rea Acadmica: Tecnologas de la Informacin y Comunicacin.
Programa Educativo: Ingeniera en Tecnologas de la Informacin y
Comunicacin. Asignatura: Auditoria de Sistemas de TI. Alumnos: Cristo!er "dgar #$%&ue% Arredondo' (uan Eloy )*+iga Serrato y Camilo Tavera ,artne%. -ru!o: -ITI./0123 Perodo de entrega: 4/ de agosto del 5.41. Prof. 6SC 7 ,IE: 8oana Eli%a9et ,ata Silva. Contenido 1. NTRODUCCN.............................................................................................5 2. ABSTRACT......................................................................................................6 3. OBJETVO GENERAL Y OBJETVOS ESPECFCOS DEL PROYECTO........8 4. ALCANCE DE LA AUDTORA...........................................................................9 1 5. PRESENTACN DEL EQUPO AUDTOR.......................................................9 6. MARCO TERCO (DESCRPCN DE LOS CONCEPTOS GENERALES DE AUDTORA Y SUS REAS DE T., FUNDAMENTADO EN NVESTGACONES, DRECCN DE MODELOS, ESTNDARES Y METODOLOGAS)...................10 7. DESCRPCN GENERAL DE LA EMPRESA...............................................14 7.1 ORGANGRAMA............................................................................................17 7.2 POLTCAS.....................................................................................................18 7.3 DESCRPCN DE LOS PROCESOS GENERALES DEL REA DE T.. (LCENCAS, HW Y SW, PROVEEDORES, SEGURDAD SO 27001, REDES 568B, SSTEMAS CMM).....................................................................................19 7.4 RESULTADOS DEL ANLSS DEL FODA REALZADO PREVAMENTE. (NCLUR REA DE R.H Y CONTROLES NTERNOS PARA EL CUMPLMENTO DE LOS PROCESOS; BTCORAS, REGSTROS, ETC.)....21 8. PLAN DE AUDTORA Y CRONOGRAMA DE TAREAS (MCROSOFT PROJECT)............................................................................................................23 9 ELABORACN DE UN CONTRATO DE AUDTORA.....................................24 10. DSEO DE LSTAS DE VERFCACN PARA:..........................................36 10.1 EVALUACN DE LA SEGURDAD.............................................................36 10.2 EVALUACN EN SELECCN DE PROVEEDORES...............................38 10.3 LCENCAMENTO DE SOFTWARE...........................................................42 10.4 EVALUACN DEL HARDWARE, SOFTWARE Y SSTEMAS...................43 10.5 EVALUACN DE LA RED...........................................................................46 2 10. APLCACN PRCTCA DE LA AUDTORA...........................................48 11.1 RESULTADOS OBTENDOS EN CADA UNA DE LAS REAS DE T.., DE ACUERDO A LOS ESTNDARES APLCADOS.................................................48 11.1.1 EVALUACN DE LA SEGURDAD..........................................................49 11.1.2 EVALUACN EN SELECCN DE PROVEEDORES.............................52 11.1.3 LCENCAMENTO DE SOFTWARE.........................................................57 11.1.4 EVALUACN DEL HARDWARE Y SOFTWARE.....................................59 11.1.5 EVALUACN DE SSTEMAS..................................................................61 11.1.6 EVALUACN DE LA RED........................................................................61 12. DAGNSTCO DE NO CONFORMDADES................................................64 13. ACCONES CORRECTVAS..........................................................................64 14. PROPUESTAS DE MEJORA.........................................................................65 15. LSTAS DE DSTRBUCN DE AUDTORA DE T......................................66 16. MEJORA DE SERVCOS DE T.. BASADOS EN TL V3 Y COMO NNOVACN COBT 5.0.....................................................................................67 17. EXPERENCAS Y CONCLUSONES DEL EQUPO AUDTOR...................69 18 GLOSARO......................................................................................................71 19 REFERENCAS BBLOGRFCAS................................................................73 3 1.INTRODUCCIN La nformtica hoy, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. Las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoria nformtica. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. 4 Para realizar auditora de gestin a las tecnologas de informacin y comunicaciones requiere realizar una adecuada planeacin de la auditora, se debe tener un conocimiento general razonable que permita determinar el alcance, tamao y caractersticas de cada rea de Tecnologa de la nformacin y Comunicacin dentro de la organizacin que se auditar, sus sistemas, procesos sistematizados, normativa tcnica utilizada por la entidad, adopcin e implementacin de estndares internacionales relacionados con seguridad de la informacin, control interno y servicios tecnolgicos, organizacin y equipo fsico y lgico. 2.ABSTRACT This manual audit the information and communications technologies describes procedures that auditors must be used to verify the use of technological resources, confidentiality, reliability, integrity and availability of information processed by automated information systems and support automation of operational and administrative processes of the entity to grow to management indicators of efficiency, effectiveness and economy of information and communications technologies implemented by the institution and submit timely and accurate conclusions and recommendations to guide to correct deficiencies which may come into existence and achieve improvement. 5 n the first section an overview of the research are described as: title of the research, problem definition, research objectives, scope of the research process including audit the information and communication technologies, the methodology used, a history of the information technology and communications in the different entities of public and municipal sector continually working with computer systems. n another aspect, the development of research, the objectives of the manual, the design, preparation and storage of working papers and the nature of audit documentation are described, along with the procedures to be developed by auditors in the planning phase and international auditing standards involved in the process of auditing the information and communications technologies. n another area, describes the development of a management audit of the CT in the planning phase to give an understanding and comprehension of the following: environment of the institution and the Department of nformation Technology, systematized processes, risk management, evaluation of performance indicators, internal control and organization of the area of information and communications technology. n another aspect, the computer tests that can be applied to research and obtaining evidence of the causes weakness in technology management, evaluation and collection of sufficient appropriate evidence to allow assisted to make findings about the described operational management of information technology and communications. Finally described in a preliminary report, the results that will be released to the administration including all matters of minor importance, these minor issues are risks that can be managed and that the auditor's judgment are not impact on the management of information technology and communications, having guaranteed the right of defense management, analyzed the responses and comments, the audit report the auditor's conclusions based on the use of information technology 6 and communications issues and indicators measuring management efficiency and effectiveness. 3. OBJETIVO GENERAL Y OBJETIVOS ESPECFICOS DEL PROYECTO El objetivo general de la auditora de gestin a las tecnologas de informacin y comunicaciones es evaluar la eficiencia, economa, efectividad y confiabilidad de la informacin, para la toma de decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
:9;etivos Es!ecficos. 7 Asegurar la integridad, confidencialidad, confiabilidad y oportunidad de la informacin. Seguridad de los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de tecnologa de informacin en los procesos sistematizados. Conocer la situacin actual del rea informtica para el logro de objetivos estratgicos y operativos de la institucin. Apoyo de funcin del rea de tecnologa de informacin y comunicaciones a las metas y objetivos de la organizacin. Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente tecnolgico. ncrementar la satisfaccin de los usuarios que reciben los servicios sistematizados. Buscar una mejor relacin costo-beneficio de los sistemas automatizados. 4. ALCANCE DE LA AUDITORA El alcance que tendr la investigacin comprende todo el proceso de auditora de gestin a las tecnologas de informacin y comunicaciones, e incluye las fases de planificacin, ejecucin e informe. La Auditora de Gestin a las Tecnologas de nformacin y Comunicaciones, comprender un examen a los controles generales y especficos TC's y procedimientos sustantivos y administrativos de la entidad, apoyados por 8 recursos tecnolgicos, para el cumplimiento de sus objetivos estratgicos y operativos, con el propsito de mejorar la efectividad, eficiencia, economa y confidencialidad de la informacin y la prestacin de los servicios en las entidades pblicas y municipales. 5. PRESENTACIN DEL EQUIPO AUDITOR Juan Eloy Ziga Serrato. Christopher dgar Vzquez Arredondo Camilo Tavera Martnez. 