dictamen final v-004

Dictamen final de Auditoria “Hospital del niño y adolescente Morelense”

1

Tabla de contenido Introducción ..............................................................................................................................................................3

Carta de entrega de la Auditoria .................................................................................................................................4

Objetivos ...............................................................................................................................................................4

Alcance ..................................................................................................................................................................4

Stakeholders ..........................................................................................................................................................4

Restricciones, supuestos y riesgos. ..........................................................................................................................5

Firmas de aprobación .............................................................................................................................................5

Cronograma de actividades ........................................................................................................................................6

WBS ..........................................................................................................................................................................6

Organigrama del equipo auditor .................................................................................................................................7

Descripción de puestos ...........................................................................................................................................8

Foda ..........................................................................................................................................................................9

Matriz de crecimiento (BCG) ..................................................................................................................................... 11

Hallazgos Auditoría del Portal Web ................................................................................................................... 12

Hallazgos de auditoría Web ...................................................................................................................................... 13

Propuesta de Mejora de auditoria Web .................................................................................................................... 23

Evidencias de auditoría Web .................................................................................................................................... 25

Hallazgos de Auditoría de Redes ............................................................................................................................... 27

Hallazgos de auditoria de redes ................................................................................................................................ 28

Propuesta de mejora de auditoría de redes .............................................................................................................. 31

Evidencias auditoría de redes ................................................................................................................................... 33

Hallazgos Auditoría de Seguridad de TI ..................................................................................................................... 34

Hallazgos de auditoría de seguridad de TI ................................................................................................................. 35

Propuesta de Mejora seguridad de TI ....................................................................................................................... 39

Evidencias de auditoría de seguridad en TI................................................................................................................ 40

Auditoría de Sistemas .............................................................................................................................................. 41

Evidencias de auditoría de sistemas .......................................................................................................................... 44

Tecnología Emergente propuesta de sistema apara HNAM........................................................................................ 45

Resumen del proyecto .......................................................................................................................................... 45

Información destacada ......................................................................................................................................... 45

2

Objetivos ............................................................................................................................................................. 45

Declaración de objetivos ...................................................................................................................................... 45

Descripción de la aplicación actual ........................................................................................................................ 46

Presupuesto ......................................................................................................................................................... 46

Análisis de reserva ............................................................................................................................................ 46

Recursos ........................................................................................................................................................... 46

Materiales ........................................................................................................................................................ 47

OTROS GASTOS ................................................................................................................................................ 47

Presupuesto del proyecto ................................................................................................................................. 47

Conclusiones ............................................................................................................................................................ 48

Anexos .................................................................................................................................................................... 49

(Evaluaciones del auditor, Evidencia documental de la empresa, encuestas de satisfacción al cliente y usuario final)

............................................................................................................................................................................ 49

3

Introducción

El uso de las TI como ventajas competitivas es una realidad hoy en día. Ayudan a acelerar la toma de decisiones,

siempre y cuando cumpla con los siguientes datos:

Oportunidad

Confiabilidad

Veracidad

Integridad

Accesibilidad

Confidencialidad

Y el uso de las Ti nos garantiza que cumplirá con los atributos necesarios o que esta se utilice de una forma

adecuada. Por ello surge la necesidad de un control sobre las funciones de informática de las empresas.

Auditoria de TI

Se ocupa para la revisión del uso de las TI, su objetivo es emitir una opinión profesional acerca de los estados

financieros de una entidad a partir de una revisión de estos. Es un examen crítico y sistemático que realiza una

persona o grupo de personas independientes del sistema auditado, puede ser una persona, organización

sistema proceso proyecto o producto.

Auditoria significa Todo aquel que tiene la virtud de escuchar. Informática proviene del Idioma Francés

“Informatique”. Información Informática la elevaron a ciencia definida como: ciencia del tratamiento

sistemático y eficaz realizado especialmente mediante máquinas automáticas de la información, se refiere al

proceso de recopilar y evaluar evidencias de un sistema y saber si salvaguarda y mantiene activo los datos que

llevan a cabo los fines de la organización y utiliza eficientemente los recursos.

Todas las verificaciones que se realizan en una auditoria son basadas bajo políticas manuales, procedimientos

normas o certificaciones, que el auditor debe conocer y estudiar antes de auditar. Sobre estas condiciones se

examinan los hallazgos obtenidos y se interpreta la información desarrollando un Dictamen final de la auditoria

realizada.

4

Carta de entrega de la Auditoria

Objetivos

Auditoria externa a “Hospital del niño y adolescente Morelos”

Auditar el área de sistemas Informáticos, Redes, portal Web, Seguridad en TI.

Control de la función informática.

Análisis de la eficiencia de los sistemas.

Verificación del cumplimiento de las normas de cada área.

Revisión eficaz de la gestión de los recursos informáticos.

Desarrollar un informe de lo auditado y proponer una mejora en todas las áreas de la empresa auditada.

Alcance

Se realizara una auditoria de TI externa en el “Hospital del niño y adolecente Morelense”, donde cada consultor experto auditara el área de redes, sistemas informáticos, web y seguridad. Para así definir con precisión el estado de cada área, y lograr un dictamen final de dicha auditoria. Además ya con la información recabada se planteara una propuesta de mejora a la empresa dependiendo de las áreas de oportunidad que se logren detectar.

Stakeholders

Cliente ING. Rubén Leyva Blanco

Patrocinador MIA. Elda Fabiola Damián Solís Mtra. Susana Salgado Segovia Mtra. Nancy Santana Camilo

Líder del proyecto TSU Brenda Kareny Pérez Gonzalez

Los miembros del equipo de proyecto

TSU Rubí Benítez Hernández TSU Jonathan Levi Márquez García TSU Carlos Guillermo Gonzalez Quiñones TSU Rubén Olmedo Cosió

Fecha y hora de la aplicación de Auditoria

19 Noviembre 2015 13:00 pm

5

Restricciones, supuestos y riesgos.

Restricciones Solo se auditara el área de informática.

No se podrá tener acceso a los servidores de la empresa

El acceso a las cámaras solo será en el área de cableado, en el site no se podrá tener acceso porque es controlado por proveedores externos.

Solo se podrá tener acceso al IDF y MFD con el permiso y vigilancia del cliente.

Solo se podrá hacer la auditoria el día miércoles jueves y viernes. Supuestos Auditar todas las áreas de TI.

Desarrollo del informe de cada área auditada.

Desarrollo del informe final.

Propuesta de mejora continua.

Presentar entregables en tiempo y forma. Riesgos Que la empresa decida cancelar el permiso para hacer la auditoria

externa.

Cambios administrativos

Falta de tiempo al hacer la documentación de la auditoria.

Incumplimiento por parte de algún consultor

Firmas de aprobación

ING. Rubén Leyva Blanco

Cliente del Proyecto

MIA. Elda Fabiola Damián Solís Sponsor del Proyecto

Brenda Kareny Pérez Gonzalez Líder del Proyecto

6

Cronograma de actividades

WBS

7

Organigrama del equipo auditor

8

Descripción de puestos

Líder de proyecto auditoría: Consultor Brenda Kareny Pérez González

Encabezar al equipo auditor.

Preparar la planeación de la auditoría.

Coordinar la auditoría.

Realizar los entregables.

Convocar reuniones.

Presentar el reporte final de la auditoría.

