Informe de auditoria

NOMBRE:

ADRIANA BERENICE RENOVATO CEJA

AZUCENA PÉREZ GALLEGOS

ROCÍO MARBELÍN ZAPATA PALOMO

CARRERA:

INGENIERÍA EN. TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN

GRADO Y GRUPO:

9° CUATRIMESTRE “A”

MATERIA:

AUDITORÍA DE SISTEMAS DE TI

UNIDAD:

INTERPRETACIÓN DE LA INFORMACIÓN

MAESTRA:

I.D.S LUCÍA GONZÁLEZ HERNÁNDEZ

PINOS ZAC, 17 DE AGOSTO DEL 2015

U N I V E R S I D A D T E C N O L Ó G I C A D E L E S T A D O D E Z A C A T E C A S

U N I D A D A C A D É M I C A D E P I N O S T E C N O L O G Í A S D E L A I N F O R M A C I Ó N Y C O M U N I C A C I Ó N

Sección No.1 DATOS GENERALES DE LA AUDITORÍA

Procesos Responsable del proceso

Auditoría de Sistemas de TI Azucena Pérez Gallegos

Fecha de apertura Fecha de cierre Fecha elaboración informe Tipo de auditoría

27/07/2015 31/07/2015 14/08/2015

Auditores Auditados

Auditor líder: Adriana Berenice Renovato Ceja Sergio Santoyo Molina

Azucena Pérez Gallegos Rafael Rangel González

Rocío Marbelín Zapata Palomo Enrique Reyes Correa

Objetivo general

Revisar y Evaluar los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Alcance

La auditoría de sistemas se realizó en las instalaciones de la empresa para, evaluar los procedimientos de control de operación, analizar su estandarización y evaluar el cumplimiento de los mismos y determinar la veracidad de la información del área de Informática.

Sección No.2 RESULTADOS DELA AUDITORIA

Hallazgo No 1 Ausencia de un Plan de Contingencia debidamente formalizado en el área de informática.

Tipo de hallazgo Criterio de auditoria

NC: Obs: No Conformidad Mayor(NCM)

Hallazgo No 2

No existen normas y procedimientos que indiquen las tareas manuales e informáticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energía con más de una hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.



Hallazgo No 3 Ausencia de un plan de prevención en desastres en el centro de cómputo


NC: Obs:

Establecer un plan de prevención ante cualquier amenaza ya sea por motivos naturales, operacionales o tecnológicos para impedir o disminuir los efectos que producen con motivo de las ocurrencias de desastres.

Hallazgo No 4 No se cuenta con un Software que permita la seguridad de las librerías de los programas y la restricción y/o control del acceso de los mismos.



Hallazgo No 5 No existe un control o registro formal de las modificaciones efectuadas a los equipos.


NC: Obs:

Elaborar toda la documentación técnica correspondiente a los sistemas implementados, establecer normas y procedimientos para actualización.

Tipo de hallazgo: NC: No conformidad y Obs: Observación

INFORME DE AUDITORÍA

Código: FR-SIC-010 Versión: 06

Proceso: Desarrollo de Sistemas y Procedimientos

Fecha de emisión: 17/08/2015

Fecha de versión: 1

Página 1 de 8

Hallazgo No 6 No se lleva un adecuado control de la documentación del SIGC.



Hallazgo No 7 No se siguen los lineamientos del Personal Administrativo.


NC: Obs: No Conformidad Mayor(Ncm)

Hallazgo No 8 No se lleva una adecuada planeación para la supervisión y mantenimiento de las instalaciones.