6. MARCO TERICO DESCRIPCIN DE LOS CONCEPTOS GENERALES DE AUDITORA Y SUS !REAS DE T.I" FUNDAMENTADO EN INVESTIGACIONES" DIRECCIN DE MODELOS" EST!NDARES Y METODOLOGAS# El auditor de las tecnologas de informacin y comunicaciones, deber de tener conocimientos de los diferentes estndares que ayudan al control, operacin y 9 administracin de los recursos tecnolgicos, control de inversiones en tecnologa de informacin y comunicaciones a nivel fsico y lgico y procesos documentados de tecnologa de informacin y comunicaciones. Dichos estndares inciden en el proceso de la auditoria, ya que las entidades de gobierno los implementan segn sus necesidades de resguardo, uso y proteccin de la informacin, que es un activo importante dentro de la organizacin para asegurarse que la informacin se encuentre disponible, oportuna y utilizada por los funcionarios autorizados. Para la realizacin de una auditora de TCS, existen Normas de relacionadas a la Auditora de Sistemas las cuales son emitidas por el Consejo Normativo de la Asociacin de Auditora y Control de Sistemas de nformacin (nformation Systems Audit and Control Association SACA). Para documentar el proceso de auditora, la Organizacin nternacional de Entidades Fiscalizadoras (NTOSA), ha emitido lineamientos generales que destacan la importancia de documentar el trabajo de auditora. ITI6 Esta metodologa es la aproximacin ms globalmente aceptada para la gestin de servicios de tecnologas de informacin en todo el mundo, ya que es una recopilacin de las mejores prcticas tanto del sector pblico como del sector privado que se apoyan en herramientas de evaluacin e implementacin. ITI6 como metodologa propone el establecimiento de estndares que ayudan al control, operacin y administracin de los recursos. Plantea hacer una revisin y reestructuracin de los procesos existentes en caso de que estos lo necesiten (si el nivel de eficiencia es bajo o que haya una forma ms eficiente de hacer las cosas), lo que nos lleva a una mejora continua. Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentacin pertinente, ya que esta puede ser de gran utilidad para otros miembros del rea, adems de que quedan asentados todos los 10 movimientos realizados, permitiendo que toda los usuarios estn al tanto de los cambios y no se tome a nadie por sorpresa. C:<IT conjunto de mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TC que son necesarias para alinear TC con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez de los procesos de la organizacin y tiene como propsito "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologas de la informacin que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso continuo de los gestores de negocios (tambin directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBT porque les ayuda a entender sus sistemas de informacin (o tecnologas de la informacin) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compaas mediante el desarrollo de un modelo de administracin de las tecnologas de la informacin. =:>,A ?E E#A6@ACIA= IS:BIEC 045C: Esta norma nternacional fue publicada en 1992, la cual es usada para la evaluacin de la calidad de software, llamado "nformation technology-Software product evaluation-Quality characteristics and guidelines for their use; o tambin conocido como SO 9126 (o SO/EC 9126). Este estndar describe 6 caractersticas generales: Funcionalidad, Confiabilidad, Usabilidad, Eficiencia, Mantenibilidad, y Portabilidad. 6a norma IS:BIEC 045C permite especificar y evaluar la calidad del software desde diferentes criterios asociados con adquisicin, requerimientos, desarrollo, uso, evaluacin, soporte, mantenimiento, aseguramiento de la calidad y auditoria de software. Los modelos de calidad para el software se describen as: Calidad interna y externa: Especifica 6 caractersticas para calidad interna y externa, las cuales, estn subdivididas. Estas divisiones se manifiestan externamente cuando el software es usado como parte de un sistema nformtico, y son el resultado de atributos internos de software. 11 Calidad en uso: Calidad en uso es el efecto combinado para el usuario final de las 6 caractersticas de la calidad interna y externa del software. Especifica 4 caractersticas para la calidad en uso. Funcionalidad, Confiabilidad, Usabilidad y Eficiencia. El IS:BIEC 455.D: Es el estndar para los procesos de ciclo de vida del software de la organizacin SO. Este estndar se concebi para aquellos interesados en adquisicin de software, as como desarrolladores y proveedores. El estndar indica una serie de procesos desde la recopilacin de requisitos hasta la culminacin del software. El estndar comprende 17 procesos lo cuales son agrupados en tres categoras: Principales De apoyo De organizacin Este estndar agrupa las actividades que se pueden llevar a cabo durante el ciclo de vida del software en cinco procesos principales, ocho procesos de apoyo y cuatro procesos organizativos. Cada proceso del ciclo de vida est divido en un conjunto de actividades; cada actividad se sub -divide a su vez en un conjunto de tareas. Los procesos principales del ciclo de vida son cinco el cual brinda servicio a las partes principales durante el ciclo de vida del software. Una parte principal es aquella que inicia o lleva a cabo el desarrollo, operacin, o mantenimiento de los productos software. Estas partes principales son el adquiriente, el proveedor, el desarrollador, el operador y el responsable de mantenimiento de productos software. Los procesos principales son: Proceso de Ad&uisicin: Define las actividades del adquiriente, es decir, la organizacin que adquiere un sistema, producto software o servicio software 12 Proceso de Suministro: Se relaciona con las actividades del proveedor, organizacin que proporciona sistema, producto o servicio software al adquiriente Proceso de ?esarrollo: Define las actividades que tiene que llevar a cabo el desarrollador, organizacin que define y desarrolla el producto software Proceso de :!eracin: Define las actividades del operador, organizacin que proporciona el servicio, organizacin que proporciona el servicio de operar un sistema informtico en su entorno real Proceso de ,antenimiento: Define las actividades del responsable de mantenimiento o la organizacin que se encarga de esta funcin; es decir, la gestin de las modificaciones al producto para mantenerlo actualizado y operativo $. DESCRIPCIN GENERAL DE LA EMPRESA ,isin Promover una administracin escolar eficiente que apoye la labor educativa; facilitar la participacin de los particulares en la prestacin de los servicios educativos; el trnsito de los educandos en el sistema educativo nacional, mediante polticas que faciliten las resoluciones de la autoridad en materia de equivalencias y revalidaciones de estudios; la acreditacin de los conocimientos adquiridos de manera autodidacta, por la experiencia laboral o con base en el rgimen de certificacin referido a la formacin para el trabajo, y el otorgamiento de becas. 13 #isin En el ao 2025, Guanajuato cuenta con un sistema educativo amplio, articulado y diversificado, que ofrece educacin para el desarrollo humano integral de su poblacin. El sistema es reconocido nacional e internacionalmente por su calidad y constituye el eje bsico del desarrollo cultural, cientfico, tecnolgico, econmico y social. #alores Honestidad. Responsabilidad. Honradez. Respeto. Compromiso. ntegridad. Liderazgo y Actitud de Servicio. Disciplina e igualdad. :<(ETI#:S :>-A=I)ACI:=A6ES Pro!sito La SEG tiene como propsito esencial crear condiciones que permitan asegurar el acceso de todas las mexicanas y mexicanos a una educacin de calidad, en el nivel y modalidad que la requieran y en el lugar donde la demanden. :9;etivo general Promover la mejora de la gestin institucional de la Secretara de Educacin de Guanajuato apoyando en el control de sus procesos, la alineacin de sus estructuras organizacionales y la implementacin de modelos innovadores 14 de direccin que contribuyan a la mejora de la calidad educativa y a la percepcin ciudadana de los servicios que ofrece la Secretara. :9;etivos es!ecficos Promover e impulsar la gestin para resultados de la Secretara mediante el control e innovacin de los procesos, servicios y arquitecturas normativas de la SEG aplicando metodologas estratgicas en la materia. Proporcionar la asesora tcnica y orientacin en materia organizacional para que las unidades de la Secretara de Educacin Pblica realicen, conforme a la normatividad y procedimientos vigentes, los estudios necesarios que les permitan elaborar propuestas para contar con estructuras orgnicas ptimas y manuales administrativos actualizados que propicien la calidad y eficiencia en los servicios que ofrecen. Cdigo de conducta Quienes laboramos en la Secretara de Educacin de Guanajuato compartimos la responsabilidad y el privilegio de contribuir a la tarea fundamental para el desarrollo y prosperidad de Mxico: la formacin de las y los buenos ciudadanos que habrn de tomar las riendas de nuestro gran pas en el futuro cercano. De ah la importancia de desempear con eficiencia y eficacia nuestro trabajo, de hacerlo con honestidad, apego a la legalidad, con vocacin de servicio, respeto, equidad, amabilidad, inclusin, tolerancia y no discriminacin de ningn tipo, lo mismo hacia nuestras compaeras y compaeros de trabajo que con las y los nios, jvenes y ciudadana a los cuales nos