?
0 Quin tiene acceso a los
resguardos impresos y
Director o Jefe y supervisor de rea de
TC's
X
49
digitales?
Coordinador, Directores y Jefes de
reas
x
Cualquier empleado de la SEP X
Slo personal autorizado, Quines?
________________________________
________________________________
X
Estado de las instalaciones
=o Cuestin Si =o
4 Existe el espacio suficiente para los equipos? X
5 La iluminacin del lugar es adecuada? X
H Existen carteles de reglamento de uso? X
1 Existe una salida de emergencia? X
/
El lugar donde est el equipo
de cmputo est a salvo de:
nundaciones X
Terremotos X
ncendios X
Robos X
C La temperatura a la que opera el equipo es la adecuada? X
D El nmero de computadores es suficiente para realizar las
tareas del rea?
X
>ES@6TA?:
Al realizar el anlisis de la empresa, se han detectado ciertas
vulnerabilidades graves como por ejemplo que no exista un replicado de la
informacin, que no existen polticas de acceso a la informacin o la ms
importante, que los responsables de la empresa no tengan conciencia de la
importancia de dotar a su empresa de unas adecuadas medidas de seguridad
para proteger la informacin de la misma.
50
Otro de los aspectos es que la empresa maneja diversidad de software
tanto libre, gratuitos, con licencia, etc., todo esto provoca que los sistemas sean
ms vulnerables y fcil de hackear, aparte de que todo se encuentra compartido
en la red, todos los que se conectan, pueden y tienen acceso a la informacin.
1. Prdida de las comunicaciones durante un periodo x.
2. Fallas y falta de conexin en alguna estacin PC o porttil.
3. Caducidad de programas y privacidad en el uso y manejo de informacin.
4. Uso de versiones de prueba y software no activado o sin licencia.
5. Fallo en los sistemas de comunicacin de red durante x intervalo.
6. En este punto, tambin se detecta una falta de concienciacin de los
responsables de la empresa de lo importante que resulta tener la
informacin replicada.
De la empresa se evaluar solamente la seguridad a travs de la auditoria al
departamento de infraestructura tecnolgica (medios, redes y sistemas)
solamente puesto que es la parte que se auditar para darnos cuenta sobre la
regular, buena o mala seguridad en el manejo y uso de las TCs y todo lo que
esta conlleva.
11.1.2 EVALUACIN EN SELECCIN DE
PROVEEDORES
La evaluacin de los proveedores es de gran importancia porque con estos se
pretende realizar negociaciones deben ser en tres momentos que son: al inicio
para adjudicar las adquisiciones al mejor postor, al comparar productos o servicios
se busca verificar que este sea el apropiado para que cumpla con las condiciones
y en el futuro seguir contando con compras futuras o de lo contrario buscar otro
51
proveedor que en verdad satisfaga las necesidades en la organizacin. . La
evaluacin de proveedores se realizara en 3 momentos con la finalidad de dar
continuidad a los proveedores aceptados y evaluar la probabilidad de continuar
con ellos.
En la SEG se tiene infinidad de proveedores que con sus servicios buscan
cumplir con el 100% de las necesidades a la organizacin, a continuacin se
presenta un anlisis de los proveedores ms consultados por la SEG que brindan
servicios en el rea de Tecnologas de la nformacin.
Evaluacin a !roveedores
>egistro de Proveedores
?atos -enerales
=om9re o >a%n social: Digicopias Quertaro
>3C: DG98237COP Direccin: Quertaro
Tel: Casa: Cel.: E-mail: jmartinez@digicopias.mx
6istado de !roductos ofertados
Cdigo Nombre Descripcin Unidad de
medida
Precio
unitario
Konica
Monalta
mpresora
multifuncional, de alto
rendimiento.
1 $20,000.00
Kyocera
F1040
mpresora
multifuncional, hasta mil
copias por tner
1 $10,000.00
Condiciones y ofertas
Pro!uestas: Diversas impresoras, garantas, ofertas de tner.
Condiciones
de !ago
Se puede pagar con tarjeta de crdito, dbito, master cat,
transferencia electrnica, despus de entrega de su equipo se
tiene un plazo de 20 das para pagar dicho artculo.