Hallazgo No 9 No se cuenta con el diagrama de Gantt



Hallazgo No 10 Información histórica de proyectos



Hallazgo No 11 Plan De comunicación








Página 2 de 8

Sección No.4 FICHA DE RESUMEN DE LA AUDITORIA

Numeral REQUISITOS DEL SISTEMA

NO CONFORMIDADES

No. Detectadas

No. Solucionadas

No. Pendientes

NCM Ncm NCM Ncm NCM Ncm

1. APROBACIÓN, PLANIFICACIÓN Y GESTIÓN DEL PROYECTO

1.1 Estudio de factibilidad 0 0 0 0 0 0

1.2

Acta de inicio 0 0 0 0 0 0

1.3

gghjhjnhj

Restricciones del proyecto 0 0 0 0 0 0

1.4 Nombramiento del administrador del proyecto

0 0 0 0 0 0

1.5 Plan de riesgos 0 0 0 0 0 0

1.6 Ciclo de vida

0 0 0 0 0 0

1.7 Información histórica de proyectos relacionados

0 0 0 1

0 1

1.8 Plan de Comunicación 0 0 1 0 0 0

1.9 Plan de Proyecto(Objetivos, justificación, recursos , presupustoProblematica)

0 0 0 0 0 0

1.10 Minutas de reuniones 0 0 0 0 0 0

1.11 Registro de problemática y soluciones 0 0 0 0 0 0

1.12 Diagrama de Gantt 1 0 1 0 0 0

1.13 Estructura de descomposición de trabajo (WBS)

0 0 0 0 0 0

2. ANÁLISIS

2.1 Documento formal donde se aprueba participantes del proyecto con nombramiento así como su puesto y funciones.

1 0 1 0 0 0

2.2 Plan de entrevistas, encuestas y Observaciones.

0 0 0 0 0 0

2.3 Evidencia de Entrevistas, encuestas y observaciones desarrolladas.

0 0 0 0 0 0

2.4 Modelo lógico del proyecto(Diagrama de flujo de datos)

0 0 0 0 0 0

2.5 Análisis de alternativas de requisitos (ventajas y desventajas

0 0 0 0 0 0

2.6 Catálogo de Requisitos (SRS 830) 1 0 1 0 0 0

3 DISEÑO

3.1 Modelo Lógico de Datos 0 0 0 0 0 0

3.1.1 Modelo Entidad-relación 0 0 0 0 0 0

3.1.2 Modelo Relacional 0 0 0 0 0 0

3.1.3 Diccionario de Datos 0 0 0 0 0 0






Página 3 de 8

3.2 Diseño de Prototipos(Interfaces) 0 0 0 0 0 0

3.3 Selección de Elementos de Entornos (Servidores, contratación de servicios, periféricos, sistemas, aplicaciones, protocolos de comunicaciones, lenguajes de programación, gestor de Bases de Datos y herramientas case)

0 0 0 0 0 0

4 CONSTRUCCION

4.1 Creación DE BD 0 0 0 0 0 0

4.2 Creación de Módulos 0 0 0 0 0 0

4.3 Codificación de Módulos 0 0 0 0 0 0

4.4 Documentación de Código 0 0 0 0 0 0

4.5 Depuración de Código 0 0 0 0 0 0

4.6 Módulos Funcionales 0 0 0 0 0 0

4.7 Plan de pruebas 0 0 0 0 0 0

4.8 Manual de Usuario 0 0 0 0 0 0

4.9 Manual Técnico 0 0 0 0 0 0

4.10 Manual de Instalación 0 0 0 0 0 0

4.11 Paquete de Instalación 0 0 0 0 0 0

Calificación del proceso referente al nivel de cumplimiento con la norma, de uno (1) a diez (10) uno es el ítem más bajo:

Nota: Recuerde que debe hacer el inventario de los hallazgos encontrados en el proceso de auditoria conforme a la norma, indicado en cada casilla de acuerdo al numeral cuantas no conformidades, observaciones o conformidades se encontraron.






Página 4 de 8

Sección 5. TRATAMIENTO DE NO CONFORMIDADES

Descripción de la no conformidad No

conformidad Corrección propuesta

(acción inmediata) Causa Raíz Plan de acción correctivo Estado

Ausencia de un Plan de Contingencia debidamente formalizado en el área de

informática.

Mayor:□ Menor: □ Requisito:

___________

Establecer un plan de contingencia escrito, en

donde se establezcan los procedimientos manuales e informáticos para establecer la operación del plan de la empresa y establecer los

responsables de cada sistema.

No se cuenta con el plan de contingencia.

