Entregable I

León Reyna María Fernanda

Noriega Cruz Erika Ayla

Pérez Juárez Laura Celeyna

Cruz Salazar Nicolás

Hernández Cortés José Enrique

Herrera Ardil Hugo Martin

López Zamorano Gustavo

Sánchez Covarrubias Gerardo

Realización de Auditoría de T.I. al departamento de Imagen de la Coordinación General de Comunicación Política del Gobierno del Estado de Morelos

Introducción

La Auditoría es un proceso o una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

Se puede comprender como un examen de la estructura de una empresa, en cuanto a los planes y objetivos, métodos y controles, su forma de operación y sus equipos humanos y físicos. Este examen se puede realizar por un equipo interno o externo a la Organización en evaluación.

Tiene como finalidad principal identificar hasta qué punto una Organización está cumpliendo los objetivos establecidos por la gerencia, así como los que requieren mejorarse.

La Auditoría en Tecnologías de la Información es un proceso o función para evaluar la calidad, fiabilidad y seguridad de un entorno informático dado, así como brindar seguridad razonable acerca de la utilidad de la información almacenada y procesada en ellos, con el fin de emitir un juicio al respecto.

Finalmente, deberá expresar una opinión y conclusión acerca de los resultados obtenidos a través de la Auditoria de Tecnologías de la Información. La opinión puede ser Favorable, Con salvedades, Desfavorable o Denegada. Mientras que la conclusión puede ser Conclusión-Resumen o Conclusión-Propósito.

Justificación

El departamento de Imagen de la Coordinación General de Comunicación Política del Gobierno del Estado de Morelos, actualmente se encuentra en un periodo de transición, originalmente formaba parte del Consejo de Asesores de la Gubernatura pero ahora se ha integrado a la Coordinación, entre sus múltiples actividades se encuentra el desarrollo de sus propias aplicaciones de software así como la administración de su propia red, sin embargo estas áreas no se han definido formalmente.

Como uno de los principales objetivos fijados por el actual Coordinador para el departamento, se ha encomendado mejorar su rendimiento, motivo por el cual se requiere realizar una evaluación de los distintos aspectos de TI para que, en base a los resultados obtenidos, la Organización pueda mejorar y prestar un mejor servicio a quienes lo solicitan.

En este documento se encuentran documentados los resultados de cada una de las áreas tecnológicas de TI auditadas en el departamento de Imagen de la Coordinación General de Comunicación Política del Gobierno del Estado de Morelos, también contiene una descripción sobre las actividades llevadas a cabo para obtener los resultados presentados.

Desarrollo

Para la realización de la auditoría, se prepararon los instrumentos con los que se evaluaría cada una de las áreas tecnológicas de T.I. de la Organización, los instrumentos fueron integrados en base a estándares y normas reconocidos para asegurar que la evaluación fuera puntual y ofreciera certeza sobre los aspectos a revisar.

En lo que correspondió al área de Seguridad, se tomaron en cuenta las normas ISO/IEC  17799, 19770, 20000, 27001 y 27002, la norma ISO 9001,  las normas NOM-001-STPS-1999, NOM-002-STPS-2000, NOM-004-STPS-1999, NOM-020-STPS-1994, NOM-022-STPS-1999, NOM-025-STPS-1994, NOM-100-STPS-1994, NOM-001-SCFI-1993 y NOM-003-SEGOB-2008; y los estándares IEEE 802.10, 802.11 y 1219, los estándares ANSI/TIA/EIA-569, 606 y TIA/EIA-568, así como los estándares HDCCTV, DES, SGSI SISTESEG y NEG001.

En el área de Sistemas se tomaron en cuenta las normas IEEE, ISO 9000, ISO/IEC 9126-1 y 12207 y COBIT/ISO/IEC 27001, así como los estándares y modelos COBIT, MOPROSOFT y PMI.

En el área de Redes se tomaron en cuenta las normas IEEE 802.1, 802.2, 802.3, 802.10,  802.11, 802.11b, 802.11e, 802.11g, 802.11i, 802.11k, 802.15.4, los estándares ANSI/TIA/EIA 568-B, 568-B.2-1, 568-B.3, 569, 569-A, 606, 606-A-2002, 607, estándares EIA/TIA 568-A, 568-B y 607-A, los estándares ANSI-J-STD-607-A, las normas Dial-in, Dial-out, ISA, AES,  ISO/IEC 8348:2002, 27004:2009, ITU X.805, ISO 9001, NOM-016-SCFI-1993 y el decreto 401/2003.

