Dictamen Final v-004

Dictamen final de Auditoria
Hospital del nio y adolescente Morelense
Tabla de contenido
Introduccin ..............................................................................................................................................................3
Carta de entrega de la Auditoria .................................................................................................................................4
Objetivos ...............................................................................................................................................................4
Alcance ..................................................................................................................................................................4
Stakeholders ..........................................................................................................................................................4
Restricciones, supuestos y riesgos...........................................................................................................................5
Firmas de aprobacin .............................................................................................................................................5
Cronograma de actividades ........................................................................................................................................6
WBS ..........................................................................................................................................................................6
Organigrama del equipo auditor .................................................................................................................................7
Descripcin de puestos ...........................................................................................................................................8
Foda ..........................................................................................................................................................................9
Matriz de crecimiento (BCG)..................................................................................................................................... 11
Hallazgos Auditora del Portal Web ................................................................................................................... 12
Hallazgos de auditora Web ...................................................................................................................................... 13
Propuesta de Mejora de auditoria Web .................................................................................................................... 23
Evidencias de auditora Web .................................................................................................................................... 25
Hallazgos de Auditora de Redes ............................................................................................................................... 27
Hallazgos de auditoria de redes ................................................................................................................................ 28
Propuesta de mejora de auditora de redes .............................................................................................................. 31
Evidencias auditora de redes ................................................................................................................................... 33
Hallazgos Auditora de Seguridad de TI ..................................................................................................................... 34
Hallazgos de auditora de seguridad de TI ................................................................................................................. 35
Propuesta de Mejora seguridad de TI ....................................................................................................................... 39
Evidencias de auditora de seguridad en TI................................................................................................................ 40
Auditora de Sistemas .............................................................................................................................................. 41
Evidencias de auditora de sistemas.......................................................................................................................... 44
Tecnologa Emergente propuesta de sistema apara HNAM........................................................................................ 45
Resumen del proyecto .......................................................................................................................................... 45
Informacin destacada ......................................................................................................................................... 45
1
Objetivos ............................................................................................................................................................. 45
Declaracin de objetivos ...................................................................................................................................... 45
Descripcin de la aplicacin actual ........................................................................................................................ 46
Presupuesto ......................................................................................................................................................... 46
Anlisis de reserva ............................................................................................................................................ 46
Recursos........................................................................................................................................................... 46
Materiales ........................................................................................................................................................ 47
OTROS GASTOS ................................................................................................................................................ 47
Presupuesto del proyecto ................................................................................................................................. 47
Conclusiones............................................................................................................................................................ 48
Anexos .................................................................................................................................................................... 49
(Evaluaciones del auditor, Evidencia documental de la empresa, encuestas de satisfaccin al cliente y usuario final)
............................................................................................................................................................................ 49
Introduccin
El uso de las TI como ventajas competitivas es una realidad hoy en da. Ayudan a acelerar la toma de decisiones,
siempre y cuando cumpla con los siguientes datos:
Oportunidad
Confiabilidad
Veracidad
Integridad
Accesibilidad
Confidencialidad
Y el uso de las Ti nos garantiza que cumplir con los atributos necesarios o que esta se utilice de una forma
adecuada. Por ello surge la necesidad de un control sobre las funciones de informtica de las empresas.
Auditoria de TI
Se ocupa para la revisin del uso de las TI, su objetivo es emitir una opinin profesional acerca de los estados
financieros de una entidad a partir de una revisin de estos. Es un examen crtico y sistemtico que realiza una
persona o grupo de personas independientes del sistema auditado, puede ser una persona, organizacin
sistema proceso proyecto o producto.
Auditoria significa Todo aquel que tiene la virtud de escuchar. Informtica proviene del Idioma Francs
Informatique. Informacin Informtica la elevaron a ciencia definida como: ciencia del tratamiento
sistemtico y eficaz realizado especialmente mediante mquinas automticas de la informacin, se refiere al
proceso de recopilar y evaluar evidencias de un sistema y saber si salvaguarda y mantiene activo los datos que
llevan a cabo los fines de la organizacin y utiliza eficientemente los recursos.
Todas las verificaciones que se realizan en una auditoria son basadas bajo polticas manuales, procedimientos
normas o certificaciones, que el auditor debe conocer y estudiar antes de auditar. Sobre estas condiciones se
examinan los hallazgos obtenidos y se interpreta la informacin desarrollando un Dictamen final de la auditoria
realizada.
Carta de entrega de la Auditoria

Objetivos
Auditoria externa a Hospital del nio y adolescente Morelos

Auditar el rea de sistemas Informticos, Redes, portal Web, Seguridad en TI.
Control de la funcin informtica.
Anlisis de la eficiencia de los sistemas.
Verificacin del cumplimiento de las normas de cada rea.
Revisin eficaz de la gestin de los recursos informticos.
Desarrollar un informe de lo auditado y proponer una mejora en todas las reas de la empresa auditada.
Alcance
Se realizara una auditoria de TI externa en el Hospital del nio y adolecente Morelense, donde cada consultor experto
auditara el rea de redes, sistemas informticos, web y seguridad. Para as definir con precisin el estado de cada rea, y
lograr un dictamen final de dicha auditoria. Adems ya con la informacin recabada se planteara una propuesta de mejora
a la empresa dependiendo de las reas de oportunidad que se logren detectar.
Stakeholders
Cliente
Patrocinador
Lder del proyecto

Los miembros del
equipo de proyecto
Fecha y hora de la
aplicacin de Auditoria
ING. Rubn Leyva Blanco

MIA. Elda Fabiola Damin Sols
Mtra. Susana Salgado Segovia
Mtra. Nancy Santana Camilo
TSU Brenda Kareny Prez Gonzalez
TSU Rub Bentez Hernndez
TSU Jonathan Levi Mrquez Garca
TSU Carlos Guillermo Gonzalez Quiones
TSU Rubn Olmedo Cosi
19 Noviembre 2015 13:00 pm
Restricciones, supuestos y riesgos.

Restricciones
Supuestos
Riesgos
Solo se auditara el rea de informtica.

No se podr tener acceso a los servidores de la empresa
El acceso a las cmaras solo ser en el rea de cableado, en el site no se
podr tener acceso porque es controlado por proveedores externos.
Solo se podr tener acceso al IDF y MFD con el permiso y vigilancia del
cliente.
Solo se podr hacer la auditoria el da mircoles jueves y viernes.
Auditar todas las reas de TI.
Desarrollo del informe de cada rea auditada.
Desarrollo del informe final.
Propuesta de mejora continua.
Presentar entregables en tiempo y forma.
Que la empresa decida cancelar el permiso para hacer la auditoria

externa.
Cambios administrativos
Falta de tiempo al hacer la documentacin de la auditoria.
Incumplimiento por parte de algn consultor
Firmas de aprobacin
ING. Rubn Leyva Blanco

Cliente del Proyecto
MIA. Elda Fabiola Damin

Sols Sponsor del Proyecto
Brenda Kareny Prez Gonzalez

Lder del Proyecto
Cronograma de actividades
WBS
Organigrama del equipo auditor
Descripcin de puestos
Lder de proyecto auditora: Consultor Brenda Kareny Prez Gonzlez
Encabezar al equipo auditor.

Preparar la planeacin de la auditora.
Coordinar la auditora.
Realizar los entregables.
Convocar reuniones.
Presentar el reporte final de la auditora.
Auditor de sitio web: Consultor Carlos Quiones Gonzlez
Valorar la usabilidad, optimizacin y seguridad del sitio web.

Verificar que no existan enlaces rotos.
Evaluar la arquitectura del sitio web.
Revisar diseo y rendimiento segn el anlisis SEO.
Auditor de redes: Consultor Rub Bentez Hernndez
Verificar la seguridad de la red de la empresa.

Realizar revisiones de seguridad fsica y lgica.
Evaluar la estructura del cableado estructurado de la empresa.
Auditor de sistemas: Consultor Jonathan Levi Mrquez Garca:
Verificar el uso, la eficiencia y seguridad de los equipos de cmputo.

