ejemplo auditoria informatica

AUDITORÍA INFORMÁTICA A LA OFICINA DE SOPORTE TECNICO DE LA UNIDAD DE MEDICINA FAMILIAR Nº 94 DEL IMSS

RAFAEL ALEJANDRO GATICA PATRICIO.ROGELIO ELIAS LEMUS CORTES.GRICEL NOEMI LOZADA ZARATE.DIANA ANGELICA OROZCO GUTIERREZ.JORGE ENRIQUE REYES NICOLIN.

DICIEMBRE, 2010.

72

ÍNDICECONOCIMIENTO GENERAL DEL ÁREA A REVISAR.............................................................4

OBJETIVO DE LA AUDITORÍA............................................................................................6

ALCANCE DE LA AUDITORÍA.............................................................................................6

PROGRAMA DE TRABAJO................................................................................................7FASE: ACTIVIDADES PREVIAS.......................................................................................7FASE: ACTIVIDADES INTERMEDIAS...............................................................................8FASE: ACTIVIDADES POSTERIORES...............................................................................8

CARTA DE PRESENTACIÓN...............................................................................................9

POLÍTICAS Y PROCEDIMIENTOS EXISTENTES (NORMATIVIDAD).....................................10MAAGTIC...................................................................................................................10

Capítulo I..................................................................................................................................10Objetivo....................................................................................................................................11Ámbito de aplicación / Alcance................................................................................................11Marco Jurídico..........................................................................................................................12

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL (5000-001-001).....19

Objetivo....................................................................................................................................20Ámbito de aplicación................................................................................................................20Sujetos de la norma..................................................................................................................20Responsables de la aplicación de la norma..............................................................................20Documentos de referencia.......................................................................................................20Disposiciones............................................................................................................................21

PRUEBAS DE CUMPLIMIENTO (PREPARACIÓN)..............................................................27

MATERIAL DE APOYO (PREPARACIÓN)..........................................................................30ENCUESTA Nº 1..........................................................................................................30ENCUESTA Nº 2..........................................................................................................33

LEVANTAMIENTO DE LA INFORMACIÓN........................................................................35

PRUEBAS DE CUMPLIMIENTO........................................................................................36

ANÁLISIS DE LA INFORMACIÓN......................................................................................37ENCUESTA Nº 1..........................................................................................................37ENCUESTA Nº 2..........................................................................................................44

CONFIRMACIÓN DE OBSERVACIONES............................................................................49

IDENTIFICACIÓN DE NIVELES DE RIESGO........................................................................56

73

CONSOLIDACIÓN DE NIVELES DE RIESGO.......................................................................59

MARCAS DE AUDITORÍA................................................................................................63

INFORME FINAL.............................................................................................................64

ANEXOS.........................................................................................................................67

72

CONOCIMIENTO GENERAL DEL ÁREA A REVISAR.l Instituto Mexicano del Seguro Social, en el esfuerzo diario que realiza en beneficio de la población derechohabiente y en apoyo del Proceso de Mejora de Medicina Familiar, crea

progresivamente un Sistema de Información de Medicina Familiar (SIMF) que facilitará y respaldará las tareas de datos generados por el personal de las unidades médicas del primer nivel de operación y agilizará el otorgamiento de la atención integral a la salud de los derechohabientes.

E

Esta aplicación, para ser completamente funcional dentro de cada una de las Unidades Medico Familiares y cuenta con los siguientes módulos de información, los cuales son operados por el personal capacitado para dicha labor:

Agenda de Citas. Atención Integral. Atención Médica. Historia Clínica. Somatometría. PREVENIMSS (Programas Integrados). Estomatología. Salud en el Trabajo. Trabajo Social. Nutrición y Dietética. Urgencias. Hojas de control. Auxiliares de Dx y Tx. Resultados. Administración del SIMF.

La infraestructura de cada Unidad Médica Familiar (UMF) está compuesta de las computadoras, cableado, concentradores y conectores compartiendo información mutuamente y con otros sistemas como el ACCEDER que proveerá los datos afiliatorios del asegurado y sus beneficiarios. El Sistema de Abasto Institucional Farmacia (SAIF) que permitirá identificar la existencia de medicamentos en farmacia. La computadora que mantiene el control se conoce como servidor y las otras como terminales o estaciones de trabajo.

Debido a ser una herramienta de suma importancia para el Instituto, ya que en ella se registra información muy sensible de pacientes así como de su historial clínico, es necesario contar con una herramienta capaz de soportar cualquier eventualidad que se presentara, ya que incluso cuando se haya terminado el horario de atención a derechohabientes (de 8 de la mañana a 8 de la noche de lunes a viernes), siempre existirá la posibilidad de que un paciente con alguna urgencia

73

se presente, y sin importar el día u hora en que esto ocurra, el SIMF deberá estar disponible para el registro correspondiente de la información de este.

Como se mencionó anteriormente, el SIMF es instalado en cada una de las UMF pertenecientes al Instituto, lo que conlleva a que la información que posee cada una es de uso único y exclusivo de la misma, solo coordinado por la Coordinación Delegacional de Informática (CDI) en caso de necesitar sincronizar o corroborar información que sea de uso general del Instituto.

La siguiente auditoría se realizará dentro de las instalaciones de la Unidad Médica Familiar Nº 94, la información general de esta se especifica a continuación:

Director: Dr. Marco Antonio Pagola Martínez.

Ubicación: Antiguo camino San Juan de Aragón 235, Col. Casas Alemán, C.P. 07580, Delegación Gustavo A. Madero.

Teléfono: 57672541, 57672977 y 57677499

A continuación se presenta el mapa que muestra como está distribuida la Unidad Medica Familiar Nº 94:

Donde las áreas correspondientes del numero 15 al 29 son consultorios médicos para derechohabientes, y la oficina marcada con el número 08 es donde se encuentra el site adaptado a las necesidades de la clínica y desde donde se proporciona el servicio del SIMF a todos los consultorios y equipos de las auxiliares medicas para gestionar el control de citas de los pacientes que se presenten, así como de la unidad de atención medica continua, que trabaja las 24 horas del día los 365 días del año.

La actividad realizada en la clínica requiere de las Tecnologías de la Información con el fin de proporcionar el servicio que las personas quieren, esperan y necesitan, y así le da una importancia creciente a la Disponibilidad. Simplemente, los derechohabientes verán a la clínica (y en general al Instituto) con desdén si el Sistema no esté disponible, bien porque el servicio no está operativo cuando el Instituto advirtió que estaría disponible, bien porque está no disponible cuando el derechohabiente siente que debería estar disponible.

72

OBJETIVO DE LA AUDITORÍA.

Erificar los controles establecidos ara mantener la disponibilidad y continuidad del Sistema de Información de Medicina Familiar (SIMF), para que con base en el análisis de estos y de un

registro de incidencias e interrupciones presentadas en el periodo comprendido del 1 de junio al 30 de noviembre del año en curso, se puedan establecer puntos críticos en la operación y gestión del sistema con la finalidad de realizar las recomendaciones necesarias que permitan la mejora en la implementación de dichos controles para proporcionar una respuesta más rápida en caso de presentarse una incidencia.

V

ALCANCE DE LA AUDITORÍA.

e analizarán los posibles riesgos que podrían resultar en una afectación a la disponibilidad del sistema SIMF, así como las incidencias e interrupciones que se han presentado en el lapso de

tiempo de 6 meses, comprendido desde el 1º de Junio a la fecha; con el propósito de conocer las causas que las generaron y el impacto tanto económico como operativo que tuvieron.

SLa auditoria cubrirá los siguientes puntos:

Sistema SIMF que se opera en la Unidad Médica Familiar Nº 94: (100%) Plan de evaluación de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (100%). Personal encargado de responder a fallos (100%). Incidencias presentadas en el periodo (50%). Interrupciones en el servicio (50%). Plan de respaldos (30%). Entrevistas a usuarios de la aplicación (25%). Documentación del sistema (10%).

73

PROGRAMA DE TRABAJO.

FASE: ACTIVIDADES PREVIAS.

ACTIVIDADES:

A.1. CONOCIMIENTO GENERAL DEL ÁREA A REVISAR.

A.2. DEFINICIÓN DE OBJETIVO Y ALCANCE.

A.3. PREPARACIÓN DEL PROGRAMA DE TRABAJO.

A.4. PREPARACIÓN DE LA CARTA DE PRESENTACIÓN.

A.5. CONOCIMIENTO PREVIO SOBRE LAS POLÍTICAS Y PROCEDIMIENTOS EXISTENTES.

A.6. PREPARACIÓN DE PRUEBAS DE CUMPLIMIENTO.

A.7. PREPARACIÓN DE MATERIAL DE APOYO.

ACTIV.

16 DE NOVIEMBRE 17 DE NOVIEMBRE 18 DE NOVIEMBRE 19 DE NOVIEMBRE 22 DE NOVIEMBRE 23 DE NOVIEMBRE17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21

A.1.

A.2.

A.3.

A.4.

A.5.

A.6.

A.7.

72

FASE: ACTIVIDADES INTERMEDIAS.

ACTIVIDADES:

A.1. LEVANTAMIENTO DE LA INFORMACIÓN.

A.2. EVALUACIÓN DE LAS PRUEBAS DE CUMPLIMIENTO.

A.3. ANÁLISIS DE LA INFORMACIÓN.

ACTIV.

24 DE NOVIEMBRE 25 DE NOVIEMBRE 26 DE NOVIEMBRE 29 DE NOVIEMBRE 30 DE NOVIEMBRE 1º DE DICIEMBRE17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21

A.1.

A.2.

A.3.

FASE: ACTIVIDADES POSTERIORES.

ACTIVIDADES:

A.1. IDENTIFICACIÓN DE NIVELES DE RIESGO.

A.2. CONSOLIDACIÓN DE NIVELES DE RIESGO.

A.3. ELABORACIÓN DEL INFORME FINAL.

ACTIV.

2 DE DICIEMBRE 3 DE DICIEMBRE 6 DE DICIEMBRE 7 DE DICIEMBRE 8 DE DICIEMBRE 9 DE DICIEMBRE17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21 17 18 19 20 21

A.1.

A.2.

A.3.

73

CARTA DE PRESENTACIÓN.México, D.F. a 22 de Noviembre de 2010.

Dr. Marco Antonio Pagola Martínez.Director de la Unidad Médica Familiar Nº 94.P R E S E N T E

Sirva la presente para enviarle un cordial saludo y presentar al equipo de trabajo que estará realizando la auditoría a la Oficina de Soporte Técnico en referencia al Sistema de Información de Medicina Familiar, la cual tiene por objetivo identificar, analizar y evaluar las principales causas que han impactado en la disponibilidad de esta aplicación en el periodo del 1 de junio al 30 de Noviembre del año en curso, para que con base en la información recabada, se propongan posibles soluciones que han de ser implementadas en pro del servicio que esta herramienta proporciona a todos los usuarios. Así mismo le informamos que el alcance quedará delimitado a la revisión de la Unidad de Medicina Familiar no. 94 considerando los siguientes rubros y el porcentaje que será evaluado:

Plan de evaluación de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (100%). Incidencias presentadas en el periodo (50%). Interrupciones en el servicio (50%). Entrevistas a usuarios de la aplicación (30%). Plan de respaldos (30%). Personal encargado de responder a fallos (10%). Documentación del sistema (10%).