debemos. De igual manera, es esencial actuar con transparencia y rendicin de cuentas, as como perseverar en nuestro desarrollo profesional y humano, observar una vida sana y cuidar el medio ambiente. Para alcanzar estos propsitos, es necesario contar con un referente tico que oriente las conductas de quienes colaboramos en esta Secretara. Este 15 modelo de comportamiento, contiene los elementos que expresan la manera en que las y los servidores pblicos habremos de conducirnos, considerando ante todo la bsqueda del bien comn. $.1 ORGANIGRAMA 16 $.2 POLTICAS 17 "Brindar servicios de excelencia para satisfacer las expectativas de nuestros usuarios con relacin a las Tecnologas de la nformacin y de Telecomunicaciones, cumpliendo con apego a la normatividad vigente y con el compromiso de mantener un Sistema de Gestin de la Calidad y de mejora continua". :9;etivos de Calidad Los objetivos generales de la calidad de la SEG, son los siguientes: Atender en el tiempo establecido los servicios interrumpidos; los mantenimientos preventivos de cmputo y telecomunicaciones; los desarrollos de sistemas informticos y su mantenimiento, as como los dems servicios prestados de tecnologa de la informacin. Ejercer el presupuesto calendarizado para gastos de administracin (Captulos 2000 y 3000) mediante la administracin y gestin en tiempo y forma del presupuesto total asignado. Obtener un nivel promedio de 4 de calificacin en la encuesta de medicin de expectativas de servicio. ncrementar un punto en la encuesta de clima organizacional, con respecto a la encuesta aplicada en el ao anterior. Cabe destacar que cada rea que conforma a la SEG, ha establecido objetivos especficos de calidad, mediante los cuales se da seguimiento al cumplimiento de los procesos, as como de los requisitos de los productos y/o servicios proporcionados. 18 $.3 DESCRIPCIN DE LOS PROCESOS GENERALES DEL !REA DE T.I. LICENCIAS" %& Y S&" PROVEEDORES" SEGURIDAD ISO 2$''1" REDES 56(B" SISTEMAS CMMI# En la empresa auditada, en el rea de TCs se encuentra diferente tipo de software y hardware, en el caso del licenciamiento de software, se tiene gran variedad tal como: Free software (Freeware): Libre Software gratuito. Software Semilibre De prueba. Software con licencia. En relacin a los proveedores, cuenta con gran variedad de los cules estos estn altamente posicionados en el mercado adems de brindar un servicio oportuno, eficiente y de calidad. Respecto a certificacin, no cuenta con certificacin alguna como tal ya que solo brindan servicio a los usuarios correspondientes al giro de la empresa, el desarrollo de software lo realizan a travs de la contratacin de una empresa externa con posicionamiento en el mercado regional y estatal, tal es el caso de CADES. 19 Este punto se puede observar muy poco puesto que el rea auditada es una extensin de la matriz que se encuentra en el estado de Guanajuato y la mayor parte del control se lleva directamente por la misma empresa. 20 $.4 RESULTADOS DEL AN!LISIS DEL FODA REALI)ADO PREVIAMENTE. INCLUIR !REA DE R.% Y CONTROLES INTERNOS PARA EL CUMPLIMIENTO DE LOS PROCESOS* BIT!CORAS" REGISTROS" ETC.# 3ortale%as :!ortunidades Calidad total de los productos adquiridos. nnovacin en la tecnologa que se maneja. Misin, Visin, Objetivos y Metas bien definidos. Actitud positiva de los empleados. Cumplimiento con el horario de trabajo. Cursos de capacitacin y actualizacin por personal y empresas certificadas. Destitucin de personal incompetente por personal competente. ncremento en la disponibilidad de recurso monetario para la adquisicin de equipo. Debilidades Amena%as Servicio al cliente. Alta resistencia al cambio. Retraso en capturas de los procesos. Los equipos y servicios se utilizan para fines personales y no para los que fueron instalados. Personal incompetente en el uso y manejo de los sistemas de T. Equipos de cmputo Contratacin de personal que no cumple con los perfiles solicitados en el manual de organizacin. ngreso de productos importados. Sistema y modelos educativos diferentes. 21 desactualizados. Mala administracin de la red y el ancho de banda. Las licencias utilizadas. Seguridad de la informacin. Mala administracin de los sistemas. 22 (. PLAN DE AUDITORIA Y CRONOGRAMA DE TAREAS MICROSOFT PROJECT# Acciones 4. >eco!ilacin de informacin acerca de la em!resa y es!ecficamente so9re el softEare y el softEare &ue utili%a la misma em!resa. 5. ?efinicin de recursos a utili%ar Fumanos' financieros y tcnicosG. H. Ela9oracin del !lan y !rogramas de tra9a;o. >eali%acin del formato de solicitud. Ela9oracin del cronograma de actividades. -eneracin de erramientas !ara la auditora inform$tica. CecIlist Fseguridad inform$tica' res!aldo de informacin' mane;o de softEare' e&ui!amiento' infraestructura de redG Entrevistas Cuestionarios Ela9oracin de formatos de re!ortes de resultados. 1. Iniciacin de la auditoria. /. An$lisis Bsntesis de los resultados o9tenidos. C. #erificacin de la informacin. D. Evaluacin de cum!limiento de o9;etivos. J. >edaccin de informe final. 0. Entrega de resultados de la auditoria 23 + ELABORACIN DE UN CONTRATO DE AUDITORIA CONTRATO 025D En Dolores Hidalgo C.I.N., Gto, a 25 de julio del 2013 REUNIDOS DE UNA PA!E, SECRETARIA DE EDUCACIN DE GUANA1UATO Representada por MARIO GMEZ PREZ "a#or de edad, $on D.N.I. n%"ero 89415 # en no"&re # re'resenta$i(n de SUPERVISIN ESCOLAR, en adelante, el )CLIENTE*, do"i$iliada en Dolores Hidalgo, $alle Prolongacin Veracruz n+ S/N, C.P. 37800 # C.I.,. 89574 DE -!A PA!E, CAMILO TAVERA MARTINEZ "a#or de edad, $on D.N.I. n%"ero 158935H15 # en no"&re # re'resenta$i(n de la "er$antil, Avantelogic en adelante, el )PROVEEDOR*, do"i$iliada en Quertaro, Quertaro, $alle Pinos n+ )85, C.P. 98621 # C.I.,. 789521. El C.IEN!E # el P-/EED-, en adelante, 'odr0n ser deno"inadas, indi1idual"ente, )la Parte* #, $onjunta"ente, )las Partes*, re$ono$i2ndose "utua"ente $a'a$idad jur3di$a # de o&rar su4i$iente 'ara la $ele&ra$i(n del 'resente Contrato EXPONEN PRIMERO5 6ue el C.IEN!E est0 interesado en la $ontrata$i(n de los ser1i$ios de5 a7 Auditoria de los siste"as in4or"0ti$os. &7 eali8a$i(n de un in4or"e detallado so&re la situa$i(n de los siste"as in4or"0ti$os, $on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os. El C.IEN!E est0 interesado en $ontratar di$:os ser1i$ios 'ara $ono$er la situa$i(n # la o'erati1idad de sus siste"as in4or"0ti$os, so4t;are, :ard;are # red [Auditoria Externa] 24 SEGUNDO5 6ue el P-/EED- es una e"'resa es'e$iali8ada en la 'resta$i(n de ser1i$ios de Auditoria, segui"iento, $onser1a$i(n de siste"as in4or"0ti$os # 4or"a$i(n. TERCERO5 6ue las Partes est0n interesadas en $ele&rar un $ontrato de PE<!ACI=N DE <E/ICI-< IN,->?!IC-< en 1irtud del $ual el P-/EED- 'reste al C.IEN!E los ser1i$ios de5 a7 Auditoria de los siste"as in4or"0ti$os. &7 eali8a$i(n de un in4or"e detallado so&re la situa$i(n de los siste"as in4or"0ti$os, $on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os. 6ue las Partes reunidas en la sede so$ial del C.IEN!E, a$uerdan $ele&rar el 'resente $ontrato de PE<!ACI=N DE <E/ICI-< IN,->?!IC-<, en adelante, el )Contrato*, de a$uerdo $on las siguientes CLUSULAS PRIMERA.- OB1ETO En 1irtud del Contrato el P-/EED- se o&liga a 'restar al C.IEN!E los ser1i$ios de auditoria de los siste"as in4or"0ti$os del C.IEN!E # la reali8a$i(n 'osterior de un in4or"e detallado 'ara $ono$er la situa$i(n # la o'erati1idad de sus siste"as in4or"0ti$os, so4t;are # :ard;are, $on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os. [Auditora general] en adelante, )los Servicios*, en los t2r"inos # $ondi$iones 're1istos en el Contrato y en todos sus Anexos. SEGUNDA.- TRMINOS Y CONDICIONES GENERALES Y ESPECIFICOS DE PRESTACIN DE LOS SERVICIOS 2.1. .os <er1i$ios se 'restar0n en los siguientes t2r"inos # $ondi$iones generales5 2.1.1. El P-/EED- res'onder0 de la $alidad del tra&ajo desarrollado $on la diligen$ia e@igi&le a una e"'resa e@'erta en la reali8a$i(n de los tra&ajos o&jeto del Contrato. 2.1.2. El P-/EED- se o&liga a gestionar # o&tener, a su $argo, todas las li$en$ias, 'er"isos # autori8a$iones ad"inistrati1as 9ue 'udieren ser ne$esarias 'ara la reali8a$i(n de los <er1i$ios. 2.1.3. El P-/EED- se :ar0 $argo de la totalidad de los tri&utos, $ual9uiera 9ue sea su naturale8a # $ar0$ter, 9ue se de1enguen $o"o $onse$uen$ia del Contrato, 25 as3 $o"o $uales9uiera o'era$iones 43si$as # jur3di$as 9ue $onlle1e, sal1o el I"'uesto so&re el /alor AAadido BI/A7 o su e9ui1alente, 9ue el P-/EED- re'er$utir0 al C.IEN!E. 2.1.C. El P-/EED- guardar0 $on4iden$ialidad so&re la in4or"a$i(n 9ue le 4a$ilite el C.IEN!E en o 'ara la eje$u$i(n del Contrato o 9ue 'or su 'ro'ia naturale8a de&a ser tratada $o"o tal. <e e@$lu#e de la $ategor3a de in4or"a$i(n $on4iden$ial toda a9uella in4or"a$i(n 9ue sea di1ulgada 'or el C.IEN!E, a9uella 9ue :a#a de ser re1elada de a$uerdo $on las le#es o $on una resolu$i(n judi$ial o a$to de autoridad $o"'etente. Este de&er se "antendr0 durante un 'la8o de tres aAos a $ontar desde la 4inali8a$i(n del ser1i$io. 2.1.5. En el $aso de 9ue la 'resta$i(n de los <er1i$ios su'onga la ne$esidad de a$$eder a datos de $ar0$ter 'ersonal, el P-/EED-, $o"o en$argado del trata"iento, 9ueda o&ligado al $u"'li"iento de la .e# 15D1EEE, de 13 de di$ie"&re, de Prote$$i(n de Datos de Car0$ter Personal # del eal De$reto 1F20D200F, de 21 de di$ie"&re, 'or el 9ue se a'rue&a el egla"ento de desarrollo