cosolidado auditoria de sistemas

AUDITORIA DE SOFTWARE

TRABAJO COLABORATIVO III

PRESENTADO POR:

TOBIAS ARIZA HURTADO

HARVY ARLEY GIL BONILLA

CC: 1.033.715.711

JUAN CAMILO ESCOBAR:

CC: 1.032.401.506

PRESENTADO A:

FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

INGENIERA DE SISTEMAS

MAYO DE 2016

BOGOTA D.C.

INTRODUCCIÓN

El Presente documento se realiza con el fin de aplicar los conocimientos previamente

adquiridos en el curso de Auditoria de Sistemas en esta fase se van a implementar

elementos propios para la realización de una auditoria, en el cual los estudiantes aplican los

estándares COBIT 4.1 previamente escogidos en el trabajo colaborativo II, en esta fase se

debe hacer énfasis en los controles para los posibles riesgos que puede sufrir la identidad,

buscando la identificación de los controles que se tienen a estos riesgos.

La característica principal que se busca en este trabajo es desarrollar los instrumentos

propuestos para el desarrollo del conocimiento, observando, verificando y conociendo las

herramientas que van a ser de nosotros excelentes ingenieros teniendo una base de auditoria

para el futuro.

OBJETIVO

Identificar los procesos COBIT que se están trabajando para realizar los respectivos procesos de identificación de riesgos.

Utilizar las herramientas COBIT que nos ayudan a encontrar inconsistencias en procesos de una compañía.

Identificar los controles que se pueden llevar a cabo para la mejora de los procesos internos de una compañía.

DESARROLLO DE ACTIVIDADES

1. Listas de chequeo para verificar la existencia de controles diligenciada y consolidada por cada proceso.

Listas de Chequeo Tobías Arias

https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view? usp=sharing

Listas de Harvy Arley Gil.

P01 Definir el plan estratégico de TI.

Hospital el Tunal E.S.ELista de Chequeo

Dominio Planear y OrganizarProceso P01 Definir el plan estratégico de TI

Pregunta Si No¿Se cuenta con una planeación para el área de TI? X¿Existe un balance óptimo en la prestación de los servicios técnicos del área? X¿Se posee un registro de fallas detectadas en la infraestructura tecnológica del Hospital? X

¿Se ha realizado un análisis presupuestal de la ampliación de los recursos tecnológicos? X

¿La capacidad actual de la infraestructura es suficiente apra soportar todos los procesos del hospital? X

¿Se ha identificado las aplicaciones que necesitan una reserva a futuro para su sostenimiento? X

¿Existe un plan de trabajo en el área de tecnología donde se proyecte las actualizaciones futuras? X

P03 Determinar la dirección Tecnológica.


Dominio Planear y OrganizarProceso P03 Determinar la dirección Tecnológica

Pregunta Si No

https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view?usp=sharing

https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view?usp=sharing

¿Existe una estrategia establecida por la dirección tecnológica en caso de un colapso? X

¿Se ha hecho un reconocimiento de las nuevas tecnologías que se van a implementar en la institución? X

¿Hay planes de contingencia en cuanto a la infraestructura? X

¿Existe asesoramiento por parte de entes externos para la implementación, prestación, mantenimiento de las nuevas herramientas a implementar? X

¿Se ha preparado a la identidad para las nuevas regulaciones del gobierno? X

¿Se ha previsto las nuevas normas que rigen el proceso de actualización en el área de tecnología? X

P04. Definir Procesos, Organización y Relaciones de TI.


Dominio Planear y OrganizarProceso P04. Definir Procesos, Organización y Relaciones de TI

Pregunta Si No¿A través del comité de tecnología se han identificado posibles riesgos con la implementación de nuevas arquitecturas?

X

¿Hay un ente regulador fuera del líder de tecnología o el comité en caso de ausencia? X

¿La asignación de nuevos roles para cada integrante del área de TI ya están definidas y comunicadas? X

¿El personal de TI va a recibir la capacitación requerida para cada una de las nuevas tecnologías que se van a implementar en la institución?

X

¿La nueva distribución de cargas en el área de TI van a mejorar los tiempos de respuesta frente a los inconvenientes que se puedan presentar? X

P05 Administrar la inversión en TI.