Revisar la organizacin y el procesamiento de la informacin.
Evaluar la cantidad de equipos, localizacin y caractersticas.
Examinar contratos de seguros, compra, renta y servicios de mantenimiento de los equipos de cmputo de la
empresa.
Identificar manuales de procedimientos de los sistemas con los que trabaja la empresa.
Auditor de seguridad: Consultor Rubn Olmedo Coso
Evaluar los recursos informticos de la empresa su acceso y administracin.

Revisar plan de adquisiciones, actualizacin de hardware y software y licencias que se requieran.
Verificar que se haga el cumplimiento referente a la proteccin de datos personales y correos electrnicos que
tengan que ver con informacin exclusiva de la empresa.
Foda
Fortalezas
Ponderacin Calificacin
Calif *
Pond
Nuevas Instalaciones
0.15
0.60
Tecnologa moderna y de alto rendimiento
0.15
0.60
Doctores altamente capacitados para el uso de las

tecnologas.
0.05
0.15
Alta capacida de seguridad
0.10
0.30
Alto rendimiento de red local
0.05
0.15
Debilidades
El rea donde se encuentra el MDF y los IDFS no cuenta

con sistema de seguridad para controlar el acceso.
El nmero de empleados que hay en el rea de

informtica no es suficiente.
El sistema utilizado en el hospital tiene fallas y es

complicado trabajar en l.
No existe una persona especfica que est encargada

del rea de redes.
El hospital cuenta con bastante equipo y licencias que no

es utilizado por el personal.
Suma = 1
Calif *
Pond
0.15
0.30
0.05
0.10
0.10
0.20
0.05
0.10
0.15
0.15
X = 2.65
Amenazas:
Presupuesto insuficiente por parte del gobierno para el rea

de TI de la institucin para la adquisicin de nuevos equipos,
software o piezas de refaccin.
Llegada de nuevos virus que amenacen la seguridad de los

equipos de cmputo.
Repentina descarga elctrica en la institucin a causa de su

ubicacin cercana a una planta elctrica.
Infiltracin de un agente externo (hacker) que atente contra

el uso de la informacin y datos de la institucin.
A causa de un gran nmero de pacientes, el personal de la

institucin no se d abasto para brindarles la debida
atencin.
Oportunidades
Certificacin en estndares y normas ISO
Capacitar a estudiantes universitarios
Hacer portal web responsive para uso en dispositivos

mviles
Auditoras externas para encontrar oportunidades de mejora
Tecnologas emergentes (Intelligent Building)
Calif *
Pond
0.15
0.60
0.05
0.10
0.10
0.20
0.10
0.20
0.10
0.45
Calif *
Pond
0.15
0.60
0.10
0.20
0.05
0.10
0.15
0.60
0.05
0.10
Suma = 1 Y = 3.15
10
Matriz de crecimiento (BCG)
11
Hallazgos Auditora del Portal Web

Por: Carlos Guillermo Quiones Gonzalez
12
Hallazgos de auditora Web

No
Atributos
Se realiz una verificacin de enlaces rotos al sitio web del hospital en el portal
de verificacin de la W3C, obteniendo como resultado 4 errores y una
advertencia.
Clasificacin
La W3C Quaility Assurance recomienda que el sitio web no debe contener

enlaces rotos debito a que esto afecta la calidad del sitio y asimismo no podr
pasar el examen de validacin de la W3C.
Los errores surgen por problemas en el lado del servidor y no permite el acceso
a la pgina (Cdigo 500). Asimismo el primer error ocurre por un enlace que ya
no existente.
NO CONFORMIDADES
MENORES
Al tener enlaces rotos en el sitio web afecta la calidad de la misma logrando

que la experiencia del usuario no sea satisfactoria.
Se recomienda verificar la liga en problemas de escritura, dichos problemas
son muy comunes al copiar y pegar, si el punto de enlace ya no existe, es mejor
quitarlo o cambiar el enlace. Para problemas del servidor se recomienda
verificar que la URL sea la correcta.
El sitio web actualmente contiene ttulos en todas sus pginas.
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#title recomienda

que todas las pginas del sitio web contengan ttulos debido a que ofrece un
entendimiento general del contenido de la pgina.
HALLAZGO POSITIVO
Pginas sin ttulo afectan la calidad y usabilidad de la misma, se dificulta

entender de qu trata la pgina. Personas con problemas de visin utilizan un
software auditivo para navegar el sitio, cuando la pgina no contiene un ttulo
dificulta el proceso de navegacin y experiencia del usuario.
El sitio web actualmente contiene ttulos que describe de forma general el

contenido de la pgina.
13
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#title recomienda

que los ttulos de las pginas del sitio web describan de forma general el
contenido para un mejor entendimiento de la pgina.
3
HALLAZGO POSITIVO
Pginas sin ttulos o con ttulos no relacionados al contenido, dificulta el

entendimiento y la usabilidad de la pgina. Personas con problemas de visin
utilizan un software auditivo para navegar el sitio, cuando la pgina contiene
un ttulo no relacionado al contenido afecta la experiencia del usuario.
El sitio web actual no contiene textos alternos en imgenes las cuales muestran
contenido importante del sitio.
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#images
recomienda que imgenes que muestren contenido importante contengan
textos alternativos describiendo en general la imagen.
El sitio web actualmente no contiene textos alternos porque el administrador
del sitio mencion que es una tarea complicada.
4
NO CONFORMIDADES
MAYORES
Personas con problemas de visin utilizan un software auditivo para navegar

el sitio web, los cuales utilizan el texto alterno para explicar el contenido de la
imagen. Sin texto alterno en las imgenes esto no es posible, afectando la
usabilidad y accesibilidad del sitio.
Se recomienda agregar texto alternativo en imgenes de importancia
explicando brevemente la imagen, para que personas con capacidades
diferentes puedan entender lo que estn escuchando.
El sitio web actual no contiene textos alternos en imgenes, debido a tales
causas no fue posible verificar si el texto alternativo es el apropiado.
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#images

recomienda que imgenes que muestren contenido importante contengan
textos alternativos describiendo en general la imagen.
NO CONFORMIDADES
MAYORES
El sitio web actualmente no contiene textos alternos porque el administrador

del sitio mencion que es una tarea complicada.
14
Si el uso de textos alternativos no es el apropiado, se puede dificultar el

entendimiento del contenido de imgenes para personas con problemas de
visin debido a que utilizan un software auditivo para navegar el sitio web. El
software utiliza el texto alterno para explicar de forma auditiva el contenido
de la imagen. Si el texto alterno en las imgenes no es el adecuado puede
afectar la usabilidad y accesibilidad del sitio.
Se recomienda agregar texto alternativo en imgenes de importancia de tal
forma que las personas con capacidades diferentes puedan entender lo que
estn escuchando. El texto alterno no debe ser muy largo pero si debe
contener suficiente informacin para entender la imagen del sitio.
El sitio web actual es visible en diferentes dispositivos (Sistemas de cmputo

de escritorio, laptops, telfonos mviles y tabletas) pero no tiene un diseo
responsivo para distintos tamaos de pantalla.
La W3C (WCAG) 2.0 http://www.w3.org/standards/webdesign/accessibility
recomienda que el sitio web sea visible en diferentes dispositivos electrnicos
los cuales tienen distintos tamaos de pantalla.
6
HALLAZGO POSITIVO
La mayora de las personas hoy en da utilizan su dispositivo mvil como su