de la .e# -rg0ni$a 15D1EEE # de"0s nor"ati1a a'li$a&le. El P-/EED- res'onder0, 'or tanto, de las in4ra$$iones en 9ue 'udiera in$urrir en el $aso de 9ue destine los datos 'ersonales a otra 4inalidad, los $o"uni9ue a un ter$ero, o en general, los utili$e de 4or"a irregular, as3 $o"o $uando no ado'te las "edidas $orres'ondientes 'ara el al"a$ena"iento # $ustodia de los "is"os. A tal e4e$to, se o&liga a inde"ni8ar al C.IEN!E, 'or $uales9uiera daAos # 'erjui$ios 9ue su4ra dire$ta"ente, o 'or toda re$la"a$i(n, a$$i(n o 'ro$edi"iento, 9ue traiga su $ausa de un in$u"'li"iento o $u"'li"iento de4e$tuoso 'or 'arte del P-/EED- de lo dis'uesto tanto en el Contrato $o"o lo dis'uesto en la nor"ati1a reguladora de la 'rote$$i(n de datos de $ar0$ter 'ersonal. A los e4e$tos del art3$ulo 12 de la .e# 15D1EEE, el P-/EED- %ni$a"ente tratar0 los datos de $ar0$ter 'ersonal a los 9ue tenga a$$eso $on4or"e a las instru$$iones del C.IEN!E # no los a'li$ar0 o utili8ar0 $on un 4in distinto al o&jeto del Contrato, ni los $o"uni$ar0, ni si9uiera 'ara su $onser1a$i(n, a otras 'ersonas. En el $aso de 9ue el P-/EED- destine los datos a otra 4inalidad, los $o"uni9ue o los utili$e in$u"'liendo las esti'ula$iones del Contrato, ser0 $onsiderado ta"&i2n res'onsa&le del trata"iento, res'ondiendo de las in4ra$$iones en 9ue :u&iera in$urrido 'ersonal"ente. El P-/EED- de&er0 ado'tar las "edidas de 3ndole t2$ni$a # organi8ati1as ne$esarias 9ue garanti$en la seguridad de los datos de $ar0$ter 'ersonal # e1iten su altera$i(n, '2rdida, trata"iento o a$$eso no autori8ado, :a&ida $uenta del estado de la te$nolog3a, la naturale8a de los datos al"a$enados # los riesgos a 26 9ue est0n e@'uestos, #a 'ro1engan de la a$$i(n :u"ana o del "edio 43si$o o natural. A estos e4e$tos el P-/EED- de&er0 a'li$ar los ni1eles de seguridad 9ue se esta&le$en en el eal De$reto 1F20D200F de a$uerdo a la naturale8a de los datos 9ue trate. 2.1.G. El P-/EED- res'onder0 de la $orre$$i(n # 're$isi(n de los do$u"entos 9ue a'orte al C.IEN!E en eje$u$i(n del Contrato # a1isar0 sin dila$i(n al C.IEN!E $uando dete$te un error 'ara 9ue 'ueda ado'tar las "edidas # a$$iones $orre$toras 9ue esti"e o'ortunas. 2.1.F. El P-/EED- res'onder0 de los daAos # 'erjui$ios 9ue se deri1en 'ara el C.IEN!E # de las re$la"a$iones 9ue 'ueda reali8ar un ter$ero, # 9ue tengan su $ausa dire$ta en errores del P-/EED-, o de su 'ersonal, en la eje$u$i(n del Contrato o 9ue deri1en de la 4alta de diligen$ia re4erida anterior"ente. 2.1.H. .as o&liga$iones esta&le$idas 'ara el PROVEEDOR 'or la 'resente $l0usula ser0n ta"&i2n de o&ligado $u"'li"iento 'ara sus 'osi&les e"'leados, $ola&oradores, tanto e@ternos $o"o internos, # su&$ontratistas, 'or lo 9ue el PROVEEDOR res'onder0 4rente al C.IEN!E si tales o&liga$iones son in$u"'lidas 'or tales e"'leados. 2.2. El P-/EED- 'restar0 los <er1i$ios en los siguientes t2r"inos # $ondi$iones es'e$34i$os5 2.2.1. El P-/EED- reali8ar0 una auditoria de los siste"as in4or"0ti$os del C.IEN!E 'ara $ono$er la situa$i(n e@a$ta en 9ue se en$uentran los siste"as in4or"0ti$os del C.IEN!E, so4t;are # :ard;are. 2.2.2. Una 1e8 reali8ada la auditoria, los t2$ni$os en$argados de la "is"a reali8ar0n un in4or"e detallado de la situa$i(n, $on un 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as in4or"0ti$os en el d3a a d3a # 9ue 'lani4i9ue las ne$esidades 9ue 1an surgiendo en el C.IEN!E, atendiendo a las nue1as te$nolog3as # su $onstante e1olu$i(n. Di$:o 'lan 'odr0 lle1ar a la $ontrata$i(n de otros ser1i$ios 'restados 'or el P-/EED-. 2.2.3. Para la reali8a$i(n de la auditoria se des'la8ar0n a la sede del C.IEN!E dos t2$ni$os del P-/EED-, uno $o"o analista de siste"as # otro $o"o asesor in4or"0ti$o. 2.2.C. .os t2$ni$os del P-/EED- reali8ar0n su tra&ajo durante el :orario $o"er$ial del C.IEN!E [indicar horario e incluir cuando proceda fines de semana y festivos]. 27 2.2.5. El C.IEN!E $on la asisten$ia del P-/EED- reali8ar0 las $o'ias ne$esarias de la 'rogra"a$i(n, in4or"a$i(n, et$., 'ara e1itar su desa'ari$i(n en el trans$urso de la auditoria. 2.2.G. El P-/EED- reali8ar0 $ontroles re"otos, 'ara ela&orar un diagn(sti$o a tra12s de so'orte $on P.C. o 'or tel24ono, de los siste"as in4or"0ti$os del C.IEN!E. 2.2.F. El en$argado de los siste"as in4or"0ti$os del C.IEN!E estar0 en todo "o"ento a dis'osi$i(n de los t2$ni$os del P-/EED- 'ara la reali8a$i(n de la auditoria # 4a$ilitar0 las $la1es # 'ass;ords ne$esarios 'ara $o"'ro&ar todos los siste"as # la des$ri'$i(n de los "is"os. 2.2.H. eali8ada la auditoria # antes de 4inali8ar el in4or"e $o"'leto, sin el 'lan 'ara garanti8ar el ('ti"o ni1el, se entregar0 al C.IEN!E una $o'ia del in4or"e, en su estado, 'ara su estudio. 2.2.E. Una 1e8 estudiado 'or el C.IEN!E el in4or"e # antes de ela&orar el 'lan 9ue garanti$e el ('ti"o ni1el de los siste"as, el en$argado de los siste"as in4or"0ti$os del C.IEN!E tendr0 las reuniones ne$esarias $on los t2$ni$os del P-/EED- 'ara $on$retar las ne$esidades del C.IEN!E. Cada 'arte lle1ar0 a las reuniones una 'ro'uesta. Una 1e8 $on$retadas las ne$esidades, los t2$ni$os del P-/EED- reali8ar0n el 'lan. 2.2.10. .os 'la8os de entrega del in4or"e # del 'lan se entregar0n $on4or"e la $l0usula 5I de este $ontrato. Una 1e8 entregado el in4or"e in$lu#endo el 'lan, el $ontrato estar0 $u"'lido 2.2.11. El $ontrato 'odr0 ser a"'liado 'ara reali8ar los ser1i$ios ne$esarios 'ara lle1ar el 'lan a &uen t2r"ino. Di$:a a"'lia$i(n ser0 'or a$uerdo es$rito entre las 'artes # el do$u"ento se unir0 al 'resente $ontrato. 2.2.12. El P-/EED- eje$utar0 el Contrato reali8ando de "anera $o"'etente # 'ro4esional los <er1i$ios, $u"'liendo los ni1eles de $alidad e@igidos # $uidando diligente"ente los "ateriales del C.IEN!E 9ue tu1iera 9ue utili8ar $o"o $onse$uen$ia del Contrato. TERCERA.- POLITICA DE USO 28 3.1 El C.IEN!E es el %ni$o res'onsa&le de deter"inar si los ser1i$ios 9ue $onstitu#en el o&jeto de este Contrato se ajustan a sus ne$esidades, 'or lo 9ue el P-/EED- no garanti8a 9ue los ser1i$ios $ontratados se ajuste a las ne$esidades es'e$34i$as del C.IEN!E. CUARTA.- PRECIO Y FACTURACIN.- 4.1 El 're$io del Contrato es de ??? I/A e@$luido. 4.2 El 'ago de las 4a$turas se reali8ar0, tras la a$e'ta$i(n de los tra&ajos 'or el C.IEN!E, "ediante trans4eren$ia &an$aria a los 30 d3as de la 4e$:a de re$e'$i(n de la 4a$tura a la siguiente $uenta $orriente titularidad del P-/EED-5 HSBC 125898741588 QUINTA.- DURACIN DEl CONTRATO 5.1 El 'la8o de reali8a$i(n de la auditoria es de 25 d3as 5.2 El 'la8o de entrega del in4or"e 'ara su estudio es de 5 d3as 5.3 El 'la8o de entrega del in4or"e de4initi1o es de 30 d3as a 'artir de la 4e$:a re4erida en el en$a&e8a"iento del Contrato. SEXTA.- ACUERDO DE NIVEL DE SERVICIO G.1 !odos los <er1i$ios 'restados 'or el P-/EED- se reali8ar0n 'or 'ersonal es'e$iali8ado en $ada "ateria. El 'ersonal del P-/EED- a$udir0 're1isto de todo el "aterial ne$esario, ade$uado # a$tuali8ado, 'ara 'restar los <er1i$ios. G.2 El P-/EED- de&er0 $u"'lir los 'la8os de entrega 9ue se a$uerden $on el C.IEN!E. <e $onsiderar0 un in$u"'li"iento de los 'la8os $uando se su'ere [33 das] # en ese $aso el C.IEN!E 'odr0 e@igir al P-/EED- el 'ago de los daAos # 'erjui$ios 9ue $orres'onda. SPTIMA.- MODIFICACIN .as Partes 'odr0n "odi4i$ar el $ontrato de "utuo a$uerdo # 'or es$rito. OCTAVA.- RESOLUCIN 29 .as Partes 'odr0n resol1er el Contrato, $on dere$:o a la inde"ni8a$i(n de daAos # 'erjui$ios $ausados, en $aso de in$u"'li"iento de las o&liga$iones esta&le$idas en el "is"o. NOVENA.- NOTIFICACIONES .as noti4i$a$iones 9ue se reali$en las Partes de&er0n reali8arse 'or $orreo $on a$use de re$i&o [A travs de oficio] a las siguientes dire$$iones5 C.IEN!E Prolonga$i(n /era$ru8 <DN, Dolores Hidalgo, C.I.N, Gto. CP5 37800 P-/EED-5 en Quertaro, Quertaro, $alle Pinos n+ )85, C.P. 98621 DCIMA.- REGIMEN 1URIDICO El 'resente $ontrato tiene $ar0$ter "er$antil, no e@istiendo en ning%n $aso 13n$ulo la&oral alguno entre el C.IEN!E # el 'ersonal del P-/EED- 9ue 'reste $on$reta"ente los <er1i$ios. !oda $ontro1ersia deri1ada de este $ontrato o 9ue guarde rela$i(n $on 2l Jin$luida $ual9uier $uesti(n relati1a a su e@isten$ia, 1alide8 o ter"ina$i(nK ser0 resuelta "ediante ar&itraje DE DEECH-, ad"inistrado 'or la Asociacin Mexicana de Arbitraje (AMAMEX), de $on4or"idad $on su egla"ento de Ar&itraje 1igente a la 4e$:a de 'resenta$i(n de la soli$itud de ar&itraje. El !ri&unal Ar&itral 9ue se designe a tal e4e$to estar0 $o"'uesto 'or un %ni$o 0r&itro e@'erto # el idio"a del ar&itraje ser0 el (castellano). .a sede del ar&itraje ser0 (xico !.".). L en 'rue&a de $uanto ante$ede, las Partes sus$ri&en el Contrato, en dos eje"'lares # a un solo e4e$to, en el lugar # 4e$:a seAalados en el en$a&e8a"iento POR EL CLIENTE POR EL PROVEEDOR SECRETARIA DE EDUCACIN DE GTO A TRAVS DE SU REPRESENTANTE MARIO GMEZ PREZ AVANTELOGIG REPRESENTADO POR CAMILO TAVERA MARTINEZ. 