Auditor de sitio web: Consultor Carlos Quiñones González

Valorar la usabilidad, optimización y seguridad del sitio web.

Verificar que no existan enlaces rotos.

Evaluar la arquitectura del sitio web.

Revisar diseño y rendimiento según el análisis SEO.

Auditor de redes: Consultor Rubí Benítez Hernández

Verificar la seguridad de la red de la empresa.

Realizar revisiones de seguridad física y lógica.

Evaluar la estructura del cableado estructurado de la empresa.

Auditor de sistemas: Consultor Jonathan Levi Márquez García:

Verificar el uso, la eficiencia y seguridad de los equipos de cómputo.

Revisar la organización y el procesamiento de la información.

Evaluar la cantidad de equipos, localización y características.

Examinar contratos de seguros, compra, renta y servicios de mantenimiento de los equipos de cómputo de la

empresa.

Identificar manuales de procedimientos de los sistemas con los que trabaja la empresa.

Auditor de seguridad: Consultor Rubén Olmedo Cosío

Evaluar los recursos informáticos de la empresa su acceso y administración.

Revisar plan de adquisiciones, actualización de hardware y software y licencias que se requieran.

Verificar que se haga el cumplimiento referente a la protección de datos personales y correos electrónicos que

tengan que ver con información exclusiva de la empresa.

9

Foda

Fortalezas Ponderación Calificación Calif * Pond

Nuevas Instalaciones

Tecnología moderna y de alto rendimiento

Doctores altamente capacitados para el uso de las

tecnologías.

Alta capacida de seguridad

Alto rendimiento de red local

0.15

0.15

0.05

0.10

0.05

4

4

3

3

3

0.60

0.60

0.15

0.30

0.15

Debilidades Ponderación Calificación Calif * Pond

El área donde se encuentra el MDF y los IDF´S no cuenta

con sistema de seguridad para controlar el acceso.

El número de empleados que hay en el área de

informática no es suficiente.

El sistema utilizado en el hospital tiene fallas y es

complicado trabajar en él.

No existe una persona específica que esté encargada

del área de redes.

El hospital cuenta con bastante equipo y licencias que no

es utilizado por el personal.

0.15

0.05

0.10

0.05

0.15

2

2

2

2

1

0.30

0.10

0.20

0.10

0.15

Suma = 1 X = 2.65

10

Amenazas: Ponderación Calificación Calif * Pond

Presupuesto insuficiente por parte del gobierno para el área de TI de la institución para la adquisición de nuevos equipos, software o piezas de refacción.

Llegada de nuevos virus que amenacen la seguridad de los equipos de cómputo.

Repentina descarga eléctrica en la institución a causa de su ubicación cercana a una planta eléctrica.

Infiltración de un agente externo (hacker) que atente contra el uso de la información y datos de la institución.

A causa de un gran número de pacientes, el personal de la institución no se dé abasto para brindarles la debida atención.

0.15

0.05

0.10

0.10

0.10

4

2

2

2

3

0.60

0.10

0.20

0.20

0.45

Oportunidades Ponderación Calificación Calif * Pond

Certificación en estándares y normas ISO

Capacitar a estudiantes universitarios

Hacer portal web responsive para uso en dispositivos móviles

Auditorías externas para encontrar oportunidades de mejora

Tecnologías emergentes (Intelligent Building)

0.15

0.10

0.05

0.15

0.05

4

2

2

4

2

0.60

0.20

0.10

0.60

0.10

Suma = 1 Y = 3.15

11

Matriz de crecimiento (BCG)

12

Hallazgos Auditoría del Portal Web

Por: Carlos Guillermo Quiñones Gonzalez

13

Hallazgos de auditoría Web

No Atributos Clasificación

1

Se realizó una verificación de enlaces rotos al sitio web del hospital en el portal de verificación de la W3C, obteniendo como resultado 4 errores y una advertencia. La W3C Quaility Assurance recomienda que el sitio web no debe contener enlaces rotos debito a que esto afecta la calidad del sitio y asimismo no podrá pasar el examen de validación de la W3C. Los errores surgen por problemas en el lado del servidor y no permite el acceso a la página (Código 500). Asimismo el primer error ocurre por un enlace que ya no existente. Al tener enlaces rotos en el sitio web afecta la calidad de la misma logrando que la experiencia del usuario no sea satisfactoria. Se recomienda verificar la liga en problemas de escritura, dichos problemas son muy comunes al copiar y pegar, si el punto de enlace ya no existe, es mejor quitarlo o cambiar el enlace. Para problemas del servidor se recomienda verificar que la URL sea la correcta.

NO CONFORMIDADES MENORES

2

El sitio web actualmente contiene títulos en todas sus páginas. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#title” recomienda que todas las páginas del sitio web contengan títulos debido a que ofrece un entendimiento general del contenido de la página. Páginas sin título afectan la calidad y usabilidad de la misma, se dificulta entender de qué trata la página. Personas con problemas de visión utilizan un software auditivo para navegar el sitio, cuando la página no contiene un título dificulta el proceso de navegación y experiencia del usuario.

HALLAZGO POSITIVO

El sitio web actualmente contiene títulos que describe de forma general el contenido de la página.

14

3

La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#title” recomienda que los títulos de las páginas del sitio web describan de forma general el contenido para un mejor entendimiento de la página. Páginas sin títulos o con títulos no relacionados al contenido, dificulta el entendimiento y la usabilidad de la página. Personas con problemas de visión utilizan un software auditivo para navegar el sitio, cuando la página contiene un título no relacionado al contenido afecta la experiencia del usuario.

HALLAZGO POSITIVO

4

El sitio web actual no contiene textos alternos en imágenes las cuales muestran contenido importante del sitio. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#images”

recomienda que imágenes que muestren contenido importante contengan textos alternativos describiendo en general la imagen. El sitio web actualmente no contiene textos alternos porque el administrador del sitio mencionó que es una tarea complicada. Personas con problemas de visión utilizan un software auditivo para navegar el sitio web, los cuales utilizan el texto alterno para explicar el contenido de la imagen. Sin texto alterno en las imágenes esto no es posible, afectando la usabilidad y accesibilidad del sitio. Se recomienda agregar texto alternativo en imágenes de importancia explicando brevemente la imagen, para que personas con capacidades diferentes puedan entender lo que están escuchando.

NO CONFORMIDADES MAYORES

5

El sitio web actual no contiene textos alternos en imágenes, debido a tales causas no fue posible verificar si el texto alternativo es el apropiado. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#images”

recomienda que imágenes que muestren contenido importante contengan textos alternativos describiendo en general la imagen. El sitio web actualmente no contiene textos alternos porque el administrador del sitio mencionó que es una tarea complicada.


15

Si el uso de textos alternativos no es el apropiado, se puede dificultar el entendimiento del contenido de imágenes para personas con problemas de visión debido a que utilizan un software auditivo para navegar el sitio web. El software utiliza el texto alterno para explicar de forma auditiva el contenido de la imagen. Si el texto alterno en las imágenes no es el adecuado puede afectar la usabilidad y accesibilidad del sitio. Se recomienda agregar texto alternativo en imágenes de importancia de tal forma que las personas con capacidades diferentes puedan entender lo que están escuchando. El texto alterno no debe ser muy largo pero si debe contener suficiente información para entender la imagen del sitio.