primer o nica fuente para navegar el internet. Si el sitio web no es visible en
distintos dispositivos como los celulares, estara limitando a usuarios
afectando la accesibilidad del sitio.
Se recomienda hacer el sitio web responsivo para su adaptacin a distintos
tamaos de pantalla.
El sitio web actual no hace uso de las etiquetas (h1, h2, h3, entre otros) en sus
encabezados.
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#headings
recomienda que el sitio web contenga las etiquetas (h1, h2, h3, entre otros) en
sus encabezados de forma jerrquica.
7
Debido a que se usaron imgenes para mostrar los encabezados del sitio web,
no se utiliz las etiquetas (h1, h2, h3, entre otros) para los encabezados. Las
etiquetas que se utilizaron para texto son <p> y <span>.
NO CONFORMIDADES
MENORES
15
Sin el uso de las etiquetas (h1, h2, h3, entre otros) personas con capacidades
diferentes que utilizan solamente el tecleado para navegar el sito, sern
afectadas debido a que no podrn navegar de forma jerrquica afectando la
accesibilidad.
Se recomienda agregar las etiquetas (h1, h2, h3, entre otros) para los
encabezados en lugar de imgenes, esto facilita la navegacin del sitio cuando
se utiliza solamente el teclado mejorando la accesibilidad y usabilidad del sitio.
El sitio web actual no hace uso de secciones, lo que significa que no utiliza la
etiqueta <section>. La mayora del sitio est dividido por la etiqueta general
<div>
La W3C (WCAG) 2.0 http://www.w3.org/TR/UNDERSTANDING-WCAG20/navigationmechanisms-headings.html recomienda hacer uso de la etiqueta <section> la cual
sirve para agrupar contenido relacionado.
Si el contenido de un sitio web no es dividido por secciones utilizando la

etiqueta de html <section> dificulta la navegacin del sitio para personas que
solamente utilizan el teclado afectando la usabilidad del sitio.
NO CONFORMIDADES
MENORES
Se recomienda hacer uso de la etiqueta <section> en el maquetado de la

pgina para agrupar contenido que est relacionado en una seccin. Esto es
posible remplazando la etiqueta <div> por la de <section> pero
nicamente donde es necesario agrupar informacin, por ejemplo se puede
realizar secciones de eventos, noticias y servicios.
El sitio actual no hace uso de CAPTCHA en el sitio la cual se utiliza para

autenticar que un usuario sea verdadero y no un software malicioso.
La W3C (WCAG) 2.0 http://www.w3.org/TR/ruringtest/ recomienda no hacer uso
de CAPTCHA debido a que pueden causar barreras para personas con
capacidades diferentes.
9
HALLAZGO POSITIVO
Si un sitio web hace uso de CAPTCHAs los cuales piden al usuario introducir un
cdigo especfico procedente de una imagen puede causar barreras para
personas con problemas de la visn. En ocasiones se agrega ayuda auditiva
pero no es muy eficiente en todos los casos logrando que el usuario no prosiga
en el proceso de la pgina.
16
El sitio web actual puede ser navegado utilizando solamente el teclado y se

puede acceder a los distintos campos del formulario.
10
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#interaction/

recomienda que todo el sitio pueda ser navegado utilizando solamente el
teclado logrando mejor accesibilidad y usabilidad del sitio.
HALLAZGO POSITIVO
Debido a que personas con capacidades diferentes utilizan el teclado como

nica fuente para navegar el internet es de suma importancia lograr que el sitio
web sea accesible de esta forma. Se recomienda hacer uso de las etiquetas de
encabezado (h1, h2, h3, entre otros) y de la etiqueta de secciones que se
encarga de agrupar informacin (section).
El sitio web actual sigue un orden apropiado en la seleccin de elementos

cuando este es navegado solamente utilizando el teclado.
11

recomienda que el sitio siga un orden adecuado en la seleccin de elementos
cuando este se navega utilizando solamente el teclado.
HALLAZGO POSITIVO
La usabilidad de un sitio web es afectada cuando no se logra un orden

apropiado en la seleccin de elementos, en otras palabras que no siga un orden
jerrquico logrando que el usuario se confunda fcilmente.
Actualmente no existen trampas de teclado en el sitio web.
12

recomienda que el sitio no contenga ninguna trampa de teclado, debido a que
personas con capacidades diferentes utilizan el teclado como nica fuente para
navegar el internet es de suma importancia evitar dichas trampas.
HALLAZGO POSITIVO
Normalmente son reproductores de video multimedia que no permiten que el

usuario salga del contenido (trampa).
El formulario en el sitio web es totalmente funcional cuando se navega

utilizando solamente el teclado.
17
13
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#forms/

recomienda que el formulario del sitio web sea totalmente funcional sin
necesidad de utilizar el ratn, debe funcionar sin problemas utilizando
solamente el teclado debido a que personas con capacidades diferentes
utilizan el teclado como nica fuente para navegar el internet.
HALLAZGO POSITIVO
Si un formulario en un sitio web no es funcional o accesible cuando se navega

con el teclado personas con capacidades diferentes que utilizan dicho
dispositivo sern afectadas. En algunos casos el teclado es la nica fuente de
navegacin para personas.
Los trminos y campos del formulario estn posicionados correctamente.

recomienda que el contenido del formulario este posicionado de la forma
siguiente:
14
HALLAZGO POSITIVO
Trmino (ej. Nombre) posteriormente un campo donde se introducir la

informacin. Usuarios normalmente estn familiarizados con este tipo de
formularios.
Si un formulario est posicionado de forma incorrecta pude que confunda al
usuario al introducir informacin o asimismo sea difcil de entender.
Actualmente el formulario no especifica los campos mandatorios.

recomienda que en un formulario los campos mandatorios estn
especificados. Normalmente con color rojo y el smbolo *.
15
Si en un formulario no se especifica los campos mandatorios, significa que el

usuario tiene la opcin de insertar o no insertar informacin. Estos formularios
mandan un error al momento de recibir la informacin debido a que no se llen
correctamente un campo, logrando una mala experiencia al usuario.
NO CONFORMIDADES
MENORES
18
Se recomienda especificar los campos mandatorios, como lo es (e-mail)

agregando el smbolo * en color rojo posicionado a lado del campo. Esto
disminuye la probabilidad de que el usuario llegue a un error de formulario.
El formulario actual no muestra instrucciones claras antes y durante el

momento de llenar el campo debido a que no es requerido.
recomienda que el formulario muestre instrucciones claras del cmo se tiene
que llenar un campo. Normalmente es requerido cuando se llena un campo de
fechas (ej. dd-mm-yy) disminuyendo la probabilidad de error.
16
OBSERVACIONES
Sin dichas instrucciones el usuario pude llenar un campo errneamente

ocasionando un error de formulario afectando la usabilidad del sitio y lograr
una mala experiencia de usuario.
Se recomienda agregar instrucciones dentro del campo de (e-mail) para una
mejor usabilidad pero no es requerido.
El formulario actual funciona de forma correcta cuando se introduce

informacin errnea.
recomienda que se muestre un error cuando se llenan los datos del formulario
incorrectamente.
17
Si el usuario no recibe un mensaje de error cuando enva sus datos
incorrectamente, el usuario no se percatara de que sus datos no fueron
enviados.
HALLAZGO POSITIVO
Se recomienda agregar un mensaje de error y que el formulario siga

conteniendo la informacin que el usuario lleno para lograr una mejor
experiencia de usuario.
Actualmente el encargado de recibir y responder los mensajes del formulario

es Edgar Monzuri Neri
18
HALLAZGO POSITIVO
19
Si no hubiera un encargado de leer y responder los mensajes no habra un

propsito para la implementacin del formulario.
19
El administrador del sitio web actual tiene prohibido agregar videos y hacer
uso de las redes sociales.
N/A
El sitio web actual no muestra destellos en sus pginas.