 Los instrumentos de evaluación (Checklist) que se aplicaron constaron de 70 reactivos que evaluaron puntos específicos en base a las normas y estándares antes mencionados, su composición se integró, por área tecnológica, tal como lo muestran las tablas 1, 2 y 3 del anexo “Gráficos, Conformación de Checklist”. A continuación se muestra uno de los gráficos de la composición de los Checklist con base en las normas y estándares aplicados, se pueden observar todos a detalle en el anexo antes mencionado.

Para dar un enfoque orientado a la mejora en la entrega de los servicios de T.I. que se ofrecen en la Organización, los instrumentos de evaluación fueron conformados apegándose a los procesos y libros de la Biblioteca de Infraestructura de T.I. denominada I.T.I.L. por sus siglas en inglés (Information Technology Infrastructure Library). Los reactivos quedaron encuadrados en alguno de los libros de I.T.I.L. tal como se muestra en las tablas 4, 5 y 6 del anexo “Gráficos, Conformación de Checklist”. ”. A continuación se muestra uno de los gráficos de la composición de los Checklist con base en los libro I.T.I.L. aplicados, se pueden observar todos a detalle en el anexo antes mencionado.

 Además se diseñaron diagramas de procesos de cada área tecnológica para demostrar que los reactivos tienen un enfoque orientado a la entrega de servicios y que conllevan a la formación de una “Buena Práctica” o “Best Practice” por su terminología en inglés. A continuación se muestra uno de los diagramas, se pueden observar todos a detalle en los anexos de diagramas del área tecnológica correspondiente.

 Una vez se conformó la totalidad de los instrumentos de evaluación se procedió a realizar la auditoría en las instalaciones de la Organización, así se evaluaron las áreas de Sistemas y Redes y las actividades y criterios enfocados a Seguridad que se tienen implementados en el departamento de Imagen. Los resultados de las evaluaciones fueron aprobatorios para las tres áreas evaluadas, tomando como base una evaluación aprobatoria a partir del 60% de criterios respondidos de forma positiva.

Los resultados fueron los siguientes, el área de Seguridad presentó el 69% de los criterios de forma positiva, el área de Sistemas obtuvo un 67% y el área de Redes un 77%, siendo esta última la que obtuvo los mejores resultados. ”. A continuación se muestra uno de los gráficos de resultados, se pueden observar todos a detalle en el anexo “Resultados de la Auditoría”.

Como resultado de la auditoría, también se identificaron áreas de oportunidad y se emitieron recomendaciones generales para cada área evaluada, de este modo el área de Seguridad obtuvo un total de 10 áreas de oportunidad identificadas y 7 recomendaciones emitidas; El área de Sistemas presentó 13 áreas de oportunidad y 8 recomendaciones; El área de Redes arrojó 8 áreas de oportunidad y 7 recomendaciones. El detalle de estas recomendaciones se pueden observar en el anexo “Resultados de la Auditoría”.

Conclusión General

La auditoría realizada en el departamento de Imagen de la Coordinación General de Comunicación Política del Gobierno del Estado de Morelos, a las tres diferentes áreas tecnológicas que son: Seguridad, Sistemas y Redes se llevó a cabo de manera satisfactoria.

Los resultados de dicha auditoría fueron en mayor parte favorables, exceptuando algunas salvedades que no interfieren con el funcionamiento de la Organización, es así que por parte de nuestro equipo de trabajo se brindaron recomendaciones para solucionarlo y estas fueron aceptadas de manera grata para un mejoramiento futuro del departamento, ya que el hecho de que se hayan contemplado aspectos como estándares, normas y procesos de I.T.I.L. dieron certeza a la Organización sobre los resultados reflejados.

Graficas

Seguridad

 Sistemas

Redes

Resultados de Evaluación

Seguridad

Resultados de la Evaluación.

Como resultado de la evaluación en Seguridad, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:

Respuestas afirmativas: 48                                             Porcentaje respecto al Total: 69%

Respuestas Negativas:      22                                         Porcentaje respecto al Total: 31%

Gráfico de Resultados

 

Áreas de Oportunidad identificadas.

1.      Las políticas de seguridad necesitan ser documentadas.

2.      Los equipos de cómputo requieren tener un responsable de uso así como de baja.

3.      Las contraseñas son fijas y no cuentan con un estándar para diseñarlas.

4.      Los equipos no se encuentran protegidos contra descargas.

5.      El cableado no está apegado a un estándar que regularice esta área.

6.      No se tiene ninguna empresa que responda por fallos.

7.      Los sistemas no se encuentran documentados.

8.      No se cuenta con un control de pérdida de información.

9.      No existe un control de acceso que obligue a las personas a registrarse.

10. Los equipos de cómputo cuentan con características mínimas de memoria para su funcionamiento.

 

Recomendaciones

1.      Se recomienda realizar la documentación de las políticas de seguridad para aclaración del personal.

2.      Se recomienda levantar actas de responsables de equipos.

3.      Se recomienda cambiar periódicamente las contraseñas así como definir un estándar para crearlas.

4.      Se recomienda adquirir equipos que protejan al equipo de cómputo contra descargas eléctricas.

5.      Se recomienda la aplicación de algún estándar de red para mejorar el funcionamiento.

6.      Se recomienda actualizar las características de las computadoras para un mejor desempeño.

7.      Se recomienda contar con una bitácora de acceso de personas a la organización.

 

Sistemas

Resultados de la Evaluación.