6

El sitio web actual es visible en diferentes dispositivos (Sistemas de cómputo de escritorio, laptops, teléfonos móviles y tabletas) pero no tiene un diseño responsivo para distintos tamaños de pantalla. La W3C (WCAG) 2.0 “http://www.w3.org/standards/webdesign/accessibility”

recomienda que el sitio web sea visible en diferentes dispositivos electrónicos los cuales tienen distintos tamaños de pantalla. La mayoría de las personas hoy en día utilizan su dispositivo móvil como su primer o única fuente para navegar el internet. Si el sitio web no es visible en distintos dispositivos como los celulares, estaría limitando a usuarios afectando la accesibilidad del sitio. Se recomienda hacer el sitio web responsivo para su adaptación a distintos tamaños de pantalla.

HALLAZGO POSITIVO

7

El sitio web actual no hace uso de las etiquetas (h1, h2, h3, entre otros) en sus encabezados. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#headings”

recomienda que el sitio web contenga las etiquetas (h1, h2, h3, entre otros) en sus encabezados de forma jerárquica. Debido a que se usaron imágenes para mostrar los encabezados del sitio web, no se utilizó las etiquetas (h1, h2, h3, entre otros) para los encabezados. Las etiquetas que se utilizaron para texto son <p> y <span>.


16

Sin el uso de las etiquetas (h1, h2, h3, entre otros) personas con capacidades diferentes que utilizan solamente el tecleado para navegar el sito, serán afectadas debido a que no podrán navegar de forma jerárquica afectando la accesibilidad. Se recomienda agregar las etiquetas (h1, h2, h3, entre otros) para los encabezados en lugar de imágenes, esto facilita la navegación del sitio cuando se utiliza solamente el teclado mejorando la accesibilidad y usabilidad del sitio.

8

El sitio web actual no hace uso de secciones, lo que significa que no utiliza la etiqueta <section>. La mayoría del sitio está dividido por la etiqueta general “<div>” La W3C (WCAG) 2.0 “http://www.w3.org/TR/UNDERSTANDING-WCAG20/navigation-

mechanisms-headings.html” recomienda hacer uso de la etiqueta <section> la cual sirve para agrupar contenido relacionado. Si el contenido de un sitio web no es dividido por secciones utilizando la etiqueta de html “<section>” dificulta la navegación del sitio para personas que solamente utilizan el teclado afectando la usabilidad del sitio. Se recomienda hacer uso de la etiqueta “<section>” en el maquetado de la página para agrupar contenido que esté relacionado en una sección. Esto es posible remplazando la etiqueta “<div>” por la de “<section>” pero únicamente donde es necesario agrupar información, por ejemplo se puede realizar secciones de eventos, noticias y servicios.


9

El sitio actual no hace uso de “CAPTCHA” en el sitio la cual se utiliza para autenticar que un usuario sea verdadero y no un software malicioso. La W3C (WCAG) 2.0 “http://www.w3.org/TR/ruringtest/” recomienda no hacer uso de CAPTCHA debido a que pueden causar barreras para personas con capacidades diferentes. Si un sitio web hace uso de CAPTCHAs los cuales piden al usuario introducir un código específico procedente de una imagen puede causar barreras para personas con problemas de la visón. En ocasiones se agrega ayuda auditiva pero no es muy eficiente en todos los casos logrando que el usuario no prosiga en el proceso de la página.

HALLAZGO POSITIVO

17

10

El sitio web actual puede ser navegado utilizando solamente el teclado y se puede acceder a los distintos campos del formulario. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#interaction/”

recomienda que todo el sitio pueda ser navegado utilizando solamente el teclado logrando mejor accesibilidad y usabilidad del sitio. Debido a que personas con capacidades diferentes utilizan el teclado como única fuente para navegar el internet es de suma importancia lograr que el sitio web sea accesible de esta forma. Se recomienda hacer uso de las etiquetas de encabezado (h1, h2, h3, entre otros) y de la etiqueta de secciones que se encarga de agrupar información (section).

HALLAZGO POSITIVO

11

El sitio web actual sigue un orden apropiado en la selección de elementos cuando este es navegado solamente utilizando el teclado. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#interaction/”

recomienda que el sitio siga un orden adecuado en la selección de elementos cuando este se navega utilizando solamente el teclado. La usabilidad de un sitio web es afectada cuando no se logra un orden apropiado en la selección de elementos, en otras palabras que no siga un orden jerárquico logrando que el usuario se confunda fácilmente.

HALLAZGO POSITIVO

12

Actualmente no existen trampas de teclado en el sitio web. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#interaction/”

recomienda que el sitio no contenga ninguna trampa de teclado, debido a que personas con capacidades diferentes utilizan el teclado como única fuente para navegar el internet es de suma importancia evitar dichas trampas. Normalmente son reproductores de video multimedia que no permiten que el usuario salga del contenido (trampa).

HALLAZGO POSITIVO

El formulario en el sitio web es totalmente funcional cuando se navega utilizando solamente el teclado.

18

13

La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#forms/”

recomienda que el formulario del sitio web sea totalmente funcional sin necesidad de utilizar el ratón, debe funcionar sin problemas utilizando solamente el teclado debido a que personas con capacidades diferentes utilizan el teclado como única fuente para navegar el internet. Si un formulario en un sitio web no es funcional o accesible cuando se navega con el teclado personas con capacidades diferentes que utilizan dicho dispositivo serán afectadas. En algunos casos el teclado es la única fuente de navegación para personas.

HALLAZGO POSITIVO

14

Los términos y campos del formulario están posicionados correctamente. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#forms/”

recomienda que el contenido del formulario este posicionado de la forma siguiente: “Término” (ej. Nombre) posteriormente un “campo” donde se introducirá la información. Usuarios normalmente están familiarizados con este tipo de formularios. Si un formulario está posicionado de forma incorrecta pude que confunda al usuario al introducir información o asimismo sea difícil de entender.

HALLAZGO POSITIVO

15

Actualmente el formulario no especifica los campos mandatorios. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#forms/”

recomienda que en un formulario los campos mandatorios estén especificados. Normalmente con color rojo y el símbolo *. Si en un formulario no se especifica los campos mandatorios, significa que el usuario tiene la opción de insertar o no insertar información. Estos formularios mandan un error al momento de recibir la información debido a que no se llenó correctamente un campo, logrando una mala experiencia al usuario.


19

Se recomienda especificar los campos mandatorios, como lo es (e-mail) agregando el símbolo * en color rojo posicionado a lado del campo. Esto disminuye la probabilidad de que el usuario llegue a un error de formulario.

16

El formulario actual no muestra instrucciones claras antes y durante el momento de llenar el campo debido a que no es requerido. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#forms/”

recomienda que el formulario muestre instrucciones claras del cómo se tiene que llenar un campo. Normalmente es requerido cuando se llena un campo de fechas (ej. “dd-mm-yy”) disminuyendo la probabilidad de error. Sin dichas instrucciones el usuario pude llenar un campo erróneamente ocasionando un error de formulario afectando la usabilidad del sitio y lograr una mala experiencia de usuario. Se recomienda agregar instrucciones dentro del campo de (e-mail) para una mejor usabilidad pero no es requerido.