Dominio Planear y OrganizarProceso P05 Administrar la inversión en TI

Pregunta Si No¿En momentos anteriores la inversión fue suficientemente planeada con forme el crecimiento de la institución?

X

¿La nueva proyección presupuestal tiene total cubrimiento de las actualizaciones que requiere la institución?

X

¿Los nuevos proveedores manejan, y están acreditados con las nuevas normas tecnológicas y de calidad? X¿Se tiene una reserva presupuestal en caso que alguna de las actualizaciones no esté disponible y se tenga que contar con otra que difiere en costos con la primera?

X

¿Hay una comunicación asertiva entre las áreas de presupuesto, contabilidad, TI he inventarios para la implementación? X

¿La adquisición de las nuevas tecnologías se va a realizar por ciclos de acuerdo a la proyección presupuestal? X

P07 Administrar Recursos Humanos de TI.


Dominio Planear y OrganizarProceso P07 Administrar Recursos Humanos de TI

Pregunta Si No¿Las capacitaciones para el personal de TI para las nuevas plataformas va a interrumpir con sus funciones? X

¿Todo el personal con las capacitaciones puede suplir una ausencia de la persona encargada de cierto proceso?

X

¿Se va a trabajar por mejorar las habilidades del personal del área de TI?

X

¿Cada integrante del grupo del área de TI cumple con los estándares exigidos para las funciones que desempeña?

X

¿Se va a tener en cuenta la calificación de los usuarios para con el personal de TI según su función? X

¿Se va a realizar una socialización con el grupo de trabajo para identificar falencias en los nuevos procesos?

X

Listas de Chequeo Juan Camilo Escobar.

LISTA DE CHEQUEO

FECHA: 6 de Mayo de 2016

REALIZADO POR: Juan Camilo Escobar

PROCESO EVALUADO: AI4 - Facilitar la Operación y el Uso

DESCRIPCIÓN CONTROLES EXISTENTES EN EL PROCESO

SI NO

¿El área de sistemas tiene implementada documentación para toda la parte de software?

¿Los manuales existentes están actualizados?

¿La gerencia maneja la documentación actual?

¿Los usuarios manejan la documentación actual?

¿El personal de soporte maneja la documentación actual?

¿La documentación está estructurada?

¿La documentación tiene un sentido lógico?

¿La documentación lleva todos los procesos de la empresa?

¿La documentación tiene una estructura con nomenclatura?

2. Cuadro de hallazgos en cada uno de los procesos CobIT evaluados.

Cuadro de hallazgos Tobiaz Arias.

Tabla Hallazgo 1

HOSPITAL EL TUNAL III NVEL E.S.E

HALLAZGO 1

REF

THA_O1

PROCESO AUDITADOEstado del hardware, software y entorno físico de los equipos de computo.

PÁGINA

1 DE 1

RESPONSABLE Tobias Ariza Hurtado

MATERIAL DE SOPORTE COBIT

DOMINIOAdquirir e

Implementar (AI)PROCESO

Adquirir y mantener infraestructura tecnológica (AI-3)

DESCRIPCIÓN:

Los sistemas operativos no se encuentran actualizados. No se cuenta con un sistema de seguridad en las áreas donde hay equipos de

cómputo.

Esto sucede porque no se cuenta con un cronograma para los técnicos para que realicen sus actividades y en cuestión con la seguridad por falta de recursos el proveedor que presta el servicio no dispone de ello.

REF_PT:

CUESTIONARIOS- AI-C1

Anexo 1- Paginas 1

CONSECUENCIAS: Al no tener los sistemas operativos actualizados estos pueden presentar fallas y

se pueden contagiar de virus fisilmente, esto conlleva a que está en riesgo la información que se encuentra en este.

Al no contar con sistemas de seguridad en las áreas “cámaras, censores de movimiento, etc.” hay la opción de que si hay una perdida no se pueda acudir a estas herramientas.

RIESGO:

Probabilidad de ocurrencia:¿60% Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Tener un cronograma de actividades para los técnicos para ejercer este tipo de mantenimientos preventivos y correctivos se sugiere que sea cada 6 meses.

Administrar mejor los recursos para contar con un buen proveedor de seguridad que cumpla con las exigencias de la entidad.