?escuentos: Se tiene un descuento, en cada producto que adquiera con
digicopias de 25 al 30 de cada mes.
52
Evaluacin
=o. Pregunta Si =o =o
a!lica
4 El proveedor, Es una empresa establecida,
pertenece a una o es una persona
debidamente registrada?
X
5 El listado de productos cubre nuestras
necesidades?
X
H El proveedor, Cuenta con tiempos de entrega
bien definidos?
X
1 El proveedor, tiene a capacidad para
proporcionar sus servicios?
X
/ El proveedor, cuida de sus productos durante
el transporte de sus almacenes hacia los
nuestros?
X
C El proveedor, respeta los precios, ofertas y
condiciones establecidas?
X
D El proveedor, mantiene contacto con sus
clientes?
X
J El proveedor, brinda asistencia tcnica antes,
durante y despus de la venta?
X
0 El proveedor, realiza cotizaciones precisas de
manera rpida?
X
4. El proveedor, ofrece garanta y cumple con las
condones de esta?
X
Calificacin: 4.
A!to En Desarrollo No apto
Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera:
A!to: al reunir J !untos o mas
En ?esarrollo: Al reunir C o D !untos
=o A!to: al reunir / !untos o menos
3eca de evaluacin 30-julio-14
3irma del evaluador J.zuiga
53
Evaluacin a !roveedores
>egistro de Proveedores
?atos -enerales
=om9re o >a%n social: Office Depot , Santiago de Quertaro
>3C: OFFD98349POT Direccin
:
Quertaro
Tel: Casa: --- Cel.:------ E-mail: mgamarzina@digicopias.mx
6istado de !roductos ofertados
Cdigo Nombre Descripcin Unidad de
medida
Precio
unitario
////CJH1/ Hojas
blancas
Hojas de papel tamao
carta, oficio, doble carta
3,000 $50 x c/d mil
///415HCJ Flder tamao carta, oficio,
para organizar hojas
1,000 $25 x c/d mil
Condiciones y ofertas
Pro!uestas: Mejores artculos de oficina al mejor precio: lpices, cuadernos,
bitcoras, hojas blancas, computadoras, hojas de colores, plumas,
Condiciones
de !ago
Se puede pagar con tarjeta de crdito, dbito, master card,
transferencia electrnica.
?escuentos: Se entrega productos sin ningn costo hasta la comodidad del
hogar, y se realiza descuento de 20% de cada mil en cada compra.
Evaluacin
=o. Pregunta Si =o =o
a!lica
4 El proveedor, Es una empresa establecida,
pertenece a una o es una persona
debidamente registrada?
X
5 El listado de productos cubre nuestras
necesidades?
X
H El proveedor, Cuenta con tiempos de entrega
bien definidos?
X
1 El proveedor, tiene a capacidad para X
54
proporcionar sus servicios?
/ El proveedor, cuida de sus productos durante
el transporte de sus almacenes hacia los
nuestros?
X
C El proveedor, respeta los precios, ofertas y
condiciones establecidas?
X
D El proveedor, mantiene contacto con sus
clientes?
X
J El proveedor, brinda asistencia tcnica antes,
durante y despus de la venta?
X
0 El proveedor, realiza cotizaciones precisas de
manera rpida?
X
4. El proveedor, ofrece garanta y cumple con las
condones de esta?
X
Calificacin: 4.
A!to En Desarrollo No apto
Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera:
A!to: al reunir J !untos o m$s
En ?esarrollo: Al reunir C o D !untos
=o A!to: al reunir / !untos o menos
3eca de evaluacin 30-julio-14
3irma del evaluador J.zuiga
11.1.3 LICENCIAMIENTO DE SOFT&ARE.
En s la empresa no utiliza algo bien definido en este aspecto puesto que
utiliza diferentes tipos de software con o sin licenciamiento. Comnmente se
adquieren licencias por parte de la SEP quien a su vez las distribuye a la SEG en
Guanajuato y est a sus municipios, estas licencias solo para los sistemas
operativos.