OBSERVACIONES

17

El formulario actual funciona de forma correcta cuando se introduce información errónea. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#forms/”

recomienda que se muestre un error cuando se llenan los datos del formulario incorrectamente. Si el usuario no recibe un mensaje de error cuando envía sus datos incorrectamente, el usuario no se percatara de que sus datos no fueron enviados. Se recomienda agregar un mensaje de error y que el formulario siga conteniendo la información que el usuario lleno para lograr una mejor experiencia de usuario.

HALLAZGO POSITIVO

18

Actualmente el encargado de recibir y responder los mensajes del formulario es Edgar Monzuri Neri

HALLAZGO POSITIVO

20

Si no hubiera un encargado de leer y responder los mensajes no habría un propósito para la implementación del formulario.

19

El administrador del sitio web actual tiene prohibido agregar videos y hacer uso de las redes sociales.

N/A

20

El sitio web actual no muestra destellos en sus páginas. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/intro/peopleuse-web/principles#safe”

recomienda que el sitio web no contenga destellos en ninguna de sus páginas. Si un sitio web muestra partes con destellos fuertes en alguna parte de la página, puede ocasionar convulsiones a ciertas personas. Es recomendable mostrar una advertencia antes de mostrar el contenido con destellos.

HALLAZGO POSITIVO

21

El sitio web actual no es entendible cuando se deshabilitan las imágenes y estilos CSS. La W3C (WCAG) 2.0 “http://www.w3.org/WAI/eval/preliminary.html#structure”

recomienda que el sitio web sea totalmente entendible cuando se deshabilitan las imágenes del sitio y las hojas de estilo CSS. Debido a que personas con diferentes capacidades navegan el internet con imágenes y estilos de diseño deshabilitados, es importante que el sitio web sea entendible sin estos elementos. Si un sitio web no es entendible cuando se deshabilita las imágenes y estilos CSS, el usuario no podrá navegar de forma correcta el sitio. Se recomienda cambiar las imágenes del sitio que contienen información importante a texto, debido a que si las imágenes son deshabilitadas el usuario podrá entender la información. Se recomienda cambiar las imágenes que contengan información, títulos y links a otros sitios. Si las imágenes que contienen links son deshabilitadas el usuario no podrá acceder a tales links lo cual afecta la usabilidad del sitio.


El sitio web actual hace uso de las etiquetas (ul, ol, dl) de forma apropiada.

21

22

La W3C (WCAG) 2.0 “http://www.w3.org/TR/2015/NOTEWCAG20-TECHS-20150226/H48”

recomienda que el sitio web haga uso de las etiquetas (ul, ol, dl) para menús de navegación y para la agrupación de información relacionada. Las etiquetas “ul y ol” son importantes para los menús de navegación los cuales permiten la navegación utilizando solamente el teclado. Las etiquetas “dl” agrupan información relacionada para que pueda ser accesible fácilmente mejorando la usabilidad y accesibilidad del sitio.

HALLAZGO POSITIVO

23

El código HTML del sitio web actual no fue validado satisfactoriamente según la W3C.org El validador HMTL de la W3C valida el código HTML del sitio web y verifica que este correctamente implementado. No es necesario obtener una calificación perfecta después de la validación del sito, pero si hay ciertos errores que se deben considerar, por ejemplo errores básicos de sintaxis, atributos no especificados y otros elementos. Se recomienda arreglar errores básicos tales como errores de sintaxis, atributos no especificados y otros elementos de la lista de errores en la página de validación.


24

El código CSS del sitio web actual no fue validado satisfactoriamente según la W3C.org El validador CSS de la W3C valida las hojas de estilo del sitio web y verifica que el código este correctamente implementado. No es necesario obtener una calificación perfecta después de la validación del sito, pero si es importante entender porque aparece el error. Se recomienda arreglar errores 88 y 89 de la lista de errores de la w3c, los cuales indican un error en las propiedades del atributo “border radius”.


Actualmente el sitio web tiene posicionado el logotipo del hospital en la parte superior izquierda.

HALLAZGO POSITIVO

22

25 Es recomendable que el logotipo de la empresa o institución se encuentre posicionado cerca de la parte superior izquierda, debido a que estamos acostumbrados a leer de arriba hacia abajo y de izquierda a derecha, lo que significa que lo más importante se debe leer primero, en este caso el logotipo.

26

El sitio web actual no contiene favicon en todas sus páginas. Es recomendable mostrar un “favicon” en todas las páginas del sitio web, debido a que se muestra el icono en todo tiempo, siendo este normalmente el logotipo de la empresa. El sitio web solía tener favicon del logotipo del hospital pero en la actualidad no se logra visualizar por razones desconocidas en el código. Es recomendable agregar el favicon en formato “png” para su visualización en todos los browsers y verificar que el código HTML este correcto.


27

El sitio web actual es visible en distintos dispositivos (Sistemas de cómputo de escritorio, laptops, teléfonos móviles y tabletas) pero no tiene un diseño responsivo que se adapte a diferentes tamaños de pantalla. La W3C (WCAG) 2.0 “http://www.w3.org/standards/webdesign/accessibility”

recomienda que el sitio web sea visible en diferentes dispositivos electrónicos los cuales tienen distintos tamaños de pantalla. Debido a que en la actualidad el sitio web es visible en diferentes dispositivos electrónicos (Sistemas de cómputo de escritorio, laptops, teléfonos móviles y tabletas) no fue necesario diseñar diferentes vistas para los distintos tamaños de pantalla. En la actualidad si un sitio web no es diseñado responsivo no podrá visualizarse en diferentes dispositivos de manera correcta. Las diferentes páginas del portal serán visibles en diferentes dispositivos pero pueden ocurrir ciertas deformidades dependiendo del tamaño de pantalla del dispositivo. Dichos eventos ocurren cuando no se ha implementado un diseño responsivo al sitio web.


23

Se recomienda hacer el sitio web responsivo para su adaptación a diferentes tamaños de pantalla. Es recomendado tener un diseño único para distintos tamaños de pantalla mejorando la usabilidad del sitio y lograr una buena experiencia de usuario. Se recomienda hacer uso de media querys y de frameworks populares como “Bootstrap” los cuales facilitan la adaptación del diseño responsivo.

Propuesta de Mejora de auditoria Web

Hallazgos Descripción

El sitio web actual es visible en distintos dispositivos (sistemas de cómputo de escritorio, laptops, teléfonos móviles y tabletas) pero no tiene un diseño responsivo que se adapte a los diferentes tamaños de pantalla. De igual forma el sitio web no contiene textos alternos en imágenes las cuales muestran contenido importante del sitio. Asimismo El sitio web actual no es entendible cuando se deshabilitan las imágenes y estilos CSS.

Justificación

Es de suma importancia considerar la accesibilidad de un sitio web debido a que personas con capacidades diferentes navegan el internet utilizando diferentes herramientas. Personas con problemas de visión utilizan un software auditivo para navegar un sitio web, los cuales utilizan el texto alternativo para explicar el contenido de la imagen. Sin texto alternativo en las imágenes esto no es posible, afectando la usabilidad y accesibilidad del sitio. Asimismo si el uso de textos alternativos no es el apropiado, se puede dificultar el entendimiento del contenido del sito. En ocasiones usuarios con diferentes capacidades navegan el internet con imágenes y estilos de diseño deshabilitados, es importante que el sitio web sea entendible sin estos elementos. Si un sitio web no es entendible cuando se deshabilita las imágenes y estilos CSS, el usuario no podrá navegar de forma correcta el sitio.