30 Fdo.: Fdo.: 31 A=EK: C6@S@6A PE=A6' C:=#E=IE=TE E= CAS: ?E P:?E> SE> =E-:CIA?A En virtud de la presente clusula penal que tiene carcter cumulativo y no sustitutivo a los efectos de lo dispuesto en el artculo 1152 del Cdigo Civil, el CLENTE podr aplicar las siguientes penalizaciones por incumplimiento del acuerdo de nivel de servicio. A los efectos de lo previsto en el artculo 1.153 del Cdigo Civil, el PROVEEDOR no podr eximirse del cumplimiento de sus obligaciones pagando la pena. Asimismo, el PROVEEDOR, adems de satisfacer la pena establecida, deber cumplir las obligaciones cuyo incumplimiento se penaliza. Las penalizaciones se detraern del importe pendiente de pago al PROVEEDOR 32 ,odo de tarea =om9re de tarea ?uracin Comien%o 3in Predeceso ras =om9res de los recursos L com!letado Programada manualmente Conocimiento general del $rea de sistemas / das lun 4CB.CB41 vie 5.B.CB41 E&ui!o Auditor 4..L Programada manualmente Organigrama 1 da lun 16/06/14 lun 16/06/14 Equipo Auditor 100% Programada manualmente Estructura del rea o departamento 1 da lun 16/06/14 lun 16/06/14 2 Equipo Auditor 100% Programada manualmente Relaciones funcionales y jerrquicas 1 da mar 17/06/14 mar 17/06/14 3 Equipo Auditor 100% Programada manualmente Recursos (Equipos con los que se cuenta) 1 da mi 18/06/14 mi 18/06/14 4 Equipo Auditor 100% Programada manualmente Aplicaciones en desarrollo 1 da jue 19/06/14 jue 19/06/14 5 Equipo Auditor 100% Programada manualmente Aplicaciones en produccin 1 da vie 20/06/14 vie 20/06/14 6 Equipo Auditor 100% Programada manualmente Planificacin 4. das lun 5HB.CB41 vie .1B.DB41 E&ui!o Auditor 4..L Programada manualmente Concentracin de objetivos 2 das lun 23/06/14 mar 24/06/14 7 Equipo Auditor 100% Programada manualmente Definicin de objetivos y alcances 1 da mar 24/06/14 mar 24/06/14 9 Equipo Auditor 100% Programada manualmente Personas de la organizacin que se involucrarn en el proceso de auditora 2 das mi 25/06/14 jue 26/06/14 10 Equipo Auditor 100% Programada manualmente Plan de trabajo (Tareas, calendario, resultados parciales y presupuesto) 6 das vie 27/06/14 vie 04/07/14 11 Equipo Auditor 100% 33 Programada manualmente ?esarrollo de la auditora 5. das lun .DB.DB41 vie .4B.JB41 E&ui!o Auditor 4..L Programada manualmente Entrevistas 3 das lun 07/07/14 mi 09/07/14 12 Equipo Auditor 100% Programada manualmente Cuestionarios 3 das jue 10/07/14 lun 14/07/14 14 Equipo Auditor 100% Programada manualmente Observacin de las situaciones deficientes 7 das mar 15/07/14 mi 23/07/14 15 Equipo Auditor 100% Programada manualmente Observacin de los procedimientos 7 das jue 24/07/14 vie 01/08/14 16 Equipo Auditor 100% Programada manualmente 3ase de diagnstico 5 das lun .1B.JB41 mar ./B.JB41 E&ui!o Auditor 4..L Programada manualmente Definicin de los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora 2 das lun 04/08/14 mar 05/08/14 17 Equipo Auditor 100% Programada manualmente Presentacin de las conclusiones H das mar ./B.JB41 ;ue .DB.JB41 E&ui!o Auditor 4..L Programada manualmente ntegracin de soporte documental 1 da mar 05/08/14 mar 05/08/14 19 Equipo Auditor 100% Programada manualmente Formulacin de cdulas de observaciones y papeles de trabajo 1 da mi 06/08/14 mi 06/08/14 21 Equipo Auditor 100% Programada manualmente nforme final 1 da jue 07/08/14 jue 07/08/14 22 Equipo Auditor 100% Programada manualmente 3ormulacin del !lan de me;oras 1 das vie .JB.JB41 mi 4HB.JB41 E&ui!o Auditor J.L Programada manualmente Resumen de las deficiencias encontradas 1 da vie 08/08/14 vie 08/08/14 23 Equipo Auditor 100% 34 Programada manualmente Medidas a corto plazo: calidad y planificacin 1 da lun 11/08/14 lun 11/08/14 25 Equipo Auditor 100% Programada manualmente Medidas a mediano plazo: mayor necesidad de recursos, optimizacin de programas o documentacin y aspectos de diseo 1 da jue 11/09/14 jue 11/09/14 26 Equipo Auditor 100% Programada manualmente Medidas a largo plazo: cambios en polticas, medios y estructura del servicio 1 da mi 13/08/14 mi 13/08/14 27 Equipo Auditor 100% Programada manualmente Seguimiento de cumplimiento de recomendaciones 0% 35 1'. DISE,O DE LISTAS DE VERIFICACIN PARA- 1'.1 EVALUACIN DE LA SEGURIDAD Seguridad de la Informacin en el e&ui!o de com!uto =o. Pregunta Si =o 4 Los equipos tienen firewall integrado y activado? 5 Los equipos tienen antivirus? H El antivirus instalado Es gratuito Es de paga Es para mltiples usuarios Esta actualizado a la ltima versin nterfaz grfica de usuario Tiene escudo web Proteccin de e-mail Firewall Proteccin para compras Permite ejecutar programas en modo evaluacin de riesgos Es actualizable 1 Existen copias de respaldos de la informacin generada en el equipo? mpresas CD, DVD o Blu-ray Segundo disco duro o particin secundaria del disco duro Discos duros externos Servidores propios Servidores externos 36 Estado de las instalaciones =o Cuestin Si =o 4 Existe el espacio suficiente para los equipos? 5 La iluminacin del lugar es adecuada? H Existen carteles de reglamento de uso? 1 Existe una salida de emergencia? / El lugar donde est el equipo de cmputo est a salvo de: nundaciones Terremotos ncendios Robos C La temperatura a la que opera el equipo es la adecuada? D El nmero de computadores es suficiente para realizar las tareas del rea? >esguardo im!reso y digital =o Cuestin Si =o 4 Existe un lugar de resguardo impreso y digital? 5 Existen libreros? H Existen carpetas y organizadores? 1 La informacin impresa est organizada en los libreros y carpetas? / Existen cajas para almacenar CD, DVD o Blu-ray? 1 CD por caja 2 CDs por caja 5 CDs por caja Disquetera C Los CD, DVD o Blu-ray tiene una etiqueta o caratula que identifique su contenido? D Los CD, DVD o Blu-ray estn almacenados dentro de cajas y/o disqueteras? 37 J Los CD, DVD o Blu-ray, cajas y disqueteras se encuentras resguardados en un locker? 0 Quin tiene acceso a los resguardos impresos y digitales? Director o Jefe y supervisor de rea de TC's Coordinador, Directores y Jefes de reas Cualquier empleado de la SEP Solo personal autorizado Quines? ________________________________ ________________________________ 1'.2 EVALUACIN EN SELECCIN DE PROVEEDORES. De acuerdo con el sistema de gestin calidad propuesto bajo la SO 9001, las evaluaciones para los proveedores con los que se pretende realizar o se estn realizando negociaciones deben ser en tres momentos que son: al inicio para adjudicar las adquisiciones al mejor postor, despus de la compra para verificar que se cumplan las condiciones y durante las compras futuras con el fin seguir contando con el proveedor o buscar otro que satisfaga las necesidades de la organizacin. :9;etivo: La presente, tiene el objetivo de evaluar la capacidad de los proveedores de la SEG de satisfacer sus necesidades, con el fin de actualizar, clasificar y conservar a los proveedores calificados como aptos. La evaluacin de proveedores se realizara en 3 momentos con la finalidad de dar continuidad a los proveedores aceptados y evaluar la probabilidad de continuar con ellos. Evaluacin inicial de !roveedores 38 >egistro de Proveedores ?atos -enerales =om9re o >a%n social: >3C: Direccin: Tel: Casa: Cel.: E-mail: 6istado de !roductos ofertados Cdigo Nombre Descripcin Unidad de medida Precio unitario Condiciones y ofertas Pro!uestas: Condiciones de !ago ?escuentos: Evaluacin !reliminar =o. Pregunta Si =o =o a!lica 4 El proveedor, Es una empresa establecida, pertenece a una o es una persona debidamente registrada? 5 El listado de productos cubre nuestras necesidades? H El proveedor, Cuenta con tiempos de entrega bien definidos? 1 El proveedor, tiene a capacidad para proporcionar sus servicios? / El proveedor, cuida de sus productos durante el transporte de sus almacenes hacia los 39 nuestros? C El proveedor, respeta los precios, ofertas y condiciones establecidas? D El proveedor, mantiene contacto con sus clientes? J El proveedor, brinda asistencia tcnica antes, durante y despus de la venta? 0 El proveedor, realiza cotizaciones precisas de manera rpida? 4. El proveedor, ofrece garanta y cumple con las condones de esta? Calificacin A!to En Desarrollo No apto Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera: A!to: al reunir J !untos o mas En ?esarrollo: Al reunir C o D !untos =o A!to: al reunir / !untos o menos 3eca de evaluacin 3irma del evaluador >eevaluacin del !roveedor 40 Proveedor =o. :rden o factura Fecha de evaluacin ?escri!cin de la entrega Acciones adicionales solicitadas al !roveedor Seguimiento de !roveedores =o. Pregunta Si =o 4 El proveedor, dio respuesta por escrito o por telfono a las acciones solicitadas? 5 El proveedor, realizo las acciones propuestas? H En las 3 compras anteriores El proveedor, ha respondido de acuerdo a lo acordado? No. Orden o Factura ______________________ No. Orden o Factura ______________________ No. Orden o Factura ______________________ Calificacin A!to =o a!to El !roveedor conserva su clasificacin de a!to si o9tiene como mnimo con 5 res!uestas afirmativas 3eca de evaluacin 3irma del evaluador 1'.3 LICENCIAMIENTO DE SOFT&ARE. 41 Aplicando y adaptando las normativas SO 14764 y SO/EC 12207, para el Proceso de Mantenimiento de Software, el cual se aplica a software comercial y libre y ser empleado por la organizacin para regular las instalaciones y mantener un orden en el software que es instalado para el uso de la SEG. =om9re SoftEare de Paga Libre Arquitectura X64 X86 Sistemas :!erativos com!ati9les Windows Linux Mac OS Ti!o de ficero SO RAR EXE Resguardo o soportado en: #ersin Fecha de lanzamiento 6icencia ti!o Copylefted /GNU Patente y/o Copyright Otra ?escri!cin del softEare >e&uerimientos de softEare 9$sicos EMiste documentacin !ara el uso del softEare Si No La documentacin esta: mpresa Digital En lnea n*mero de e&ui!os en los &ue se a instalado La licencia se encuentra mpresa Digital 1'.4 EVALUACIN DEL %ARD&ARE" SOFT&ARE Y SISTEMAS 42 De acuerdo a la SO/EC 9126, se realiza la verificacin de software y hardware, con la intencin de evaluar si estos son funcionales, confiables, eficientes, usables, almacenados y empleados de la manera adecuada en sus ablentes de operacin. Basado en las mejores prcticas que promueve la biblioteca TL, la evaluacin de los sistemas es una parte fundamental para determinar el estado de un rea de informtica. SoftEare y Sistemas =om9re del sistema o softEare =o. Cuestin Si =o 4 La interfaz es amigable para el usuario? 