Las personas que integran el equipo de trabajo, son:

Rafael Alejandro Gatica Patricio. Rogelio Elias Lemus Cortes. Gricel Noemi Lozada Zarate. Diana Angelica Orozco Gutierrez. Jorge Enrique Reyes Nicolin.

En cada miembro del equipo de trabajo existe el compromiso de realizar nuestro trabajo con ética y responsabilidad, para brindar resultados objetivos que sean de utilidad para mejorar el desempeño de esta aplicación.

Agradezco de antemano las facilidades otorgadas para la realización del trabajo antes mencionado, quedo a sus órdenes para cualquier duda o comentario.

Atentamente_____________________________

Rogelio Elias Lemus CortesResponsable del equipo de auditores

C.c.p. Ing. Enrique Garrido Gaspar.-Coordinador Delegacional de Informática. Delegación Norte DF.

72

POLÍTICAS Y PROCEDIMIENTOS EXISTENTES

(NORMATIVIDAD).

ebido a que la Auditoría está orientada a la revisión de controles para tener alta disponibilidad en el Sistema de Información SIMF de una Unidad Médica Familiar del

Instituto Mexicano del Seguro Social, dependencia de la Administración Pública Federal, se considera a MAAGTIC de observancia obligatoria, tomando como referencia, las recomendaciones que tienen relación con prácticas de disponibilidad. Por tal motivo, se muestra a continuación el marco de referencia MAAGTIC, su ámbito de aplicación y algunas disposiciones.

D

MAAGTIC.

SALVADOR VEGA CASILLAS, Secretario de la Función Pública, con fundamento en lo dispuesto por el artículo 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 1 y 6, fracciones I y XXIV del Reglamento Interior de la Secretaría de la Función Pública, he tenido a bien emitir el siguiente:

A C U E R D O

Capítulo I

Objeto, Ámbito de Aplicación y Definiciones.

Artículo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia de tecnologías de la información y comunicaciones, y expedir el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, que en términos del Anexo Único del presente Acuerdo, forma parte integrante del mismo.

El Manual a que se refiere el párrafo anterior contiene las reglas, acciones y procesos que en materia de tecnologías de la información y comunicaciones deberán observar de manera obligatoria, las dependencias y entidades de la Administración Pública Federal y, cuando corresponda, la Procuraduría General de la República.

Artículo Segundo.- Para los efectos del presente Acuerdo, se entiende por:

I. Dependencias: las secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la Consejería Jurídica del Ejecutivo Federal, así como las unidades administrativas de la Presidencia de la República, conforme a lo dispuesto en la Ley Orgánica de la

73

Administración Pública Federal. La Procuraduría General de la República será considerada con este carácter en lo que el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones le resulte aplicable conforme a lo previsto en su Ley Orgánica;

II. Entidades: los organismos públicos descentralizados, empresas de participación estatal mayoritaria y fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal Paraestatal;

III. Manual: el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, el cual se integra de diversos procesos asociados con las tecnologías de la información y comunicaciones;

IV. Secretaría o SFP: la Secretaría de la Función Pública;

V. TIC: las tecnologías de la información y comunicaciones, y

VI. Unidad: la Unidad de Gobierno Digital de la Secretaría.

Objetivo.Definir los procesos que en materia de TIC regirán hacia el interior de la UTIC, con el propósito de lograr la cobertura total de la gestión, de manera que, independientemente de la estructura organizacional con que cuenten o que llegaran a adoptar; los roles definidos puedan acoplarse a los procesos establecidos para lograr la cohesión total para una mejor gestión.

Específicos.Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC, así como las correspondientes regulaciones para cada proceso.

Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestión de la UTIC de manera que le sea posible definir estrategias de apalancamiento y apoyo a las Instituciones que lo requieran

Contribuir, mediante la aplicación generalizada del Marco rector de procesos en materia de TIC, a alcanzar una mayor eficiencia en las actividades y procesos institucionales e interinstitucionales, a partir del quehacer orientado al servicio y satisfacción del ciudadano.

*UTIC La unidad administrativa en las Instituciones, responsable de proveer de infraestructura y servicios de tecnologías de la información y comunicaciones.

Ámbito de aplicación / Alcance.Los procesos del “Marco rector de procesos en materia de TIC” deberán implementarse en las

Instituciones a través de sus correspondientes UTIC.

72

Marco Jurídico. Constitución Política de los Estados Unidos Mexicanos. Ley Orgánica de la Administración Pública Federal. Ley Federal de las Entidades Paraestatales. Ley Federal de Presupuesto y Responsabilidad Hacendaria. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Publico. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. Reglamento Interior de la Secretaria de la Función Pública. Reglamento de Ley Federal de las Entidades Paraestatales. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria. Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Publico. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria. Plan Nacional de Desarrollo 2007-2012. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-

2012, publicado en el Diario Oficial de la Federación el 10 de noviembre de 2008. Decreto que establece las medidas de austeridad y disciplina del gasto de la

Administración Publica Federal, publicado en el Diario Oficial de la Federación el 4 de diciembre de 2006.

Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplina del Gasto de la Administración Publica Federal; publicado en el Diario Oficial de la Federación el 29 de diciembre de 2006.

Lineamientos de Protección de Datos Personales, emitidos por el Instituto Federal de Acceso a la Información.

Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos por el Instituto Federal de Acceso a la Información.

Agenda de Gobierno Digital.

ARTI-2 Evaluar los riesgos de TIC.

Descripción.

Evaluar los riesgos de TIC que permitan identificar los impactos sobre los procesos y los servicios de la Institución.

Factores críticos.

El Grupo de trabajo de riesgos de TIC deberá:1. Recopilar los datos relevantes relacionados con los riesgos de TIC, tales como:

a) Incidentes que hayan tenido algún impacto en la Institución.

73

b) Riesgos del activo o recurso a evaluar.

c) Controles actualmente implementados en los activos o recursos a evaluar.

2. Identificar y clasificar las amenazas y riesgos en materia de TIC, conforme a lo siguiente:

• No causadas por el hombre:

- Fallas de TIC o de infraestructura de soporte.

- Desastres naturales.

• Causados por el hombre:

- Dolosas, son aquellas realizadas con la intención de causar un daño.

- Culposas, son aquellas que sin intención alguna se causa un daño.

3. Identificar los factores de riesgo que afecten a la Institución, los cuales pueden clasificarse en:

• Financieros.

• Niveles de servicios en materia de TIC.

• Imagen o reputación en materia de TIC.

• Regulatorios.

4. Identificar y analizar escenarios de riesgo de TIC que permitan evaluar y obtener los impactos potenciales considerando, entre otros, los elementos siguientes:

• Servicios.

• Procesos.

• Datos (operativos, nomina, contables, entre otros).

• Software (sistemas, aplicaciones, entre otros).

• Hardware.

• Equipos informáticos que hospedan datos, aplicaciones y servicios.

• Equipos de comunicaciones.

• Dispositivos de almacenamiento.

• Usuarios y de personal externo a la Institución.

72

Para cada escenario de riesgo se debe definir y acordar la prioridad para su implantación, algunos de los parámetros que pueden ser considerados para dicha prioridad son:

• Severidad del riesgo.

• Nivel de impacto de la implantación.

• Costo de la implantación.

5. Integrar las matrices de riesgo de TIC, que sean necesarias, con la información referida en los numerales de 1 a 4 anteriores.

ARTI-3 Responder a los riesgos de TIC.

Descripción.

Responder a los riesgos de TIC de acuerdo las decisiones para su tratamiento y los criterios de priorización.

Factores críticos.

El Grupo de trabajo de riesgos de TIC deberá:

1. Identificar el nivel de severidad del riesgo.

2. Identificar opciones para el tratamiento y control del riesgo a efecto de tomar las decisiones para:

a) Aceptar el riesgo: No se efectúa ninguna acción debido a que el nivel de riesgo está dentro de los niveles aceptables por la entidad o dependen

b) Evitar el riesgo: Se elimina la causa que produce el riesgo.

c) Transferir el riesgo: Se transfiere y comparte el riesgo.

d) Mitigar el riesgo: Se implementan acciones para reducir el riesgo a un nivel aceptable.

3. Identificar acciones preventivas y correctivas y correlacionarlas para cada uno de los escenarios de riesgos identificados. Estas acciones se deberán integrar a las Declaraciones de aplicabilidad.

4. Definir programas de mitigación del riesgo, los cuales consideraran las acciones para implantar los controles de riesgos en las Declaraciones de aplicabilidad.

73

5. Definir un Programa de contingencia para hacer frente a los eventos o incidentes de los riesgos identificados que en materia de TIC pudieran presentarse.

APTI-5: Administrar los riesgos.

Descripción.

Eliminar o minimizar los riesgos por medio de un proceso sistemático de planeación, identificación, análisis, respuesta, monitoreo y control de las aéreas de la UTIC o unidades responsables involucradas, que tengan el potencial de ocasionar cambios no deseados.

Factores críticos.

El Administrador de proyectos y su grupo de trabajo deberán:1. Identificar riesgos. La identificación de riesgos es un proceso iterativo debido a que se pueden descubrir nuevos riesgos a medida que el proyecto avanza a lo largo de su ciclo de vida. Los riesgos identificados se documentan en un registro de riesgos.

2. Clasificar riesgos. Los riesgos se categorizan por tipo, se identifican y agrupan por la causa raíz y se elaboran propuestas que los minimicen o eliminen.

3. Responder a los riesgos. Se determina la prioridad de atención de los riesgos identificados y las acciones que serán realizadas para atender el riesgo, incluyendo las acciones de mitigación y la definición de una propuesta de contingencia.

4. Dar seguimiento y controlar riesgos. Realizar el seguimiento de los riesgos identificados, identificar nuevos riesgos, ejecutar las respuestas a los riesgos y evaluar su efectividad a lo largo del ciclo de vida del proyecto.

5. Adecuar el documento de planeación del proyecto/fase, para incluir los resultados que se obtengan de los numerales señalados en esta actividad y actualizar el Repositorio central de proyectos.

DSTI-4 Administrar la disponibilidad de servicios de TIC.

Descripción.

Revisar periódicamente la disponibilidad de los servicios de TIC, con el propósito de asegurar los requerimientos actuales y futuros de la entrega de dichos servicios, establecidos en los niveles de servicio acordados. Este proceso incluye la previsión de necesidades futuras, basadas en los requerimientos actuales y pronósticos futuros.

72

Factores críticos.