Actividad: Hacer un nuevo plan de Contingencia. Fecha:10/08/2015 Fecha:14/08/2015

Inicial

Aprobada: □ Rechazada:□

Fecha: 17/08/2015 Seguimiento

Abierta: □ Cerrada:□

Fecha: 17/08/2015

No existen normas y procedimientos que indiquen las tareas manuales e

informáticas que son necesarias para realizar y recuperar la capacidad de

procesamiento ante una contingencia (desperfectos de equipos, incendios, cortes de energía con más de una

hora), y que determinen los niveles de participación y responsabilidades del área de sistemas y de los usuarios.


___________

Efectuar pruebas simuladas en forma periódica a efectos de monitorear el desempeño

de los responsables ante eventuales desastres.

En la empresa no se cuenta con la

normatividad de calidad aplicable a los

procesos y procedimientos por lo que nada se rige bajo

normas.

Actividad: Realizar un documento donde se plasmen las normas a seguir. Fecha: 13/08/2015 Fecha:14/08/2015

Inicial




Fecha: 17/08/2015

No se cuenta con un Software que permita la seguridad de las librerías de

los programas y la restricción y/o control del acceso de los mismos.


___________

Evaluar e implementar un software que permita

mantener el resguardo de acceso de los archivos de programas y aún de los

programadores.

Cuando se instalaron programas en los

equipos con los que cuenta la empresa no

se aseguró que se tuviera la suficiente seguridad para que

estos no fueran manipulados por otras

personas.

Actividad: Contar con un plan de seguridad o claves para los programas. Fecha: 3/08/2015 Fecha:10/08/2015

Inicial




Fecha: 17/08/2015






Página 5 de 8

No se lleva un adecuado control de la

documentación del SIGC.


___________

Llevar a cabo una evidencia documental del uso de

formatos declarados en el SIGC y en su caso revisión

y validación.

Al llevar a cabo la documentación sobre los controles acorde a

los Sistemas de Gestión de Calidad se

observó que la documentación está

mal.

Actividad: Documentación sobre el Sistema de Gestión de Calidad. Fecha: 3/08/2015 Fecha:10/08/2015

Inicial




Fecha: 17/08/2015

No se siguen los lineamientos del Personal Administrativo.


___________

Llevar a cabo un buen proceso para seleccionar el personal que va a trabajar en la empresa como en la contratación y asignar los

roles.

A la hora de conformar el personal

administrativo no se siguió el proceso

correcto para elegir el personal por lo cual se

hace lo que quiere.

Actividad: Realizar los lineamientos correctos para llevar a cabo un buen manejo sobre el personal administrativo. Fecha: 27/07/2015 Fecha:03/08/2015

Inicial




Fecha: 17/08/2015

No se lleva una adecuada planeación para la supervisión y mantenimiento de

las instalaciones.


___________

Llevar acabo procedimientos para un

adecuado mantenimiento de las instalaciones.

Esta conformidad se presentó en el

momento de checar las instalaciones ya que no

se cuenta con un mantenimiento correcto de los equipos con los

que cuenta la empresa.

Actividad: Realizar un planeación y establecer en ella como hacer mantenimiento a los equipos con los que cuenta la empresa. Fecha: 20/07/2015 Fecha:27/07/2015

Inicial




Fecha: 17/08/2015






Página 6 de 8

No se cuenta con el diagrama de Gantt

Mayor:□ Menor: □ Requisito: ___________

___________

___________

Hacer un diagrama de Gantt con todas la actividades que

se van a realizar.

Desde el comienzo no se puso en marcha

dicho diagrama por lo cual no se tomó en

cuenta.

Actividad: Elaborar un nuevo diagrama Fecha: 13/07/2015 Fecha:20/07/2015

Inicial




Fecha: 17/08/2015

Información histórica de proyectos


___________

___________

No existen proyectos anteriores o sistemas de los

que se pueda tener información.

No existen proyectos anteriores o sistemas de los que se pueda tener información.

Actividad: Elaborar un nuevo diagrama Fecha: 13/07/2015 Fecha:20/07/2015

Inicial




Fecha: 17/08/2015

Plan De comunicación


___________

___________

No existe un comunicación adecuada entre los

participantes dentro de los sistemas y procedimientos a realizar o mantenimiento a

los equipos.

Establecer un plan de comunicación para mantener un mejor diálogo entre participantes.

Actividad: Elaborar un nuevo diagrama

Fecha: 13/07/2015 Fecha:20/07/2015

Inicial




Fecha: 17/08/2015