5. AlertaCyclospora Ing.silverioRojasVillegas SAGARPA GUANAJUATO
Auditoria sagarpa
-
Upload
jesus-lopez -
Category
Technology
-
view
385 -
download
1
Transcript of Auditoria sagarpa
INGENIERIA EN TECNOLOGIAS DE LA INFORMACION
AUDITORIA DE SISTEMAS DE TI
ME: ALONSO LOPEZ ROMO
AUDITORIA INSTITUCIÓN SAGARPA
JESÚS ÁNGEL LÓPEZ MEDINA
JUAN ENRIQUE GARCÍA LÓPEZ
DENISSE ESPINOZA MORALES
GRUPO: 9-1
Hermosillo, Sonora, junio de 2012
INTRODUCCIÓN
En el presente proyecto de auditoria de tecnologías de información para la
institución de gobierno SAGARPA, se llevara a cabo una auditoria de las áreas
de TI de la misma, utilizando la herramienta de MASTIC, que mediante la
documentación de esta herramienta se podrá analizar si las áreas cumplen con
los requerimientos que la misma especifica.
Para empezar con la auditoria es necesaria la planificación, se debe
comprender el ambiente de la institución a la que se le aplicara la auditoria,
para ello se deben aplicar el programa que MASTIC contiene que en el
presente documento se plantearan.
Mediante los procesos que MASTIC plantea, al planificar se debe entender lo
que se va a auditar, comprender las áreas a aplicar la herramienta y evaluar
mediante una entrevista la cual se realizaran una serie de preguntas con el cual
se interpretará el análisis FODA, que es sumamente importante para poder
analizar las áreas.
OBJETIVO
Realizar una auditoria en el área de TI para la institución Secretaria de
Agricultura, Ganadería, Desarrollo Rural, Pesca y Alimentación (SAGARPA),
utilizando la herramienta de auditoria interna MASTIC, durante un lapso de 2
meses.
PROGRAMA DE DIAGNÓSTICO
Para la realización del diagnostico en la institución SAGARPA se llevaron a
cabo los siguientes procesos:
- Se definió la por medio de Correo Electrónico la fecha en la cual se
llevara a cabo la entrevista.
- Realización de la entrevista al encargado del área de unidad informática.
- Revisión de las preguntas contestadas por el encargado del área.
- Interpretación de las preguntas realizadas.
- Realización del análisis FODA.
HERRAMIENTAS EMPLEADAS
- MASTIC
- FODA
EJECUCIÓN
Para la ejecución de auditoria en la institución SAGARPA, primeramente se
programo una cita para el día 14 de junio del 2012 a las 12:00 p.m. durante la
cita se le realizaron una serie de preguntas que plantea MASTIC, las cuales
fueron respondidas por el encargado del área de unidad informática Ramón
Ramírez en la institución, mediante esas preguntas se logro obtener
información clave para seguir con la auditoria, con la información obtenida se
interpretó el análisis FODA.
1. Cuenta con un Organigrama 2. Cuenta con inventario de SW & HW 3. Cuenta con los siguientes planes:
Estratégico
Capacitación 4. Estudio de factibilidad de los proyectos. 5. Cuenta con diagrama de red 6. Cuenta con diagrama de relación 7. Tiene control de acceso a base de datos 8. Cuenta con Firewall 9. Control de tráfico de la red (Hacia adentro y fuera de
red.) 10. Administran el correo electrónico. 11. Cuentan con control de condiciones ambientales
(áreas climatizadas, extinguidores, etc.) 12. Cuentan con controles para la medición de calidad de
datos 13. Control de los ambientes de desarrollo y producción. 14. Cuentan con software para monitorear / analizar redes 15. Cuentan con herramientas para administrar la
seguridad de la base de datos. 16. Evalúa la capacidad y desempeño del hardware 17. Evalúan la capacidad de la red 18. Evalúan al proveedor de servicio de comunicaciones. 19. Existe dentro del contrato cláusula de confidencialidad
1. Contrato de servicios a terceros. 2. Actualizarse con MAAGTIC
1. No cuenta con un manual de puestos definido 2. No cuenta con control de acceso en la sala de
computo 3. No cuenta con un inventario de aplicativos puesto en
producción 4. No cuenta con un inventario de programas con su
respectiva descripción 5. No cuenta con inventario de archivos con su
respectiva descripción. 6. No cuenta con diccionario de datos 7. No cuenta con auditoria interna o externa de sistemas. 8. No posee presupuesto anual. 9. No cuenta con un plan de trabajo (Periodo actual). 10. No posee una evaluación técnica de infraestructura
del edificio. 11. No se evalúa la calidad de las operaciones en
internet. 12. No evalúan periódicamente los equipos de
comunicación. 13. Cuenta con políticas y normas que regulen la
administración de TI, las cuales no están actualizadas. 14. Cuenta con las siguiente Políticas las cuales no están
actualizadas:
Seguridad
Calidad de datos
Mantenimiento de SW
Respaldo 15. Cuentan con antivirus el cual no se actualiza
constantemente.
1. El proveedor no cumpla con lo pactado. 2. Mal utilización del recurso de internet por la
vulnerabilidad del proxy y utilerías maliciosas que permiten brincar dicha barrera.
3. Al no contar con un control de acceso a la sala de cómputo personal no autorizado podría acceder a información confidencial de la institución.
4. Una auditoria externa ya que la institución no cuenta con una organización de su documentación.
5. Debido a que no se cuenta con un presupuesto anual los recursos podrían ser mal utilizados.
6. No tienen un control de acceso a las diferentes áreas de la empresa.
7. Debido a que no se cuenta con una evaluación técnica de infraestructura del edificio, no se conoce que tan afectado podría resultar la institución en caso de un desastre natural.
8. No cuenta con las medidas de seguridad como censores de fuego, humo, movimiento para el edificio.
16. Vulnerabilidad en el control de acceso en la red.
CONCLUSIÓN
Se realizó un diagnóstico para la auditoria de sistemas de TI en base a
MASTIC en la institución SAGARPA en el cual se realizó una entrevista
utilizando las preguntas basadas en MASTIC del área de documentación,
servicios con terceros, seguridad y redes, las cuales eran respuestas basadas
en un sí y un no; para después realizar un análisis FODA basado en una lluvia
de ideas.
En base al FODA se concluye que la institución cuenta con buenas medidas
de seguridad, cuenta con documentación la cual no está inventariada y/o
actualizada, no se cuenta con una óptima utilización de recursos ni con una
evaluación ni infraestructura del edificio.