La W3C (WCAG) 2.0 http://www.w3.org/WAI/intro/peopleuse-web/principles#safe
recomienda que el sitio web no contenga destellos en ninguna de sus pginas.
20
Si un sitio web muestra partes con destellos fuertes en alguna parte de la

pgina, puede ocasionar convulsiones a ciertas personas.
HALLAZGO POSITIVO
Es recomendable mostrar una advertencia antes de mostrar el contenido con

destellos.
El sitio web actual no es entendible cuando se deshabilitan las imgenes y

estilos CSS.
La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#structure
recomienda que el sitio web sea totalmente entendible cuando se deshabilitan
las imgenes del sitio y las hojas de estilo CSS.
21
Debido a que personas con diferentes capacidades navegan el internet con

imgenes y estilos de diseo deshabilitados, es importante que el sitio web sea
entendible sin estos elementos. Si un sitio web no es entendible cuando se
deshabilita las imgenes y estilos CSS, el usuario no podr navegar de forma
correcta el sitio.
NO CONFORMIDADES
MAYORES
Se recomienda cambiar las imgenes del sitio que contienen informacin

importante a texto, debido a que si las imgenes son deshabilitadas el usuario
podr entender la informacin. Se recomienda cambiar las imgenes que
contengan informacin, ttulos y links a otros sitios. Si las imgenes que
contienen links son deshabilitadas el usuario no podr acceder a tales links lo
cual afecta la usabilidad del sitio.
El sitio web actual hace uso de las etiquetas (ul, ol, dl) de forma apropiada.
20
La W3C (WCAG) 2.0 http://www.w3.org/TR/2015/NOTEWCAG20-TECHS-20150226/H48

recomienda que el sitio web haga uso de las etiquetas (ul, ol, dl) para mens
de navegacin y para la agrupacin de informacin relacionada.
22
HALLAZGO POSITIVO
Las etiquetas ul y ol son importantes para los mens de navegacin los cuales
permiten la navegacin utilizando solamente el teclado. Las etiquetas dl
agrupan informacin relacionada para que pueda ser accesible fcilmente
mejorando la usabilidad y accesibilidad del sitio.
El cdigo HTML del sitio web actual no fue validado satisfactoriamente segn
la W3C.org
23
El validador HMTL de la W3C valida el cdigo HTML del sitio web y verifica que
este correctamente implementado. No es necesario obtener una calificacin
perfecta despus de la validacin del sito, pero si hay ciertos errores que se
deben considerar, por ejemplo errores bsicos de sintaxis, atributos no
especificados y otros elementos.
NO CONFORMIDADES
MENORES
Se recomienda arreglar errores bsicos tales como errores de sintaxis,

atributos no especificados y otros elementos de la lista de errores en la pgina
de validacin.
El cdigo CSS del sitio web actual no fue validado satisfactoriamente segn la
W3C.org
24
El validador CSS de la W3C valida las hojas de estilo del sitio web y verifica que
el cdigo este correctamente implementado. No es necesario obtener una
calificacin perfecta despus de la validacin del sito, pero si es importante
entender porque aparece el error.
NO CONFORMIDADES
MENORES
Se recomienda arreglar errores 88 y 89 de la lista de errores de la w3c, los

cuales indican un error en las propiedades del atributo border radius.
Actualmente el sitio web tiene posicionado el logotipo del hospital en la parte

superior izquierda.
HALLAZGO POSITIVO
21
25
Es recomendable que el logotipo de la empresa o institucin se encuentre

posicionado cerca de la parte superior izquierda, debido a que estamos
acostumbrados a leer de arriba hacia abajo y de izquierda a derecha, lo que
significa que lo ms importante se debe leer primero, en este caso el logotipo.
El sitio web actual no contiene favicon en todas sus pginas.

Es recomendable mostrar un favicon en todas las pginas del sitio web,
debido a que se muestra el icono en todo tiempo, siendo este normalmente el
logotipo de la empresa.
26
El sitio web sola tener favicon del logotipo del hospital pero en la actualidad
no se logra visualizar por razones desconocidas en el cdigo.
NO CONFORMIDADES
MENORES
Es recomendable agregar el favicon en formato png para su visualizacin en

todos los browsers y verificar que el cdigo HTML este correcto.
El sitio web actual es visible en distintos dispositivos (Sistemas de cmputo de

escritorio, laptops, telfonos mviles y tabletas) pero no tiene un diseo
responsivo que se adapte a diferentes tamaos de pantalla.
La W3C (WCAG) 2.0 http://www.w3.org/standards/webdesign/accessibility
recomienda que el sitio web sea visible en diferentes dispositivos electrnicos
los cuales tienen distintos tamaos de pantalla.
27
NO CONFORMIDADES
MAYORES
Debido a que en la actualidad el sitio web es visible en diferentes dispositivos

electrnicos (Sistemas de cmputo de escritorio, laptops, telfonos mviles y
tabletas) no fue necesario disear diferentes vistas para los distintos tamaos
de pantalla.
En la actualidad si un sitio web no es diseado responsivo no podr visualizarse
en diferentes dispositivos de manera correcta. Las diferentes pginas del portal
sern visibles en diferentes dispositivos pero pueden ocurrir ciertas
deformidades dependiendo del tamao de pantalla del dispositivo. Dichos
eventos ocurren cuando no se ha implementado un diseo responsivo al sitio
web.
22
Se recomienda hacer el sitio web responsivo para su adaptacin a diferentes

tamaos de pantalla. Es recomendado tener un diseo nico para distintos
tamaos de pantalla mejorando la usabilidad del sitio y lograr una buena
experiencia de usuario. Se recomienda hacer uso de media querys y de
frameworks populares como Bootstrap los cuales facilitan la adaptacin del
diseo responsivo.
Propuesta de Mejora de auditoria Web
Hallazgos
Descripcin
El sitio web actual es visible en distintos dispositivos (sistemas de cmputo de escritorio, laptops, telfonos
mviles y tabletas) pero no tiene un diseo responsivo que se adapte a los diferentes tamaos de pantalla.
De igual forma el sitio web no contiene textos alternos en imgenes las cuales muestran contenido importante
del sitio.
Asimismo El sitio web actual no es entendible cuando se deshabilitan las imgenes y estilos CSS.
Justificacin
Es de suma importancia considerar la accesibilidad de un sitio web debido a que personas con capacidades
diferentes navegan el internet utilizando diferentes herramientas. Personas con problemas de visin utilizan
un software auditivo para navegar un sitio web, los cuales utilizan el texto alternativo para explicar el
contenido de la imagen. Sin texto alternativo en las imgenes esto no es posible, afectando la usabilidad y
accesibilidad del sitio.
Asimismo si el uso de textos alternativos no es el apropiado, se puede dificultar el entendimiento del
contenido del sito. En ocasiones usuarios con diferentes capacidades navegan el internet con imgenes y
estilos de diseo deshabilitados, es importante que el sitio web sea entendible sin estos elementos. Si un sitio
web no es entendible cuando se deshabilita las imgenes y estilos CSS, el usuario no podr navegar de forma
correcta el sitio.
23
Segn a una encuesta realizada por la AMIPCI el 58% de 53.9 millones de mexicanos navegan el internet
utilizando un Smartphone, es decir 5 de cada 10 mexicanos navegan el internet utilizando un dispositivo
mvil, lo cual es de suma importancia disear una vista apropiada para los diferentes tamaos de pantalla.
En la actualidad si un sitio web no es diseado de forma responsiva, este no podr visualizarse en diferentes
dispositivos de manera correcta.
Las diferentes pginas del portal sern visibles en diferentes dispositivos pero pueden ocurrir ciertas
deformidades dependiendo del tamao de pantalla del dispositivo. Dichos eventos ocurren cuando no se ha
implementado un diseo responsivo al sitio web.
Propuesta de Mejora
Es importante implementar el estndar de la W3C (WCAG) 2.0 el cual se enfoca en la accesibilidad y usabilidad
del sitio web. Segn la Universidad de Alicante, la accesibilidad web tiene como objetivo lograr que las pginas
web sean utilizables por el mximo nmero de personas, independientemente de sus conocimientos o
capacidades personales e independientemente de las caractersticas tcnicas del equipo utilizado para
acceder a la Web.
Es recomendable agregar texto alternativo en las diferentes imgenes importantes del sitio explicando
brevemente la imagen, para que personas con capacidades diferentes puedan entender lo que estn
escuchando. El texto alterno no debe ser muy largo pero si debe contener suficiente informacin para
entender las diferentes imgenes del sitio. De igual forma se recomienda cambiar las imgenes del sito que
contengan (ttulos, informacin, links, entre otros) a texto, debido a que si las imgenes son deshabilitadas el
usuario no podr entender el contenido del sito, incluso las imgenes que contienen links a otros sitios no
podrn ser accesibles.
Asimismo se recomienda hacer el sitio web responsivo para su adaptacin a diferentes tamaos de pantalla.
Es recomendado tener un diseo nico para distintos tamaos de pantalla mejorando la usabilidad del sitio y
lograr una buena experiencia de usuario.
Es importante hacer uso de media querys y de frameworks populares para facilitar la adaptacin del diseo
responsivo.
Frameworks Populares
Bootstrap
Foundation
Uikit
Se recomienda usar el framework Bootstrap debido a que es el ms popular y cuenta con una gran
comunidad la cual es importante para preguntas y sugerencias. Bootstrap ha logrado un rpido crecimiento
en los ltimos aos y facilita la implementacin del diseo responsivo por medio de clases CSS ya definidas.
24
Evidencias de auditora Web
25
26
Hallazgos de Auditora de Redes