55
En el caso de las pginas web, se contrata al CADES para el desarrollo de
las mismas as como de la colocacin en la red pero es un tercero quien se
encarga de la actualizacin de la informacin de las pginas y sistemas
desarrollados.
Evaluacin de hardware y software: Se cuenta con gran diversidad de
hardware tal como: Monitores, CPUs, telfonos, fax, escner, copiadoras,
impresoras lser, de puntos, de inyeccin de tinta, audfonos, bocinas, muses,
teclados, micrfonos inalmbricos, usb, cds, dvds, computadoras porttiles, ipad,
telfonos celulares y agendas electrnicas.
El hardware es variado, por ejemplo de la marca DELL, COMPAQ, HP,
TOSHBA, HACER y un 50% de equipo armado el cual se considera sin marca,
esto, solo en el caso de los equipos de cmputo
En software solo se encuentra instalado en las maquinas pero no
fsicamente por si algo falla, se tiene en todos los equipos un sistema operativo
variado, por ejemplo, predomina el Windows XP, le sigue el Windows Vista y un
poco porcentaje con Windows 7.
En cada oficina se encuentra una lnea telefnica, se tienen al menos 40
telfonos instalados todas con una extensin directa para la conexin.
Para el caso de office y otros programas se utilizan versiones de prueba y
algunas de ellas crackeadas como lo es el caso del antivirus (Avast) es el que
predomina y posteriormente McAfee y el AVG).
Los cds y dvds con los que se cuenta, la mayora de estos son respaldos de
informacin obsoleta y sin probabilidad de uso.
Por todo lo anterior es que los equipos y sistemas son bastante lentos,
aparte de que no se les da el mantenimiento adecuado para su ptimo
funcionamiento.
56
11.1.4 EVALUACIN DEL %ARD&ARE Y
SOFT&ARE.
=om9re del sistema o softEare
=o. Cuestin Si =o
4 La interfaz es amigable para el usuario? X
5 existe falla de exactitud en los procesos de informacin X
H Es necesaria la implementacin de nuevos procesos? X
1 Los reportes generados con el sistema son adecuados? X
/ El sistema fue especialmente diseado para la SEP? X
C Sistema cuenta con:
Manual de usuario X
Base de datos X
Diccionario de datos X
Sistema de almacenamiento X
Sistema de recuperacin X
D
El sistema se conecta con otros sistemas?
Cules:
X
J El sistema es intuitivo? X
0 El personal recibi capacitacin para manejar el sistema? X
4. El sistema se conecta a internet? X
44 El sistema es empleado por mltiples usuarios al mismo
tiempo?
X
45 El sistema mantiene la misma velocidad en horas pico? X
-eneralidades del e&ui!o
Cdigo 128970889 Tipo Pc todo en uno
Es!acio en disco 1 tb Cantidad de RAM 4gb
57
duro nstalada
#elocidad de
!rocesador
250 Numero de
ncleos
3
,aterial del
casis
aluminio Numero de
ventiladores
1
Tar;eta gr$fica
ti!o
intel Sistema operativo
instalado
Windows 8
=o Cuestin Si =o
4 Los equipos cumplen con los requisitos mnimos de
los sistemas instalados?
X
5 Existe un programa de mantenimiento preventivo? X
H El equipo es usado por ms de 1 persona? X
1 Se lleva una bitcora de cada equipo? X
/ El equipo esta encendido durante toda la jornada
laboral?
X
C El equipo est asegurado? x
D
El equipo se conecta a
internet?
Ethernet X
WiFi X
J La temperatura est en los rangos de operacin del
equipo?
X
=o Cuestin Si =o
4 El estado de los equipos de cmputo es ptimo? X
5 Los procesos de los sistemas son rpidos y precisos? X
H Existen respaldos de informacin? X
1 El lugar donde se encuentra el equipo de cmputo es el
adecuado?