El Responsable del diseño de servicios de TIC, conjuntamente con el Arquitecto de TIC, debe:

1. Desarrollar un Programa de disponibilidad que permita a la UTIC cumplir con los niveles de servicio acordados, con base en la capacidad actual, la mejora de los niveles de servicio y los nuevos servicios incluidos en el Portafolio de servicios de TIC.

En la elaboración del Programa de disponibilidad se deberá considerar:

• Información suficiente para habilitar la toma de decisiones con respecto a:

– La disponibilidad de servicios de TIC y los requerimientos actuales y previstos, así como la disponibilidad de los activos que los soportan, incluyendo los proporcionados por terceros.

– El momento en que requiere adecuar la disponibilidad.

– Los costos estimados de la disponibilidad.

• El balance entre la oferta y la demanda, necesario para asegurar la suficiencia de recursos para responder a las necesidades de la Institución frente a las condiciones de mercado.

• La participación en la elaboración del Programa de disponibilidad, de los servidores públicos responsables y/o especializados en dominios tecnológicos.

2. Revisar, periódicamente, la disponibilidad de los servicios de TIC, para determinar si se están respetando los niveles de servicio acordados.

• Incluye el monitoreo de la disponibilidad actual soportada.

• Identificar y dar seguimiento a incidentes causados por problemas de falta de disponibilidad y promover que se lleven a cabo las acciones de solución.

• Evaluar los niveles de disponibilidad de los servicios de TIC y componentes contra los niveles de servicio de TIC acordados y tendencias.

3. Llevar a cabo periódicamente pronósticos de capacidad, para los servicios de TIC, actuales y futuros, para minimizar el riesgo de interrupciones del servicio originadas por falta de disponibilidad. Identificar la disponibilidad de capacidad para una posible redistribución. Identificar las tendencias de las cargas de trabajo y determinar sus proyecciones que se deben considerar en los planes de disponibilidad.

4. Proponer al Titular de la UTIC que los programas de contingencia incluyan de forma apropiada las condiciones de disponibilidad, capacidad y desempeño de los recursos individuales de TIC.

73

5. Efectuar el análisis y la gestión de riesgos y promover medidas de mejora, considerando los costos estimados.

6. Monitorear continuamente la disponibilidad de servicios de TIC, con el propósito de:

• Mantener y afinar el uso de disponibilidad

• Reportar los niveles de servicio.

• Acompañar todos los reportes de excepción con recomendaciones de acciones correctivas.

DSTI-5 Administrar la continuidad de servicios de TIC.

Descripción.

Procurar el mínimo impacto a la Institución, en caso de una interrupción en los servicios de TIC, mediante el desarrollo, mantenimiento, entrenamiento y pruebas de los programas de contingencia en materia de TIC.

Factores críticos.

El Responsable del diseño de servicios de TIC, conjuntamente con el arquitecto de TIC, realizaran lo siguiente:

1. Efectuar el análisis de impacto al negocio.

2. Desarrollar y establecer un sistema de continuidad de servicios que incluya directrices, procedimientos, roles y responsabilidades necesarios para soportar la continuidad de los servicios de TIC en la Institución. Lo anterior, tiene como propósito ayudar en la determinación de la resistencia requerida de la infraestructura y guiar el desarrollo de los programas de recuperación de desastres y contingencias de TIC.

Dichas directrices, tomaran en cuenta lo siguiente:

• La estructura organizacional de la UTIC.

• La cobertura de roles y las responsabilidades de los proveedores de servicios, internos y externos, así como la administración de los usuarios.

• Las reglas y estructuras para documentar, probar y ejecutar la recuperación de desastres y los planes de contingencia de TIC.

72

• Los resultados del análisis de impacto al negocio y la estrategia de recuperación que se determine en el proceso de Administración de riesgos de TIC.

• Los requerimientos de resistencia, procesamiento alternativo y capacidad de recuperación de todos los servicios críticos de TIC.

• La identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos críticos, el procesamiento alternativo y los principios de respaldo y recuperación.

3. Desarrollar el Programa de continuidad de servicios de TIC, tomando en cuenta la información mencionada en el numeral anterior, el cual estará diseñado para reducir el impacto de una interrupción mayor de las funciones y los procesos clave de la Institución.

4. Atender los puntos críticos previstos en el Programa de continuidad de TIC, para:

• Construir resistencia y establecer prioridades en situaciones de recuperación.

• Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la respuesta y la recuperación están alineadas con las necesidades prioritarias de la Institución.

• Cuidar que los costos se mantengan a un nivel aceptable y que se cumpla con los requerimientos regulatorios que resulten aplicables, así como con los compromisos pactados en los contratos correspondientes.

• Considerar los requerimientos de resistencia, respuesta y recuperación para diferentes niveles de prioridad.

5. Revisar el Programa de continuidad de servicios de TIC, mediante un procedimiento de control de cambios, para asegurar que el mismo se mantenga actualizado y refleje los requerimientos de la Institución. Es esencial que los cambios que se realicen al Programa sean comunicados de forma clara y oportuna a todos los involucrados.

6. Efectuar pruebas de recuperación, de forma periódica, al Programa de continuidad de servicios de TIC, para confirmar que los servicios de TIC puedan ser recuperados de forma efectiva, que las deficiencias sean atendidas y que el mismo permanece aplicable.

7. Definir el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas controlados, en pruebas de punta a punta y en pruebas integradas con el proveedor.

8. Procurar que los involucrados reciban periódicamente capacitación respecto del contenido del Programa de continuidad de TIC y verificar sus resultados.

9. Procurar que el Programa de continuidad de servicios de TIC se distribuya de manera apropiada y segura, y que este disponible para los involucrados cuando lo requieran, cuidando su accesibilidad bajo cualquier escenario de desastre.

73

10. Planear las acciones a implementar durante el periodo de recuperación y reanudación de los servicios de TIC.

11. Promover el resguardo fuera de las instalaciones de la Institución de todos los medios de respaldo, documentación y otros recursos de TIC críticos, necesarios para la recuperación de los servicios de TIC y para los Programas de continuidad de la Institución.

12. El contenido de los respaldos a almacenar se determinara entre el Grupo de trabajo para la dirección de TIC, los responsables de los procesos sustantivos de la Institución y el personal de TIC.

13. La administración del sitio de almacenamiento externo deberá apegarse al SGSI de la UTIC, así como a la normatividad aplicable.

14. El titular de la UTIC deberá supervisar periódicamente que los compromisos asumidos por los proveedores de sitios externos se cumplan, verificando el contenido de los respaldos, la protección ambiental y la seguridad física.

15. El titular de la UTIC se deberá asegurar de la compatibilidad del hardware y del software de recuperación, para poder restablecer los datos respaldados y periódicamente probar y renovar dichos datos.

16. Poner en marcha, cuando sea necesario, el Programa de continuidad de servicios de

TIC y, una vez lograda la reanudación de los servicios de TIC, evaluar las acciones ejecutadas contra las programadas.

17. Actualizar el Programa de continuidad con los hallazgos y lecciones aprendidas.

Asimismo se muestra la Normatividad Interna del Propio Instituto, que regula el uso de la infraestructura de TI, y sus lineamientos correspondientes.

NORMA QUE ESTABLECE LAS DISPOSICIONES EN MATERIA DE SEGURIDAD INFORMÁTICA EN EL INSTITUTO MEXICANO DEL SEGURO SOCIAL (5000-001-001)

Validado y Registrado por la Unidad de Organización y Calidad el 22 de marzo del 2010

Con fundamento en lo dispuesto en los artículos 5 y 74 del Reglamento Interior del Instituto Mexicano del Seguro Social vigente, publicado en el Diario Oficial de la Federación el 18 de septiembre de 2006, así como el numeral 7.6.1 de la Norma que establece las disposiciones para la elaboración, autorización e implantación de Normas en el Instituto Mexicano del Seguro Social, aprobada mediante acuerdo 54/2003 por el H. Consejo Técnico del propio Instituto en sesión celebrada el 19 de febrero del 2003.

72

Objetivo.

Define las disposiciones mínimas a las que deberán ajustarse los usuarios y administradores en el uso, administración y mantenimiento de la infraestructura y servicios informáticos del Instituto Mexicano del Seguro Social.

Ámbito de aplicación.

La presente norma es de observancia obligatoria para los Órganos Superiores, Secretaría General, Órgano Interno de Control, Órganos Normativos, Órganos Colegiados Delegaciones del Sistema y Órganos de Operación Administrativa Desconcentrada, así como Operativos del Instituto Mexicano del Seguro Social, definidas en el artículo 2 del Reglamento Interior del Instituto Mexicano del Seguro Social.

Sujetos de la norma.

El Personal del Instituto que haga uso de la infraestructura o servicios informáticos, o bien que administre o desarrolle sistemas en todos los órganos y unidades administrativas del Instituto, así como cualquier otra persona que por existir relación con el Instituto tenga que hacer uso de los servicios informáticos en lo que le sea aplicable.

Responsables de la aplicación de la norma.

Los Titulares de las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico y las Coordinaciones Delegacionales de Informática del Instituto.

Documentos de referencia.

Código Civil Federal. Código de Comercio. Código de Procedimientos Penales para el Distrito Federal. Código Federal de Procedimientos Civiles. Código Federal de Procedimientos Penales. Código Penal Federal. Código Penal para el Distrito Federal en materia de Fuero Común y para toda la -República

en materia de Fuero Federal. Constitución Política de los Estados Unidos Mexicanos. Contrato Colectivo de Trabajo IMSS-SNTSS. Ley de Planeación. Ley del Seguro Social. Ley Federal del Derecho de Autor. Ley Federal de Procedimiento Administrativo. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. Ley Federal de Responsabilidad Patrimonial del Estado.

73

Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Lineamientos Generales para la Clasificación y Desclasificación de la Información de las

Dependencias y Entidades de la Administración Publica Federal. Lineamientos de Protección de Datos Personales. Recomendaciones para la Organización y Conservación de Correos Electrónicos

Institucionales de las Dependencias y Entidades de la Administración Pública Federal. Reglamento Interior del Instituto Mexicano del Seguro Social.

Disposiciones.

De carácter general.

La División de Coordinaciones Delegacionales de Informática, será la responsable de la difusión del presente documento en el ámbito Delegacional, a través de la Coordinación Delegacional de Informática correspondiente.

El Instituto a través de las Direcciones Normativas y Unidades, será responsable de la custodia y uso de la información que se almacena, procesa y transmite.

Los órganos administrativos del Instituto que tengan bajo su responsabilidad la administración de infraestructura y servicios informáticos, deberán nombrar un representante de seguridad ante la División de Soporte Técnico y Seguridad Informática, con la finalidad de tener un punto de contacto para una oportuna distribución de actualizaciones de seguridad en la infraestructura o reacción ante eventos o incidentes de seguridad. Los representantes deberán ser nombrados una vez publicada la presente norma y ratificados o rectificados según sea el caso, cada seis meses.