Por: Rub Bentez Hernndez
27
Hallazgos de auditoria de redes

No
Atributos
Clasificacin
En las oficinas, el cable conectado UTP que est conectado del equipo a los
nodos, estn desordenados y no estn protegidos.
1
Cableado Interior:
Basndose en la norma PREN 50098-3, Los cables interiores incluyen el
cableado horizontal y vertical desde el armario repartidor de planta
correspondiente hasta el rea de trabajo y del cableado de distribucin para la
conexin de los distintos repartidores de planta.
Se recomienda que el cable este protegido en todo momento para evitar
rupturas o daos en este caso es recomendable utilizar Canaleta horizontal
por pared dentro de la oficina.
Los nodos de la institucin cuentan con una certificacin.
En la institucin el Auditado en redes obtuvo en primera instancia orden,
control y conocimiento detallado acerca del cableado de la red en la parte de
lo que son los nodos y el cableado; ya que cuentan con la certificacin de
WireScope Pro en ANSI/TIA/EIA-568-B
Especifica un sistema de cableado para edificios comerciales, con soporte
multi- productos y multi-marcas.
Tambin provee informacin para el diseo de productos de
telecomunicaciones por parte de los fabricantes.
La red es rpida, es decir no tarda para cargar las paginas a las se tiene
permitido ingresar. No hay trfico.
El Hospital del Nio y Adolescente Morelense cuenta con 320 Mbps de
internet.
Los grandes corporativos y empresas con diversas sucursales necesitan
soluciones ms avanzadas como la operacin de sistemas de nmina,
facturacin, cobranza, estabilidad en su red y seguridad de sus datos. Es por
ello que en muchas ocasiones requieren de una conexin dedicada y
frecuentemente simtrica, es decir una conexin propia donde el ancho de
banda no se comparta con otros negocios y que cuente velocidades de carga y
descarga paralelas para que su informacin viaje de forma rpida y eficiente.
La velocidad que deben tener estas organizaciones es ms compleja de
determinar por lo que en esos casos es recomendable contar con la atencin
de un ejecutivo que haga un estudio detallado de los requerimientos de la
NO CONFORMIDADES
MENORES
HALLAZGO POSITIVO
HALLAZGO POSITIVO
28
organizacin ya que la solucin contratada puede ir desde los 200 Mbps hasta
los 10 Gbps.
La red de la institucin es escalable; es decir que se pueden instalar ms
Routers y Switches sin ningn problema, en lo IDFS se pueden poner Racks
para conectar a ms usuarios sin ningn problema ya que se cuenta con el
espacio y la infraestructura de la red lo permite.
4
En telecomunicaciones y en ingeniera informtica, la escalabilidad es la
propiedad deseable de un sistema, una red o un proceso, que indica su
habilidad para reaccionar y adaptarse sin perder calidad, o bien manejar el
crecimiento continuo de trabajo de manera fluida, o bien para estar preparado
para hacerse ms grande sin perder calidad en los servicios ofrecidos.
Hallazgo positivo
Se tiene un control en la red, como el uso de VLANS y de servidores como DNS

y DHCP para administrar tanto la red almbrica como inalmbrica, se tiene
administracin en cada rea.
5
La Administracin de Redes es un conjunto de tcnicas tendientes a mantener

una red operativa, eficiente, segura, constantemente monitoreada y con una
planeacin adecuada y propiamente documentada.
Los racks del MDF y de los IDFS tienen cables que no estn en orden es muy
fcil confundirse al momento de querer cambiar de un puerto a otro.
6
La norma ANSI/TIA/EIA-568 recomienda que el nmero de dispositivos en el
rack no debe exceder de ciertas medidas y de un contado nmero de
dispositivos en el para evitar sobrecargar de unidades
Hallazgo positivo
NO CONFORMIDADES
MENORES
Imagen 1- Medidas Racks

29
Si un centro de cableado sirve como MDF, todos los cables que se tiendan a
partir de este, hacia las IDF, computadores y habitaciones de comunicacin
ubicadas en otros pisos del mismo edificio, se deben proteger con un conducto
o corazas de 10,2 cm. Asimismo, todos los cables que entren en los IDF debern
tenderse a travs de los mismos conductos o corazas de 10,2 cm. La cantidad
exacta de conductos que se requiere se determina a partir de la cantidad de
cables de fibra ptica, UTP y STP que cada centro de cableado, computador o
sala de comunicaciones puede aceptar. Se debe tener la precaucin de incluir
longitudes adicionales de conducto para adaptarse al futuro crecimiento. Para
cumplir con esta especificacin, se necesitan como mnimo dos corazas
revestidas o conductos adicionales en cada centro de cableado. Cuando la
construccin as lo permita, todos los conductos y corazas revestidas debern
mantenerse dentro de una distancia de 15,2 cm. de las paredes.
No se cuenta con un manual de polticas e seguridad para establecer cmo se

debe de manejar la red, que est permitido, quien puede tener acceso a los
sites, a servidores o administrar la red.
ITIL-Gestin de Servicios TI
Recomienda utilizar y establecer lo que son polticas de seguridadEl Plan de Seguridad debe disearse para ofrecer un mejor y ms seguro
servicio al cliente y nunca como un obstculo para el desarrollo de sus
actividades de negocio.
NO CONFORMIDADES
MENORES
Siempre que sea posible deben definirse mtricas e indicadores clave que
permitan evaluar los niveles de seguridad acordados.
Donde se encuentran los IDF'S y MFD cuentan con un sistema de puesta a tierra
para proteger a los equipos de una descarga elctrica, al igual que los
conectores de los equipos cuentan un el nodo que puesta a tierra.
El sistema de puesta a tierra y puenteo establecido en estndar ANSI/TIA/EIA607 es un componente importante de cualquier sistema de cableado
estructurado moderno. El gabinete deber disponer de una toma de tierra,
conectada a la tierra general de la instalacin elctrica, para efectuar las
conexiones de todo equipamiento. El conducto de tierra no siempre se halla
indicado en planos y puede ser nico para ramales o circuitos que pasen por
las mismas cajas de pase, conductos o bandejas. Los cables de tierra de
seguridad sern puestos a tierra en el subsuelo.
Los Sites (IDF'S y MFD) de la empresa cuentan con aire acondicionado el cual
mantiene el cableado en perfectas condiciones as como evita que se
30
sobrecalientan los servidores, router o dispositivos que se encuentran dentro

de ellos.
se cumple con la norma ANSI/TIA/EIA-569:
En cuartos que no tienen equipo electrnico la temperatura del cuarto de
telecomunicaciones debe mantenerse continuamente (24 horas al da, 365
das al ao) entre 10 y 35 grados centgrados. La humedad relativa debe
mantenerse menor a 85%. Debe de haber un cambio de aire por hora. En
cuartos que tienen equipo electrnico la temperatura del cuarto de
telecomunicaciones debe mantenerse continuamente (24 horas al da, 365
das al ao) entre 18 y 24 grados centgrados. La humedad relativa debe
mantenerse entre 30% y 55%. Debe de haber un cambio de aire por hora.
Hallazgo positivo
Propuesta de mejora de auditora de redes