5 existe falla de exactitud en los procesos de informacin H Es necesaria la implementacin de nuevos procesos? 1 Los reportes generados con el sistema son adecuados? / El sistema fue especialmente diseado para la SEP? C Sistema cuenta con: Manual de usuario Base de datos Diccionario de datos Sistema de almacenamiento Sistema de recuperacin D El sistema se conecta con otros sistemas? Cules: J El sistema es intuitivo? 0 El personal recibi capacitacin para manejar el sistema? 4. El sistema se conecta a internet? 44 E sistema es empleado por mltiples usuarios al mismo 43 tiempo? 45 El sistema mantiene la misma velocidad en horas pico? NardEare E&ui!o de cm!uto -eneralidades del e&ui!o Cdigo Tipo Es!acio en disco duro Candad de RAM nstalada #elocidad de !rocesador Numero de ncleos ,aratial del casis Numero de ventiladores Tar;eta gr$fica ti!o Sistema operativo instalado =o Cuestin Si =o 4 Los equipos cumplen con los requisitos mnimos de los sistemas instalados? 5 Existe un programa de mantenimiento preventivo? H El equipo es usado por ms de 1 persona? 1 Se lleva una bitcora de cada equipo? / El equipo esta encendido durante toda la jornada laboral? C El equipo est asegurado? D El equipo se conecta a internet? Ethernet WiFi J La temperatura est en los rangos de operacin del equipo? 44 E#A6@ACIA= #IS@A6 ?E NA>?OA>E' S:3TOA>E 8 SISTE,AS =o Cuestin Si =o 4 El estado de los equipos de cmputo es ptimo? 5 Los procesos de los sistemas son rpidos y precisos? H Existen respaldos de informacin? 1 El lugar donde se encuentra el equipo de cmputo es el adecuado? 1'.5 EVALUACIN DE LA RED. 6ista de ce&ueo 6C2...4 Em!resa @nidad rea Perodo 45 =o Caracterstica a evaluar: SI =: 4 Se comprobaron los elementos y dispositivos fsicos de la plataforma de red? 5 La cantidad de equipos o nodos est acorde con el diseo y configuracin de red? H Existe alguna aplicacin cliente-servidor en particular que demande recursos y comprometa el desempeo de red? 1 Se verific el ancho de banda de la red? / Se analiz la tasa de transferencia en la red? C Se comprob la existencia de prdidas de paquetes en la red? D Se verific que la topologa estuviese acorde al diseo y requerimientos propios de la red? 6C2...5 Ti!o de documento Cdigo Auditor Pgina Em!resa Fecha =o Preguntas < F<uenoG > F>egularG , F,aloG 4 Considera que la velocidad para mover y consultar archivos en la red es? 5 La velocidad de descarga de informacin, videos, imgenes, etc., de la red es? H Cmo considera la velocidad de la conexin? 46 1 La velocidad para enviar y recibir correos es? / Cmo evala la disponibilidad de la red? C La disponibilidad de los dispositivos o recursos compartidos es? D El acceso a internet habitualmente es? 6C2...H Ti!o de documento Cdigo Auditor Pgina Em!resa Fecha =o Preguntas S FSiG = F=oG =: F=o :9servaG 4 Se observan problemas de prdida de informacin? 5 Existen intermitencias en la red? H Ha observado problemas de conexin con equipos u otros dispositivos de red? 1 La impresin en red mantiene una velocidad apropiada? / Considera que los usuarios que concurren a los servicios de la red afectan el rendimiento? C Las aplicaciones o sistema ERP se encuentra siempre disponible? D Ha observado algn tipo de error al 47 almacenar o registrar su informacin? 1'. APLICACIN PR!CTICA DE LA AUDITORA 11.1 RESULTADOS OBTENIDOS EN CADA UNA DE LAS !REAS DE T.I." DE ACUERDO A LOS EST!NDARES APLICADOS A continuacin se presenta los resultados de las evaluaciones en las diferentes reas de Tecnologa de la informacin siguiendo al pie las normas SO/EC 9126 y la norma SO 12207. Se ha tomado en cuenta la norma SO 12207 por que tiene como finalidad regular el ciclo de vida, uso del software, resguardo de la seguridad en la informacin digital e impresa. Estudiando la norma mencionada anteriormente se han formulado una serie de preguntas que permiten identificar si la empresa cumple con la norma para acreditar una auditoria y saber si realmente cumple con la seguridad adecuada para trabajar. 11.1.1 EVALUACIN DE LA SEGURIDAD. Seguridad de la Informacin en el e&ui!o de cm!uto =o. Pregunta Si =o 4 Los equipos tienen firewall integrado y activado? x 5 Los equipos tienen antivirus? X H El antivirus instalado Es gratuito X Es de paga X Es para mltiples usuarios X Esta actualizado a la ltima versin X 48 nterfaz grfica de usuario Tiene escudo web X Proteccin de e-mail X Firewall X Proteccin para compras X Permite ejecutar programas en modo evaluacin de riesgos X Es actualizable X 1 Existen copias de respaldos de la informacin generada en el equipo? mpresas X CD, DVD o Blu-ray x Segundo disco duro o particin secundaria del disco duro X Discos duros externos X Servidores propios X Servidores externos X >esguardo im!reso y digital =o Cuestin Si =o 4 Existe un lugar de resguardo impreso y digital? x 5 Existen libreros? X H Existen carpetas y organizadores? X 1 La informacin impresa est organizada en los libreros y carpetas? X / Existen cajas para almacenar CD, DVD o Blu-ray? 1 CD por caja X 2 CDs por caja X 5 CDs por caja X Disquetera X C Los CD, DVD o Blu-ray tiene una etiqueta o caratula que identifique su contenido? X D Los CD, DVD o Blu-ray estn almacenados dentro de cajas y/o disqueteras? J Los CD, DVD o Blu-ray, cajas y disqueteras se encuentras resguardados en un locker? 0 Quin tiene acceso a los resguardos impresos y Director o Jefe y supervisor de rea de TC's X 49 digitales? Coordinador, Directores y Jefes de reas x Cualquier empleado de la SEP X Slo personal autorizado, Quines? ________________________________ ________________________________ X Estado de las instalaciones =o Cuestin Si =o 4 Existe el espacio suficiente para los equipos? X 5 La iluminacin del lugar es adecuada? X H Existen carteles de reglamento de uso? X 1 Existe una salida de emergencia? X / El lugar donde est el equipo de cmputo est a salvo de: nundaciones X Terremotos X ncendios X Robos X C La temperatura a la que opera el equipo es la adecuada? X D El nmero de computadores es suficiente para realizar las tareas del rea? X >ES@6TA?: Al realizar el anlisis de la empresa, se han detectado ciertas vulnerabilidades graves como por ejemplo que no exista un replicado de la informacin, que no existen polticas de acceso a la informacin o la ms importante, que los responsables de la empresa no tengan conciencia de la importancia de dotar a su empresa de unas adecuadas medidas de seguridad para proteger la informacin de la misma. 50 Otro de los aspectos es que la empresa maneja diversidad de software tanto libre, gratuitos, con licencia, etc., todo esto provoca que los sistemas sean ms vulnerables y fcil de hackear, aparte de que todo se encuentra compartido en la red, todos los que se conectan, pueden y tienen acceso a la informacin. 1. Prdida de las comunicaciones durante un periodo x. 2. Fallas y falta de conexin en alguna estacin PC o porttil. 3. Caducidad de programas y privacidad en el uso y manejo de informacin. 4. Uso de versiones de prueba y software no activado o sin licencia. 5. Fallo en los sistemas de comunicacin de red durante x intervalo. 6. En este punto, tambin se detecta una falta de concienciacin de los responsables de la empresa de lo importante que resulta tener la informacin replicada. De la empresa se evaluar solamente la seguridad a travs de la auditoria al departamento de infraestructura tecnolgica (medios, redes y sistemas) solamente puesto que es la parte que se auditar para darnos cuenta sobre la regular, buena o mala seguridad en el manejo y uso de las TCs y todo lo que esta conlleva. 11.1.2 EVALUACIN EN SELECCIN DE PROVEEDORES La evaluacin de los proveedores es de gran importancia porque con estos se pretende realizar negociaciones deben ser en tres momentos que son: al inicio para adjudicar las adquisiciones al mejor postor, al comparar productos o servicios se busca verificar que este sea el apropiado para que cumpla con las condiciones y en el futuro seguir contando con compras futuras o de lo contrario buscar otro 51 proveedor que en verdad satisfaga las necesidades en la organizacin. . La evaluacin de proveedores se realizara en 3 momentos con la finalidad de dar continuidad a los proveedores aceptados y evaluar la probabilidad de continuar con ellos. En la SEG se tiene infinidad de proveedores que con sus servicios buscan cumplir con el 100% de las necesidades a la organizacin, a continuacin se presenta un anlisis de los proveedores ms consultados por la SEG que brindan servicios en el rea de Tecnologas de la nformacin. Evaluacin a !roveedores >egistro de Proveedores ?atos -enerales =om9re o >a%n social: Digicopias Quertaro >3C: DG98237COP Direccin: Quertaro Tel: Casa: Cel.: E-mail: jmartinez@digicopias.mx 6istado de !roductos ofertados Cdigo Nombre Descripcin Unidad de medida Precio unitario Konica Monalta mpresora multifuncional, de alto rendimiento. 