Los intentos (exitosos o fallidos) para ganar acceso no autorizado a los sistemas e infraestructura, servicios o datos del Instituto, revelación no autorizada de su información, interrupción o denegación no autorizada de sus servicios, el uso no autorizado de los sistemas e infraestructura para procesar, almacenar o transmitir datos, cambios a las características de sus sistemas de hardware, firmware o software sin conocimiento y respectiva autorización escrita por cualquier medio de comunicación formal y reconocido por el Instituto, por parte de los administradores del mismo o cualquier otra actividad que afecte los intereses del Instituto o bien cualquier actividad que no se apegue a la presente norma, será investigada y, en su caso, sancionada por la Coordinación Laboral o la Oficina de Investigaciones Laborales, del ámbito Central o Delegacional, conforme a su competencia y formalmente documentada e informada al Titular del Órgano Interno de Control por quien se entere de los actos antes mencionados para el ámbito central y para el ámbito delegacional y Unidades Medicas de Alta Especialidad, será el Área de Auditoría, Quejas y Responsabilidades, según corresponda, previo reporte e investigación conforme al Reglamento Interior de Trabajo, del Contrato Colectivo de Trabajo, la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos y, en su caso, la Ley Federal de Responsabilidad Patrimonial del Estado, cuando el hecho o acto que cause un daño a particulares, sea ocasionado por un trabajador del Instituto.

72

Para el uso de la infraestructura y servicios informáticos.

Los usuarios deben utilizar los equipos de cómputo, periféricos y el software que tengan instalado, sólo para el desarrollo de las actividades institucionales que le fueron conferidas, relacionadas con el desempeño de su empleo, cargo o comisión y de acuerdo a lo estipulado en esta norma.

Los usuarios deben verificar que todo equipo de cómputo (computadoras de escritorio, computadoras portátiles y dispositivos periféricos) que utilicen para el desarrollo de sus actividades dentro del Instituto, cumplan con las siguientes condiciones:

a. Estar conectado a una Unidad Ininterrumpible de Energía Eléctrica (UPS o no-break), cuando se cuente con éste.

b. La Unidad Ininterrumpible de Energía Eléctrica deberá estar conectada a la corriente regulada, cuando se cuente con este servicio.

Los usuarios no deben alterar la configuración de red que les fue asignada al momento de la instalación de su equipo.

Solicitud y uso de servicios informáticos institucionales.

Los usuarios deben de acudir a la Mesa de Servicio ó al personal de soporte técnico local cuando:

a. Se requiera asesoría sobre el correcto uso de los recursos y/o servicios autorizados.

b. Se presenten problemas en los equipos de cómputo y/o periféricos asignados, software instalado, o en los servicios que le son proporcionados.

d. Requieran la instalación de un nuevo software o hardware Institucional.

f. Requieran del alta, baja y/o cambio de cuenta de usuario para acceso a la red, Sistemas Operativos, Bases de Datos o Aplicaciones Institucionales.

La Coordinación de Administración de Infraestructura tiene la facultad de modificar o incluso suspender el servicio o partes del mismo cuando sea necesario, por razones administrativas, de mantenimiento de los equipos o por causas de fuerza mayor, todo ello, en la inteligencia de que será notificado previamente, si las circunstancias lo permiten.

Los usuarios del Instituto deberán utilizar únicamente software institucional, que haya sido autorizado y asignado por el Instituto para el desarrollo de sus funciones.

73

De la administración de infraestructura y servicios informáticos.

Plan de Recuperación de Desastres

El Plan de Recuperación de Desastres deberá de estar alineado a la presente norma. Cualquier acción que en el momento de la ejecución del Plan de Recuperación de Desastres, no esté alineada o especificada en esta Norma, deberá contar con la aprobación de la División de Soporte Técnico y Seguridad Informática

El Instituto a través de la Dirección de Innovación y Desarrollo Tecnológico instrumentará y aplicará un Plan de Recuperación de Desastres en el ámbito de su competencia alineado a las directrices que emanen de la Dirección General, el cual describa los procedimientos y planes de acción a desarrollar, así como los responsables de las mismas para la oportuna prevención, disuasión y detección de amenazas y garantizar el restablecimiento y restauración de la operación en caso de desastres.

Todas las Coordinaciones dependientes de la Dirección de Innovación y Desarrollo Tecnológico deben aplicar el Plan de Recuperación de Desastres, las actividades a desarrollar en caso de presentarse alguna eventualidad, además de contar con una copia y apoyar en el desarrollo y mantenimiento del mismo.

El Plan de Recuperación de Desastres definido debe estar actualizado y autorizado por la Dirección de Innovación y Desarrollo Tecnológico y debe existir una copia fuera de las instalaciones.

El Plan de Recuperación de Desastres debe ser probado y verificado bajo un ambiente controlado de simulación de desastres periódicamente por la Dirección de Innovación y Desarrollo Tecnológico, las diferencias determinadas, resultado de las pruebas deben ser reflejadas en dicho plan.

Los cambios en la operación y en la infraestructura tecnológica institucional deben reflejarse en los procedimientos descritos en el Plan de Recuperación de Desastres.

El personal involucrado en el Plan de Recuperación de Desastres deberá ser entrenado adecuadamente con el fin de minimizar los riesgos generados por descuido o desconocimiento.

Las Coordinaciones de la Dirección de Innovación y Desarrollo Tecnológico deberán contemplar en el presupuesto anual los recursos necesarios para atender las actividades asociadas con el Plan de Recuperación de Desastres.

Respaldos.

Los respaldos deben garantizar la integridad de la información (programas, datos, documentos, etc.). En los sistemas que lo permitan se deberá dejar registro electrónico del proceso realizado.

72

La División de Operaciones Centros Nacionales de Procesamiento debe implantar procedimientos para preparar, almacenar y probar periódicamente la integridad de las copias de seguridad y de toda la información necesaria para restaurar el sistema a una operación normal.

Los depositarios deben solicitar a la División de Operaciones Centros Nacionales de Procesamiento de Información un respaldo total del sistema, antes de efectuar cualquier actualización del mismo.

La División de Operaciones Centros Nacionales de Procesamiento de Información debe generar las copias de los respaldos necesarios y almacenarlos en inmuebles diferentes, a fin de garantizar la recuperación de la operación en caso de contingencia.

Las solicitudes de restauración deben ser por escrito o por medios electrónicos y contener al menos: autorización del dueño de la información o en su defecto el depositario de ésta, nombre del sistema del cual se desea recuperar la información, ruta de recuperación y sección que desea recuperar.

Las áreas depositarias en conjunto con las responsables de la información deben definir el procedimiento de eliminación de respaldos, específico por sistema o por tipo de información de acuerdo a las necesidades legales, contractuales y operacionales del Instituto.

Las Coordinaciones Delegacionales de Informática deberán considerar las políticas definidas en la presente sección en su ámbito de competencia.

Seguridad física.

Los administradores de la infraestructura informática del Instituto deben restringir y controlar el acceso a los componentes de cada uno de los elementos de la infraestructura informática del Instituto de conformidad a la normatividad en materia de Administración de Bienes Muebles.

Los administradores de la infraestructura informática del Instituto deben proteger los respaldos y datos institucionales del acceso de personal no autorizado para tal fin.

Los administradores de la infraestructura informática del Instituto deben llevar un registro del personal que accede a las áreas restringidas incluyendo el motivo de la visita.

Los administradores de la infraestructura informática del Instituto deben mantener actualizadas las listas de autorización de acceso a personal contratado de proveedores de servicio de terceros.

Los administradores de la infraestructura informática del Instituto deben instalar la infraestructura informática en ambientes adecuados para su operación, administración, monitoreo y control de acceso, para minimizar las amenazas a las que se encuentren expuestos.

Los administradores de la infraestructura informática del Instituto deben evaluar y aprobar las instalaciones eléctricas, comunicaciones, sistemas contra incendios y de aire acondicionado y

73

demás recursos, que garanticen las condiciones adecuadas para la operación óptima de la infraestructura tecnológica del Instituto.

Administración de la infraestructura informática.

Los administradores de infraestructura informática deben limitar el acceso a los sistemas operativos, sistemas institucionales y/o bases de datos, mediante la identificación del usuario, a través de su cuenta y contraseña, así como, la asignación de un perfil y un rol con nivel de acceso específico.

El registro de usuarios y la administración de la seguridad de los sistemas de información que son accedidos en forma local y/o a través de la red de comunicaciones, deberá realizarse por los responsables de la seguridad de cada sistema o plataforma.

Los administradores de infraestructura informática deben personalizar las cuentas para las actividades de administración de servidores, bases de datos, servicios o sistemas institucionales, así como las cuentas con atributos para realizar el monitoreo de las actividades realizadas por cada usuario.

En referencia a las bases de datos, los responsables de su administración deberán considerar implementar esquemas en donde los datos viajen y se almacenen encriptados.

Se deberá considerar la segregación de roles de tal manera que los administradores de base de datos sólo tengan acceso a las estructuras de las bases de datos a las que tengan autorización y los usuarios autorizados sólo a los datos.

Se deberá considerar el incluir mecanismos de seguridad en las bases de datos que coadyuven a identificar a los usuarios que modifiquen datos y que afecten a alguno de los atributos de la seguridad de la información

Los closets de comunicaciones o de red deberán estar ubicados en lugares cerrados y resguardados dentro de los edificios institucionales.

Administración de cuentas de usuario y contraseñas.

La asignación de cuentas de usuario para cualquiera de los servicios y/o sistemas que operan dentro del Instituto, deberá identificar a un solo usuario que fungirá como responsable de ésta, siendo de uso exclusivo del titular de la cuenta e intransferible a otro usuario, por lo que las cuentas deberán ser personalizadas y únicas.

Los administradores deben establecer el perfil y el rol con el nivel de acceso específico de acuerdo a las políticas de la aplicación o sistema al que el usuario requiera acceder.

72

Para el desarrollo y liberación de sistemas.

Las Divisiones y Coordinaciones encargadas de desarrollar sistemas de información, deben definir la arquitectura de seguridad de acuerdo a las normas, guías técnicas y procedimientos generados por la División de Soporte Técnico y Seguridad Informática.

Las Divisiones y Coordinaciones encargadas de desarrollar sistemas de información deberán coordinarse con La División de Soporte Técnico y Seguridad Informática, de Administración de Bases de Datos, de Telecomunicaciones, de Operaciones Centros Nacionales de Procesamiento e Interoperabilidad para determinar los mecanismos y controles de autenticación, autorización, confidencialidad, integridad, no repudio y disponibilidad de dichos sistemas.

73

PRUEBAS DE CUMPLIMIENTO (PREPARACIÓN).AUDITORÍA INFORMÁTICA A LA OFICINA DE SOPORTE TÉCNICO DE LA UNIDAD DE MEDICINA

FAMILIAR Nº 94 DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL.