Hallazgos
DESCRIPCIN
La red no cuenta con un sistema de seguridad en los IDF'S y el MDF el acceso es fcil ya que
se encuentran en reas donde las personas pueden acceder sin necesidad de ser trabajadores.
El orden del cableado en los rack no es el adecuado ya que se encuentra mal distribuido y el
querer cambiar de un lugar a otro es complicado.
No existe un encargado especfico para el rea de redes, que est al pendiente del monitoreo
de servidores as como la seguridad de la red y el trfico que hay en ella.
JUSTIFICACIN
La seguridad es un punto clave que todo el rea de informtica tiene que trabajar en ello da a
da por eso es que un sistema de seguridad son un elemento importante para la deteccin de
problemas en la red. Es por eso que se propone contar con un sistema de seguridad que se
conoce como alarma, el cual es una herramienta con la que el administrador se auxilia para
conocer que existe un problema en la red. Tambin conocido como sistema de monitoreo, se
trata de un mecanismo que permite notificar que ha ocurrido un problema en la red. Esta
propuesta se basa en la utilizacin de herramientas basadas en el protocolo estndar de
monitoreo, SNMP, ya que este protocolo es utilizado por todos los fabricantes de equipos de red.
31
Se debe de tener un orden en la red, el cableado debe de ser ordenado para que este cumpla
con las normas establecidas para el cableado estructurado, por otra parte es ms fcil para el
personal identificar nodos mediante el cable ordenado.
se debe contar el personal adecuado esto quiere decir que cada rea debe de tener su encargado
para que haya una administracin de fallas tanto lgicas como fsicas, si la red sufre de un
ataque y no est la persona capacitada para solucionar este tipo de problemas puede surgir
prdida de informacin, tiempo y dinero.
PROPUESTA DE MEJORA
Se propone implementar un sistema de seguridad para tener controlado el acceso de los Sites
manteniendo un registro, se puede poner una alarma por si alguien intenta acceder de manera
forzada, Esta propuesta se basa en la utilizacin de herramientas basadas en el protocolo
estndar de monitoreo, SNMP, ya que este protocolo es utilizado por todos los fabricantes de
equipos de red.
Se recomienda dar una capacitacin al personal de informtica sobre las amenazas en redes y
cmo pueden solucionarlo para que el problema no sea mayor, al igual capacitar para que los
empleados tengan el conocimiento de los recursos que hay en el rea de informtica y en que
pueden utilizarlo, que los empleados tengan conciencia sobre el orden en lo que es redes es
decir que las normas y estndares recomiendan como mantener el cableado estructurado para
mejor rendimiento y para facilitarle la tarea al administrador.
Modelo simultneo:
Bajo este modelo se capacita a todo el personal simultneamente, en uno o varios das y en el
rea correspondiente.
Ventajas:
Ofrece un evento de capacitacin de alto nivel, que puede estimular el reclutamiento y la
colaboracin de la comunidad participante, as como su inters en el aprendizaje. Puede
realizarse en un periodo de tiempo corto. Puede tener como consecuencia un incremento en
las habilidades de capacitacin.
32
Evidencias auditora de redes
33
Hallazgos Auditora de Seguridad de TI

Por: Rubn Olmedo Coso
34
Hallazgos de auditora de seguridad de TI

No
Atributos
Se encontr que los responsables del rea de tecnologa del hospital del nio
no cuentan con la documentacin con respecto a la instalacin elctrica de su
rea (basado en el modelo ANSI/TIA/EIA 606).
Esta situacin se debe a que esta informacin la tiene solo el rea de
mantenimiento del hospital.
Clasificacin
NO
CONFORMIDADES
MENORES
Se recomienda a los responsables del rea de TI que soliciten una copia de la

documentacin con respecto a la instalacin elctrica de su rea
El rea de TI tiene correctamente sealadas las tomas de corriente elctrica
El modelo ANSI/TIA/EIA 606 marca que cada una de las tomas de corriente
elctrica deben estar debidamente sealadas.
La instalacin elctrica de los equipos de cmputo se realiz segn lo
requieren las normas hospitalarias en donde se menciona que las tcnicas de
seguridad elctrica exigen que todos los tomacorrientes de un mismo
ambiente estn referenciados a la misma tierra pero independiente de los
otros ambientes contiguos. De esta forma se construye una configuracin
llamada copo de nieve, y se evitan los lazos de tierra.
Los equipos de cmputo del hospital cuentan con No-break o con reguladores
de corriente, lo cual es importante ya que de esta manera se regula el flujo de
energa en los equipos de cmputo y para evitar descargas elctricas
repentinas que puedan daar a los mismos. De igual manera el SITE de
telecomunicaciones cuenta con un sistema de puesta a tierra para evitar
descargas elctricas repentinas que puedan poner en riesgo la funcionalidad
de los equipos de cmputo del SITE.
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
Segn las especificaciones de ANSI/TIA/EIA-607:

El cuarto de telecomunicaciones debe contar con una barra de puesta a tierra
que a su vez debe estar conectada mediante un cable de mnimo 6 AWG con
aislamiento verde/amarillo al sistema de puesta a tierra de
telecomunicaciones.
35
Los responsables del rea de TI no cuentan con una poltica de seguridad

interna para el acceso al SITE de telecomunicaciones, aunque esto no
represente un riesgo mayor es recomendable elaborar y dar a conocer, entre
los responsables del rea, dicho documento.
El SITE de telecomunicaciones del hospital del nio est en un sitio aislado y
siempre cerrado bajo llave. nicamente los responsables de TI tienen acceso
a l para evitar intrusiones no autorizadas al mismo, mantener regulada su
temperatura y reducir la entrada o contaminacin de polvo.
Se cuenta con los planos donde se encuentran identificadas las instalaciones
elctrica y de red del hospital
La norma TIA/EIA 606 proporciona una gua que puede ser utilizada para la
ejecucin de la administracin de los sistemas de cableado.
Resulta fundamental para lograr una cotizacin adecuada suministrar a los
oferentes la mayor cantidad de informacin posible. En particular, es muy
importante proveerlos de planos de todos los pisos, en los que se detallen:
1.- Ubicacin de los gabinetes de telecomunicaciones
2.- Ubicacin de ductos a utilizar para cableado vertical
3.- Disposicin detallada de los puestos de trabajo
4.- Ubicacin de los tableros elctricos en caso de ser requeridos
5.- Ubicacin de pisoductos si existen y pueden ser utilizados
Cada usuario cuenta con su cuenta propia de inicio de sesin, la cuenta es
asignada por los responsables de TI y los usuarios eligen su contrasea de inicio
de sesin. Las contraseas de los usuarios de cambian cada 6 meses. Es
recomendable que se realice cada 2 como mnimo para brindar una mayor
seguridad a la informacin que tengan los usuarios
La seguridad de cada cuenta de usuario es regular, ya que los usuarios suelen
brindar sus contraseas de sesin a sus compaeros, lo que pondra en riesgo
la informacin guardada en el equipo de cmputo.
Se les hace llegar a los usuarios de equipos de cmputo del hospital, cartas
responsivas del sistema y del equipo. Tambin se maneja un control de acceso
de usuarios estndar y privilegiados en el hospital para evitar que los usuarios
instalen programas indistintos a los requeridos para el hospital.
NO
CONFORMIDADES
MENORES
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
NO
CONFORMIDADES
MENORES
HALLAZGO
POSITIVO
36
10
11
Segn ISO 27001. Se debera establecer, documentar y revisar una poltica de

control de accesos en base a las necesidades de seguridad y de negocio de la
Organizacin.
Se cuenta con tipos de cuentas de usuario privilegiadas y estndar en el
hospital. Solo los usuarios de tipo privilegiado (Responsables de TI) cuentan
con la autorizacin para instalar programas en los equipos segn se requiera.
Establecer los mecanismos por los cuales los solicitantes van a acceder a los
recursos de informacin de la organizacin.
El estndar RFC2196 dice que el acceso de la informacin debe tener un
esquema donde se puedan seguir ciertos procedimientos que han de
estructurarse tomando como base las necesidades de la organizacin.
En este proceso se da permiso al solicitante de realizar o no acciones dentro
de un sistema.
Para la adquisicin de nuevos equipos de cmputo, se realizan estudios y
cotizaciones de equipos con distintos proveedores, donde realizan una
comparacin de precios del equipo que se necesita y tomar la decisin ms
conveniente.
Segn la norma ISO/IEC 21827 Toda adquisicin se basa en los estndares del
grupo empresarial establecida por el Comit. Esta arquitectura tiene una
permanencia mnima de dos a cinco aos.
Se cuenta con una bitcora de incidencias en el rea de TI donde se monitorea
y se da seguimiento a las fallas con ms frecuencia en los equipos de cmputo
del hospital. Dichas fallas se tratan de manera inmediata para que los usuarios
puedan continuar con sus actividades.
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
El estndar BS7799-3 dice que se debe identificar, evaluar, tratar y gestionar

