metodologia y fases de auditoria

PLAN DE AUDITORIA

Se Determina a realizar una Auditoria Informática:

E.S.E HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA

NIT: 890.204.895-0

TELEFONO: (7) 6260141/6260330

GERENTE Y REPRESENTANTE LEGAL DE LA EMPRESA: SANDRA

XIMENA CARDENAS NARVAEZ

CC: 27.984.785

UBICACIÓN: E.S.E Hospital Integrado San Juan, empresa prestadora de servicios de

salud, Departamento de Santander Municipio de Cimitarra, Km1 Vía puerto Araujo.

Antecedentes

ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA, Empresa Social del Estado

Hospital Integrado San Juan de Cimitarra, Institución que presta los servicios de salud, que

realiza anualmente el evaluación y control de los estos físicos y actualizado del hardware de

los equipos de cómputo, para ello se hace obligatorio realizar auditorías internas

permanentes y de tipo externo periódicamente para lograrlo sus objetivos misionales.

Objetivos

Objetivo General

Evaluar la efectividad de la Gestión a la ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA

respeto a las políticas, controles y procedimientos en el estado físico y actualizado del

hardware de los equipos de cómputo del hospital integrado San juan de cimitarra Santander,

en cuando a la seguridad de datos, trasferencia de datos, políticas de utilización, contratos

de mantenimiento y seguridad física, para brindar una excelente servicios a los usuarios o

pacientes.

Objetivo Específicos

Evaluar el diseño de prueba de los equipos de cómputo

Constatar los procedimientos de control al hardware para su vida útil, como tipos de

mantenimientos.

Verificar que los software o programas obtenga su legalización

Revisión de las políticas y normas sobre seguridad física de los equipos.

Cuentas de los Inventarios

Planes de adquisición

Contratos de mantenimientos.

Alcance y Delimitación

Esta auditoría es un proceso sistemático que mide y evalúa, la gestión o actividades de una

organización estatal, es así que la Presente auditoría se realiza sobre el Hardware de los

equipos de cómputo que se encuentran ubicados en el hospital Integrado san juan de

Cimitarra Santander, tomando como muestra 18 equipos.

Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera

que el examen proporcione una base razonable para fundamentar conceptos y opiniones

expresadas en el informe.

Metodología

Para el cumplimiento de los objetivos proyectados en la auditoría, se efectuaran las

siguientes actividades:

Investigación preliminar:

Determinar la estructura organizacional de la institución prestadora de servicios de

salud para establecer las responsabilidades del ingeniero de sistemas. Evaluar los sistemas de información desde sus entradas, procesos, controles,

archivos y seguridad.

Verificar el adecuado uso de legalidad de sistemas operativos

Revisar la configuración de los servicios de red, identificando los elementos que

apoyan la seguridad y administración de esta.

Conocer la fecha de instalación e los equipos y planes de instalación.

Revisar las políticas de usos de los equipos

Revisar y verificar el número de equipos y sus características.

Revisar el manual o formato en que se encuentra estructurado la forma en que se

diligencia el mantenimiento de los equipos de cómputo.

Recursos

Recursos humanos:

Grupo de personal médico y administrativo

Recursos físicos:

Muestra de 18 equipos de cómputo

Presupuesto

ÌTEM VALOR

Apoyo Personal profesional (1.200.000 mensual/persona ) $3.600.000

Servicios de impresión y útiles $430.000

Gastos Generales $340.000

movilidad $150.000

total $ 4.520.000

Cronograma

Actividad Mes 1 Mes 2 Mes 3

Planificación

de auditoria

Estudio preliminar del

área de hardware de

equipos de computo

1 2 3 4 5 1 2 3 4 5 1 2 3 4 5

Aplicación de

la auditoria

Elaboración del programa

de auditoria

Evaluación de los riesgos

Realización de pruebas

Elaboración de

información

Plan de

mejoramiento

Analizar y evaluar las

estrategias

De mejoramiento

Elaboración de informe

Presentación de informe

Actividades Fase de conocimiento: - Realizar visitas a la empresa

Aplicando entrevistas al ingeniero de sistemas y usuarios de los sistemas

Fotografía-Cuerpo administrativo, usuarios de los sistemas e Ingeniero de sistemas

- Elaborar listas de chequeo

Definición: es difícil, determinar si realmente en la Empresa se está realizando

periódicamente los mantenimientos preventivos y correctivos ya que consta con un máximo

de 28 computadores y elementos informáticos, en vista esta inquietud se hace revisión de

los 18 computadores que se tomaron como muestra y se identifica y verifica que no tiene

validez la información que presenta el ingeniero de sistemas sobre estos procesos de la

Empresa (Hospital Integrado San Juan de Cimitarra).

Evidencia:

Actividades Fase de Planeación: - Diseñar los formatos de entrevistas

FORMATO DE ENTREVISTA

1-¿Dónde se encuentran localizadas sus instalaciones?

_____________________________________________

2-¿Cuantas personas trabajan en el departamento?

______________________________________________

3-¿Están capacitadas para la tarea que desempeñan?

Si _____ No______

¿Que Topología utilizan en el área?

Bus_____ Estrella______ anillo____ malla____ mixta___

¿Cada cuánto tiempo se hace un respaldo de la información?

6 meses____ 12 meses___ otras____

¿Qué sistema operativo utilizan?

Windows___ Linux___ Mac Osx____

¿Cuantos y cuales servidores cuentan en el área?