24

Según a una encuesta realizada por la AMIPCI el 58% de 53.9 millones de mexicanos navegan el internet utilizando un Smartphone, es decir 5 de cada 10 mexicanos navegan el internet utilizando un dispositivo móvil, lo cual es de suma importancia diseñar una vista apropiada para los diferentes tamaños de pantalla. En la actualidad si un sitio web no es diseñado de forma responsiva, este no podrá visualizarse en diferentes dispositivos de manera correcta. Las diferentes páginas del portal serán visibles en diferentes dispositivos pero pueden ocurrir ciertas deformidades dependiendo del tamaño de pantalla del dispositivo. Dichos eventos ocurren cuando no se ha implementado un diseño responsivo al sitio web.

Propuesta de Mejora Es importante implementar el estándar de la W3C (WCAG) 2.0 el cual se enfoca en la accesibilidad y usabilidad del sitio web. Según la Universidad de Alicante, la accesibilidad web tiene como objetivo lograr que las páginas web sean utilizables por el máximo número de personas, independientemente de sus conocimientos o capacidades personales e independientemente de las características técnicas del equipo utilizado para acceder a la Web. Es recomendable agregar texto alternativo en las diferentes imágenes importantes del sitio explicando brevemente la imagen, para que personas con capacidades diferentes puedan entender lo que están escuchando. El texto alterno no debe ser muy largo pero si debe contener suficiente información para entender las diferentes imágenes del sitio. De igual forma se recomienda cambiar las imágenes del sito que contengan (títulos, información, links, entre otros) a texto, debido a que si las imágenes son deshabilitadas el usuario no podrá entender el contenido del sito, incluso las imágenes que contienen links a otros sitios no podrán ser accesibles. Asimismo se recomienda hacer el sitio web responsivo para su adaptación a diferentes tamaños de pantalla. Es recomendado tener un diseño único para distintos tamaños de pantalla mejorando la usabilidad del sitio y lograr una buena experiencia de usuario. Es importante hacer uso de media querys y de frameworks populares para facilitar la adaptación del diseño responsivo. Frameworks Populares

Bootstrap

Foundation

Uikit Se recomienda usar el framework “Bootstrap” debido a que es el más popular y cuenta con una gran comunidad la cual es importante para preguntas y sugerencias. Bootstrap ha logrado un rápido crecimiento en los últimos años y facilita la implementación del diseño responsivo por medio de clases CSS ya definidas.

25

Evidencias de auditoría Web

27

Hallazgos de Auditoría de Redes

Por: Rubí Benítez Hernández

28

Hallazgos de auditoria de redes


1

En las oficinas, el cable conectado UTP que está conectado del equipo a los nodos, están desordenados y no están protegidos. Cableado Interior: Basándose en la norma PREN 50098-3, Los cables interiores incluyen el cableado horizontal y vertical desde el armario repartidor de planta correspondiente hasta el área de trabajo y del cableado de distribución para la conexión de los distintos repartidores de planta. Se recomienda que el cable este protegido en todo momento para evitar rupturas o daños en este caso es recomendable utilizar Canaleta horizontal por pared dentro de la oficina.


2

Los nodos de la institución cuentan con una certificación. En la institución el Auditado en redes obtuvo en primera instancia orden, control y conocimiento detallado acerca del cableado de la red en la parte de lo que son los nodos y el cableado; ya que cuentan con la certificación de WireScope Pro en ANSI/TIA/EIA-568-B • Especifica un sistema de cableado para edificios comerciales, con soporte multi- productos y multi-marcas. • También provee información para el diseño de productos de telecomunicaciones por parte de los fabricantes.

HALLAZGO POSITIVO

3

La red es rápida, es decir no tarda para cargar las paginas a las se tiene permitido ingresar. No hay tráfico. El Hospital del Niño y Adolescente Morelense cuenta con 320 Mbps de internet. Los grandes corporativos y empresas con diversas sucursales necesitan soluciones más avanzadas como la operación de sistemas de nómina, facturación, cobranza, estabilidad en su red y seguridad de sus datos. Es por ello que en muchas ocasiones requieren de una conexión dedicada y frecuentemente simétrica, es decir una conexión propia donde el ancho de banda no se comparta con otros negocios y que cuente velocidades de carga y descarga paralelas para que su información viaje de forma rápida y eficiente. La velocidad que deben tener estas organizaciones es más compleja de determinar por lo que en esos casos es recomendable contar con la atención de un ejecutivo que haga un estudio detallado de los requerimientos de la

HALLAZGO POSITIVO

29

organización ya que la solución contratada puede ir desde los 200 Mbps hasta los 10 Gbps.

4

La red de la institución es escalable; es decir que se pueden instalar más Routers y Switches sin ningún problema, en lo IDF´S se pueden poner Racks para conectar a más usuarios sin ningún problema ya que se cuenta con el espacio y la infraestructura de la red lo permite. En telecomunicaciones y en ingeniería informática, la escalabilidad es la propiedad deseable de un sistema, una red o un proceso, que indica su habilidad para reaccionar y adaptarse sin perder calidad, o bien manejar el crecimiento continuo de trabajo de manera fluida, o bien para estar preparado para hacerse más grande sin perder calidad en los servicios ofrecidos.

Hallazgo positivo

5

Se tiene un control en la red, como el uso de VLANS y de servidores como DNS y DHCP para administrar tanto la red alámbrica como inalámbrica, se tiene administración en cada área. La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada.

Hallazgo positivo

6

Los racks del MDF y de los IDF´S tienen cables que no están en orden es muy fácil confundirse al momento de querer cambiar de un puerto a otro. La norma ANSI/TIA/EIA-568 recomienda que el número de dispositivos en el rack no debe exceder de ciertas medidas y de un contado número de dispositivos en el para evitar sobrecargar de unidades

Imagen 1- Medidas Racks

NO CONFORMIDADES

MENORES

30

Si un centro de cableado sirve como MDF, todos los cables que se tiendan a partir de este, hacia las IDF, computadores y habitaciones de comunicación ubicadas en otros pisos del mismo edificio, se deben proteger con un conducto o corazas de 10,2 cm. Asimismo, todos los cables que entren en los IDF deberán tenderse a través de los mismos conductos o corazas de 10,2 cm. La cantidad exacta de conductos que se requiere se determina a partir de la cantidad de cables de fibra óptica, UTP y STP que cada centro de cableado, computador o sala de comunicaciones puede aceptar. Se debe tener la precaución de incluir longitudes adicionales de conducto para adaptarse al futuro crecimiento. Para cumplir con esta especificación, se necesitan como mínimo dos corazas revestidas o conductos adicionales en cada centro de cableado. Cuando la construcción así lo permita, todos los conductos y corazas revestidas deberán mantenerse dentro de una distancia de 15,2 cm. de las paredes.

7

No se cuenta con un manual de políticas e seguridad para establecer cómo se debe de manejar la red, que está permitido, quien puede tener acceso a los sites, a servidores o administrar la red. ITIL-Gestión de Servicios TI Recomienda utilizar y establecer lo que son políticas de seguridad- El Plan de Seguridad debe diseñarse para ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio. Siempre que sea posible deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.