PRUEBAS DE CUMPLIMIENTO

No. de Prueba

Objetivo de la Prueba Procedimiento de la Prueba Resultado

1

Conocer si el personal tiene las aptitudes necesarias para desempeñar las actividades del área de Soporte Técnico

A. A través de la aplicación de la encuesta aplicada al personal en turno del área de Soporte, analizar si cuentan con el conocimiento que se requiere en el área.

B. Elaboración de preguntas básicas relacionadas con el funcionamiento del Sistema de Información de Medicina Familiar(SIMF), de tal forma que se pueda detectar si el personal de soporte tiene la capacidad para responder a preguntas de los usuarios del sistema.

C. Partiendo de la encuesta y de las preguntas hechas al personal del área de soporte, identificar si asistieron a algún curso de capacitación y si este dio los resultados deseados.

2

Conocer si el personal tiene la capacidad física para atender las diferentes incidencias reportadas por los usuarios.

A. Realizar observaciones de las actividades que lleva a cabo el personal del área de soporte que está en turno cuando se reporta una o varias incidencias por parte de los usuarios del SIMF, así como también cuando se reportan problemas con equipos de cómputo.

B. En base a las actividades que se detectaron en el punto anterior, observar como son desempeñadas por el personal, esto es para evaluar el nivel de servicio que pueden ofrecer a los usuarios.

C. Evaluar el compromiso del personal del área con respecto al cumplimiento del horario del turno en el que se encuentra asignado.

72

3

Revisar que se cuente con los manuales de operación del SIMF, así como la normativa establecida a nivel central.

A. Solicitar tanto al personal del área de soporte como a algunos de los usuarios del Sistema de Información de Medicina Familiar (SIMF), nos proporcionen los manuales de usuario correspondientes a ambos perfiles.

B. Partiendo de la respuesta de parte de los usuarios y del personal del área de soporte, analizar las encuestas realizadas, para definir si se tiene conocimiento de la existencia de dichos manuales.

C. De igual manera a partir de las encuestas y de algunas preguntas que surjan en el momento de realizarlas definir si el personal conoce la normatividad que se debe de seguir en la operación de este tipo de sistemas.

4

Corroborar el correcto manejo de información confidencial por parte del personal.

A. A través de la observación revisar que en el área en donde se encuentran los usuarios del SIMF, así como en el área de soporte, no se encuentran papeles o notas donde estén escritas las claves de acceso al equipo de cómputo, el usuario y contraseña para ingreso al SIMF, entre otras claves que son de conocimiento únicamente de los usuarios.

B. Haciendo uso de la ingeniería social, intentar obtener las claves de acceso mencionadas en el paso anterior. Tomar el rol de un usuario nuevo al que todavía no le asignan su contraseña para el SIMF.

5

Revisar si se tiene un inventario de los equipos de cómputo, y de la diferente paquetería de software que se tienen instalada en cada uno de ellos

A. Solicitar al personal del área de soporte un inventario de los equipos de cómputo así como de las aplicaciones que se encuentran instaladas en cada una de estos.

B. Detectar mediante observación las aplicaciones que utilizan los usuarios del sistema SIMF durante su turno de trabajo, lo anterior para identificar software de juegos, reproductores de música, servicios de mensajería instantánea, etc., que no están permitidos en la institución.

6Evaluar si la ubicación del servidor es la adecuada.

A. La ubicación del servidor dentro de la unidad médica es de bajo riesgo, observar las características del entorno en donde se encuentra el site.

B. Revisar si se cuenta con un adecuado control de acceso al lugar donde se encuentra instalado el servidor.

73

7

Revisar que se cuenten con los requisitos necesarios para la implementación del SIMF

A. Mediante el análisis de la encuesta realizada al área de soporte, detectar si cada uno de los equipos de cómputo y del servidor cumple con los requerimientos necesarios para que el SIMF funcione adecuadamente.

8

Evaluar las condiciones en las que se encuentra el servidor y equipos de cómputo de los usuarios del sistema

A. Revisar si se cuenta con reguladores para cada uno de los equipos de cómputo y demás dispositivos que lo requieran, hacer esto mediante observación.

B. De igual forma a través de la observación, determinar si se cuenta con un sistema de ventilación adecuado en el lugar donde se encuentra el servidor.

C. Observar cómo se encuentra la instalación eléctrica del lugar donde se localizan el servidor y equipos de cómputo, para detectar si se encuentran protegidos contra fallas en el suministro de energía.

D. Evaluar las condiciones en las que se encuentra la red física de la Unidad de Medicina Familiar. Observar donde se encuentra el Rack de comunicaciones.

E. El cable de red se encuentra protegido contra daños.

F. Observar si las condiciones en las que están los equipos de cómputo son las óptimas.

9

Verificar existencia de planes de recuperación o de contingencia que permitan restablecer el servicio del SIMF

A. Solicitar al personal del área de soporte técnico los planes de contingencia en caso de presentarse un problema con el SIMF.

B. Analizar las encuestas para detectar si se cuenta con un procedimiento para restablecer el Sistema de Información de Medicina Familiar, y si tienen conocimiento de cómo se lleva a cabo.

_________________________ _______________________

ELABORÓ SUPERVISÓ

72

MATERIAL DE APOYO (PREPARACIÓN).

ENCUESTA Nº 1.

AUDITORÍA INFORMÁTICA A LA OFICINA DE SOPORTE TÉCNICO DE LA UNIDAD DE MEDICINA FAMILIAR Nº 94

DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL.ENCUESTA AL EQUIPO DE SOPORTE TÉCNICO DEL SISTEMA DE INFORMACIÓN

DE MEDICINA FAMILIAR (SIMF)

Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Término: |___|:|___|

CON RESPECTO A LOS REQUISITOS DE INSTALACIÓN

P1¿Qué requerimientos se necesitan para la instalación de SIMF? * Ver Tabla 1.1. “Especificación de Requisitos”

01 Si los conoce02 No los conoce |___|___|

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑA

P2¿Qué tan seguido apoya a los usuarios con dudas o fallos con el sistema SIMF?

01 Diario02 Cada semana uno o dos casos03 Nunca

|___|___|

P3En porcentaje, del total de contingencias que se reportan cuantas se deben a…

01 Error Humano_________02 Error del sistema SIMF _________03 Error en la red _________04 Error en la base de datos _______05 Errores del equipo de computo_______

06 Otros _________

|___|___|

*El más alto

P4 ¿Qué medidas se han implementado para reducir los errores humanos?

01 Capacitación02 Sólo se proporciona el manual |___|___|

P5 ¿Qué medidas se han implementado para reducir la indisponibilidad del sistema SIMF? * En base a las

01 Las conoce02 Las desconoce

|___|___|

Buenas tardes/noches, mi nombre es__________________ y junto con mis compañeros de equipo de trabajo estamos realizando una Auditoría Informática en ésta UMF. Tengo el encargo de entrevistar a personas que como usted, se encargan de brindarles el soporte a los usuarios del SIMF en esta unidad. El objetivo de esta entrevista es conocer el procedimiento bajo el que se opera cuando el sistema deja de estar disponible y la manera en que atienden las incidencias reportadas por los usuarios del mismo. La información que proporcione será confidencial y solamente será usada con fines estadísticos para llevar a cabo el análisis de la información de dicha Auditoría Informática. Ningún resultado del estudio hará referencia a personas en particular.

73

normativas

72

P6¿Qué medidas se han implementado para reducir los errores lógicos en la Red? *En base a las normativas

01 Las conoce02 Las desconoce |___|___|

P7¿Qué medidas se han implementado para reducir los errores en la Base de Datos? *En base a las normativas


P8

¿Qué medidas se han implementado para reducir los errores producidos por fallas en el equipo de cómputo de los usuarios? *En base a las normativas


P9

¿Con qué métodos de respaldo se cuenta para garantizar la continuidad de operación en caso de emergencia? *En base a las normativas

01 Los conoce02 Los desconoce |___|___|

P10

¿Cuáles son los procedimientos a seguir en caso de que se presente alguna incidencia en el sistema? *En base a las normativas

01 Los conoce02 Los desconoce |___|___|

P11 ¿Cuál fue la capacitación que usted recibió para desempeñar éste cargo?

01 Cuenta con la capacitación requerida02 No cuenta con la capacitación requerida |___|___|

P12¿Cuántas personas integran el equipo de trabajo?

01 1 – 502 6 – 1003 11 – a más

|___|___|

P13 ¿Qué control de accesos tiene establecido para el acceso al site?

01 Existe un control02 No existe un control |___|___|

P14 ¿Tiene acceso ilimitado a los recursos del servidor?

01 Si02 No |___|___|

P15 ¿La ventilación en el SITE es la adecuada?

01 Si02 No |___|___|

P16

¿Cuál es el procedimiento establecido para cuando se instalan nuevas versiones del sistema SIMF? * En base a las normativas

01 Lo conoce02 Lo desconoce |___|___|

P17 ¿Conoce la normativa del IMSS para el uso del equipo de cómputo?

01 Si02 No |___|___|

P18 ¿Tiene SW personal instalado en el equipo?

01 Si02 No |___|___|

Agradecemos su colaboración y atención prestada en la entrevista.

73

Tabla 1.1. “Especificación de Requisitos”

ESPECIFICACIONESServidor Sistema Operativo Windows 2000 Server con su

respectivo Service Pack 4Internet Explorer Versión 6.0 o superiorBase de Datos Microsoft SQL Server 2000 versión Standard con

Service Pack 4.0Espacio en Discos Duros C:\ 5 gigabytes libres de espacio (mínimo) y 7

gigabytes (recomendable).D:\ 10 a 30 gigabytes libres dependiendo del tipo de servidor.

Otras Especificaciones Actualizaciones Automáticas al día.WebSphere y Fix WebSphere.

REQUISITOS DE INSTALACIÓN DEL SISTEMA

Antes de instalar el Sistema de Información de Medicina Familiar, asegúrese de cumplir con los siguientes requisitos:

Unidad D con al menos 20 GB de espacio disponible, con formato NTFS. Acceso al servidor como usuario Administrador MS Windows 2000 Server, con los últimos parches aplicados. MSSQL Server 2000 standard instalado en D:\Microsoft SQL Server, además de

habérsele aplicado los últimos parches. Password del usuario Master (SA) de MSSQL Server. Todos los servicios de MSSQL Server iniciados. Ninguna base de datos en MSSQL Server levantado como c_DBSIAIS,

c_Farmacia, c_imss o p_imss. Usuario wasadmin con privilegios de administrador. Dirección IP del servidor donde se aloja la base de datos de Farmacia. Verificar que exista el usuario simf en el servidor de farmacia. Dirección IP del servidor donde se aloja la base de datos de Siais. Verificar que exista el usuario simf_siais en el equipo de SIAIS.

72

ENCUESTA Nº 2

AUDITORÍA INFORMÁTICA A LA OFICINA DE SOPORTE TÉCNICO DE LA UNIDAD DE MEDICINA FAMILIAR Nº 94

DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL.ENCUESTA A LOS USUARIOS DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF).

