Upload
aslinag
View
64
Download
0
Embed Size (px)
Citation preview
PLAN DE AUDITORIA
Se Determina a realizar una Auditoria Informática:
E.S.E HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
NIT: 890.204.895-0
TELEFONO: (7) 6260141/6260330
GERENTE Y REPRESENTANTE LEGAL DE LA EMPRESA: SANDRA
XIMENA CARDENAS NARVAEZ
CC: 27.984.785
UBICACIÓN: E.S.E Hospital Integrado San Juan, empresa prestadora de servicios de
salud, Departamento de Santander Municipio de Cimitarra, Km1 Vía puerto Araujo.
Antecedentes
ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA, Empresa Social del Estado
Hospital Integrado San Juan de Cimitarra, Institución que presta los servicios de salud, que
realiza anualmente el evaluación y control de los estos físicos y actualizado del hardware de
los equipos de cómputo, para ello se hace obligatorio realizar auditorías internas
permanentes y de tipo externo periódicamente para lograrlo sus objetivos misionales.
Objetivos
Objetivo General
Evaluar la efectividad de la Gestión a la ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
respeto a las políticas, controles y procedimientos en el estado físico y actualizado del
hardware de los equipos de cómputo del hospital integrado San juan de cimitarra Santander,
en cuando a la seguridad de datos, trasferencia de datos, políticas de utilización, contratos
de mantenimiento y seguridad física, para brindar una excelente servicios a los usuarios o
pacientes.
Objetivo Específicos
Evaluar el diseño de prueba de los equipos de cómputo
Constatar los procedimientos de control al hardware para su vida útil, como tipos de
mantenimientos.
Verificar que los software o programas obtenga su legalización
Revisión de las políticas y normas sobre seguridad física de los equipos.
Cuentas de los Inventarios
Planes de adquisición
Contratos de mantenimientos.
Alcance y Delimitación
Esta auditoría es un proceso sistemático que mide y evalúa, la gestión o actividades de una
organización estatal, es así que la Presente auditoría se realiza sobre el Hardware de los
equipos de cómputo que se encuentran ubicados en el hospital Integrado san juan de
Cimitarra Santander, tomando como muestra 18 equipos.
Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera
que el examen proporcione una base razonable para fundamentar conceptos y opiniones
expresadas en el informe.
Metodología
Para el cumplimiento de los objetivos proyectados en la auditoría, se efectuaran las
siguientes actividades:
Investigación preliminar:
Determinar la estructura organizacional de la institución prestadora de servicios de
salud para establecer las responsabilidades del ingeniero de sistemas. Evaluar los sistemas de información desde sus entradas, procesos, controles,
archivos y seguridad.
Verificar el adecuado uso de legalidad de sistemas operativos
Revisar la configuración de los servicios de red, identificando los elementos que
apoyan la seguridad y administración de esta.
Conocer la fecha de instalación e los equipos y planes de instalación.
Revisar las políticas de usos de los equipos
Revisar y verificar el número de equipos y sus características.
Revisar el manual o formato en que se encuentra estructurado la forma en que se
diligencia el mantenimiento de los equipos de cómputo.
Recursos
Recursos humanos:
Grupo de personal médico y administrativo
Recursos físicos:
Muestra de 18 equipos de cómputo
Presupuesto
ÌTEM VALOR
Apoyo Personal profesional (1.200.000 mensual/persona ) $3.600.000
Servicios de impresión y útiles $430.000
Gastos Generales $340.000
movilidad $150.000
total $ 4.520.000
Cronograma
Actividad Mes 1 Mes 2 Mes 3
Planificación
de auditoria
Estudio preliminar del
área de hardware de
equipos de computo
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Aplicación de
la auditoria
Elaboración del programa
de auditoria
Evaluación de los riesgos
Realización de pruebas
Elaboración de
información
Plan de
mejoramiento
Analizar y evaluar las
estrategias
De mejoramiento
Elaboración de informe
Presentación de informe
Actividades Fase de conocimiento: - Realizar visitas a la empresa
Aplicando entrevistas al ingeniero de sistemas y usuarios de los sistemas
Fotografía-Cuerpo administrativo, usuarios de los sistemas e Ingeniero de sistemas
- Elaborar listas de chequeo
Definición: es difícil, determinar si realmente en la Empresa se está realizando
periódicamente los mantenimientos preventivos y correctivos ya que consta con un máximo
de 28 computadores y elementos informáticos, en vista esta inquietud se hace revisión de
los 18 computadores que se tomaron como muestra y se identifica y verifica que no tiene
validez la información que presenta el ingeniero de sistemas sobre estos procesos de la
Empresa (Hospital Integrado San Juan de Cimitarra).
Evidencia:
Actividades Fase de Planeación: - Diseñar los formatos de entrevistas
FORMATO DE ENTREVISTA
1-¿Dónde se encuentran localizadas sus instalaciones?
_____________________________________________
2-¿Cuantas personas trabajan en el departamento?
______________________________________________
3-¿Están capacitadas para la tarea que desempeñan?
Si _____ No______
¿Que Topología utilizan en el área?
Bus_____ Estrella______ anillo____ malla____ mixta___
¿Cada cuánto tiempo se hace un respaldo de la información?
6 meses____ 12 meses___ otras____
¿Qué sistema operativo utilizan?