1 $20,000.00 Kyocera F1040 mpresora multifuncional, hasta mil copias por tner 1 $10,000.00 Condiciones y ofertas Pro!uestas: Diversas impresoras, garantas, ofertas de tner. Condiciones de !ago Se puede pagar con tarjeta de crdito, dbito, master cat, transferencia electrnica, despus de entrega de su equipo se tiene un plazo de 20 das para pagar dicho artculo. ?escuentos: Se tiene un descuento, en cada producto que adquiera con digicopias de 25 al 30 de cada mes. 52 Evaluacin =o. Pregunta Si =o =o a!lica 4 El proveedor, Es una empresa establecida, pertenece a una o es una persona debidamente registrada? X 5 El listado de productos cubre nuestras necesidades? X H El proveedor, Cuenta con tiempos de entrega bien definidos? X 1 El proveedor, tiene a capacidad para proporcionar sus servicios? X / El proveedor, cuida de sus productos durante el transporte de sus almacenes hacia los nuestros? X C El proveedor, respeta los precios, ofertas y condiciones establecidas? X D El proveedor, mantiene contacto con sus clientes? X J El proveedor, brinda asistencia tcnica antes, durante y despus de la venta? X 0 El proveedor, realiza cotizaciones precisas de manera rpida? X 4. El proveedor, ofrece garanta y cumple con las condones de esta? X Calificacin: 4. A!to En Desarrollo No apto Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera: A!to: al reunir J !untos o mas En ?esarrollo: Al reunir C o D !untos =o A!to: al reunir / !untos o menos 3eca de evaluacin 30-julio-14 3irma del evaluador J.zuiga 53 Evaluacin a !roveedores >egistro de Proveedores ?atos -enerales =om9re o >a%n social: Office Depot , Santiago de Quertaro >3C: OFFD98349POT Direccin : Quertaro Tel: Casa: --- Cel.:------ E-mail: mgamarzina@digicopias.mx 6istado de !roductos ofertados Cdigo Nombre Descripcin Unidad de medida Precio unitario ////CJH1/ Hojas blancas Hojas de papel tamao carta, oficio, doble carta 3,000 $50 x c/d mil ///415HCJ Flder tamao carta, oficio, para organizar hojas 1,000 $25 x c/d mil Condiciones y ofertas Pro!uestas: Mejores artculos de oficina al mejor precio: lpices, cuadernos, bitcoras, hojas blancas, computadoras, hojas de colores, plumas, Condiciones de !ago Se puede pagar con tarjeta de crdito, dbito, master card, transferencia electrnica. ?escuentos: Se entrega productos sin ningn costo hasta la comodidad del hogar, y se realiza descuento de 20% de cada mil en cada compra. Evaluacin =o. Pregunta Si =o =o a!lica 4 El proveedor, Es una empresa establecida, pertenece a una o es una persona debidamente registrada? X 5 El listado de productos cubre nuestras necesidades? X H El proveedor, Cuenta con tiempos de entrega bien definidos? X 1 El proveedor, tiene a capacidad para X 54 proporcionar sus servicios? / El proveedor, cuida de sus productos durante el transporte de sus almacenes hacia los nuestros? X C El proveedor, respeta los precios, ofertas y condiciones establecidas? X D El proveedor, mantiene contacto con sus clientes? X J El proveedor, brinda asistencia tcnica antes, durante y despus de la venta? X 0 El proveedor, realiza cotizaciones precisas de manera rpida? X 4. El proveedor, ofrece garanta y cumple con las condones de esta? X Calificacin: 4. A!to En Desarrollo No apto Cada res!uesta afirmativa re!resenta un !unto el !roveedor se considera: A!to: al reunir J !untos o m$s En ?esarrollo: Al reunir C o D !untos =o A!to: al reunir / !untos o menos 3eca de evaluacin 30-julio-14 3irma del evaluador J.zuiga 11.1.3 LICENCIAMIENTO DE SOFT&ARE. En s la empresa no utiliza algo bien definido en este aspecto puesto que utiliza diferentes tipos de software con o sin licenciamiento. Comnmente se adquieren licencias por parte de la SEP quien a su vez las distribuye a la SEG en Guanajuato y est a sus municipios, estas licencias solo para los sistemas operativos. 55 En el caso de las pginas web, se contrata al CADES para el desarrollo de las mismas as como de la colocacin en la red pero es un tercero quien se encarga de la actualizacin de la informacin de las pginas y sistemas desarrollados. Evaluacin de hardware y software: Se cuenta con gran diversidad de hardware tal como: Monitores, CPUs, telfonos, fax, escner, copiadoras, impresoras lser, de puntos, de inyeccin de tinta, audfonos, bocinas, muses, teclados, micrfonos inalmbricos, usb, cds, dvds, computadoras porttiles, ipad, telfonos celulares y agendas electrnicas. El hardware es variado, por ejemplo de la marca DELL, COMPAQ, HP, TOSHBA, HACER y un 50% de equipo armado el cual se considera sin marca, esto, solo en el caso de los equipos de cmputo En software solo se encuentra instalado en las maquinas pero no fsicamente por si algo falla, se tiene en todos los equipos un sistema operativo variado, por ejemplo, predomina el Windows XP, le sigue el Windows Vista y un poco porcentaje con Windows 7. En cada oficina se encuentra una lnea telefnica, se tienen al menos 40 telfonos instalados todas con una extensin directa para la conexin. Para el caso de office y otros programas se utilizan versiones de prueba y algunas de ellas crackeadas como lo es el caso del antivirus (Avast) es el que predomina y posteriormente McAfee y el AVG). Los cds y dvds con los que se cuenta, la mayora de estos son respaldos de informacin obsoleta y sin probabilidad de uso. Por todo lo anterior es que los equipos y sistemas son bastante lentos, aparte de que no se les da el mantenimiento adecuado para su ptimo funcionamiento. 56 11.1.4 EVALUACIN DEL %ARD&ARE Y SOFT&ARE. =om9re del sistema o softEare =o. Cuestin Si =o 4 La interfaz es amigable para el usuario? X 5 existe falla de exactitud en los procesos de informacin X H Es necesaria la implementacin de nuevos procesos? X 1 Los reportes generados con el sistema son adecuados? X / El sistema fue especialmente diseado para la SEP? X C Sistema cuenta con: Manual de usuario X Base de datos X Diccionario de datos X Sistema de almacenamiento X Sistema de recuperacin X D El sistema se conecta con otros sistemas? Cules: X J El sistema es intuitivo? X 0 El personal recibi capacitacin para manejar el sistema? X 4. El sistema se conecta a internet? X 44 El sistema es empleado por mltiples usuarios al mismo tiempo? X 45 El sistema mantiene la misma velocidad en horas pico? X -eneralidades del e&ui!o Cdigo 128970889 Tipo Pc todo en uno Es!acio en disco 1 tb Cantidad de RAM 4gb 57 duro nstalada #elocidad de !rocesador 250 Numero de ncleos 3 ,aterial del casis aluminio Numero de ventiladores 1 Tar;eta gr$fica ti!o intel Sistema operativo instalado Windows 8 =o Cuestin Si =o 4 Los equipos cumplen con los requisitos mnimos de los sistemas instalados? X 5 Existe un programa de mantenimiento preventivo? X H El equipo es usado por ms de 1 persona? X 1 Se lleva una bitcora de cada equipo? X / El equipo esta encendido durante toda la jornada laboral? X C El equipo est asegurado? x D El equipo se conecta a internet? Ethernet X WiFi X J La temperatura est en los rangos de operacin del equipo? X =o Cuestin Si =o 4 El estado de los equipos de cmputo es ptimo? X 5 Los procesos de los sistemas son rpidos y precisos? X H Existen respaldos de informacin? X 1 El lugar donde se encuentra el equipo de cmputo es el adecuado? X 11.1.5 EVALUACIN DE SISTEMAS. Referente a los diferentes sistemas, esta parte no se encuentra respaldada con manuales de usuarios o documentada puesto que comnmente se tienen manuales obsoletos y que en muchas de las ocasiones no corresponden a la 58 versin que se utiliza, aun as, el personal que en la empresa trabaja conoce estos ms no domina su uso an despus de tantas capacitaciones y actualizaciones, el problema es que se trabaja bajo una metodologa obsoleta que en vez de apoyar, genera ms dudas, aparte de que el personal que los usa, se encuentran en un rango de edad de los 45 aos en adelante y esto es un parmetro ms que dificulta el uso correcto de los mismos. Aun as, los sistemas son muy prcticos y fciles de manejar. 11.1.6 EVALUACIN DE LA RED. =o Caracterstica a evaluar: SI =: 4 Se comprobaron los elementos y dispositivos fsicos de la plataforma de red? X 5 La cantidad de equipos o nodos est acorde con el diseo y configuracin de red? X H Existe alguna aplicacin cliente-servidor en particular que demande recursos y comprometa el desempeo de red? X 1 Se verific el ancho de banda de la red? X / Se analiz la tasa de transferencia en la red? X C Se comprob la existencia de prdidas de paquetes en la red? X D Se verific que la topologa estuviese acorde al diseo y requerimientos propios de la red? X 6C2...5 =o Preguntas < F<uenoG > F>egularG , F,aloG 4 Considera que la velocidad para mover y consultar archivos en la red es? X 59 5 La velocidad de descarga de informacin, videos, imgenes, etc., de la red es? X H Cmo considera la velocidad de la conexin? X 1 La velocidad para enviar y recibir correos es? X / Cmo evala la disponibilidad de la red? X C La disponibilidad de los dispositivos o recursos compartidos es? X D El acceso a internet habitualmente es? X 6C2...H =o Preguntas S FSiG = F=oG =: F=o :9servaG 4 Se observan problemas de prdida de informacin? X 5 Existen intermitencias en la red? X H Ha observado problemas de conexin con equipos u otros dispositivos de red? X 1 La impresin en red mantiene una velocidad apropiada? X / Considera que los usuarios que concurren a los servicios de la red X 60 afectan el rendimiento? C Las aplicaciones o sistema ERP se encuentra siempre disponible? X D Ha observado algn tipo de error