Fecha: |___|/|___|/|_10_| Hora de Inicio: |___|:|___| Hora de Término: |___|:|___|

CON RESPECTO AL ENTREVISTADO

P1 ¿Qué función desempeña en la Unidad Médica Familiar?

01 Médico02 Asistente Médica

|___|___|

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)

P2 ¿Utiliza con frecuencia el Sistema de Información de Medicina Familiar (SIMF)?

01 Si02 No

|___|___|

P3 ¿Qué módulos del SIMF utiliza frecuentemente?

01 Agenda de Citas02 Atención Integral03 Auxiliares de Dx y Tx04 Resultados05 Administración del SIMF

|___|___|

P4 ¿Recibió alguna capacitación para su operación? 01 Si02 No

|___|___|

P5 ¿Cuenta con acceso al manual de usuario? 01 Si02 No

|___|___|

P6 En los últimos seis meses, ¿Se ha presentado algún incidente con el sistema?

01 Si02 No

|___|___|

P7 En caso de ser afirmativa la respuesta de la P6 ¿Cuál ha sido el incidente?

01 SIMF no disponible02 Tiempo de Respuesta lento03 Otro

|___|___|

P8¿Cual es el procedimiento para reportar una incidencia?

01 Notificar al Servicio de Soporte Técnico02 Otro

|___|___|

P9 ¿Cuanto tiempo se tardan en darle respuesta? 01 < a 1 hora02 ≥ a 1 hora

|___|___|

Buenas tardes/noches, mi nombre es__________________ y junto con mis compañeros de equipo de trabajo estamos realizando una Auditoría Informática en ésta UMF. Tengo el encargo de entrevistar a personas que como usted, manejan el SIMF en esta unidad. El objetivo de esta entrevista es conocer qué módulos del SIMF opera, si se le capacitó para su uso y saber bajo que procedimiento reportan las incidencias del mismo. La información que proporcione será confidencial y solamente será usada con fines estadísticos para llevar a cabo el análisis de la información de dicha Auditoría Informática. Ningún resultado del estudio hará referencia a personas en particular.

73

P10 ¿Considera que es el adecuado? 01 Si02 No

|___|___|

P11 ¿Cuál es el modo en que opera cuando no esta disponible el SIMF?

01 Manualmente02 Otro

|___|___|

P12 ¿Conoce la normativa del IMSS para el uso del equipo de cómputo?

01 Si02 No

|___|___|

P13 ¿Tiene SW personal instalado en el equipo? 01 Si02 No

|___|___|

Agradecemos su colaboración y atención prestada en la entrevista.

72

LEVANTAMIENTO DE LA INFORMACIÓN.

73

PRUEBAS DE CUMPLIMIENTO.

72

ANÁLISIS DE LA INFORMACIÓN.

ENCUESTA Nº 1.

A continuación se detallan los resultados obtenidos en la encuesta orientada al Equipo de Soporte Técnico de la Unidad Médica Familiar el cual entre otras actividades se encarga del Sistema de Información de Medicina Familiar (SIMF), los cuales le permitirán al Director de la Unidad Médica Familiar saber si su personal conoce el procedimiento bajo el que se opera cuando el sistema deja de estar disponible y la manera en que deben atenderse las incidencias reportadas por los usuarios del mismo.

CON RESPECTO A LOS REQUISITOS DE INSTALACIÓN

P1 ¿Qué requerimientos se necesitan para la instalación de SIMF? * Ver Tabla 1.1. “Especificación de Requisitos”

01 Si los conoce 02 No los conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP2 ¿Qué tan seguido apoya a los usuarios con dudas o fallos con el sistema SIMF?

01 Diario02 Cada semana uno o dos casos03 Nunca

73

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP3 En porcentaje, del total de contingencias que se reportan cuantas se deben a…

01 Error Humano

02 Errores en el Sistema SIMF

03 Error en la Red

04 Error en la Base de Datos

05 Errores del Equipo de Cómputo

06 Otros

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP4 ¿Qué medidas se han implementado para reducir los errores humanos?

01 Capacitación02 Sólo se proporciona el manual


P5 ¿Qué medidas se han implementado para reducir la indisponibilidad del sistema SIMF? * En base a las normativas

01 Las conoce02 No las conoce

72


P6 ¿Qué medidas se han implementado para reducir los errores lógicos en la Red? *En base a las normativas



P7 ¿Qué medidas se han implementado para reducir los errores en la Base de Datos? *En base a las normativas



P8 ¿Qué medidas se han implementado para reducir los errores producidos por fallas en el equipo de cómputo de los usuarios? *En base a las normativas


73


P9 ¿Con qué métodos de respaldo se cuenta para garantizar la continuidad de operación en caso de emergencia? *En base a las normativas

01 Los conoce02 No los conoce

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP10

¿Cuáles son los procedimientos a seguir en caso de que se presente alguna incidencia en el sistema? *En base a las normativas

01 Los conoce02 No los conoce


¿Cuál fue la capacitación que usted recibió para desempeñar éste cargo?

01 Cuenta con la capacitación requerida02 No cuenta con la capacitación requerida

72

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP12 ¿Cuántas personas integran el equipo de trabajo?

01 1 – 5; 2


¿Qué control de accesos tiene establecido para el acceso al site?

02 No existe un Control; 2

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP14 ¿Tiene acceso ilimitado a los recursos del servidor?

02 No; 2

73


¿La ventilación en el SITE es la adecuada?

02 No; 2


P16

¿Cuál es el procedimiento establecido para cuando se instalan nuevas versiones del sistema SIMF?* En base a las normativas

01 Lo conoce; 2

CON RESPECTO A LAS FUNCIONES QUE DESEMPEÑAP17 ¿Conoce la normativa del IMSS para el uso del equipo de cómputo?

01 Si; 2

72


¿Tiene SW personal instalado en el equipo?

02 No; 2

En base a las gráficas anteriores, se puede concluir que la unidad médica cuenta con poco personal para asistir a tantos usuarios y que además no están capacitados de la mejor manera para llevar a cabo sus actividades pues no conocen sobre las mejores prácticas para asegurar la disponibilidad del SIMF a pesar de que el IMSS cuenta con normatividad establecida basadas en ellas.

Además, nos percatamos de que las instalaciones (site) en donde se encuentra el servidor en donde está alojado el SIMF no cuenta con la seguridad física necesaria y mucho menos con una ventilación adecuada.

73

ENCUESTA Nº 2.

A continuación se detallan los resultados obtenidos en la encuesta orientada a los usuarios del Sistema de Información de Medicina Familiar (SIMF), los cuales le permitirán al Director de la Unidad Médica Familiar conocer de acuerdo a los módulos del SIMF que operan, si se le capacitó para su uso y saber bajo que procedimiento reportan las incidencias del mismo.

CON RESPECTO AL ENTREVISTADOP1 ¿Qué función desempeña en la Unidad Médica Familiar?

01 Médico; 3

02 Asistente Médica; 7

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P2 ¿Utiliza con frecuencia el Sistema de Información de Medicina Familiar (SIMF)?

01 Si; 10

72

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P3 ¿Qué módulos del SIMF utiliza frecuentemente?

01 Agenda de Citas 02 Atención Integral 03 Auxiliares de Dx y Tx 04 Resultados

05 Administración del SIMF

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P4 ¿Recibió alguna capacitación para su operación?

01 Si02 No

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P5 ¿Cuenta con acceso al manual de usuario?

01 Si02 No

73

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P6 En los últimos seis meses, ¿Se ha presentado algún incidente con el sistema?

01 Si02 No

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P7 En caso de ser afirmativa la respuesta de la P6 ¿Cuál ha sido el incidente?

01 SIMF no disponible02 Tiempo de Respuesta lento03 Otro

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P8 ¿Cual es el procedimiento para reportar una incidencia?

01 Notificar al Servicio de Soporte Técnico02 Otro

72

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P9 ¿Cuanto tiempo se tardan en darle respuesta?

01 < a 1 hora02 ≥ a 1 hora

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P10 ¿Considera que es el adecuado?

01 Si02 No

CON RESPECTO AL USO DEL SISTEMA DE INFORMACIÓN DE MEDICINA FAMILIAR (SIMF)P11 ¿Cuál es el modo en que opera cuando no esta disponible el SIMF?

01 Manualmente02 Otro

73

CON RESPECTO AL CONOCIMIENTO DE LA NORMATIVAP12

¿Conoce la normativa del IMSS para el uso del equipo de cómputo?

01 Si; 8

02 No; 2

CON RESPECTO A LA APLICACIÓN DE LA NORMATIVAP13 ¿Tiene SW personal instalado en el equipo?

02 No; 10

Analizando las respuestas obtenidas en base a las encuestas realizadas a los usuarios del SIMF, nos percatamos de que son muchas las solicitudes de servicio que se emiten hacia el departamento de Soporte Técnico y que debido a que como se comentó anteriormente, el tiempo de atención a los mismos es muy lento y deficiente a pesar de que se tienen establecidas medidas de acción cuando el sistema presenta problemas.

72

CONFIRMACIÓN DE OBSERVACIONES.AUDITORÍA INFORMÁTICA A LA OFICINA DE SOPORTE TÉCNICO DE LA UNIDAD DE MEDICINA

FAMILIAR Nº 94DEL INSTITUTO MEXICANO DEL SEGURO SOCIAL.

CÉDULA DE OBSERVACIONESFECHA HORA

OBSERVACIÓN

COMENTARIOS

RESPONSABLE

FIRMA

73

En la siguiente tabla se enlista cada una de las observaciones detectadas como resultado de la auditoría, en la columna de cruce se hace referencia al soporte de cada observación.

Nº OBSERVACIÓN IMPACTO CAUSA SUGERENCIA CRUCE

1 No se cuenta con personal capacitado en el área de soporte técnico de la clínica.

Tiempos de respuesta ante incidencias largos.

Falta de capacitación al personal.No se realizaron pruebas piloto sobre el que hacer en caso de contingencia.

Ofrecer un curso para capacitar al personal sobre las funciones a realizar en caso de problemas.Realizar pruebas piloto para consolidar que la información impartida en el curso se haya entendido bien.

2 Desconocimiento de mejores prácticas para personal de soporte en la UMF.

Carencia de entendimiento del manual de procedimientos a seguir ante incidencias reportadas.

Políticas de capacitación del Instituto Mexicano del Seguro Social.

Brindar un manual de buenas prácticas para servicios de infraestructura al personal operador.Proponer nuevas políticas de capacitación al personal para mejorar el servicio.

3 No hay un control de temperatura, ni se tiene una ventilación adecuada en la oficina donde se encuentra el servidor.

Sobrecalentamiento de los dispositivos que contiene la oficina.

La oficina donde se encuentra el servidor fue adaptada como site.