los riesgos en seguridad de la informacin, estos son procesos clave si desea
garantizar la seguridad de la organizacin.
Actualmente en el hospital del nio no se implementa el respaldo de
informacin (backup) en la mayora de los equipos, solo se realiza a equipos
virtuales asignados a doctores del rea de consulta mdica. Se tiene planeada
la adquisicin de una SAN dedicada al respaldo de la informacin solo de las
reas que los responsables de TI consideran de mayor importancia.
12
El estndar ISO 27001 define el dominio Seguridad de las operaciones a

travs de distintos objetivos de control, uno de los cuales es el de Backup, que
tiene como propsito proteger a las organizaciones contra la prdida de
informacin, establece la creacin y prueba regular de copias de seguridad
que involucren a la informacin, software e imgenes de sistemas, todo en
concordancia con una poltica de respaldo.
No se cuentan con polticas de control de acceso de dispositivos de
almacenamiento externos (memorias USB, SD, microSD, CD-ROM/DVD o
NO
CONFORMIDADES
MAYORES
37
tablets) a equipos de cmputo hospital. Tampoco se cuenta con ningn tipo

de software que controle el acceso de los puertos USB o CD/DVD en los
equipos de cmputo.
13
14
15
16
ISO/IEC 27001 especifica que se debe impedir el acceso no autorizado a la

informacin mantenida por los sistemas de las aplicaciones.
Se deberan utilizar dispositivos de seguridad con objeto de restringir el acceso
a las aplicaciones y sus contenidos.
Se debera restringir el acceso lgico a las aplicaciones software y su
informacin nicamente a usuarios autorizados.
ITIL-Gestin de Servicios TI
Recomienda utilizar y establecer lo que son polticas de seguridadEl Plan de Seguridad debe disearse para ofrecer un mejor y ms seguro
servicio al cliente y nunca como un obstculo para el desarrollo de sus
actividades de negocio.
Se cuenta con un inventario de los equipos de cmputo junto con sus activos
fijos y a quien ha sido asignado cada equipo en el hospital.
Las normas ISO/IEC 27001 dicen que todos los activos deberan ser
justificados y tener asignado un propietario. Adems se debe elaborar y
mantener un inventario de activos de informacin mostrando los propietarios
de los activos (directivos o gestores responsables de proteger sus activos) y
los detalles relevantes (p. ej., ubicacin, n de serie, n de versin, estado de
desarrollo / pruebas / produccin, etc.).
Los responsables del rea de TI hacen entrega junto con el equipo de cmputo
asignado, una carta responsiva del sistema y del equipo de cmputo donde se
definen sus derechos de acceso y uso del equipo dentro de la institucin y
polticas de seguridad que se deben seguir.
NO
CONFORMIDADES
MAYORES
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
Las normas ISO 27001 recomiendan que la direccin debera aprobar y

publicar un documento de la poltica de seguridad de la informacin y
comunicar la poltica a todos los empleados y las partes externas relevantes.
Se realizan manuales de operacin de software para los usuarios de equipos
del hospital, como apoyo para su correcta implementacin.
Se debe asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin.
ISO/IEC 27001 establece que se deberan establecer responsabilidades y
procedimientos para la gestin y operacin de todos los recursos para el
tratamiento de la informacin.
Esto incluye el desarrollo de instrucciones apropiadas de operacin y de
procedimientos de respuesta ante incidencias.
Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el
riesgo de un mal uso del sistema deliberado o por negligencia.
HALLAZGO
POSITIVO
38
Propuesta de Mejora seguridad de TI
Hallazgos
Propuesta de Mejora
Se recomienda a los responsables del rea de TI:
Establecer polticas de acceso al SITE de telecomunicaciones, ya que no se cuenta con ningn
reglamento escrito y aprobado por la direccin general del Hospital del nio.
Obtener documentacin respecto a las instalaciones elctricas del rea de TI
Establecer polticas de seguridad respecto al uso de dispositivos de almacenamiento externos
(memorias USB, microSD, CD-ROM) ya que existen usuarios que hacen uso indebido de estos
dispositivos dentro del hospital y esto puede poner en riesgo la seguridad de la informacin de los
equipos del hospital.
Implementar el uso de software que controle el acceso de dispositivos de almacenamiento externo en
los equipos de cmputo del hospital, de esta manera se evitara tanto la extraccin indebida de la
informacin y la intrusin de archivos innecesarios (imgenes, msica, videos o software) que daen
o compliquen el buen funcionamiento de los equipos de cmputo del hospital.
Establecer un reglamento respecto al control de cuentas de los usuarios ya que hay personal que
presta su cuenta y contrasea a otros usuarios lo cual representa un riesgo para la seguridad de la
informacin.
Se debera considerar hacer uso del respaldo de la informacin en todos los equipos de cmputo del
hospital ya que de esta manera se garantizara la seguridad de la informacin y se evitaran prdidas
importantes de la misma.
39
Evidencias de auditora de seguridad en TI
40
Auditora de Sistemas
Por: Jonathan Levi Mrquez Garca
41
No Atributos
ISO 9126Funcionalidad: el grado en que el software satisface las necesidades
indicadas por los siguientes subatributos: idoneidad, correccin,
1 interoperabilidad, conformidad y seguridad.
Confiabilidad: cantidad de tiempo que el software est disponible para su

uso. Est referido por los siguientes subatributos: madurez, tolerancia a fallos
y facilidad de recuperacin.
Usabilidad: grado en que el software es fcil de usar. Viene reflejado por los
siguientes subatributos: facilidad de comprensin, facilidad de aprendizaje y
operatividad.
Eficiencia: grado en que el software hace ptimo el uso de los recursos del
sistema. Est indicado por los siguientes subatributos: tiempo de uso y
recursos utilizados.
Facilidad de mantenimiento: la facilidad con que una modificacin puede ser
realizada. Est indicada por los siguientes subatributos: facilidad de anlisis,
facilidad de cambio, estabilidad y facilidad de prueba.
Portabilidad: la facilidad con que el software puede ser llevado de un entorno
a otro. Est referido por los siguientes subatributos: facilidad de instalacin,
facilidad de ajuste, facilidad de adaptacin al cambio.
W3C Diseo y aplicaciones web
Diseo y Aplicaciones Web incluye a los estndares para la construccin y
representacin de las pginas Web, incluyendo HTML5, CSS, SVG, Ajax y otras
tecnologas para las Aplicaciones Web (WebApps). Esta seccin tambin
incluye informacin sobre cmo hacer pginas accesibles para personas con
discapacidades (WCAG), aplicar internacionalizacin y trabajar sobre
dispositivos mviles.
Clasificacin
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
HALLAZGO
POSITIVO
42
Web semntica
Linked data metadata y <title>
El modelo de McCall
HALLAZGO
POSITIVO
43
Evidencias de auditora de sistemas
44
Tecnologa Emergente propuesta de sistema apara HNAM

Resumen del proyecto
El proyecto consiste en la migracin de un sistema que est siendo utilizado en el Hospital del nio y el
adolescente de Morelos, mediante el cual los pacientes puedan agendar sus citas en el hospital, la iniciativa fue
propuesta por el equipo auditor, y se encontr que dicho sistema puede ser mejorado en cuanto a velocidad,
usabilidad y fluidez.
Informacin destacada
El hospital del nio morelense es actualmente uno de los organismos que ayuda a muchos habitantes del estado
de Morelos, el cual tiene como objetivo ser un hospital regional con el ms alto rendimiento en servicios de
atencin mdica, sin embargo, actualmente tienen una forma de agendamiento muy tardada y esto ocasiona
que los algunos pacientes tengan que viajar de lugares muy retirados. El pasado viernes 6 de Noviembre se le
propuso al Lic. Blanco que est recibiendo la auditoria la migracin de su sistema a una nueva tecnologa de la
compaa Google llamada Cloud Storage y con el lenguaje JavaScript para que en conjunto de ambas tecnologas
la aplicacin pueda aumentar su velocidad, rendimiento y almacenamiento o en tiempo real.
Objetivos
1. Migrar una base de datos relacional a una no relacional.
2. Realizar los servicios necesarios para el uso de la aplicacin migrada (app back-end).
3. Hacer la aplicacin con la que el usuario interactuara (app front-end).
Declaracin de objetivos
La base de datos que se es utilizada actualmente es una bd relacional, el objetivo es migrarla a una base de
datos no relacional, haciendo uso de la herramienta Cloud Datastore de Google.
45
Otro objetivo imprescindible es el alojamiento de la aplicacin en Google App Engine, el cual es un servicio de
forma gratuita con un lmite de 500 megabyte que permite ejecutar aplicaciones sobre la infraestructura de
google.
Descripcin de la aplicacin actual