Tabla Hallazgo 2


HALLAZGO 2

REF

THA_O2

PROCESO AUDITADO Seguridad de la información.PÁGINA

1 DE 1



DOMINIOEntregar y dar Soporte (DS)

PROCESOGarantizar la seguridad de los sistemas (DS-5)

DESCRIPCIÓN:

No hay restricciones para conexión a red de usuarios externos. Los equipos de cómputo no cuentan con servicio de antivirus. No se genera cultura sobre el tema de seguridad de la información.

Esto sucede porque las direcciones IP no son fijas sino se cuenta con DHCP, por falta de recursos el hospital no cuenta con servicio de antivirus y por ultimo no se cuenta con personal disponible para que realice campañas de culturización sobre la importancia de la seguridad de la información.

REF_PT:


Anexo 1- Paginas 2

CONSECUENCIAS: Al tener acceso a la red cualquier usuario este puede que tenga acceso a

información privada de la entidad. Los equipos se pueden infectar de virus y este puede ocasionar perdida de

información. Al no tener conocimiento sobre que es la seguridad de la información y tics

básicos para hace practica de esta hay alto nivel de que la información no esté bien custodiada y salvaguardada.

RIESGO:

Probabilidad de ocurrencia:¿35 % Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Se recomienda tener IP fijas para mejor control y monitoreo. Implementar cuanto antes un sistema de antivirus así sea free siempre en

cuando este sea actualizado constantemente. Empezar a crear publicidad ya sea vía electrónica hacer del tema de seguridad

de información, ejemplo: correos, comunicaciones internas, fondos de escritorio, etc.

Tabla Hallazgo 3


HALLAZGO 3

REF

THA_O3

PROCESO AUDITADO Capacitación a los usuarios.PÁGINA

1 DE 1




PROCESO Educar y entrenar a los usuarios (DS-7)

DESCRIPCIÓN:

Los manuales que se requieren no están en un lugar accesible. Los usuarios no reciben cursos de actualización.

Esto sucede porque los manuales que pueden llegar a ayudar en un proceso no están a la mano o de fácil acceso además los usuarios no cuentan con el tiempo para realizar actividades de actualización y la entidad no las brinda..

REF_PT:


Anexo 1- Paginas 3

CONSECUENCIAS: Puede generar un reproceso en las actividades diarias además que no tengan en

claro que es lo que van a solucionar. Al no recibir actualizaciones “cursos” puede esto generar reproceso además que

al usuario al no tener en claro que es la piratería puede ocurrir una falta legal grave.

RIESGO:

Probabilidad de ocurrencia:¿72 % Impacto según relevancia del proceso: alto

RECOMENDACIONES:

Ubicar un sitio físico y uno en la red o en la nube donde se encuentre un repositorio de todos los manuales que puedan ser útiles.

Realizar campañas de capacitación para aclarar temas como de legalidad y actualizaciones requeridas por los usuarios.

Tabla Hallazgo 4


HALLAZGO 4

REF

THA_O4

PROCESO AUDITADO Seguridad de la información.PÁGINA

1 DE 1



DOMINIO Entregar y dar Soporte (DS)

PROCESO Administración de datos (DS-11)

DESCRIPCIÓN:

No es oportuna la atención de los técnicos al momento de realizar un backup de información.

La información no se encuentra en un estado de conservación segura.

Esto sucede porque la entidad cuenta con poco personal (técnicos) que suplan con la solicitud de soportes técnicos. Además por falta recursos no se cuenta con un lugar físico seguro donde se salvaguarde los backup de la información.

REF_PT:


Anexo 1- Paginas 4

CONSECUENCIAS: Al no atender oportunamente la solicitud de realización de backups la

información se puede perder o dañar y la responsabilidad ya no es del usuario que la posee si no del área de sistemas.

Los medios donde se conserva la información se pueden dañar ocasionando perdida de la misma.

RIESGO:

Probabilidad de ocurrencia:¿20 % Impacto según relevancia del proceso: bajo

RECOMENDACIONES:

Contar con más personal y si no es posible priorizar estos tipos de soporte en este caso solicitud de backups y tener un procedimiento adecuado para realizarlo.

Hacer uso primero que doto de las TRD para almacenamiento de información y tener esta en un lugar lo más seguro posible.