Windows___ Linux___ Mac Osx____
¿Cuantos y cuales servidores cuentan en el área?
1__ 2___ 3__ otros___
¿Cada Cuando se Realiza mantenimiento preventivo y correctivo?
6 meses____ 12 meses___ otras____
¿Qué tipo de seguridad tienen implementada?
______
¿Qué tanta antigüedad tienen sus equipos?
1 año____ 2 años____ 3 años_____ otros___
- Diseñar listas de chequeo
CUESTIONARIO DE CONTROL C1
E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT
Cuestionario de Control
dominio Adquisición e Implementación
proceso Adquirir y mantener la arquitectura tecnológica
objetivo de control
Evaluación de Nuevo Hardware
CUESTIONARIO
Pregunta SI NO N/A
¿Existe inventario de todos los equipos de cómputo?
¿Existe actualización del inventario de todos los equipos de cómputo
nuevos o equipos informáticos?
¿Se lleva cronograma o bitácora para el proceso de mantenimientos y
cambio de partes?
¿Con que periodo se les da mantenimiento a los equipos de cómputo y
suministros de energía?
CUESTIONARIO DE CONTROL C2
E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT
Cuestionario de Control
dominio Adquisición e Implementación
proceso Adquirir y mantener la arquitectura tecnológica
objetivo de control
Mantenimiento Preventivo para Hardware
CUESTIONARIO
Pregunta SI NO N/A
¿Existen hojas de vida para cada equipo de cómputo o dispositivo
informático?
¿Existe un lugar adecuado para el proceso de mantenimientos y cambio
de partes?
¿Se lleva cronograma o bitácora para el proceso de mantenimientos y
cambio de partes?
¿Con que periodo se les da mantenimiento a los equipos de cómputo y
suministros de energía?
CUESTIONARIO DE CONTROL C3
E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT
Cuestionario de Control
dominio Adquisición e Implementación
proceso Adquirir y mantener la arquitectura tecnológica
objetivo de control
Suministro Ininterrumpido de Energía
CUESTIONARIO
Pregunta SI NO N/A
¿La instalación eléctrica del equipo de cómputo es independiente de otras
instalaciones?
¿Es adecuada la iluminación del área donde se encuentran los equipos de
cómputo?
¿Se cuenta con los planos de instalación eléctrica?
¿Los equipos cuentan con un regulador?
¿Hay protección y seguridad para áreas húmedas referente al fluido
eléctrico?
- Diseñar el plan de pruebas que se llevarán a cabo
- Diseño de cuestionario de auditoria informática
CUESTIONARIO DE AUDITORIA INFORMÁTICA
¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar
algún daño a los equipos?
Sí____ No_____
Se cuenta con una salida de emergencia?
Sí____ No_____
¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo?
Si ______ No ______ ¿Por qué? _____
¿Se cuenta con los planos de instalación eléctrica?
Si ______ No ______
¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
Si ______ No ______
¿Los equipos cuentan con un regulador?
Si ______ No ______
¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de
energía?
_________________
¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes?
Si ______ No ______
¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes?
Si ______ No ______
¿Existen extintores? Si _______ ¿Cuántos? _____________________________________
No ______
Tipo de extintores: Manual ____ Automático ____ No existen ___
¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
Sí ___ No___
¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático?
Sí ___ No___
¿Se tienen establecidos procedimientos de actualización a estas copias?
Sí___ No___
Actividades fase de Ejecución: - Aplicación de pruebas que han sido diseñadas
- Aplicar entrevistas a usuarios clave
- Aplicar las listas de chequeo para verificación
- Aplicar los cuestionarios a los usuarios del sistema
- Otras……
Actividades fase de resultados:
- Hallazgos encontrados y causas que los originan
No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y
preventivos.
No existen hojas de vida para cada equipo de cómputo o dispositivo informático
No hay un lugar adecuado para el proceso de mantenimientos
Causas.
La falta de sentido de pertenencia y profesionalismo o ética profesional, del
ingeniero de sistemas de la empresa la empresa.
Evidencia
- Proponer el sistema de control para los riesgos detectados
Entre estas tenemos:
Actualmente no se cuenta con un sistema de Real para el sistema informático, en base a los
mantenimientos de hardware y software, lo que dificulta la toma de decisiones por parte de
la alta gerencia, dada la importancia de esta herramienta. Concluir el proceso de
actualización y funcionamiento informático institucional.
- Elaborar el dictamen de la auditoria
Hallazgos que soportan el dictamen: En la Empresa prestadora de servicios médicos
E.S.E Hospital Integrado San Juan de Cimitarra no ve hacen los respectivos
mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y
actualizaciones de software; según los archivos encontrados o presentados, con la evidencia
presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un
riesgo a vulnerabilidad para el sistema de auditoria informática.
Recomendación: El Administrador del área de sistemas de la respectiva Empresa, debe
realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición,
actualización, arreglos eléctricos y mantenimientos de hardware.
Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software de
equipos de cómputo y elementos informáticos.
Dictamen: Se aplican algunos procesos administrativos por el Administrador del área de
sistemas informáticos ‘Ingeniero’, realizados de manera desorganizada y espontánea, no se
hace calendarios o bitácora de inventarios y mantenimientos de hardware.