La aplicacin que actualmente se ocupa en el HNAM fue desarrollada en el 2012, requerida por el rea de
enfermera, no obstante no cubri con todas las necesidades para la cual fue desarrollada.
Presupuesto
Nombre del Proyecto: Tecnologa Emergente propuesta de
sistema apara HNAM

Nombre del Administrador: Brenda Kareny Prez Gonzalez
Nombre del Cliente: Rubn Leiva Blanco
identificador del Proyecto: PSPH
Duracin del Proyecto (Meses): 1
Estimados del proyecto: $11281.5
Recursos
No
1
Concepto
Lap top (renta) mes
Cantidad
2
Costo
$400
Total
$800
Mes de renta fibra ptica (renta) mes
$1000
$1000
Renta de almacenamiento en la nube (renta) mes
$1381.5
$1381.5
Mantenimiento del sistema (renta) mes
$400
$400
Anlisis de reserva
Total $3581.5
46
Materiales
No
1
2
3
Descripcin
Requerir sw ms especializado.
Costo
$3000
Accidente o enfermedad por parte

de algn miembro del proyecto.
Falta de capacitacin de los
usuarios administradores del
sistema
Total 6000
$2500
$500
OTROS GASTOS
Concepto
Cantidad
Costo
Total
Transporte
$250
$500
Comidas
$600
$1200
Total
$1700
Presupuesto del proyecto

Estimados del proyecto, recursos materiales $3581.5
Anlisis de reserva $6000
Otros gastos $1700
Presupuesto del Proyecto total $11281.5
47
Conclusiones
Despus de la elaboracin de la auditora al Hospital del nio y adolescente morelense, se recopil mucha
informacin que ayud a encontrar debilidades, fortalezas, amenazas y oportunidades a las que les dimos
calificaciones y ponderaciones para saber en dnde se podan implementar reas de oportunidad, apoyndonos
de los resultados obtenidos de la misma, a este anlisis le definimos FODA.
Sobre los resultados obtenidos en el FODA pudimos realizar un anlisis ms, llamado Matriz de crecimiento
(BCG), donde se trazan en un eje X y un eje Y los totales que se obtuvieron al sumar la multiplicacin de
ponderacin y calificacin de debilidades y fortalezas (X), as como amenazas y oportunidades (Y). Estos no
ayud a graficar en que cuadrante se encontraba la empresa encontrndolo en el cuadrante de signo de
interrogacin donde definimos que le falta mucha inversin de trabajo y la participacin de los trabajadores es
baja.
La problemtica era algo presente en nuestra recopilacin de datos, por ello se redactaron tres fallas relevantes
dentro del anlisis, a estos problemas se les propone una estrategia, redactada explcitamente, en cada
estrategia se calcula su costo, para as sacar un presupuesto total de toda la propuesta de mejora.
Y por ltimo se realiz un Benchmarking que es un proceso mediante el cual se recopila informacin y se
obtienen nuevas ideas, mediante la comparacin de aspectos de tu empresa con los lderes o los competidores
ms fuertes del mercado, en este caso las comparaciones fueron con distintos hospitales del estado de Morelos
que tenan en comn algunos aspectos mencionando que no podan ser totalmente iguales ya que cada hospital
es especializado en algo. Nuestra empresa auditada tuvo el primer lugar en el anlisis, en comparacin con la
competencia.
Todas las tareas realizadas en este documento tuvieron que ser estudiadas minuciosamente ya que en esto nos
basaremos para dar el status de la empresa. Fue bastante interesante todo este proceso, ya que al igual que
esta empresa se puede hacer para algn negocio particular, haciendo ver los grandes o pequeos errores que
se comenten, implementando estrategias de mejora continua a nuestros problemas y estimando cunto nos
costar.
48
Anexos
(Evaluaciones del auditor, Evidencia documental de la empresa, encuestas de satisfaccin al
cliente y usuario final)
49
50

Dictamen Final v-004

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Dictamen Final v-004

Cargado por

Copyright:

Formatos disponibles

Dictamen final de Auditoria

Hospital del nio y adolescente Morelense

Carta de entrega de la Auditoria

Auditoria externa a Hospital del nio y adolescente Morelos

Lder del proyecto

ING. Rubn Leyva Blanco

19 Noviembre 2015 13:00 pm

Restricciones, supuestos y riesgos.

Solo se auditara el rea de informtica.

Que la empresa decida cancelar el permiso para hacer la auditoria

ING. Rubn Leyva Blanco

MIA. Elda Fabiola Damin

Brenda Kareny Prez Gonzalez

Organigrama del equipo auditor

Encabezar al equipo auditor.

Auditor de sitio web: Consultor Carlos Quiones Gonzlez

Valorar la usabilidad, optimizacin y seguridad del sitio web.

Auditor de redes: Consultor Rub Bentez Hernndez

Verificar la seguridad de la red de la empresa.

Auditor de sistemas: Consultor Jonathan Levi Mrquez Garca:

Verificar el uso, la eficiencia y seguridad de los equipos de cmputo.

Auditor de seguridad: Consultor Rubn Olmedo Coso

Evaluar los recursos informticos de la empresa su acceso y administracin.

Tecnologa moderna y de alto rendimiento

Doctores altamente capacitados para el uso de las

Alta capacida de seguridad

Alto rendimiento de red local

El rea donde se encuentra el MDF y los IDFS no cuenta

El nmero de empleados que hay en el rea de

El sistema utilizado en el hospital tiene fallas y es

No existe una persona especfica que est encargada

El hospital cuenta con bastante equipo y licencias que no

Presupuesto insuficiente por parte del gobierno para el rea

Llegada de nuevos virus que amenacen la seguridad de los

Repentina descarga elctrica en la institucin a causa de su

Infiltracin de un agente externo (hacker) que atente contra

A causa de un gran nmero de pacientes, el personal de la

Certificacin en estndares y normas ISO

Capacitar a estudiantes universitarios

Hacer portal web responsive para uso en dispositivos

Auditoras externas para encontrar oportunidades de mejora

Tecnologas emergentes (Intelligent Building)

Matriz de crecimiento (BCG)

Hallazgos Auditora del Portal Web

Hallazgos de auditora Web

La W3C Quaility Assurance recomienda que el sitio web no debe contener

Al tener enlaces rotos en el sitio web afecta la calidad de la misma logrando

El sitio web actualmente contiene ttulos en todas sus pginas.

La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#title recomienda

Pginas sin ttulo afectan la calidad y usabilidad de la misma, se dificulta

El sitio web actualmente contiene ttulos que describe de forma general el

La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#title recomienda

Pginas sin ttulos o con ttulos no relacionados al contenido, dificulta el

Personas con problemas de visin utilizan un software auditivo para navegar

La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#images

El sitio web actualmente no contiene textos alternos porque el administrador

Si el uso de textos alternativos no es el apropiado, se puede dificultar el

El sitio web actual es visible en diferentes dispositivos (Sistemas de cmputo

La mayora de las personas hoy en da utilizan su dispositivo mvil como su

Si el contenido de un sitio web no es dividido por secciones utilizando la

Se recomienda hacer uso de la etiqueta <section> en el maquetado de la

El sitio actual no hace uso de CAPTCHA en el sitio la cual se utiliza para

El sitio web actual puede ser navegado utilizando solamente el teclado y se

La W3C (WCAG) 2.0 http://www.w3.org/WAI/eval/preliminary.html#interaction/