X
11.1.5 EVALUACIN DE SISTEMAS.
Referente a los diferentes sistemas, esta parte no se encuentra respaldada
con manuales de usuarios o documentada puesto que comnmente se tienen
manuales obsoletos y que en muchas de las ocasiones no corresponden a la
58
versin que se utiliza, aun as, el personal que en la empresa trabaja conoce estos
ms no domina su uso an despus de tantas capacitaciones y actualizaciones, el
problema es que se trabaja bajo una metodologa obsoleta que en vez de apoyar,
genera ms dudas, aparte de que el personal que los usa, se encuentran en un
rango de edad de los 45 aos en adelante y esto es un parmetro ms que
dificulta el uso correcto de los mismos. Aun as, los sistemas son muy prcticos y
fciles de manejar.
11.1.6 EVALUACIN DE LA RED.
=o Caracterstica a evaluar: SI =:
4 Se comprobaron los elementos y dispositivos fsicos de
la plataforma de red?
X
5 La cantidad de equipos o nodos est acorde con el
diseo y configuracin de red?
X
H Existe alguna aplicacin cliente-servidor en particular
que demande recursos y comprometa el desempeo de
red?
X
1 Se verific el ancho de banda de la red? X
/ Se analiz la tasa de transferencia en la red? X
C Se comprob la existencia de prdidas de paquetes en
la red?
X
D Se verific que la topologa estuviese acorde al diseo y
requerimientos propios de la red?
X
6C2...5
=o Preguntas < F<uenoG > F>egularG , F,aloG
4 Considera que la velocidad para
mover y consultar archivos en la
red es?
X
59
5 La velocidad de descarga de
informacin, videos, imgenes,
etc., de la red es?
X
H Cmo considera la velocidad de
la conexin?
X
1 La velocidad para enviar y recibir
correos es?
X
/ Cmo evala la disponibilidad de
la red?
X
C La disponibilidad de los
dispositivos o recursos
compartidos es?
X
D El acceso a internet
habitualmente es?
X
6C2...H
=o Preguntas S FSiG = F=oG =: F=o
:9servaG
4 Se observan problemas de prdida
de informacin?
X
5 Existen intermitencias en la red? X
H Ha observado problemas de
conexin con equipos u otros
dispositivos de red?
X
1 La impresin en red mantiene una
velocidad apropiada?
X
/ Considera que los usuarios que
concurren a los servicios de la red
X
60
afectan el rendimiento?
C Las aplicaciones o sistema ERP se
encuentra siempre disponible?
X
D Ha observado algn tipo de error
al almacenar o registrar su
informacin?
X
>esultado Evaluacin de la >ed: La red est configurada adecuadamente con
cableado horizontal con el uso de la escalerilla, esta llega directo a cada una de
las oficinas con la instalacin de 4 nodos en cada una.
Para mayor acceso y seal de la red inalmbrica se tienen instalados 6
repetidores debido a que la potencia de la seal en ocasiones se hace ms lento.
El problema con la red es que no hay una distribucin del ancho de banda
correcta as como el que todos los usuarios se conecten de forma inalmbrica ya
que esto hace ms lento a los equipos que se utilizan y no existe bloque alguno en
pginas de la red.
12. DIAGNSTICO DE NO CONFORMIDADES
Evidencia Incum!limiento Ti!o de =o
Conformidad
En el $rea destinada al
resguardo de e&ui!o de
cm!uto o9soleto o en
mal estado' se
encontraron ca;as con
eti&uetas no
identifica9les
En el procedimiento CAL-
PR-83 se indica que los
productos no conformes
deben colocarse en un rea
designada e identificada
para tal fin.
Menor
61
13. ACCIONES CORRECTIVAS
Durante el proceso de evaluacin se encontraron partes dbiles en seguridad, red
y software y hardware por lo cual, tras una priorizacin de acciones correctivas, se
lleg a las siguientes acciones correctivas las cuales, deben ser realizadas a la
brevedad posible dado a que se corre un grave riesgo de prdida de informacin.
Realizar una evaluacin de datos a respaldar.
Mantenimiento preventivo de computadores, impresoras y copiadoras.
Actualizacin de sistemas operativos.
Actualizar drivers.
Definir las necesidades y uso de software con el fin de eliminar software
craqueado e innecesario en los equipos.
Establecer el uso de software de licencia o libre.