- Elaborar informe final
El presente Informe es de carácter preliminar, en consecuencia de los hallazgos
consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro
del debido proceso.
Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus
archivos. El escrito de contradicción debe allegarse en medio físico y magnético
Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el
presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una
planeación de actividades diseñada por la oficina de control interno donde permita verificar
el cumplimiento de los procedimientos de cada área. No existen procedimientos para las
áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar
a cabo.
No existe un mapa de riesgos de la entidad.
El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia
siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO
Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y
elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO.
2. Elaborar el programa de auditoría relacionando los objetivos y alcances del plan de auditoría
con los dominios, procesos y objetivos de control del estándar COBIT 4.1. Como resultado de esta
actividad se debe entregar los dominios, procesos y objetivos de control seleccionados del
estándar COBIT que serán evaluados.
PROGRAMA DE AUDITORIA COBIT
Proceso: Evaluación de nuevo hardware.
Objetivo de Control: En cuanto al procedimiento para el hardware y el software se
debe establecer que impacto genera en el rendimiento de sistema.
Proceso: Mantenimiento Preventivo y correctivo para Hardware y software.
Objetivo de Control: La parte administrativa del hospital deberá establecer un
cronograma donde se estipula las fechas dedicadas al mantenimiento preventivo y
correctivo del hardware y el software de los equipos y así mejorar su vida de
utilidad.
Proceso: Administración e implementación
Objetivo de Control: Se debe establecer por parte de la administración las medidas
necesarias para poder implementar y evaluar el nuevo hardware, además también se
debe estipular las medidas para hacer el mantenimiento preventivo del hardware.
Proceso: Suministro Ininterrumpido de Energía.
Objetivo de Control: Debido al suministro interrumpido de la energía el hospital
debe tomar las medidas necesarias para proteger los computadores y así evitar un
daño irreparable; Una de las posibles soluciones es el uso de reguladores o baterías
de suministro ininterrumpido para contrarrestar la ausencia de energía.
Resultados de la auditoria
Dominio:
Proceso: revisión y mantenimiento del equipo de cómputo.
Objetivo de control: se hará una evaluación eficaz tanto del hardware como del software
para así conseguir y tener una idea más clara de donde está la falla.
Dominio: entrega oportuna de servicios y soporte
Procesos: hacer el correcto mantenimiento al hospital con las instalaciones de energía.
Objetivo de control: hacer mantenimientos para cumplir con el buen funcionamiento de
energía y así evitar accidentes por el mal estado de los cables de luz.
Dominio: evaluación de riesgos
Procesos: mantener un control de los daños que hay en el hospital.
Objetivo de control: evitar que ocurran riesgos tecnológicos en los computadores, y hacer
arreglos en las superficies que tienen daños internos y externos.
Dominio: garantizar la seguridad de los sistemas
Procesos: buscar soluciones para que los sistemas no se vean afectados por las fallas.
Objetivo de control: prevenir que los equipos de cómputo tengan daños cuando ocurren
fallas de energía, proteger el sistema operativo con un sistema antivirus.
Diseño de los instrumentos
Se UTILIZO las siguientes herramientas.
Observación
Se examinó los diferentes aspectos que intervienen en el funcionamiento del área de
sistemas y los sistemas software, permitieron recolectar la información directamente sobre
el comportamiento de los sistemas.
Entrevistas
Obtuvimos información sobre lo que está auditando, además de tips que permitirán
conocer más sobre los puntos a evaluar o analizar.
Cuestionarios
De esta manera obtuvimos información que posteriormente puede clasificar e interpretar
por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una
opinión sobre el aspecto evaluado.
Cada estudiante debe hacer una lista de riesgos (mínimo 10) detectados, clasificarlos teniendo
en cuenta los dominios, procesos y objetivos de control del programa de auditoría identificando
Las posibles causas que los originan.
Procesos Seleccionados Riesgos asociados a cada
Proceso
Causas que Originan esos Riesgos
Evaluación de nuevo
hardware.
1. Mal rendimiento del
sistema, referente a los
diferentes sistemas que ya
usan en la organización.
El tamaño de la memoria
proporcionada.
El tiempo que la unidad central
de procesamiento se mantiene
inactiva.
Instalación inadecuada del S.O,
sobre carga del sistema.
2. software deficiente Mala calidad, Administradores
inexpertos o negligentes.
Mantenimiento Preventivo y
correctivo para Hardware y
software.
3. fallos del sistema
operativo. No hay optimización de
velocidad y problemas de inicio
o arranque del pc o equipos.
Pantalla azul, negra.
4.Errores en el disco duro
Infectado por virus
Falta de mantenimiento
Altas de voltaje
PROCESOS RIESGOS CAUSAS
Evaluación de nuevo
hardware.
14. Que el Hardware no cumpla con lo requerido en el sistema. 15. Los componentes del Hardware sean de baja calidad.
Poca Capacidad de almacenamiento.
Por economizar dinero no se adquieran equipos be buena calidad.
Mantenimiento Preventivo
y correctivo para Hardware
y software.
16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. 19.Que el computador quede obsoleto y se pierda la información
Por falta de precauciones se dañen algunas partes del hardware.
Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados virus.