al almacenar o registrar su informacin? X >esultado Evaluacin de la >ed: La red est configurada adecuadamente con cableado horizontal con el uso de la escalerilla, esta llega directo a cada una de las oficinas con la instalacin de 4 nodos en cada una. Para mayor acceso y seal de la red inalmbrica se tienen instalados 6 repetidores debido a que la potencia de la seal en ocasiones se hace ms lento. El problema con la red es que no hay una distribucin del ancho de banda correcta as como el que todos los usuarios se conecten de forma inalmbrica ya que esto hace ms lento a los equipos que se utilizan y no existe bloque alguno en pginas de la red. 12. DIAGNSTICO DE NO CONFORMIDADES Evidencia Incum!limiento Ti!o de =o Conformidad En el $rea destinada al resguardo de e&ui!o de cm!uto o9soleto o en mal estado' se encontraron ca;as con eti&uetas no identifica9les En el procedimiento CAL- PR-83 se indica que los productos no conformes deben colocarse en un rea designada e identificada para tal fin. Menor 61 13. ACCIONES CORRECTIVAS Durante el proceso de evaluacin se encontraron partes dbiles en seguridad, red y software y hardware por lo cual, tras una priorizacin de acciones correctivas, se lleg a las siguientes acciones correctivas las cuales, deben ser realizadas a la brevedad posible dado a que se corre un grave riesgo de prdida de informacin. Realizar una evaluacin de datos a respaldar. Mantenimiento preventivo de computadores, impresoras y copiadoras. Actualizacin de sistemas operativos. Actualizar drivers. Definir las necesidades y uso de software con el fin de eliminar software craqueado e innecesario en los equipos. Establecer el uso de software de licencia o libre. Obtener o elaborar los manuales de los sistemas empleados. Establecer contraseas personales para el uso del WiFi. Aumentar el ancho de banda en las reas ms pobladas y reducirle en las reas en las que su uso es menor. 14. PROPUESTAS DE MEJORA Despus de revisar detenidamente los resultados obtenidos durante la auditoria, se dan las siguientes propuestas de mejora: Establecimiento de un consejo de gobierno de las T. Establecer correctamente un SGSS. Establecer polticas y mtricas para la gestin de las T. Realizar mantenimiento preventivo en los computadores. mplantar restricciones y polticas de calidad para garantizar el correcto uso de la red. Realizar un estudio de distribucin y uso de datos en la organizacin. 62 Mejorar la seguridad y resguardo de los activos tecnolgicos de la organizacin. Tener en un rea visible las normas, polticas y obligaciones de los usuarios de la red. mplantar a medida y paulatinamente las normas y estndares TL, COBT 5.0, SO 27001, SO 12207, SO 9001 e SO/EC 9126. Realizar cursos de educacin tecnolgica. Realizar capacitaciones al personal sobre los sistemas empleados. Elaborar y establecer polticas de calidad y seguridad de la informacin. Evaluar las necesidades de seguridad de cada rea y establecer un antivirus en general o particular para cada rea. Evaluar y definir el software que se empleara para realizar las diferentes tareas de la organizacin. 15. LISTAS DE DISTRIBUCIN DE AUDITORIA DE T.I. 63 16. MEJORA DE SERVICIOS DE T.I. BASADOS EN ITIL V3 Y COMO INNOVACIN COBIT 5.' Basados en COBT 5.0, la accin que se debe realizar para mejorar los servicios tecnolgicos del rea de nformtica de la SEG, es alinear los objetivos del rea con los de la organizacin. Dado que COBT se basa en metas en cascada que generan una integracin y un cubrimiento total de las TC's sobre la organizacin. Es necesario establecer una buena gestin y gobierno de esta rea con el fin de satisfacer las necesidades de la organizacin, empleados y dems involucrados en los procesos laborales de la SEP. 64 reas clave de gobierno y gestin de COBT 5.0 El implantar COBT 5 en la organizacin trae consigo amplios beneficios dado a que se alinea con TL, la SO/EC 15504, la serie SO/EC 27000, la SO/EC 38500 y otras normas y estndares que tienen gran peso e importancia en el gobierno, gestin, seguridad y mejora de procesos en las reas de T de las diferentes organizaciones. 65 Catalizadores de COBT 5.0 Por parte de TL, aunque COBT 5 cubre tres bibliotecas, es necesario fortalecer la organizacin mediante la implantacin de la biblioteca Diseo de Servicios de T esto, con el fin de alinear correctamente las T con los procesos y tareas de estos, reducir los costos y mejorar los servicios. 1$. E.PERIENCIAS Y CONCLUSIONES DEL EQUIPO AUDITOR Las auditoras a las tecnologas de informacin y comunicaciones realizadas utilizando la metodologa expuesta en este trabajo de investigacin permiten al auditor y su equipo utilizar un criterio uniforme para seleccionar los objetivos de control y herramientas de auditora que los conducir a la obtencin de un informe fundamentado en estndares conocidos a nivel internacional. Por otro lado, la incorporacin la norma tcnica SO/EC 9126 y 12207 es una fortaleza que ayuda a los auditores a orientarse de mejor forma respecto a los requisitos del negocio que tienen relacin con el uso de la tecnologa. Cada da surgen nuevas tendencias y productos que aparentemente ayudan a cumplir de forma ms eficiente y eficaz los objetivos planteados por la organizacin pero 66 que, por otro lado, aumentan la complejidad con la cual deben lidiar los directores y ejecutivos a cargo de la administracin. El nivel de complejidad con el cual deben convivir las organizaciones ha aumentado en los ltimos aos a raz de la explosiva masificacin del uso de sistemas de informacin que soportan la mayora los procesos del negocio. La adopcin de nuevas tecnologas al interior de una organizacin impacta directamente en la manera de hacer las cosas, siendo comn encontrar una gran cantidad de proyectos que fracasan debido a la resistencia al cambio que manifiestan los empleados y usuarios en la organizacin. Ahora bien, si esta problemtica fuese abordada por auditores que conocen y entienden los problemas y desafos que conlleva el uso de tecnologas de informacin, la realidad actual que viven los servicios pblicos podra mejorar de manera positiva. Las experiencias fueron muy favorables ya que aprendimos cosas nuevas, adems aportamos nuestro granito de arena en el proceso de mejora en la empresa, nos quedamos con un grado de satisfaccin ambas partes. 67 1( GLOSARIO Definiciones admitidas en general por las normas SO, relativas a sistemas de gestin: Auditora Interna: Proceso sistemtico, independiente y documentado para obtener evidencias de la auditora y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditora. Las auditoras internas se realizan por, o en nombre de, la propia organizacin para la revisin por la direccin y otros fines internos, su propsito es evaluar el Sistema de Gestin para mejorarlo y puede tambin constituir la base para la declaracin de conformidad. Criterios de auditora: Conjunto de polticas, procedimientos o requisitos. Evidencia de la auditora: Registros, declaraciones de hechos o cualquier otra informacin que son pertinentes para los criterios de auditora y que son verificables. 68 Nalla%gos de la auditora: Resultados de la evaluacin de la evidencia de la auditora recopilada frente a los criterios de auditora. Los hallazgos de la auditora pueden indicar conformidad o no conformidad con los criterios de auditora, u oportunidades de mejora. Conclusiones de la auditora: Resultado de una auditora que proporciona el equipo auditor tras considerar los objetivos de la auditora y todos los hallazgos de la auditora. Programa de la auditora: Conjunto de una o ms auditoras planificadas para un periodo de tiempo determinado y dirigidas hacia un propsito especfico
Plan de auditora: Descripcin de las actividades y de los detalles acordados de una auditora. Alcance de la auditora: Extensin y lmites de una auditora. ncluye generalmente una descripcin de las ubicaciones, las unidades de la organizacin, las actividades y los procesos, as como el perodo de tiempo cubierto. Auditor: Persona con la competencia para llevar a cabo una auditora. E&ui!o auditor: Uno o ms auditores que llevan a cabo una auditora, con el apoyo, si es necesario, de expertos tcnicos. Auditado: Responsable de un rea o persona delegada por l, que va a ser sometido a control por parte del auditor para comprobar el cumplimiento del rea a su cargo respecto del marco normativo de referencia. =o conformidad mayor: incumplimiento total de una parte de la norma o un procedimiento, o no aplicacin de objetivos de control y/o controles que sean de aplicacin y no estn debidamente justificados. 69 =o conformidad menor: incumplimiento parcial de una parte de la norma o de lo dictado en alguno de los procedimientos. :9servaciones: recomendaciones de mejora por parte del auditor que podran derivar en no conformidades en aos sucesivos. No sera un incumplimiento.
1+ REFERENCIAS BIBLIOGR!FICAS SACA. 2012. COBT 5: Un Marco de Negocio para el Gobierno y la Gestin delas T de la Empresa. Estados Unidos de Amrica. Gmez Viertes, lvaro. "Sistemas de nformacin, Herramientas Prcticas para la Gestin Empresarial. Editora RAMA. Madrid. Espaa. 196 pp. AENOR ediciones. Cmo gestionar con xito una auditora interna conforme a SO 9001:2008. Ann W. Philips. 2010. SACA. TAF (A Professional Practices Framework for S Audit/Assurance). 2nd Edition. 2013. 70
SACA. "Marco general de estndares de aseguramiento y auditora de T.www.isaca.org/standards . 71