INGENIERIA EN TECNOLOGIAS DE LA INFORMACION

AUDITORIA DE SISTEMAS DE TI

ME: ALONSO LOPEZ ROMO

AUDITORIA INSTITUCIÓN SAGARPA

JESÚS ÁNGEL LÓPEZ MEDINA

JUAN ENRIQUE GARCÍA LÓPEZ

DENISSE ESPINOZA MORALES

GRUPO: 9-1

Hermosillo, Sonora, junio de 2012

INTRODUCCIÓN

En el presente proyecto de auditoria de tecnologías de información para la

institución de gobierno SAGARPA, se llevara a cabo una auditoria de las áreas

de TI de la misma, utilizando la herramienta de MASTIC, que mediante la

documentación de esta herramienta se podrá analizar si las áreas cumplen con

los requerimientos que la misma especifica.

Para empezar con la auditoria es necesaria la planificación, se debe

comprender el ambiente de la institución a la que se le aplicara la auditoria,

para ello se deben aplicar el programa que MASTIC contiene que en el

presente documento se plantearan.

Mediante los procesos que MASTIC plantea, al planificar se debe entender lo

que se va a auditar, comprender las áreas a aplicar la herramienta y evaluar

mediante una entrevista la cual se realizaran una serie de preguntas con el cual

se interpretará el análisis FODA, que es sumamente importante para poder

analizar las áreas.

OBJETIVO

Realizar una auditoria en el área de TI para la institución Secretaria de

Agricultura, Ganadería, Desarrollo Rural, Pesca y Alimentación (SAGARPA),

utilizando la herramienta de auditoria interna MASTIC, durante un lapso de 2

meses.

PROGRAMA DE DIAGNÓSTICO

Para la realización del diagnostico en la institución SAGARPA se llevaron a

cabo los siguientes procesos:

- Se definió la por medio de Correo Electrónico la fecha en la cual se

llevara a cabo la entrevista.

- Realización de la entrevista al encargado del área de unidad informática.

- Revisión de las preguntas contestadas por el encargado del área.

- Interpretación de las preguntas realizadas.

- Realización del análisis FODA.

HERRAMIENTAS EMPLEADAS

- MASTIC

- FODA

EJECUCIÓN

Para la ejecución de auditoria en la institución SAGARPA, primeramente se

programo una cita para el día 14 de junio del 2012 a las 12:00 p.m. durante la

cita se le realizaron una serie de preguntas que plantea MASTIC, las cuales

fueron respondidas por el encargado del área de unidad informática Ramón

Ramírez en la institución, mediante esas preguntas se logro obtener

información clave para seguir con la auditoria, con la información obtenida se

interpretó el análisis FODA.

1. Cuenta con un Organigrama 2. Cuenta con inventario de SW & HW 3. Cuenta con los siguientes planes:

Estratégico

Capacitación 4. Estudio de factibilidad de los proyectos. 5. Cuenta con diagrama de red 6. Cuenta con diagrama de relación 7. Tiene control de acceso a base de datos 8. Cuenta con Firewall 9. Control de tráfico de la red (Hacia adentro y fuera de

red.) 10. Administran el correo electrónico. 11. Cuentan con control de condiciones ambientales

(áreas climatizadas, extinguidores, etc.) 12. Cuentan con controles para la medición de calidad de

datos 13. Control de los ambientes de desarrollo y producción. 14. Cuentan con software para monitorear / analizar redes 15. Cuentan con herramientas para administrar la

seguridad de la base de datos. 16. Evalúa la capacidad y desempeño del hardware 17. Evalúan la capacidad de la red 18. Evalúan al proveedor de servicio de comunicaciones. 19. Existe dentro del contrato cláusula de confidencialidad

1. Contrato de servicios a terceros. 2. Actualizarse con MAAGTIC

1. No cuenta con un manual de puestos definido 2. No cuenta con control de acceso en la sala de

computo 3. No cuenta con un inventario de aplicativos puesto en

producción 4. No cuenta con un inventario de programas con su

respectiva descripción 5. No cuenta con inventario de archivos con su

respectiva descripción. 6. No cuenta con diccionario de datos 7. No cuenta con auditoria interna o externa de sistemas. 8. No posee presupuesto anual. 9. No cuenta con un plan de trabajo (Periodo actual). 10. No posee una evaluación técnica de infraestructura

del edificio. 11. No se evalúa la calidad de las operaciones en

internet. 12. No evalúan periódicamente los equipos de

comunicación. 13. Cuenta con políticas y normas que regulen la

administración de TI, las cuales no están actualizadas. 14. Cuenta con las siguiente Políticas las cuales no están

actualizadas:

Seguridad

Calidad de datos

Mantenimiento de SW

Respaldo 15. Cuentan con antivirus el cual no se actualiza

constantemente.

1. El proveedor no cumpla con lo pactado. 2. Mal utilización del recurso de internet por la

vulnerabilidad del proxy y utilerías maliciosas que permiten brincar dicha barrera.

3. Al no contar con un control de acceso a la sala de cómputo personal no autorizado podría acceder a información confidencial de la institución.

4. Una auditoria externa ya que la institución no cuenta con una organización de su documentación.

5. Debido a que no se cuenta con un presupuesto anual los recursos podrían ser mal utilizados.

6. No tienen un control de acceso a las diferentes áreas de la empresa.

7. Debido a que no se cuenta con una evaluación técnica de infraestructura del edificio, no se conoce que tan afectado podría resultar la institución en caso de un desastre natural.

8. No cuenta con las medidas de seguridad como censores de fuego, humo, movimiento para el edificio.

16. Vulnerabilidad en el control de acceso en la red.

CONCLUSIÓN

Se realizó un diagnóstico para la auditoria de sistemas de TI en base a

MASTIC en la institución SAGARPA en el cual se realizó una entrevista

utilizando las preguntas basadas en MASTIC del área de documentación,

servicios con terceros, seguridad y redes, las cuales eran respuestas basadas

en un sí y un no; para después realizar un análisis FODA basado en una lluvia

de ideas.

En base al FODA se concluye que la institución cuenta con buenas medidas

de seguridad, cuenta con documentación la cual no está inventariada y/o

actualizada, no se cuenta con una óptima utilización de recursos ni con una

evaluación ni infraestructura del edificio.