Tabla Hallazgo 5


HALLAZGO 5

REF

THA_O5

PROCESO AUDITADOSistemas de prevención y control del centro de datos

PÁGINA

1 DE 1




PROCESOAdministración de ambiente físico (DS-12)

DESCRIPCIÓN:

No se cuenta con sistemas de emergencia como detectores de humo, alarmas u otro tipo.

No se cuenta con medios adecuados para la extinción de fuego en el centro de datos.

No existe señalización de prohibiciones para fumar, consumir alimentos y bebidas.

No se cuenta con cámara de vigilancia en el centro de datos.

Esto sucede porque por falta de comunicación entre el departamento de sistemas y el departamento de salud ocupacional y el de mantenimiento que en este caso corresponde al departamento de recursos físicos para que puedan llevar a cabo soluciones para este tipo de faltas, además el proveedor de seguridad no dispone de cámaras de seguridad en la entidad.

REF_PT:


Anexo 1- Paginas 5

CONSECUENCIAS: Al no contar con las herramientas de seguridad necesarias y básicas puede

ocurrir un accidente que conlleve al daño parcial o total ce los equipos que se encuentran dentro del centro de datos.

En el momento de un incendio no se tiene a la mano un extintor que pueda utilizarse en estos casos.

Si no hay señalización en el centro de datos sobre seguridad puede ocurrir un accidente que involucre la seguridad de los equipos q se manejan.

Al no contar con cámaras de vigilancia no se puede tener un monitoreo contante del área y además en caso de alguna perdida no se puede soportar la falla.

RIESGO:

Probabilidad de ocurrencia:¿20 % Impacto según relevancia del proceso: bajo

RECOMENDACIONES:

Ponerse en contacto con las áreas pertinente y solicitar una revisión sobre las necesidades obtenida para tener control sobre estos temas de incidencia y prever un accidente.

Solicitar al proveedor de seguridad la instalación de una cámara de seguridad en el centro de datos soportando la importancia de esta área para la institución y el desarrollo de sus actividades.

Cuadro de hallazgos Harvy Arley Gil.

Tabla Hallazgo 1


HALLAZGO 1

REF

PO_01

PROCESO AUDITADO

Continuidad de los procesos de TI en la institución proyectando su crecimiento estructural.

PÁGINA

1 DE 1

RESPONSABLE Harvy Arley Gil Bonilla

MATERIAL DE SOPORTE

COBIT 4.0

DOMINIOPlanear y Organizar

(P0)PROCESO

P01 Definir el plan estratégico de TI

DESCRIPCIÓN:

La infraestructura tecnológica actual no es capaz de soportar la demanda total de los usuario tanto del área asistencial como administrativa.

La distribución de los recursos económicos para el área de TI no tuvo la suficiente proyección quedando el montaje tecnológico a media marcha.

Esta situación problema se presenta por la falta de prevención en el crecimiento de la institución, en principio se tenía establecido como un centro médico pero a medida del aumento en la población aledaña se constituyó una institución hospitalaria, haciendo que la planeación para el área tecnológica se quedara corto, con esto el área de TI no da abasto con la demanda de peticiones a sus servidores.

REF_PT:

Cuestionario- C1

Lista de chequeo P01

CONSECUENCIAS: Al no tener la suficiente estructura tecnológica en el área de TI en sus servidores

se presentan retrasos en todos los procesos por el exceso de peticiones a los mismos, una vez estos servicios colapsan es necesario reiniciar los servicios haciendo perder tiempo a los pacientes y funcionarios.

Tanto el área de TI como el área de presupuesto no presenta una articulación en la planeación de las necesidades que se están presentando actualmente cada una de ellas defiende sus políticas internas sin llegar a un consenso en el cual se pueda realizar un plan de trabajo para la adquisición de nuevas herramientas tecnológicas.

RIESGO:

Probabilidad de ocurrencia:¿62.06 % Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Articular las áreas de TI y presupuesto para observar la viabilidad del proceso de actualización de la infraestructura tecnológica, costos, tipo de pago, proveedores, gestión de contratos, herramientas de gestión libre, mantenimientos y soporte.