El polvo que cae al computador
Administración de
instalaciones e
implementación
20.Computadores totalmente dañados por un mal manejo al momento de instalar un
No se tiene una normatividad estipulada en el manejo de los computadores
No hay inventario de los equipos y
5. mal rendimiento y
recalentamiento
El polvo y el calor en los
ventiladores o cooler.
6. Perdida de información El sistema operativo se daña y
no hay alguna copia de
seguridad.
Desactualización del antivirus y
hay virus
Administración de
instalaciones e
implementación
7.Fallas en los sistemas
TIC por instalación
Uso de topología inadecuada y
seguridad
Condiciones medioambientales.
software y por no seguir las normas de seguridad mínimas 21.Equipos con partes que no corresponden
las partes pueden ser cambiadas por otras de baja calidad
Suministro Ininterrumpido
de Energía
22. Que los fusibles de la fuente de poder se quemen. 23.Que la tarjeta madre se presente conflicto con la memoria RAM 24. Que la información que se está trabajando se pierda en el momento que el computador se apaga.
Las constantes subidas y bajadas de la luz
Proceso Riesgos asociados a cada proceso
Causas que originan los riesgos
Evaluación del hardware 26. Poca seguridad del hardware de la empresa.
El polvo es uno de los causantes del daño interno de nuestro pc.
Mala utilización de las memorias lo cual ocasiona virus y coloca lento el sistema operativo.
Mantenimiento preventivo y correctivo para hardware y software
27. Fallas inesperadas en el sistema. 28.Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro.
Falta de un correctivo antivirus.
Mala utilización de la unidad o también por la degradación de los sellos.
Suministro ininterrumpido de energía
30. Las causas de los transitorios impulsivos.
Esto se da por la influencia de rayos, puestas a tierra y liberación de fallas de la red eléctrica.
Esto se produce cuando hay grandes cargas como por ejemplo cuando se enciende
una unidad de aire acondicionado.
Administración de instalaciones e implementación.
31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU.
Falta de un reglamento por parte de la empresa para que estén pendientes de los computadores.
LISTA DE RIESGOS
1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en
la organización.
2. No hay Software eficiente
3. Existen Fallos del sistema operativo.
4. Existen Errores en el disco duro, procesador y memoria.
5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los
equipos.
6. Hay Perdida de información
7. Existe Fallas en los sistemas TIC por instalación
8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos
(factor humano)…
9. Existen Daños a equipos o Instalaciones
10. No Hay seguridad informática (amenaza) peligro del sistema
11. Existe Daño Irreparable de equipos y pérdida de información.
12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos
electrónicos.
13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware.
14. Que los fusibles de la fuente de poder se quemen.
15. Que la tarjeta madre se presente conflicto con la memoria RAM
16. Que la información que se está trabajando se pierda en el momento que el computador
se apaga.
17. Computadores totalmente dañados por un mal manejo al momento de instalar un
software y por no seguir las normas de seguridad mínimas
18. Equipos con partes que no corresponden
19. Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la
vida del personal
20. Que el Hardware no cumpla con lo requerido en el sistema.
21. Los componentes del Hardware sean de baja calidad.
22. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el
hardware.
23. Que el sistema operativo sea atacado por un virus por falta de actualizaciones.
24. Las partes internas del hardware se dañen o vuelvan el computador más lento.
25. Que el computador quede obsoleto y se pierda la información
26. Poca seguridad del hardware de la empresa.
27. Fallas inesperadas en el sistema.
28. Limpieza interna y externa de los computadores
29. Fallas en la unidad del disco duro y placa madre mainboard
30. Fallas en los dispositivos informáticos por los transitorios impulsivos.
31. Fallas en los daños internos del sistema operativo.
32. Mal funcionamiento de los ventiladores de la CPU
Tabla 1. Valoración de riesgos
Riesgos / Valoración Probabilidad Impactos
A M B L M C
Eléctricos
R1 Existe Daño Irreparable de equipos y pérdida de
información.
x x
R2 Hay Fallas en los sistemas de información y
Afectación del funcionamiento de equipos
electrónicos.
x x
R3 Existe un Alto riesgo de corto circuito (ocasiona
daños permanentes en el hardware.
x x
R14 Que los fusibles de la fuente de poder se quemen. X X
R15 Que la tarjeta madre se presente conflicto con la
memoria RAM
X X
R16 Que la información que se está trabajando se pierda en
el momento que el computador se apaga. X X
R30 Fallas en los dispositivos informáticos por los
transitorios impulsivos.
X X
R31 Fallas en los daños internos del sistema operativo. X X
R32 Mal funcionamiento de los ventiladores de la CPU. X X
Riesgos / Valoración Probabilidad Impactos
A M B L M C
Siniestros y catástrofes
R4 Existe Daños a equipos o Instalaciones
x x
R5 No hay una correcta seguridad informática
(amenaza) peligro del sistema
x x
R17 Computadores totalmente dañados por un mal
manejo al momento de instalar un software y por no
seguir las normas de seguridad mínimas
X
X
R18 Equipos con partes que no corresponden X X
Riesgos / Valoración Probabilidad Impactos
A M B L M C
Manejo y Control de Personal
R6 No hay un plan de manejo y control de Accidentes
del personal, empleados, directivos (factor
humano)…
x x
R19 Falta de plan de prevención y riesgos ante cualquier
evento catastrófico que amenace la vida del personal
del área de sistemas
X X
Riesgos / Valoración Probabilidad Impactos
A M B L M C
Manejo y Control de Hardware y software
R7 No hay buen rendimiento del sistema, referente a
los diferentes sistemas que ya usan en la
organización.
x x
R8 No hay Software eficiente x x
R9 Existen Fallos del sistema operativo x x
R10 Existen Errores en el disco duro, procesador y
memoria.
x x
R11 No hay una correcta revisión y Existe mal
rendimiento y recalentamiento de los equipos.
x x
R12 Hay Perdida de información x x
R13 Existen Fallas en los sistemas TIC por instalación x x
R20 Que el Hardware no cumpla con lo requerido en el
sistema.