Obtener o elaborar los manuales de los sistemas empleados.
Establecer contraseas personales para el uso del WiFi.
Aumentar el ancho de banda en las reas ms pobladas y reducirle en las
reas en las que su uso es menor.
14. PROPUESTAS DE MEJORA
Despus de revisar detenidamente los resultados obtenidos durante la auditoria,
se dan las siguientes propuestas de mejora:
Establecimiento de un consejo de gobierno de las T.
Establecer correctamente un SGSS.
Establecer polticas y mtricas para la gestin de las T.
Realizar mantenimiento preventivo en los computadores.
mplantar restricciones y polticas de calidad para garantizar el correcto uso
de la red.
Realizar un estudio de distribucin y uso de datos en la organizacin.
62
Mejorar la seguridad y resguardo de los activos tecnolgicos de la
organizacin.
Tener en un rea visible las normas, polticas y obligaciones de los usuarios
de la red.
mplantar a medida y paulatinamente las normas y estndares TL, COBT
5.0, SO 27001, SO 12207, SO 9001 e SO/EC 9126.
Realizar cursos de educacin tecnolgica.
Realizar capacitaciones al personal sobre los sistemas empleados.
Elaborar y establecer polticas de calidad y seguridad de la informacin.
Evaluar las necesidades de seguridad de cada rea y establecer un
antivirus en general o particular para cada rea.
Evaluar y definir el software que se empleara para realizar las diferentes
tareas de la organizacin.
15. LISTAS DE DISTRIBUCIN DE
AUDITORIA DE T.I.
63
16. MEJORA DE SERVICIOS DE T.I. BASADOS
EN ITIL V3 Y COMO INNOVACIN COBIT
5.'
Basados en COBT 5.0, la accin que se debe realizar para mejorar los servicios
tecnolgicos del rea de nformtica de la SEG, es alinear los objetivos del rea
con los de la organizacin. Dado que COBT se basa en metas en cascada que
generan una integracin y un cubrimiento total de las TC's sobre la organizacin.
Es necesario establecer una buena gestin y gobierno de esta rea con el
fin de satisfacer las necesidades de la organizacin, empleados y dems
involucrados en los procesos laborales de la SEP.
64
reas clave de gobierno y gestin de COBT 5.0
El implantar COBT 5 en la organizacin trae consigo amplios beneficios
dado a que se alinea con TL, la SO/EC 15504, la serie SO/EC 27000, la
SO/EC 38500 y otras normas y estndares que tienen gran peso e importancia
en el gobierno, gestin, seguridad y mejora de procesos en las reas de T de las
diferentes organizaciones.
65
Catalizadores de COBT 5.0
Por parte de TL, aunque COBT 5 cubre tres bibliotecas, es necesario
fortalecer la organizacin mediante la implantacin de la biblioteca Diseo de
Servicios de T esto, con el fin de alinear correctamente las T con los procesos y
tareas de estos, reducir los costos y mejorar los servicios.
1$. E.PERIENCIAS Y CONCLUSIONES DEL
EQUIPO AUDITOR
Las auditoras a las tecnologas de informacin y comunicaciones realizadas
utilizando la metodologa expuesta en este trabajo de investigacin permiten al
auditor y su equipo utilizar un criterio uniforme para seleccionar los objetivos de
control y herramientas de auditora que los conducir a la obtencin de un informe
fundamentado en estndares conocidos a nivel internacional.
Por otro lado, la incorporacin la norma tcnica SO/EC 9126 y 12207 es
una fortaleza que ayuda a los auditores a orientarse de mejor forma respecto a
los requisitos del negocio que tienen relacin con el uso de la tecnologa. Cada
da surgen nuevas tendencias y productos que aparentemente ayudan a cumplir
de forma ms eficiente y eficaz los objetivos planteados por la organizacin pero
66
que, por otro lado, aumentan la complejidad con la cual deben lidiar los directores
y ejecutivos a cargo de la administracin.