Empezar depurar los procesos que generalmente no se utilizan para evitar las saturaciones en el servidor, para no tener que reiniciar el sistema y evitar demoras en los procesos del área asistencias y administrativa, estableciendo un límite de uso en la memoria RAM, mientras se puede cambiar de Windows a Linux.

Tabla Hallazgo 2


HALLAZGO 2

REF

PO_02

PROCESO AUDITADO

Coordinación de la dirección tecnológicaPÁGINA

1 DE 1


MATERIAL DE SOPORTE

COBIT 4.0

DOMINIOPlanear y

Organizar (P0)PROCESO

P03 Determinar la dirección Tecnológica

DESCRIPCIÓN:

No existen planes de contingencia en dado caso de un daño masivo ocasionando pérdidas de información, daños en segmentos de los discos, datos dañados.

No se tiene respaldo de ninguna identidad de fuera en soporte a la actual estructura tecnológica del hospital.

El comité de dirección tecnológica no tiene contemplado un plan de capacitaciones para el personal del área de TI.

No se tiene contemplado un plan de capacitaciones para el personal que está en el área de TI por falta de tener contemplado un cronograma de estas actividades por parte de la dirección tecnológica, el no tener un respaldo de una compañía especializada en algunos de los equipos que operan en el hospital el personal no puede dar soporte a situaciones que se presenten con estos equipos, de igual manera no tener una base para posibles contingencias hacen vulnerables el sistema de información y todas las propiedades que este implica.

REF_PT:

CUESTIONARIOS- C2

Lista de Chequeo P03

CONSECUENCIAS: Al no tener un respaldo de las empresas proveedoras o de otra identidad que

conozca la estructura que se está manejando en el hospital no se puede dar mantenimiento o soporte en caso de algún daño interno o externo.

El personal al no recibir ningún tipo de capacitación por los equipos especiales (radiología, ecografía, oftalmología) en su software o configuración está limitado en la prestación de soporte técnico que se requiera.

No tener planes de contingencia hace más vulnerable la operación del sistema de información en dado caso de colapso o caída en la base de datos del mismo, corriendo el riesgo de pérdida de información.

RIESGO:


RECOMENDACIONES:

Renovar contratación con los proveedores de hardware de data center para tener acceso a actualizaciones y soporte técnico y equipos de áreas específicas (radiología, ecografía, oftalmología).

Buscar empresas certificadas en el uso de herramientas tecnológicas que permitan implementar medidas de prevención en dado caso de contingencia o daño en sectorizados.

Desarrollar un plan de capacitaciones para el personal de TI de la institución para tener la facilidad de prestar un servicio técnico en primera medida.

Tabla Hallazgo 3


HALLAZGO 3

REF

PO_03

PROCESO AUDITADO

Infraestructura, procesos y organización de TI

PÁGINA

1 DE 1


MATERIAL DE SOPORTE

COBIT 4.0

DOMINIO

Planear y Organizar

(P0)PROCESO

P04. Definir Procesos, Organización y Relaciones de TI

DESCRIPCIÓN:

En el comité de tecnología nunca se ha contemplado un análisis con los posibles riesgos, planes de trabajo en dado caso de caída en la infraestructura tecnológica actualmente ni en el futuro.

No se cuenta con ente de control diferente que el comité o el líder del área para evaluar la gestión del departamento TI, verificando que se esté alcanzando todos los objetivos propuestos por esta área.

Se sigue trabajando con un modelo obsoleto en el área de TI ninguno de los técnicos conoce otro proceso que no sea el que maneje haciendo que las ausencias en algún momento sea una vulnerabilidad.

En el comité de tecnología no se han descrito temas como el posible análisis de riesgos a los que la institución está expuesta por la falta de la actualización de la plataforma tecnológica, también es indispensable contar con un ingeniero de sistemas calificado en el área de control interno para tener un soporte a los procesos que se vienen llevando en el área de TI, es necesario cambiar la forma de trabajo y roles en el área de informática para evitar que una ausencia pueda dejar vulnerable el área.

REF_PT:

CUESTIONARIO C3


CONSECUENCIAS: El no tener identificado los posibles riesgos que se tienen en la institución hacen

que todos sus procesos se puedan ver afectados en dado caso de un problema institucional completo.