Colocar una torre de refrigeración en la oficina.Colocar al menos dos ventiladores para refrescar la temperatura ambiente.Sacar dos escritorios que no se utilizan para nada y así generar espacio suficiente para evitar sobrecalentamiento

4 El rack se encuentra

Fallas en la red de uno o más

No se cuenta con la

Solicitar a la delegación Norte un

72

expuesto físicamente a cualquier incidente.

equipos clientes de la aplicación

infraestructura necesaria para asegurar que el rack este completamente aislado de problemas.

mueble que cuente con candados de seguridad.Actualizar el plan de infraestructura necesaria para la operación de la red de la clínica.

5 Los cables de corriente del servidor están libres para ser desconectados.

Apagón en el servidor que proporciona servicio de la aplicación.

Se movieron los muebles que tapaban la vista de la ubicación de los cables de corriente.

Mover los muebles con el fin de disfrazar la ubicación del enchufe de corriente.

6 La última actualización al plan de contingencia que se utiliza tiene fecha del 23 de abril de 2008.

Desconocimiento de procedimientos y/o la solución de nuevas incidencias que se pudieran presentar.

El personal de soporte técnico no cuenta con la versión actualizada a la fecha del 25 de octubre del 2010 de dicho manual.

Verificar al menos cada mes si existe alguna actualización al plan para su revisión y lectura.

7 No existe un reporte de los tiempos de indisponibilidad del sistema.

Desconocimiento de los tiempos críticos en los cuales se debe poner más atención a la actividad del sistema.

No se ha puesto atención a generar este reporte ya que comentan que no serviría para nada.

Generar un reporte semanal de los tiempos en los que el sistema estuvo fuera de servicio.Fomentar el uso de este como herramienta de control para prever tiempos críticos o cualquier problema.

8 La persona del turno de la tarde llegó a las 18:30 hrs cuando su entrada es a las 15:00 hrs y el personal del turno matutino sale a las 16:00 hrs

No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocará paro de labores y tiempos muertos, demora de

Contractualmente, tiene permiso de llegar a esa hora sin ser sancionado por ser personal de base

Definir a una persona que haga el enlace de cambio de turno con un horario mixto, realizar acuerdos con el personal de base para evitar ausentismos en horas picos, estímulos por horas extras de trabajo al

73

servicios personal que entrega el servicio en la tarde

9 El personal para atender incidencias reportadas en el turno es insuficiente

Tiempos muy largos de espera para recibir soporte debido a que una persona ve todas las actividades relacionadas a la administración de TI

Falta de personal, no hay definido un organigrama con actividades específicas

Modificar plantilla de personal en esa área, revisar su programa de actividades y definir tareas específicas, realizar programas preventivos para evitar en lo posible retrasos por fallas técnicas

10 No existe un plan de trabajo establecido para los procesos de actualización de la versión del sistema

Paro total de actividades que no están previstas con suficiente tiempo

No se consideran tiempos de soporte en caso de que algo salga mal en la actualización, se estiman tiempos debajo de los tiempos reales que se lleva la actualización

Establecer una comunicación con la dirección de la UMF y de la Coordinación Delegacional de Informática para realizar un plan de trabajo en los tiempos que no esté disponible el sistema (trabajo en forma manual) para la participación de todo el personal involucrado con el uso de éste

11 La seguridad que existe para acceder al site, es prácticamente mínima

Sabotaje en la infraestructura de TI de la UMF

La Dirección de la UMF no ha implementado un control o procedimiento para el acceso a esa área

Implementar un dispositivo de acceso de mayor seguridad que una simple cerradura, los permisos de acceso del personal de soporte sean controlados desde la Coordinación Delegacional de Informática en comunicación con la Dirección de la UMF

12 El personal de soporte técnico desconoce el

Pérdida de tiempo considerable

El personal no está capacitado

Sugerir a la Coordinación Delegacional de

72

Plan de Recuperación de Desastres que de acuerdo a la Norma Institucional, deben de tener

para la recuperación en contingencias

integralmente en ese aspecto, argumentan que la Coordinación Delegacional de Informática no tiene un calendario de cursos de capacitación

Informática que haga partícipes al personal de soporte de la UMF en este proceso, delegar más responsabilidad al personal de soporte para que se involucre en el Plan de Recuperación de Desastres

13 El personal no ha sido involucrado en el Plan de Recuperación de Desastres

Retraso del trabajo de la Coordinación Delegacional de Informática

El personal argumenta que eso no es competencia de ese nivel jerárquico

Revisar la Norma 5000-00-0001, que marca que si debe estar involucrado, sugerir un plan de capacitación a la Coordinación Delegacional de Informática para la práctica de esta norma

14 5 equipos de usuarios, tienen perfil de administrador

Modificación de la configuración de red, modificación a la configuración del equipo para trabajar con los sistemas de información

Si no tienen ese perfil de administrador, no pueden imprimir recetas con código de barras debido a que afecta la configuración de seguridad del Explorador

Comunicar a mesa de ayuda de nivel central para verificar que la arquitectura del sistema no se vea afectada por la infraestructura de TI de la UMF

15 No existe un registro de accesos al site por personas ajenas a éste.

Pérdida de insumos o herramientas resguardadas en el Site, conflictos con prestadores de servicios externos

Esa actividad no se les ha encomendado por escrito y argumentan que no lo marca su contrato colectivo de trabajo

Revisar la Norma 5000-00-0001, que marca que si debe realizar esa actividad, analizar su profesiograma de actividades de su contrato colectivo, llevar un control interno del acceso de proveedores externos y restringir el acceso a solo el

73

personal autorizado16 Para poder

saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.

En caso de peligro de contingencia, no se puede advertir.

Falta de importancia por parte del equipo técnico

Implementar algún software que pueda ayudad a un monitoreo remoto y automático

17 No existe disco duro secundario en el servidor en el cual se pueda generar un respaldo de la base de datos

Si la base de datos no está respaldada, en caso de que el disco duro principal falle puede perderse la información o ser muy costoso el recuperarla.

Disco duro secundario se daño y no ha sido sustituido (aprox. 3 meses)

La sustitución del disco duro dañado

18 No existe subdivisiones en el área de soporte Técnico

No existe una coordinación de planes para mantenimiento o actualización de los sistemas y/o equipos de cómputo, aparte se deslindan de responsabilidades por parte de las áreas conflictivas.

Falta de organización del personal del área de soporte de la clínica.

Crear roles para el personal del área de soporte y rotación de roles.

19 Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete

Daño físico de los equipos e infección de los equipos con antivirus

Existen manuales, pero no son del conocimiento de los

Instruir a los usuarios sobre la utilización del equipo de computo, mediante alguna capacitación

72

dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo)

usuarios.

20 En 5 equipos existe software de mensajería, juegos, administración de celulares e intercambio de archivos (música, video, etc.), instalados en los equipos.

Alentamiento de los equipos, saturación del disco duro, alta probabilidad de infección por virus

Los niveles de usuario no están lo suficientemente restringidos.

Creación de más tipos de Usuarios y limitación de estos.

21 Los datos copiados del servidor no cuentan con cifrado.

En caso de robo de los datos, se puede tener acceso a ellos sin problemas

Mala configuración del Server.

Aumentar la seguridad de este.

22 Los usuarios puede copiar información de sus maquinas a sus memorias USB, sin problemas.

Robo de información

Los puertos USB están abiertos

Limitarlos de acuerdo al tipo de usuario

23 Uno de las personas del área de soporte no cuenta con el conocimiento técnico para control de los usuarios.

Lentitud en la solución de problemas o inexistencia de estas

Nivel inconcluso de estudios

Capacitar al elemento del área de soporte.

73

IDENTIFICACIÓN DE NIVELES DE RIESGO.En la siguiente tabla se presenta la identificación de los niveles de riesgo (impacto de la observación detectada) con su respectiva justificación. Cabe mencionar que los niveles de riesgos se clasifican en:

a) Inminente: Se denota de esta manera cuando el problema está presente o en su defecto puede generar pérdidas cuantiosas a la entidad.

b) Potencial: Cuando el problema aún no está presente pero es muy probable que ocurra y,c) Controlable, cuando es poco probable que ocurra o que puedan generarse perdidas

mínimas en la entidad.

Nº OBSERVACIÓN IMPACTO NIVEL DE RIESGO



Potencial.



Controlable.



Potencial.

4 El rack se encuentra expuesto físicamente a cualquier incidente.

Fallas en la red de uno o más equipos clientes de la aplicación

Inminente.



Inminente.



Potencial.

72



Controlable.


No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocará paro de labores y tiempos muertos, demora de servicios

Inminente



Potencial



Inminente



Potencial

12 El personal de soporte técnico desconoce el Plan de Recuperación de Desastres que de acuerdo a la Norma Institucional, deben de tener

Pérdida de tiempo considerable para la recuperación en contingencias

Potencial



Controlable



Controlable



Potencial

16 Para poder saber el estado En caso de peligro de Inminente

73

del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.

contingencia, no se puede advertir.



Inminente



Inminente

19 Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo)


Controlable



Controlable



Controlable

22 Los usuarios puede copiar información de sus maquinas a sus memorias USB, sin problemas

Robo de información Controlable

72



Controlable

CONSOLIDACIÓN DE NIVELES DE RIESGO.

PERSONAL Y USUARIOS.




Inminente



Inminente


No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocará paro de labores y tiempos muertos, demora de servicios

Inminente



Potencial.



Potencial

73



Potencial



Potencial.



Controlable.



Controlable



Controlable

INSTALACIONES.




Inminente.



Inminente.



Potencial



Potencial.

72



Potencial

SOFTWARE Y HARDWARE.


1 Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.


Inminente



Inminente



Controlable

4 Los usuarios puede copiar información de sus maquinas a sus memorias USB, sin problemas

Robo de información Controlable



Controlable.



Controlable

7 Dos usuarios apaga de golpe Daño físico de los equipos e Controlable

73

el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo)

infección de los equipos con antivirus



Controlable

72

MARCAS DE AUDITORÍA.

Nº MARCA DESCRIPCION

1Observaciones que hacen referencia al

personal y/o usuarios.

2Observaciones relacionadas con las

instalaciones.

3Observaciones que hacen referencia al

software o hardware

4Indica que se informó la observación,

pero no se emitió una acción inmediata para su corrección.

5 ¿? Indican las observaciones que surgen a partir de las encuestas.

6Observaciones fundamentadas con las

pruebas de cumplimiento

7Conector para identificar cual es el

número de cédula de observación al que se refiere.

8Conector con el que se hace el cruce

de la cédula de observación a la matriz de observación

73

INFORME FINAL.México, D.F. a 9 de Diciembre de 2010.

Dr. Marco Antonio Pagola Martínez.

Director de la Unidad Médica Familiar Nº 94.