El nivel de complejidad con el cual deben convivir las organizaciones ha
aumentado en los ltimos aos a raz de la explosiva masificacin del uso de
sistemas de informacin que soportan la mayora los procesos del negocio. La
adopcin de nuevas tecnologas al interior de una organizacin impacta
directamente en la manera de hacer las cosas, siendo comn encontrar una gran
cantidad de proyectos que fracasan debido a la resistencia al cambio que
manifiestan los empleados y usuarios en la organizacin.
Ahora bien, si esta problemtica fuese abordada por auditores que
conocen y entienden los problemas y desafos que conlleva el uso de tecnologas
de informacin, la realidad actual que viven los servicios pblicos podra mejorar
de manera positiva.
Las experiencias fueron muy favorables ya que aprendimos cosas nuevas,
adems aportamos nuestro granito de arena en el proceso de mejora en la
empresa, nos quedamos con un grado de satisfaccin ambas partes.
67
1( GLOSARIO
Definiciones admitidas en general por las normas SO, relativas a sistemas de
gestin:
Auditora Interna: Proceso sistemtico, independiente y documentado para
obtener evidencias de la auditora y evaluarlas de manera objetiva con el fin de
determinar el grado en que se cumplen los criterios de auditora. Las auditoras
internas se realizan por, o en nombre de, la propia organizacin para la revisin
por la direccin y otros fines internos, su propsito es evaluar el Sistema de
Gestin para mejorarlo y puede tambin constituir la base para la declaracin de
conformidad.
Criterios de auditora: Conjunto de polticas, procedimientos o requisitos.
Evidencia de la auditora: Registros, declaraciones de hechos o cualquier otra
informacin que son pertinentes para los criterios de auditora y que son
verificables.
68
Nalla%gos de la auditora: Resultados de la evaluacin de la evidencia de la
auditora recopilada frente a los criterios de auditora. Los hallazgos de la auditora
pueden indicar conformidad o no conformidad con los criterios de auditora, u
oportunidades de mejora.
Conclusiones de la auditora: Resultado de una auditora que proporciona el
equipo auditor tras considerar los objetivos de la auditora y todos los hallazgos de
la auditora.
Programa de la auditora: Conjunto de una o ms auditoras planificadas para
un periodo de tiempo determinado y dirigidas hacia un propsito especfico

Plan de auditora: Descripcin de las actividades y de los detalles acordados de
una auditora.
Alcance de la auditora: Extensin y lmites de una auditora. ncluye
generalmente una descripcin de las ubicaciones, las unidades de la organizacin,
las actividades y los procesos, as como el perodo de tiempo cubierto.
Auditor: Persona con la competencia para llevar a cabo una auditora.
E&ui!o auditor: Uno o ms auditores que llevan a cabo una auditora, con el
apoyo, si es necesario, de expertos tcnicos.
Auditado: Responsable de un rea o persona delegada por l, que va a ser
sometido a control por parte del auditor para comprobar el cumplimiento del rea a
su cargo respecto del marco normativo de referencia.
=o conformidad mayor: incumplimiento total de una parte de la norma o un
procedimiento, o no aplicacin de objetivos de control y/o controles que sean de
aplicacin y no estn debidamente justificados.
69
=o conformidad menor: incumplimiento parcial de una parte de la norma o de lo
dictado en alguno de los procedimientos.
:9servaciones: recomendaciones de mejora por parte del auditor que podran
derivar en no conformidades en aos sucesivos. No sera un incumplimiento.

1+ REFERENCIAS BIBLIOGR!FICAS
SACA. 2012. COBT 5: Un Marco de Negocio para el Gobierno y la Gestin delas
T de la Empresa. Estados Unidos de Amrica.
Gmez Viertes, lvaro. "Sistemas de nformacin, Herramientas Prcticas para la
Gestin Empresarial. Editora RAMA. Madrid. Espaa. 196 pp.
AENOR ediciones. Cmo gestionar con xito una auditora interna conforme a
SO 9001:2008. Ann W. Philips. 2010.
SACA. TAF (A Professional Practices Framework for S Audit/Assurance). 2nd
Edition. 2013.
70

SACA. "Marco general de estndares de aseguramiento y auditora de
T.www.isaca.org/standards .
71