8

Donde se encuentran los IDF'S y MFD cuentan con un sistema de puesta a tierra para proteger a los equipos de una descarga eléctrica, al igual que los conectores de los equipos cuentan un el nodo que puesta a tierra. El sistema de puesta a tierra y puenteo establecido en estándar ANSI/TIA/EIA-607 es un componente importante de cualquier sistema de cableado estructurado moderno. El gabinete deberá disponer de una toma de tierra, conectada a la tierra general de la instalación eléctrica, para efectuar las conexiones de todo equipamiento. El conducto de tierra no siempre se halla indicado en planos y puede ser único para ramales o circuitos que pasen por las mismas cajas de pase, conductos o bandejas. Los cables de tierra de seguridad serán puestos a tierra en el subsuelo.

Los Sites (IDF'S y MFD) de la empresa cuentan con aire acondicionado el cual mantiene el cableado en perfectas condiciones así como evita que se

31

9

sobrecalientan los servidores, router o dispositivos que se encuentran dentro de ellos. se cumple con la norma ANSI/TIA/EIA-569: En cuartos que no tienen equipo electrónico la temperatura del cuarto de telecomunicaciones debe mantenerse continuamente (24 horas al día, 365 días al año) entre 10 y 35 grados centígrados. La humedad relativa debe mantenerse menor a 85%. Debe de haber un cambio de aire por hora. En cuartos que tienen equipo electrónico la temperatura del cuarto de telecomunicaciones debe mantenerse continuamente (24 horas al día, 365 días al año) entre 18 y 24 grados centígrados. La humedad relativa debe mantenerse entre 30% y 55%. Debe de haber un cambio de aire por hora.

Hallazgo positivo

Propuesta de mejora de auditoría de redes

Hallazgos

DESCRIPCIÓN

La red no cuenta con un sistema de seguridad en los IDF'S y el MDF el acceso es fácil ya que

se encuentran en áreas donde las personas pueden acceder sin necesidad de ser trabajadores.

El orden del cableado en los rack no es el adecuado ya que se encuentra mal distribuido y el querer cambiar de un lugar a otro es complicado.

No existe un encargado específico para el área de redes, que esté al pendiente del monitoreo de servidores así como la seguridad de la red y el tráfico que hay en ella.

JUSTIFICACIÓN

La seguridad es un punto clave que todo el área de informática tiene que trabajar en ello día a

día por eso es que un sistema de seguridad son un elemento importante para la detección de problemas en la red. Es por eso que se propone contar con un sistema de seguridad que se

conoce como alarma, el cual es una herramienta con la que el administrador se auxilia para conocer que existe un problema en la red. También conocido como sistema de monitoreo, se

trata de un mecanismo que permite notificar que ha ocurrido un problema en la red. Esta propuesta se basa en la utilización de herramientas basadas en el protocolo estándar de monitoreo, SNMP, ya que este protocolo es utilizado por todos los fabricantes de equipos de red.

32

Se debe de tener un orden en la red, el cableado debe de ser ordenado para que este cumpla con las normas establecidas para el cableado estructurado, por otra parte es más fácil para el

personal identificar nodos mediante el cable ordenado.

se debe contar el personal adecuado esto quiere decir que cada área debe de tener su encargado

para que haya una administración de fallas tanto lógicas como físicas, si la red sufre de un ataque y no está la persona capacitada para solucionar este tipo de problemas puede surgir pérdida de información, tiempo y dinero.

PROPUESTA DE MEJORA

Se propone implementar un sistema de seguridad para tener controlado el acceso de los Sites manteniendo un registro, se puede poner una alarma por si alguien intenta acceder de manera

forzada, Esta propuesta se basa en la utilización de herramientas basadas en el protocolo estándar de monitoreo, SNMP, ya que este protocolo es utilizado por todos los fabricantes de equipos de red. Se recomienda dar una capacitación al personal de informática sobre las amenazas en redes y cómo pueden solucionarlo para que el problema no sea mayor, al igual capacitar para que los

empleados tengan el conocimiento de los recursos que hay en el área de informática y en que pueden utilizarlo, que los empleados tengan conciencia sobre el orden en lo que es redes es decir que las normas y estándares recomiendan como mantener el cableado estructurado para

mejor rendimiento y para facilitarle la tarea al administrador. Modelo simultáneo: Bajo este modelo se capacita a todo el personal simultáneamente, en uno o varios días y en el área correspondiente. Ventajas: Ofrece un evento de capacitación de alto nivel, que puede estimular el reclutamiento y la colaboración de la comunidad participante, así como su interés en el aprendizaje. Puede

realizarse en un periodo de tiempo corto. Puede tener como consecuencia un incremento en las habilidades de capacitación.

33

Evidencias auditoría de redes

34

Hallazgos Auditoría de Seguridad de TI

Por: Rubén Olmedo Cosío

35

Hallazgos de auditoría de seguridad de TI No Atributos Clasificación

Se encontró que los responsables del área de tecnología del hospital del niño no cuentan con la documentación con respecto a la instalación eléctrica de su área (basado en el modelo ANSI/TIA/EIA 606). Esta situación se debe a que esta información la tiene solo el área de mantenimiento del hospital. Se recomienda a los responsables del área de TI que soliciten una copia de la documentación con respecto a la instalación eléctrica de su área

NO CONFORMIDADES

MENORES

2

El área de TI tiene correctamente señaladas las tomas de corriente eléctrica El modelo ANSI/TIA/EIA 606 marca que cada una de las tomas de corriente eléctrica deben estar debidamente señaladas. La instalación eléctrica de los equipos de cómputo se realizó según lo requieren las normas hospitalarias en donde se menciona que las técnicas de seguridad eléctrica exigen que todos los tomacorrientes de un mismo ambiente estén referenciados a la misma tierra pero independiente de los otros ambientes contiguos. De esta forma se construye una configuración llamada “copo de nieve”, y se evitan los lazos de tierra.

HALLAZGO POSITIVO

3

Los equipos de cómputo del hospital cuentan con No-break o con reguladores de corriente, lo cual es importante ya que de esta manera se regula el flujo de energía en los equipos de cómputo y para evitar descargas eléctricas repentinas que puedan dañar a los mismos. De igual manera el SITE de telecomunicaciones cuenta con un sistema de puesta a tierra para evitar descargas eléctricas repentinas que puedan poner en riesgo la funcionalidad de los equipos de cómputo del SITE. Según las especificaciones de ANSI/TIA/EIA-607: El cuarto de telecomunicaciones debe contar con una barra de puesta a tierra que a su vez debe estar conectada mediante un cable de mínimo 6 AWG con aislamiento verde/amarillo al sistema de puesta a tierra de telecomunicaciones.

HALLAZGO POSITIVO

36

4

Los responsables del área de TI no cuentan con una política de seguridad interna para el acceso al SITE de telecomunicaciones, aunque esto no represente un riesgo mayor es recomendable elaborar y dar a conocer, entre los responsables del área, dicho documento.

NO

CONFORMIDADES MENORES

5

El SITE de telecomunicaciones del hospital del niño está en un sitio aislado y siempre cerrado bajo llave. Únicamente los responsables de TI tienen acceso a él para evitar intrusiones no autorizadas al mismo, mantener regulada su temperatura y reducir la entrada o contaminación de polvo.