X X
R21 Los componentes del Hardware sean de baja calidad. X X
R22 Que no se sigan las debidas condiciones al momento de
hacer la limpieza en el hardware.
X X
R23 Que el sistema operativo sea atacado por un virus por
falta de actualizaciones.
X X
R24 Las partes internas del hardware se dañen o vuelvan el
computador más lento.
X X
R25 Que el computador quede obsoleto y se pierda la
información
X X
R26 Poca seguridad del hardware de la empresa. X X
R27 Fallas inesperadas en el sistema. X X
R28 Limpieza interna y externa de los computadores X X
A-alta
M-media
B-baja
L-leve
M-moderado
C-catastrófico
Tabla 2. Clasificación de Riesgos
LEVE MODERADO CATASTROFICO
R29 Fallas en la unidad del disco duro y placa madre
mainboard
X X
ALTO R1,R4,R14,R17,R18,R23,R24,R25,R26
R3,R5,R9,R10,R16,R29
MEDIO R2,R7,R11,13,R20 R6,R8,R12,R19,21,R22, R30,R31,R32
BAJO R15,R28
lista de riesgos detectados causa que los origina Controles para C/Riesgo
1. No hay buen rendimiento del
sistema, referente a los
diferentes sistemas que ya
usan en la organización.
El tamaño de la memoria
proporcionada.
El tiempo que la unidad
central de procesamiento
se mantiene inactiva.
Instalación inadecuada
del S.O, sobre carga del
sistema.
Adquirir equipos con capacidad para
las actividades a realizar que sean
compatibles con los demás de la
organización y que sea de una buena
calidad, para que mejore el
rendimiento en el sistema.
2. No hay Software eficiente Mala calidad,
Administradores
inexpertos o negligentes
en el uso y adquisición
del software.
Adquirir Software de excelente
calidad que cumple los requerimientos
necesarios para la organización.
3. Existen Fallos del sistema
operativo.
No hay optimización de
velocidad y problemas de
inicio o arranque del pc o
equipos.
Pantalla azul, negra.
Tener un sistema operativo con una
instalación correcta.
Realizar todo tipo de mantenimiento
preventivo y correctivo.
Tanto de hardware como software.
4. Existen Errores en el disco
duro
Infectado por virus
Falta de mantenimiento
Altas de voltaje
Realizar mantenimiento al disco duro para
optimizar su funcionamiento.
Actualizar e instalar un buen antivirus
Comprobar los discos periódicamente y
Los SAI (sistemas de alimentación
ininterrumpida
)ofrecen protección
5. No hay una correcta revisión y
Existe mal rendimiento y
recalentamiento de los
equipos.
El polvo y el calor en
los ventiladores o
cooler.
Realizar mantenimientos correctivos y
preventivos para una mejor vida útil
del equipo.
Limpiar todo el polvo de los
ventiladores cada seis meses como
mínimo.
6. Hay Perdida de información El sistema operativo se
daña y no hay alguna
copia de seguridad.
Desactualización del
antivirus y hay virus
Realizar copias de seguridad
periódicamente para resguardar
información.
Instalar y Actualizar un antivirus de
calidad.
7. Existe Fallas en los sistemas
TIC por instalación
Uso de topología
inadecuada y seguridad
Condiciones
medioambientales.
Usar una correcta topología para
obtener un buen sistema de
información.
Tener planes estratégicos de TI para
estos casos.
8. No hay un plan de manejo y
control de Accidentes del
personal, empleados, directivos
(factor humano)…
Mala Admiración de
instalaciones, baja
calidad.
Tener un manejo para las instalaciones
actas para el factor humano de buena
calidad.
9. Existen Daños a equipos o
Instalaciones
Uso Incorrecto de
políticas de seguridad
Desastres naturales,
sistemas de contingencia
(estabilizadores de
corriente, fuentes de
ventilación.)
Debe de haber Instalaciones adecuadas
para resistir a los desastres ambientales
como las inundaciones, sobre cargas
eléctricas)
Un adecuado Plan de contingencia
10. No Hay seguridad informática
(amenaza) peligro del sistema
Debilidades del sistema
Desastres naturales
Utilizar un buen firewall y antivirus
Tener un control de acceso en base de
datos y sobre los sistemas de
aplicación.
Usar niveles de protección informática
11. Existe Daño Irreparable de
equipos y pérdida de
información.
suministro de energía
eléctrica deficiente
Tener estabilizadores y ups en buen
estado y de buena calidad y una buena
calidad de red eléctrica.
Utilizar equipos de variación de
voltaje.