P R E S E N T E

Por medio de la presente me dirijo a usted de la manera más cordial, para presentarle el Informe Final que muestra los resultados obtenidos a través de la auditoría al sistema de Información de Medicina Familiar, la cual se llevó a cabo en el periodo del 24 de Noviembre al 2 de Diciembre del presente año, en la Oficina de Soporte Técnico de la Unidad de Medicina Familiar Nº 94. Dicho informe contempla cada una de las observaciones identificadas, el origen de las mismas, el impacto que éstas pueden provocar o inclusive han provocado, así como una propuesta para evitar que en un futuro se puedan ocasionar fallas en la disponibilidad del sistema.

Se puede identificar que el objetivo planteado en el inicio de la auditoría se alcanzó casi íntegramente, después de verificar los controles de disponibilidad y de continuidad implementados con base al análisis de estos, así como en el análisis de incidencias e interrupciones, presentadas en el periodo del 1 de Junio al 30 de Noviembre, como resultado se pueden establecer puntos críticos en la operación y gestión del sistema para realizar las mejoras necesarias en los controles definidos. Del alcance que se planteo en la planeación de la auditoria, se lograron cubrir los siguientes rubros:

Sistema SIMF que se opera en la Unidad Médica Familiar Nº 94: (100%) Plan de evaluación de riesgos (100%). Plan de contingencia (100%). Plan de continuidad del servicio (50%). Personal encargado de responder a fallos (50%). Incidencias presentadas en el periodo (25%). Interrupciones en el servicio (20%). Plan de respaldos (0%). Entrevistas a usuarios de la aplicación (20%). Documentación del sistema (5%).

El detalle del porque no se pudo completar el alcance planeado se describe a continuación:

72

Plan de continuidad del servicio.- Comento el Sr. David Gómez que desconoce la existencia de dicho plan en sí, que solo tienen el plan de recuperación de desastres en caso de problemas y unos procedimientos en checklist.

Personal encargado de responder a fallos.- Solo se pudo realizar la auditoria en el turno vespertino, por esto nunca se platico con el personal del turno matutino.

Incidencias presentadas en el periodo.- El Sr. David Gómez afirmó que no existe un documento en la clínica que contenga esta información, comento que todas las incidencias las manejan a nivel central.

Interrupciones en el servicio.- El Sr. David Gómez afirmó que no existe un documento en la clínica que contenga esta información, comento que es una de las acciones a realizar como objetivos a corto plazo.

Plan de respaldos.- El Sr. David Gómez desconoce si existe un plan para generar respaldos, que ese tipo de acciones no les cometen al personal de soporte técnico.

Entrevistas a usuarios de la aplicación.- Las señoritas María de Lourdes Hernández Perez y Gabriela Quiñones Lopez se rehusaron a contestar la encuesta argumentando tener una carga de trabajo muy pesada.

Documentación del sistema.- En la clínica no existe información técnica sobre cómo actuar en casos graves de la aplicación, solo una serie de pasos para liberar recursos en caso de lentitud en su operación.

En el informe se anexan los cuadros de observaciones, los cuales incluyen la observación, el impacto que alcanza, la causa de origen, y una sugerencia para cada caso, esto es en relación al personal, usuarios, instalaciones, software y hardware.

CONCLUSIONES.

Partiendo de la información obtenida de la presente auditoría, se puede concluir que dentro de los principales elementos que se deben considerar para garantizar la existencia del servicio que brinda la aplicación SIMF, se debe considerar una capacitación exhaustiva al personal de soporte técnico para una mayor rapidez en la reacción en caso de contingencias que afecten la disponibilidad de la aplicación, esta debe incluir una serie de pruebas en entornos controlados de contingencia del sistema así como la aplicación de pruebas sobre el manual de operaciones para comprobar que se conocen los lineamientos solicitados por el Instituto Mexicano del Seguro Social para dar un soporte adecuado a la herramienta.

Otro de los puntos más críticos que se debe revisar es el acceso a la oficina que se adapto como site de la aplicación, ya que el hecho de controlar la entrada solo con una cerradura no garantiza que personas malintencionadas pudieran entrar y desconectar los equipos que dan servicio a la aplicación, o al menos siempre garantizar que la puerta tenga llave porque un descuido en este aspecto puede ser muy grave.

Por último, se debe verificar que los usuarios directos de la aplicación conozcan la existencia del manual de usuario ya que se detecto que muchos operadores al realizarles unas preguntas

73

informales sobre su función dentro del sistema desconocían muchos módulos o funcionalidades que contiene la herramienta, como los tiempos de expiración de la contraseña y el rol que tienen para operarlo, estas medidas de seguridad se crearon por una razón y el personal no ha tomado las medidas pertinentes para utilizarlas.

Agradecemos las facilidades otorgadas para la realización de este proyecto. Sin más por el momento y en espera de sus comentarios, se despide atentamente.

______________________Rogelio Elias Lemus Cortes. Responsable del equipo de auditores.

C.c.p. Ing. Enrique Garrido Gaspar.-Coordinador Delegacional de Informática. Delegación Norte DF..

72

ANEXOS.CUADRO DE OBSERVACIONES.

PERSONAL Y USUARIOS

Nº OBSERVACIÓN IMPACTO CAUSA SUGERENCIA



No se consideran tiempos de soporte en caso de que algo salga mal en la actualización, se estiman tiempos debajo de los tiempos reales que se lleva la actualización

Establecer una comunicación con la dirección de la UMF y de la Coordinación Delegacional de Informática para realizar un plan de trabajo en los tiempos que no esté disponible el sistema (trabajo en forma manual) para la participación de todo el personal involucrado con el uso de éste



Falta de organización del personal del área de soporte de la clínica.

Crear roles para el personal del área de soporte y rotación de roles.


No hay nadie en la UMF que pueda auxiliar cualquier incidencia que se presente de 16:00 a 18:30 hrs, provocará

Contractualmente, tiene permiso de llegar a esa hora sin ser sancionado por ser personal de base

Definir a una persona que haga el enlace de cambio de turno con un horario mixto, realizar acuerdos con el personal de base para evitar ausentismos en horas picos, estímulos

73

paro de labores y tiempos muertos, demora de servicios

por horas extras de trabajo al personal que entrega el servicio en la tarde



Falta de capacitación al personal.No se realizaron pruebas piloto sobre el que hacer en caso de contingencia.

Ofrecer un curso para capacitar al personal sobre las funciones a realizar en caso de problemas.Realizar pruebas piloto para consolidar que la información impartida en el curso se haya entendido bien.



El personal no está capacitado integralmente en ese aspecto, argumentan que la Coordinación Delegacional de Informática no tiene un calendario de cursos de capacitación

Sugerir a la Coordinación Delegacional de Informática que haga partícipes al personal de soporte de la UMF en este proceso, delegar más responsabilidad al personal de soporte para que se involucre en el Plan de Recuperación de Desastres



Falta de personal, no hay definido un organigrama con actividades específicas

Modificar plantilla de personal en esa área, revisar su programa de actividades y definir tareas específicas, realizar programas preventivos para evitar en lo posible retrasos por fallas técnicas



El personal de soporte técnico no cuenta con la versión actualizada a la fecha del 25 de octubre del 2010 de dicho manual.

Verificar al menos cada mes si existe alguna actualización al plan para su revisión y lectura.

8 Desconocimiento Carencia de Políticas de Brindar un manual de

72

de mejores prácticas para personal de soporte en la UMF.

entendimiento del manual de procedimientos a seguir ante incidencias reportadas.

capacitación del Instituto Mexicano del Seguro Social.

buenas prácticas para servicios de infraestructura al personal operador.Proponer nuevas políticas de capacitación al personal para mejorar el servicio.



El personal argumenta que eso no es competencia de ese nivel jerárquico

Revisar la Norma 5000-00-0001, que marca que si debe estar involucrado, sugerir un plan de capacitación a la Coordinación Delegacional de Informática para la práctica de esta norma



Nivel inconcluso de estudios

Capacitar al elemento del área de soporte.

INSTALACIONES




No se cuenta con la infraestructura necesaria para asegurar que el rack este completamente aislado de problemas.

Solicitar a la delegación Norte un mueble que cuente con candados de seguridad.Actualizar el plan de infraestructura necesaria para la operación de la red de la clínica.



Se movieron los muebles que tapaban la vista de la ubicación de los cables de corriente.

Mover los muebles con el fin de disfrazar la ubicación del enchufe de corriente.

3 La seguridad que Sabotaje en la La Dirección de la Implementar un

73

existe para acceder al site, es prácticamente mínima

infraestructura de TI de la UMF

UMF no ha implementado un control o procedimiento para el acceso a esa área

dispositivo de acceso de mayor seguridad que una simple cerradura, los permisos de acceso del personal de soporte sean controlados desde la Coordinación Delegacional de Informática en comunicación con la Dirección de la UMF



La oficina donde se encuentra el servidor fue adaptada como site.

Colocar una torre de refrigeración en la oficina.Colocar al menos dos ventiladores para refrescar la temperatura ambiente.Sacar dos escritorios que no se utilizan para nada y así generar espacio suficiente para evitar sobrecalentamiento



Esa actividad no se les ha encomendado por escrito y argumentan que no lo marca su contrato colectivo de trabajo

Revisar la Norma 5000-00-0001, que marca que si debe realizar esa actividad, analizar su profesiograma de actividades de su contrato colectivo, llevar un control interno del acceso de proveedores externos y restringir el acceso a solo el personal autorizado

72

SOFTWARE Y HARDWARE


1 Para poder saber el estado del servidor necesita revisar de manera directa y no cuentan con una herramienta la cual lo haga de forma automática y remota, la cual informe de estados de peligro del servidor.


Falta de importancia por parte del equipo técnico

Implementar algún software que pueda ayudad a un monitoreo remoto y automático



Disco duro secundario se daño y no ha sido sustituido (aprox. 3 meses)

La sustitución del disco duro dañado



Mala configuración del Server.

Aumentar la seguridad de este.

4 Los usuarios puede copiar información de sus maquinas a sus memorias USB, sin problemas.

Robo de información

Los puertos USB están abiertos

Limitarlos de acuerdo al tipo de usuario



No se ha puesto atención a generar este reporte ya que comentan que no serviría para nada.

Generar un reporte semanal de los tiempos en los que el sistema estuvo fuera de servicio.Fomentar el uso de este como herramienta de control para prever tiempos críticos o cualquier problema.

73



Si no tienen ese perfil de administrador, no pueden imprimir recetas con código de barras debido a que afecta la configuración de seguridad del Explorador

Comunicar a mesa de ayuda de nivel central para verificar que la arquitectura del sistema no se vea afectada por la infraestructura de TI de la UMF

7 Dos usuarios apaga de golpe el equipo, 3 no actualiza antivirus, y 5 mete dispositivos de almacenamiento sin analizar (ignorancia de las normativas para el manejo de un equipo de computo)


Existen manuales, pero no son del conocimiento de los usuarios.

Instruir a los usuarios sobre la utilización del equipo de computo, mediante alguna capacitación



Los niveles de usuario no están lo suficientemente restringidos.

Creación de más tipos de Usuarios y limitación de estos.

ejemplo auditoria informatica

Documents