HALLAZGO POSITIVO

6

Se cuenta con los planos donde se encuentran identificadas las instalaciones eléctrica y de red del hospital La norma TIA/EIA 606 proporciona una guía que puede ser utilizada para la ejecución de la administración de los sistemas de cableado. Resulta fundamental para lograr una cotización adecuada suministrar a los oferentes la mayor cantidad de información posible. En particular, es muy importante proveerlos de planos de todos los pisos, en los que se detallen: 1.- Ubicación de los gabinetes de telecomunicaciones 2.- Ubicación de ductos a utilizar para cableado vertical 3.- Disposición detallada de los puestos de trabajo 4.- Ubicación de los tableros eléctricos en caso de ser requeridos 5.- Ubicación de pisoductos si existen y pueden ser utilizados

HALLAZGO POSITIVO

7

Cada usuario cuenta con su cuenta propia de inicio de sesión, la cuenta es asignada por los responsables de TI y los usuarios eligen su contraseña de inicio de sesión. Las contraseñas de los usuarios de cambian cada 6 meses. Es recomendable que se realice cada 2 como mínimo para brindar una mayor seguridad a la información que tengan los usuarios La seguridad de cada cuenta de usuario es regular, ya que los usuarios suelen brindar sus contraseñas de sesión a sus compañeros, lo que pondría en riesgo la información guardada en el equipo de cómputo.

NO CONFORMIDADES

MENORES

8

Se les hace llegar a los usuarios de equipos de cómputo del hospital, cartas responsivas del sistema y del equipo. También se maneja un control de acceso de usuarios estándar y privilegiados en el hospital para evitar que los usuarios instalen programas indistintos a los requeridos para el hospital.

HALLAZGO POSITIVO

37

Según ISO 27001. Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.

9

Se cuenta con tipos de cuentas de usuario privilegiadas y estándar en el hospital. Solo los usuarios de tipo privilegiado (Responsables de TI) cuentan con la autorización para instalar programas en los equipos según se requiera. Establecer los mecanismos por los cuales los solicitantes van a acceder a los recursos de información de la organización. El estándar RFC2196 dice que el acceso de la información debe tener un esquema donde se puedan seguir ciertos procedimientos que han de estructurarse tomando como base las necesidades de la organización. En este proceso se da permiso al solicitante de realizar o no acciones dentro de un sistema.

HALLAZGO POSITIVO

10

Para la adquisición de nuevos equipos de cómputo, se realizan estudios y cotizaciones de equipos con distintos proveedores, donde realizan una comparación de precios del equipo que se necesita y tomar la decisión más conveniente. Según la norma ISO/IEC 21827 Toda adquisición se basa en los estándares del grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.

HALLAZGO POSITIVO

11

Se cuenta con una bitácora de incidencias en el área de TI donde se monitorea y se da seguimiento a las fallas con más frecuencia en los equipos de cómputo del hospital. Dichas fallas se tratan de manera inmediata para que los usuarios puedan continuar con sus actividades. El estándar BS7799-3 dice que se debe identificar, evaluar, tratar y gestionar los riesgos en seguridad de la información, estos son procesos clave si desea garantizar la seguridad de la organización.

HALLAZGO POSITIVO

12

Actualmente en el hospital del niño no se implementa el respaldo de información (backup) en la mayoría de los equipos, solo se realiza a equipos virtuales asignados a doctores del área de consulta médica. Se tiene planeada la adquisición de una SAN dedicada al respaldo de la información solo de las áreas que los responsables de TI consideran de mayor importancia. El estándar ISO 27001 define el dominio Seguridad de las operaciones a través de distintos objetivos de control, uno de los cuales es el de Backup, que tiene como propósito proteger a las organizaciones contra la pérdida de información, establece la creación y prueba regular de copias de seguridad que involucren a la información, software e imágenes de sistemas, todo en concordancia con una política de respaldo.

NO CONFORMIDADES

MAYORES

No se cuentan con políticas de control de acceso de dispositivos de almacenamiento externos (memorias USB, SD, microSD, CD-ROM/DVD o

38

13

tablets) a equipos de cómputo hospital. Tampoco se cuenta con ningún tipo de software que controle el acceso de los puertos USB o CD/DVD en los equipos de cómputo. ISO/IEC 27001 especifica que se debe impedir el acceso no autorizado a la información mantenida por los sistemas de las aplicaciones. Se deberían utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos. Se debería restringir el acceso lógico a las aplicaciones software y su información únicamente a usuarios autorizados. ITIL-Gestión de Servicios TI Recomienda utilizar y establecer lo que son políticas de seguridad- El Plan de Seguridad debe diseñarse para ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

NO CONFORMIDADES

MAYORES

14

Se cuenta con un inventario de los equipos de cómputo junto con sus activos fijos y a quien ha sido asignado cada equipo en el hospital. Las normas ISO/IEC 27001 dicen que todos los activos deberían ser justificados y tener asignado un propietario. Además se debe elaborar y mantener un inventario de activos de información mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).

HALLAZGO POSITIVO

15

Los responsables del área de TI hacen entrega junto con el equipo de cómputo asignado, una carta responsiva del sistema y del equipo de cómputo donde se definen sus derechos de acceso y uso del equipo dentro de la institución y políticas de seguridad que se deben seguir. Las normas ISO 27001 recomiendan que la dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes.

HALLAZGO POSITIVO

16

Se realizan manuales de operación de software para los usuarios de equipos del hospital, como apoyo para su correcta implementación. Se debe asegurar la operación correcta y segura de los recursos de tratamiento de información. ISO/IEC 27001 establece que se deberían establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos para el tratamiento de la información. Esto incluye el desarrollo de instrucciones apropiadas de operación y de procedimientos de respuesta ante incidencias. Se implantará la segregación de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia.

HALLAZGO POSITIVO

39

Propuesta de Mejora seguridad de TI

Hallazgos Propuesta de Mejora

Se recomienda a los responsables del área de TI:

Establecer políticas de acceso al SITE de telecomunicaciones, ya que no se cuenta con ningún reglamento escrito y aprobado por la dirección general del Hospital del niño.

Obtener documentación respecto a las instalaciones eléctricas del área de TI

Establecer políticas de seguridad respecto al uso de dispositivos de almacenamiento externos (memorias USB, microSD, CD-ROM) ya que existen usuarios que hacen uso indebido de estos dispositivos dentro del hospital y esto puede poner en riesgo la seguridad de la información de los equipos del hospital.

Implementar el uso de software que controle el acceso de dispositivos de almacenamiento externo en los equipos de cómputo del hospital, de esta manera se evitaría tanto la extracción indebida de la información y la intrusión de archivos innecesarios (imágenes, música, videos o software) que dañen o compliquen el buen funcionamiento de los equipos de cómputo del hospital.

Establecer un reglamento respecto al control de cuentas de los usuarios ya que hay personal que presta su cuenta y contraseña a otros usuarios lo cual representa un riesgo para la seguridad de la información.

Se debería considerar hacer uso del respaldo de la información en todos los equipos de cómputo del hospital ya que de esta manera se garantizaría la seguridad de la información y se evitarían pérdidas importantes de la misma.

40

Evidencias de auditoría de seguridad en TI

41

Auditoría de Sistemas

Por: Jonathan Levi Márquez García

42


1

ISO 9126Funcionalidad: el grado en que el software satisface las necesidades indicadas por los siguientes subatributos: idoneidad, corrección, interoperabilidad, conformidad y seguridad.