12. Hay Fallas en los sistemas de
información y Afectación del
funcionamiento de equipos
Tensión eléctrica sufre
diversas fluctuaciones.
Tener una adecuada instalación
eléctrica que soporte las diversas
fluctuaciones de electricidad.
electrónicos.
13. Existe un Alto riesgo de corto
circuito (ocasiona daños
permanentes en el hardware.
Subidas de tensión y
Picos de tensión.
Usar equipos de protección contra la
variación de voltajes.
Usar dispositivo protector que limita
las subidas transitorias de tensión
14. Que el Hardware no cumpla con lo requerido en el sistema.
Poca Capacidad de almacenamiento.
Verificar cada uno de los componentes
antes de la adquisición de un
computador
15. Los componentes del Hardware sean de baja calidad.
Por economizar dinero no se adquieran equipos be buena calidad.
Sin importar el valor adquirir equipos
de buena calidad.
16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware.
Por falta de precauciones se dañen algunas partes del hardware.
Contratar gente con experiencia que
tenga en cuenta todas las precauciones
al momento de manipular las partes
del hardware.
17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones.
Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus.
Estipular 1 mantenimiento preventivo
y correctivo por periodo con personal
idóneo
18. Las partes internas del hardware se dañen o vuelvan el computador más lento.
El polvo que cae al computador
ubicar los computadores lejos de las
ventanas, cuando no estén en uso
mantenerlos tapados con forros
adecuados
19. Que el computador quede obsoleto y se pierda la información
Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus.
Hacer revisión semanal de los
antivirus y su actualización automática
y así evitar que un virus se filtre.
20.Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas
El polvo que cae al computador. Además no se tiene ninguna precaución con la instalación de Software
Ubicación adecuada de los equipos y
personal idónea que los maneje
21.Equipos con partes que no corresponden
No hay inventario de los equipos y las partes pueden ser cambiadas por otras de baja calidad
Crear un inventario de los equipos
existentes para tener mayor control al
respecto.
22.Falta de plan de prevención y riesgos ante cualquier evento
No existe un plan de contingencia que ayude a
Capacitar al personal sobre las medias
a seguir si se presenta un evento
catastrófico que amenace la vida del personal
combatir una emergencia. catastrófico por medio de simulacros
23. Que los fusibles de la fuente de poder se quemen.
Las constantes subidas y bajadas de la luz
Contar con una planta eléctrica para
remplazar la energía cuando esta de
vaya
24.Que la tarjeta madre se presente conflicto con la memoria RAM
Las constantes subidas y bajadas de la luz
Contar con UPS para regular la cargar
de energía y evitar daños
25. Que la información que se está trabajando se pierda en el momento que el computador se apaga.
Las constantes subidas y bajadas de la luz
Adquirir el hábito de ir guardando la
información de forma constante para
evitar pérdidas.
26. Poca seguridad del hardware de
la empresa.
Mal uso de los
computadores o uso
malintencionado.
Configurar los equipos y dispositivos
de red de forma que sea lo más
complicado posible realizar
manipulaciones sobre ellos.
27. Fallas inesperadas en el sistema. Esto se debe a posibles
virus, o estar instalando y
desinstalando programas
una y otra vez también
puede ocasionar
problemas.
Evitar meter al computador memoria
con virus, entrar a páginas no segura o
hacer compras por internet en páginas
spy, esto ocasiona fallas y virus en el
sistema.
28.Limpieza interna y externa de los
computadores
Posibles daños en el
computador ocasionados
por la suciedad.
Hacer mantenimiento progresivo a los
computadores, ya que estos
constantemente les cae polvo y
ocasiona daños.
29.Fallas en la unidad del disco duro
y placa madre mainboard
Estas fallas se presentan
cuando hay una placa
dañada esto puede dañar
los demás componentes
conectados a ella
incluyendo el procesador
etc.
Haciendo un recorrido visual por la
placa, podremos observar a simple
vista los capacitores afectados.
30Fallas en los dispositivos
informáticos por los transitorios
impulsivos.
Son fenómenos inherentes
al funcionamiento de las
cargas con dispositivos
electrónicos.
Instalar una red de alta, media y baja
tensión, para así evitar daños ocurridos
por las fuertes descargas eléctricas,
rayos y accidentes en los postes o
torres de transmisión.
31.Fallas en los daños internos del sistema operativo
Se deben al apago
inoportuno del equipo,
dejando procesos a medio
realizar.
Coordinar las instrucciones internas y
externas para que el conjunto produzca
finalmente el resultado esperado.
32. Mal funcionamiento de los
ventiladores de la CPU.
Esto se debe a la suciedad
que se acumula por lo
tanto baja
considerablemente la
velocidad del
Es recomendable hacer servicio de
limpieza al ventilador regularmente por
lo general cada 6 meses.
funcionamiento.
DICTAMEN DE AUDITORÍA
1.1 LINEA DEL SISTEMA DE INFORMACIÓN
Destinatario: E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
Análisis del sistema de información, salvaguarda el activo empresarial, mantiene la integridad
de los datos
Los sistemas de información, Revelan una evolución positiva desde la perspectiva de los
indicadores de la situación sistemática.
La situación fiscal de la Ese Hospital Integrado San Juan de Cimitarra a diciembre 31 del 2014 es
positiva y presenta liquidez, se hace análisis de cada procesos COBIT evaluados de la misma
manera se determina cada Riesgos y Cada control propuesto.