Al no tener una articulación entre los miembros del equipo de trabajo del área de TI, la ausencia de cualquier elemento deja de forma vulnerable el proceso que tiene a cargo por el hecho de no tener un backup.

RIESGO:

Probabilidad de ocurrencia:¿32 % Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

El comité tecnológico necesita empezar a elaborar un plan de trabajo para empezar a identificar todos los riesgos (hardware, software) que se tienen en la institución.

Contratar el personal idóneo para la oficina de control interno organizacional para que pueda auditar los procesos del área de TI articulando con el comité y líder de tecnología para implementar planes de mejora.

Articular todos los procesos del área de tecnología donde los técnicos empecen a capacitar a sus compañeros en dado caso de alguna ausencia.

Tabla Hallazgo 4


HALLAZGO 4

REF

PO_04

PROCESO AUDITADO

Presupuesto para el área de TI.PÁGINA

1 DE 1


MATERIAL DE SOPORTE

COBIT 4.0

DOMINIO

Planear y Organizar (P0)

PROCESOP05 Administrar la inversión en TI

DESCRIPCIÓN:

La antigua proyección presupuestal carecía de una visión del crecimiento del hospital por tal motivo se adquirieron equipos con las mínimas especificaciones técnicas para la implementación de los servicios cliente/servidor.

Es necesario tener un plan con la nueva proyección presupuestal que está en curso para la actualización de la plataforma tecnológica y que no se quede corta en la transición de este proceso.

Esto sucede por la falta de articulación de varias dependencias del hospital sobre todo entre el área de TI y Presupuesto donde nunca se estuvo de acuerdo en el modelo que le iba mejor a la institución, implementando medidas contraproducentes sin proyectar el crecimiento del hospital, por otra parte si no son bien distribuidos los nuevos recursos para la actualización de la plataforma tecnológica del hospital no se podrá llevar a feliz término este proyecto, donde se debe tener en cuenta que se debe buscar la estabilidad del área TI para darle la diligencia a los demás procesos que están involucrados.

REF_PT:

CUESTIONARIOS C4


CONSECUENCIAS: Si no se tiene cuidado con la nueva proyección presupuestal donde esta descrita

toda la actualización de la plataforma tecnológica del hospital una vez mas se acudirá a soluciones a corto plazo y no se solucionara de manera radical problema de saturación en los servicios, es de vital importancia la articulación de toda el área financiera y TI.

RIESGO:


RECOMENDACIONES:

Cronograma con las compras de los nuevos equipos, así como la facturación de los mismos.

Reuniones paulatinas para analizar el avance de las actualizaciones para verificar el desembolso de nuevos recursos conforme se va implementando estas mismas.

Tabla Hallazgo 5


HALLAZGO 5

REF

PO_05

PROCESO AUDITADO

Administración del personal de TIPÁGINA

1 DE 1


MATERIAL DE SOPORTE

COBIT

DOMINIO

Planear y Organizar (P0) PROCESOP07 Administrar Recursos Humanos de TI

DESCRIPCIÓN:

No se observa una retroalimentación entre los integrantes del grupo de trabajo, esto perjudica procesos que solo los lleva una persona.

La falta de capacitación en todas las áreas que maneja TI afecta el soporte técnico siendo indispensable que recaiga en una sola persona.

Esto sucede porque el área no tiene la cultura de tener un backup como se hace con la información, las personas que manejan un solo proceso son celosas en compartir su conocimiento, también la falta de capacitación para los demás miembros del equipo en dado caso de una situación fortuita que obligue a la ausencia de esa persona.

REF_PT:

CUESTIONARIOS C5

Lista de chequeo P07

CONSECUENCIAS: Al no contar con una retroalimentación entre los miembros del grupo de trabajo no

hay una unidad para soportar los procesos que se tienen en el área. Al depender de una sola persona por proceso se está expuesto a vulnerabilidades

en el proceso o retraso por situaciones ajenas a la institución y más de índole personal.

RIESGO:


RECOMENDACIONES:

Es importante que todos los miembros del grupo de trabajo tengan el conocimiento de la totalidad de los procesos que se llevan en el área.

Buscar una armonía dentro del grupo de trabajo para que se apoyen mutuamente en la resolución de situaciones problema donde se evidencie el crecimiento como técnicos y personas.

Cuadro de hallazgos Juan Camilo Escobar.