HALLAZGO POSITIVO

2

Confiabilidad: cantidad de tiempo que el software está disponible para su uso. Está referido por los siguientes subatributos: madurez, tolerancia a fallos y facilidad de recuperación.

HALLAZGO POSITIVO

3

Usabilidad: grado en que el software es fácil de usar. Viene reflejado por los siguientes subatributos: facilidad de comprensión, facilidad de aprendizaje y operatividad.

HALLAZGO POSITIVO

4

Eficiencia: grado en que el software hace óptimo el uso de los recursos del sistema. Está indicado por los siguientes subatributos: tiempo de uso y recursos utilizados.

HALLAZGO POSITIVO

5

Facilidad de mantenimiento: la facilidad con que una modificación puede ser realizada. Está indicada por los siguientes subatributos: facilidad de análisis, facilidad de cambio, estabilidad y facilidad de prueba.

HALLAZGO POSITIVO

6

Portabilidad: la facilidad con que el software puede ser llevado de un entorno a otro. Está referido por los siguientes subatributos: facilidad de instalación, facilidad de ajuste, facilidad de adaptación al cambio.

HALLAZGO POSITIVO

7

W3C Diseño y aplicaciones web Diseño y Aplicaciones Web incluye a los estándares para la construcción y representación de las páginas Web, incluyendo HTML5, CSS, SVG, Ajax y otras tecnologías para las Aplicaciones Web (“WebApps”). Esta sección también incluye información sobre cómo hacer páginas accesibles para personas con discapacidades (WCAG), aplicar internacionalización y trabajar sobre dispositivos móviles.

HALLAZGO POSITIVO

43

8

Web semántica Linked data – metadata y <title> El modelo de McCall

HALLAZGO POSITIVO

44

Evidencias de auditoría de sistemas

45

Tecnología Emergente propuesta de sistema apara HNAM

Resumen del proyecto

El proyecto consiste en la migración de un sistema que está siendo utilizado en el Hospital del niño y el

adolescente de Morelos, mediante el cual los pacientes puedan agendar sus citas en el hospital, la iniciativa fue

propuesta por el equipo auditor, y se encontró que dicho sistema puede ser mejorado en cuanto a velocidad,

usabilidad y fluidez.

Información destacada

El hospital del niño morelense es actualmente uno de los organismos que ayuda a muchos habitantes del estado

de Morelos, el cual tiene como objetivo ser un hospital regional con el más alto rendimiento en servicios de

atención médica, sin embargo, actualmente tienen una forma de agendamiento muy tardada y esto ocasiona

que los algunos pacientes tengan que viajar de lugares muy retirados. El pasado viernes 6 de Noviembre se le

propuso al Lic. Blanco que está recibiendo la auditoria la migración de su sistema a una nueva tecnología de la

compañía Google llamada Cloud Storage y con el lenguaje JavaScript para que en conjunto de ambas tecnologías

la aplicación pueda aumentar su velocidad, rendimiento y almacenamiento o en tiempo real.

Objetivos

1. Migrar una base de datos relacional a una no relacional.

2. Realizar los servicios necesarios para el uso de la aplicación migrada (app back-end).

3. Hacer la aplicación con la que el usuario interactuara (app front-end).

Declaración de objetivos

La base de datos que se es utilizada actualmente es una bd relacional, el objetivo es migrarla a una base de

datos no relacional, haciendo uso de la herramienta Cloud Datastore de Google.

46

Otro objetivo imprescindible es el alojamiento de la aplicación en Google App Engine, el cual es un servicio de

forma gratuita con un límite de 500 megabyte que permite ejecutar aplicaciones sobre la infraestructura de

google.

Descripción de la aplicación actual

La aplicación que actualmente se ocupa en el HNAM fue desarrollada en el 2012, requerida por el área de

enfermería, no obstante no cubrió con todas las necesidades para la cual fue desarrollada.

Presupuesto

Recursos

Nombre del Proyecto: Tecnología Emergente propuesta de sistema apara HNAM

Nombre del Administrador: Brenda Kareny Pérez Gonzalez

Nombre del Cliente: Rubén Leiva Blanco

identificador del Proyecto: PSPH

Duración del Proyecto (Meses): 1

Estimados del proyecto: $11281.5

No Concepto Cantidad Costo Total

1 Lap top (renta) mes 2 $400 $800

2 Mes de renta fibra óptica (renta) mes 1 $1000 $1000

3 Renta de almacenamiento en la nube (renta) mes 1 $1381.5 $1381.5

4 Mantenimiento del sistema (renta) mes 1 $400 $400

Análisis de reserva Total $3581.5

47

Materiales

No Descripción Costo

1 Requerir sw más especializado. $3000

2 Accidente o enfermedad por parte de algún miembro del proyecto.

$2500

3 Falta de capacitación de los usuarios administradores del sistema

$500

Total 6000

OTROS GASTOS

Presupuesto del proyecto

Estimados del proyecto, recursos materiales $3581.5

Análisis de reserva $6000

Otros gastos $1700

Presupuesto del Proyecto total $11281.5

Concepto Cantidad Costo Total

1 Transporte 2 $250 $500

2 Comidas 2 $600 $1200

Total $1700

48

Conclusiones

Después de la elaboración de la auditoría al “Hospital del niño y adolescente morelense”, se recopiló mucha información que ayudó a encontrar debilidades, fortalezas, amenazas y oportunidades a las que les dimos calificaciones y ponderaciones para saber en dónde se podían implementar áreas de oportunidad, apoyándonos de los resultados obtenidos de la misma, a este análisis le definimos FODA.

Sobre los resultados obtenidos en el FODA pudimos realizar un análisis más, llamado Matriz de crecimiento (BCG), donde se trazan en un eje X y un eje Y los totales que se obtuvieron al sumar la multiplicación de ponderación y calificación de debilidades y fortalezas (X), así como amenazas y oportunidades (Y). Estos no ayudó a graficar en que cuadrante se encontraba la empresa encontrándolo en el cuadrante de signo de interrogación donde definimos que le falta mucha inversión de trabajo y la participación de los trabajadores es baja.

La problemática era algo presente en nuestra recopilación de datos, por ello se redactaron tres fallas relevantes dentro del análisis, a estos problemas se les propone una estrategia, redactada explícitamente, en cada estrategia se calcula su costo, para así sacar un presupuesto total de toda la propuesta de mejora.

Y por último se realizó un Benchmarking que es un proceso mediante el cual se recopila información y se obtienen nuevas ideas, mediante la comparación de aspectos de tu empresa con los líderes o los competidores más fuertes del mercado, en este caso las comparaciones fueron con distintos hospitales del estado de Morelos que tenían en común algunos aspectos mencionando que no podían ser totalmente iguales ya que cada hospital es especializado en algo. Nuestra empresa auditada tuvo el primer lugar en el análisis, en comparación con la competencia.

Todas las tareas realizadas en este documento tuvieron que ser estudiadas minuciosamente ya que en esto nos basaremos para dar el status de la empresa. Fue bastante interesante todo este proceso, ya que al igual que esta empresa se puede hacer para algún negocio particular, haciendo ver los grandes o pequeños errores que se comenten, implementando estrategias de mejora continua a nuestros problemas y estimando cuánto nos costará.

49

Anexos (Evaluaciones del auditor, Evidencia documental de la empresa, encuestas de satisfacción al

cliente y usuario final)

dictamen final v-004

Documents