El Informe se apoya en los datos suministrados por el área de sistemas, presupuesto y control
interno del Ese de Cimitarra.
ALCANCE
Identificación de los procesos COBIT y SI relevantes, Determinar el nivel de complejidad de los
sistemas Identificar y evaluar el riesgo En la empresa con sistemas complejos, Evaluar y
documentar la efectividad Determinando el nivel de complejidad de los sistemas.
Se hace evidencia de los siguientes procesos:
Proceso: AI3 Adquirir y mantener la arquitectura tecnológica.
Objetivo de Control: Evaluación de Hardware, con un Nivel de madurez de Nivel de 1 INICIAL, se
encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son
espontáneos y desorganizados para los sistemas de información; Mala calidad, Administradores
inexpertos o negligentes en el uso y adquisición del software.
Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software, con un
Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y
riesgos existentes porque Los procesos son espontáneos y desorganizados, Existen Fallos del
sistema operativo, disco duro y demás hardware.
Proceso: DS12 Administración de Instalaciones.
Objetivo de Control: Hacer mantenimientos en redes eléctricas para cumplir con el buen
funcionamiento de energía e instalaciones y así evitar accidentes por el mal estado de los cables
de luz. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos
existentes, porque Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
Objetivo de Control: Suministro Interrumpido de Energía. Con un Nivel de Madurez 1-INICIAL, se
encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son
espontáneos y desorganizados, Existe Daño Irreparable de equipos y pérdida de información.
Proceso: Protección contra Factores Ambientales.
Objetivo de Control: Seguridad Física. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a
los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, Los procesos están
estandarizados, se documentan, de acuerdo a los riesgos , Existe Fallas en los sistemas TIC por
instalación; Uso de topología inadecuada y seguridad
Condiciones medioambientales.
2. AUDITORIA DE MANTENIMIENTO
5.1 Alcance de la Auditoria.
• Planes y procedimientos de Mantenimiento
• Normativa
5.2. Objetivos de la Auditoria.- Realizar un informe de Auditoria con el objeto de evaluar el
mantenimiento correctivo y preventivo del software.
5.3. Referencia Legal:
• Estándares – ISO/IEC 12207 – IEEE 1074 – IEEE 1219 – ISO/IEC 14764
Resultado:
Se hace análisis del proceso de mantenimiento y no cumple con los objetivos propuestos.
6. Administración de Instalaciones De Redes eléctricas
Alcance de la Auditoria.
Organización de Instalaciones eléctricas
Mantenimiento de redes eléctricas
Planes y procedimientos
Objetivos de la Auditoria. 14. Realizar un informe de Auditoria con el objeto de verificar las adecuaciones de las
instalaciones eléctricas con el fin de no tener Daños Irreparables de equipos y pérdida de
información.
preguntas 100% 80% bueno 60% regular 20% no cumple
excelente
Evaluar la
existencia, difusión,
aplicación y uso de
contra
contingencias de
sistemas.
x
Evaluar las medidas
preventivas o
correctivas en caso
de siniestro en el
área de sistemas
x
Resultado:
Se debe de mejorar la parte de las instalaciones de redes eléctricas, para poder disminuir y
optimizar las pérdidas de información y tener un plan de contingencia actualizado y
mejorado para poder prevenir siniestros en esta área.
INFORME FINAL DE AUDITORÍA
CARTA DE PRESENTACION DEL EQUIPO AUDITOR
Miércoles, 20 de mayo de 2015
CARTA DE PRESENTACION
Cimitarra Santander, mayo 20 del 2015
Directora RESPONSABLE-Gerente SANDRA XIMENA CARDENAS NARVAEZ Presentación formal del informe de auditoría.
REF: Auditoria al Sistema de Información, E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
Estimada Gerente: Sandra Cárdenas
Somos una entidad emprendedora en el servicio de auditoría de sistemas. El objetivo de esta carta es la presentación de las falencias y problemáticas encontradas en el área de sistemas de la institución prestadora de servicios de salud, que fueron de gran ayuda para la realización de este proyecto. Las instalaciones del área de sistemas cuentan con unos excelentes equipos de cómputo para el uso de los usuarios (agentes administrativos, equipo médico y demás), pero esta cuenta con algunos problemas que pueden poner en riesgo sus equipos.
Le podemos ofrecer la asesoría y ayuda de cómo puede mejorar esas falencias encontradas en las instalaciones. Es importante realizar este proceso para evitar grandes pérdidas a futuro y mejorar el uso de esta lo más antes posible.
Dispuestos siempre a proporcionarle una respuesta adecuada a sus necesidades, estaremos llamando para concertar una cita o reunión para la entrega formal del informe.
Gracias por su pertinente atención,
Cordialmente,
EQUIPO AUDITOR
Nilsa Atehortua Galeano
Auditora fiscal CC.1099546747
Cel.: 3174922676
e-mail: aslinag Maribel Pardo Galeano Contralor publico
Luzmar Flórez
Abogada
Objetivos de la auditoria
Análisis de la eficiencia de los Sistemas Informáticos
Verificación del cumplimiento de la Normativa en este ámbito
Determinar la veracidad de la información del área de sistemas
Revisar las políticas de usos de los equipos
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pc
Revisión de la eficaz gestión de los recursos informáticos.