Como resultado de la evaluación en Sistemas, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:

Respuestas afirmativas: 47                                             Porcentaje respecto al Total: 67%

Respuestas Negativas:      23                                         Porcentaje respecto al Total: 33%

Gráfico de Resultados

Áreas de Oportunidad:

1.      No se cuenta con documento oficial de recolección de requerimientos.

2.      No se cuenta con manuales de operación, de mantenimiento, ni documentación que compruebe su adecuado funcionamiento.

3.      No se realiza mantenimiento periódico a la base de datos ni se tiene un plan en caso de que deje de funcionar.

4.      La información de la base de datos no tiene ningún algoritmo de encriptación ni se puede recuperar información en caso de que se borre por accidente.

5.      No cuentan con una empresa externa que respalde la información.

6.      El  sistema no está  desarrollado en base a un estándar ni se cuenta con procesos de desarrollo.

7.      El sistema no está respaldado por pólizas de garantía, en caso de dejar de funcionar.

8.      No se actualizan periódicamente las contraseñas de los usuarios.

9.      No existe una bitácora  de los usuarios que han tenido accesos incorrectos al sistema.

10. No se tienen controlados los procesos y aplicaciones que están en operación.

11. No se cuenta con información de ayuda para los usuarios del sistema.

12. No se cuentan con políticas de seguridad de la información.

13. No se cuenta con licencias originales

 

Recomendaciones:

1.      Se recomienda realizar documentación oficial para el levantamiento de requerimientos, solicitudes de cambio y mejora, así como documentación oficial de entrega de desarrollo.

2.      Se recomienda realizar manuales de usuario, mantenimiento, operación y administración del sistema, así como tips de ayuda para los usuarios.

3.      Se recomienda tener disponible toda la información del sistema.

4.      Se recomienda definir procesos para realizar respaldos periódicos de la base de datos en dispositivos extraíbles y/o en  sitios externos en caso de contingencias y desastres naturales.

5.      Se recomienda contar con replicación del sistema en caso de manipulación inadecuada de la información, así como contar con la seguridad adecuada para el ingreso a esta.

6.      Se recomienda  apegarse a un estándar de desarrollo y modelado de sistemas.

7.      Se recomienda definir y/o establecer controles de acceso para garantizar la seguridad, asignar nuevas contraseñas y monitorear su uso, así como establecer un proceso para cambiarlas periódicamente.

8.      Se recomienda contar con licencias originales del sistema operativo y de las aplicaciones.

 

Redes

Resultados de la Evaluación.

Como resultado de la evaluación en Redes, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:

Respuestas afirmativas: 54                                             Porcentaje respecto al Total: 77%

Respuestas Negativas:      16                                         Porcentaje respecto al Total: 23%

Gráfico de Resultados

Áreas de Oportunidad identificadas.

1.      No cuenta con un TR (Telecomunication Room)  y dependen de otra dependencia.

2.      No cuentan con canaletas en todas las zonas.

3.      No existe registro de los usuarios que acceden a la red.

4.      No existe un techo de plafón o tubería falso para el cableado.

5.      Aunque existe fibra óptica en algún punto específico, no es suficiente para todas las áreas.

6.      No existe un software ni sistema para la creación de sus propios ataques.

7.      No existe un TBB (Telecommunications Bonding Backbone)

8.      No cuentan con suficientes nodos en la red.

Recomendaciones

1.      Se recomienda contar un TR en cada área para el mejor funcionamiento de la misma.

2.      Se recomienda que todo el cableado pase por canaletas, techo de plafón o tubería para que se encuentre debidamente protegido.

3.      Se recomienda contar con un registro de usuarios que acceden en la red para mejor seguridad dentro y fuera de la misma.

4.      Se recomienda contar con fibra óptica en todas las áreas de la empresa para obtener un mejor rendimiento.

5.      Se recomienda contar con un software para la realización de ataques internos que garanticen la solidez de la red y detectar e identificar las vulnerabilidades.

6.      Se recomienda contar  con un TBB (Telecommunications Bonding Backbone) para la reducción  de potencia entre los equipos de manejan diferente voltaje.

7.      Se recomienda contar con más nodos para la implementación de nuevos equipos y sistemas.