HALLAZGO 1

Hospital El Tunal E.S.E III Nivel

PROCESO AUDITADO Desarrollo, uso y divulgación de procedimientos

RESPONSABLE Juan Camilo EscobarMATERIAL DE SOPORTE COBIT 4.1

DOMINIO ADQUIRIR E IMPLEMENTAR PROCESO AI4 - Facilitar la Operación y el Uso

DESCRIPCIÓN:

Falta de política de desarrollo de documentación de todos los procesos de sistemas.

Solo hay documentación de algunos procesos.

Falta de nomenclatura de los procesos.

La gerencia no maneja la documentación.

Los usuarios finales no manejan la documentación.

REF_PT: Cuestionario de Control: C1

CONSECUENCIAS:

El conocimiento queda aislado a solo la persona que maneja el proceso.

En caso que la persona no se encuentre el proceso puede quedar detenido.

Se pueden causar o generar errores por falta de conocimiento del procedimiento.

RIESGO:

Probabilidad de ocurrencia: = 77.56%

Impacto según relevancia del proceso: Alta

RECOMENDACIONES:

Se recomienda crear una política, para la documentación de todos los procesos de sistemas, donde se estructure con nomenclatura, donde haya encargados para la creación, revisión, autorización, y actualización de los procesos.

Se recomienda divulgar y relacionar todos los procesos creados con la gerencia, el personal técnico, y los usuarios finales.

3. Cuadro de tratamiento de los riesgos consolidado.

RIESGOS/VALORACIONPROBABILIDAD IMPACTOA M B L M C

HardwareR1 Equipos Infectados. X X

R2 Pérdida o daños en los archivos o sistema operativo de los equipos. X X

R3 Daño del hardware del equipo de computo X X

R4Equipos que no están conectados a una UPS pueden sufrir corto en la board, fuente, disco duro, pérdida de activos fijos.

X X

Seguridad Física

R5 Robo y perdida de equipos de cómputo (hardware y software). X X

R6 Perdida de información por desconexiones, cortos, reinicios inesperados. X X

RedesR7 Caída de la red, reproceso en actividades. X X

R8 Congestión en la red y en el tráfico de esta. X X

R9Demora en los procesos que necesitan aplicaciones web poniendo en peligro la vida de los pacientes

X X

Seguridad LógicaR10 Perdida de información o daño de la misma. X XR11 Acceso no autorizado a los equipos. X X Documentación

R12 Procesos detenidos por falta de documentación. X X

R13No existen políticas de administración y respaldo de almacenamiento de la información

X X

R14 No existen políticas de seguridad X X

4. Cuadro de riesgos y controles propuestos

RIESGOS o HALLAZGOS ENCONTRADOS

TIPO DE CONTROL

SOLUCIONES O CONTROLES

Daño del hardware del equipo de computo

PREVENTIVO Solicitar al área de recursos físicos con conjunto con salud ocupacional para hacer revisión de los puntos eléctricos para que estos cumplan con sus debidas exigencias además de canalizar toda la parte de cableado.

Perdida de información o daño de la misma

PREVENTIVO Realizar una brigada de actualización del antivirus que por defecto viene con el sistema operativo o adquirir una licencia de antivirus con un proveedor.

Acceso a información confidencial

CORRECTIVO Crear políticas de seguridad en el servidor de dominio, preferiblemente cambiar de direccionamiento IP dinámico por DHCP por direccionamiento fijo. Actualización del sistema operativo del servidor y fortalecimiento del firewall del hospital.

Problemas de legalidad piratería (DIAN)

PREVENTIVO Ingresar todos los equipos de cómputo al dominio de red para que estos no ingresar como administrador al sistema, crear credenciales para los usuarios, establecer políticas de seguridad para las cuentas de usuario creadas para que estos no puedan realizar la instalación de software ilegal.

BIBLIOGRAFIA

Referenciado de, Documento de apoyo curso de auditoria de sistemas Universidad Nacional Abierta y a Distancia 2016 I, foro de trabajo Colaborativo.

Referenciado de, Área de Tecnología Hospital el Tunal E.S.E. Referenciado de, Área de control interno Hospital el Tunal E.S.E.

cosolidado auditoria de sistemas

Documents