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Verificar los avances tecnológicos
Protección y Seguridad
Planes de continuidad y Recuperación de desastres
LOS ALCANCES DE LA MISMA
ALCANCE
La auditoría Informática se orientó al análisis y evaluación de la gestión desarrollada por la
entidad, en la administración de los bienes Informáticos o tecnológicos, infraestructura e
instalaciones eléctricas, recursos y el cumplimiento de su actividad misional, conforme a las
normas y principios que regulan el ejercicio de la gestión fiscal, con los procedimientos
establecidos por la Contraloría General de Santander, sobre los documentos e información
suministrada por la administración de la E.S.E. Hospital Integrado San Juan de Cimitarra.
Es responsabilidad del Representante Legal de la Entidad el contenido de la información
suministrada.
El presente Informe se efectuó sobre la base de un análisis y evaluación de los sistemas de
información y cifras registradas en la rendición de la cuenta a través de SIA confrontada con la
documentación verificada en el trabajo de campo, sobre el análisis de la información que se hizo
en forma selectiva de algunos de los documentos y revisión de equipos informáticos, instalaciones
en redes eléctricas, donde verifican una serie de Riesgos encontrados y aclaraciones solicitadas así
como a los resultados que se observaron en el trabajo de campo practicado en la Auditoría
realizada
Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el
examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en
el informe.
PROBLEMAS QUE SE PRESENTARON EN EL PROCESO DE AUDITORÍA RESPECTO A CONSECUCIÓN DE LA INFORMACIÓN
Se hace verificación de los documentos respecto a su autenticidad y se comprueba que en
la parte de mantenimiento preventivo y correctivo de equipos de cómputo y elementos
informáticos no poseen una veracidad de estas actividades, evidenciadas por medio de
redivisión de estos elementos durante la auditoria.
Se verifica que no hay un cronograma o agenda real del ingeniero de sistemas de la
organización, solo presenta de forma documentada, pero desorganizada…Algunos datos
no son reales y de realiza su verificación por medio de revisiones.
LISTA DE LOS HALLAZGOS ENCONTRADOS
Hallazgos
En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de
Cimitarra no se hacen los respectivos mantenimientos preventivos y correctivos
periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los
archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica
que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema
de auditoria informática.
No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y
preventivos.
No existen hojas de vida para cada equipo de cómputo o dispositivo informático
En cuanto al lugar adecuado para el proceso de mantenimientos, se debe de tener un sitio apropiado para este ya que se presenta mucho polvo y mugre que se esparce y se inhala por el personal médico y usuarios.
No hay una adecuada la iluminación del área donde se encuentran los equipos de
cómputo.
No Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos
informáticos.
En cuanto al Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware). Se debe de tener un mantenimiento y mejora para los sistemas de información y para prevenir riesgos profesionales.
En cuando a las políticas de seguridad no concretan los procesos y procedimientos para copias de seguridad y restauración de las mismas. Las políticas de seguridad no
contemplan la periodicidad de revisión de las bitácoras para la actividad de, mantenimientos correctivos y preventivos, base de datos y al sistema operativo. No hay una apropiada administración de usuarios en el sistema de información.
En cuanto a objetividad de planes de mantenimiento preventivo y correctivo: El plan de mantenimiento es correctivo para equipos de infraestructura del hospital, no preventivo. No existe documentación sobre el procedimiento a seguir y frecuencia para realizar evaluaciones y observaciones, actualización, riesgos, vulnerabilidades y requerimientos de seguridad.
Perdida de información, por problemas en los equipos por fallas en disco duro.
RECOMENDACIONES O CONTROLES PROPUESTOS
El presente Informe es de carácter preliminar, en consecuencia de los hallazgos
consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro
del debido proceso.
Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus
archivos. El escrito de contradicción debe allegarse en medio físico y magnético
Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el
presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una
planeación de actividades diseñada por la oficina de control interno donde permita verificar
el cumplimiento de los procedimientos de cada área. No existen procedimientos para las
áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar
a cabo.
No existe un mapa de riesgos de la entidad.
El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia
siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO
Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y
elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO.
Recomendación: Con respecto al área de sistemas El Administrador de la respectiva Empresa,
debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición,
actualización, arreglos eléctricos y mantenimientos de hardware.
Recomendación: Con respecto a Realización de mantenimientos, se debe de hacer para optimizar
el funcionamiento del disco duro.
Con respecto a la existencia de planes de mantenimiento preventivo y correctivo se recomienda:
Definir un plan de mantenimiento preventivo y correctivo. Asignar personal que se encargue de
ejecutarlo. Definir un plan para adquisición y mantenimiento de la infraestructura tecnológica.
Asignar personal que se encargue de documentar el procedimiento a seguir sobre evaluación,
actualización, riesgos, vulnerabilidades y requerimientos de seguridad.
Recomendación: Con respecto una adecuada instalación eléctrica se debe de tener una instalación
que soporte las diversas fluctuaciones de electricidad.
Recomendación: Con respecto a equipos de protección se debe de usar para contra la variación
de voltajes.
Recomendación: Con respecto al Uso de dispositivo protector que limita las subidas transitorias
de tensión, para optimizar la información y la calidad de equipos.