1__ 2___ 3__ otros___

¿Cada Cuando se Realiza mantenimiento preventivo y correctivo?

6 meses____ 12 meses___ otras____

¿Qué tipo de seguridad tienen implementada?

______

¿Qué tanta antigüedad tienen sus equipos?

1 año____ 2 años____ 3 años_____ otros___

- Diseñar listas de chequeo

CUESTIONARIO DE CONTROL C1

E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT

Cuestionario de Control

dominio Adquisición e Implementación

proceso Adquirir y mantener la arquitectura tecnológica

objetivo de control

Evaluación de Nuevo Hardware

CUESTIONARIO

Pregunta SI NO N/A

¿Existe inventario de todos los equipos de cómputo?

¿Existe actualización del inventario de todos los equipos de cómputo

nuevos o equipos informáticos?

¿Se lleva cronograma o bitácora para el proceso de mantenimientos y

cambio de partes?

¿Con que periodo se les da mantenimiento a los equipos de cómputo y

suministros de energía?






objetivo de control

Mantenimiento Preventivo para Hardware

CUESTIONARIO

Pregunta SI NO N/A

¿Existen hojas de vida para cada equipo de cómputo o dispositivo

informático?

¿Existe un lugar adecuado para el proceso de mantenimientos y cambio

de partes?

¿Se lleva cronograma o bitácora para el proceso de mantenimientos y

cambio de partes?

¿Con que periodo se les da mantenimiento a los equipos de cómputo y

suministros de energía?






objetivo de control

Suministro Ininterrumpido de Energía

CUESTIONARIO

Pregunta SI NO N/A

¿La instalación eléctrica del equipo de cómputo es independiente de otras

instalaciones?

¿Es adecuada la iluminación del área donde se encuentran los equipos de

cómputo?

¿Se cuenta con los planos de instalación eléctrica?

¿Los equipos cuentan con un regulador?

¿Hay protección y seguridad para áreas húmedas referente al fluido

eléctrico?

- Diseñar el plan de pruebas que se llevarán a cabo

- Diseño de cuestionario de auditoria informática

CUESTIONARIO DE AUDITORIA INFORMÁTICA

¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar

algún daño a los equipos?

Sí____ No_____

Se cuenta con una salida de emergencia?

Sí____ No_____

¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo?

Si ______ No ______ ¿Por qué? _____

¿Se cuenta con los planos de instalación eléctrica?

Si ______ No ______

¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?

Si ______ No ______

¿Los equipos cuentan con un regulador?

Si ______ No ______

¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de

energía?

_________________

¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes?

Si ______ No ______

¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes?

Si ______ No ______

¿Existen extintores? Si _______ ¿Cuántos? _____________________________________

No ______

Tipo de extintores: Manual ____ Automático ____ No existen ___

¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?

Sí ___ No___

¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático?

Sí ___ No___

¿Se tienen establecidos procedimientos de actualización a estas copias?

Sí___ No___

Actividades fase de Ejecución: - Aplicación de pruebas que han sido diseñadas

- Aplicar entrevistas a usuarios clave

- Aplicar las listas de chequeo para verificación

- Aplicar los cuestionarios a los usuarios del sistema

- Otras……

Actividades fase de resultados:

- Hallazgos encontrados y causas que los originan

No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y

preventivos.

No existen hojas de vida para cada equipo de cómputo o dispositivo informático

No hay un lugar adecuado para el proceso de mantenimientos

Causas.

La falta de sentido de pertenencia y profesionalismo o ética profesional, del

ingeniero de sistemas de la empresa la empresa.

Evidencia

- Proponer el sistema de control para los riesgos detectados

Entre estas tenemos:

Actualmente no se cuenta con un sistema de Real para el sistema informático, en base a los

mantenimientos de hardware y software, lo que dificulta la toma de decisiones por parte de

la alta gerencia, dada la importancia de esta herramienta. Concluir el proceso de

actualización y funcionamiento informático institucional.

- Elaborar el dictamen de la auditoria

Hallazgos que soportan el dictamen: En la Empresa prestadora de servicios médicos

E.S.E Hospital Integrado San Juan de Cimitarra no ve hacen los respectivos

mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y

actualizaciones de software; según los archivos encontrados o presentados, con la evidencia

presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un

riesgo a vulnerabilidad para el sistema de auditoria informática.

Recomendación: El Administrador del área de sistemas de la respectiva Empresa, debe

realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición,

actualización, arreglos eléctricos y mantenimientos de hardware.

Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software de

equipos de cómputo y elementos informáticos.

Dictamen: Se aplican algunos procesos administrativos por el Administrador del área de

sistemas informáticos ‘Ingeniero’, realizados de manera desorganizada y espontánea, no se

hace calendarios o bitácora de inventarios y mantenimientos de hardware.

- Elaborar informe final

El presente Informe es de carácter preliminar, en consecuencia de los hallazgos

consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro

del debido proceso.

Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus

archivos. El escrito de contradicción debe allegarse en medio físico y magnético

Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el

presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una

planeación de actividades diseñada por la oficina de control interno donde permita verificar

el cumplimiento de los procedimientos de cada área. No existen procedimientos para las

áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar

a cabo.

No existe un mapa de riesgos de la entidad.

El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia

siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO

Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y

elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO.

2. Elaborar el programa de auditoría relacionando los objetivos y alcances del plan de auditoría

con los dominios, procesos y objetivos de control del estándar COBIT 4.1. Como resultado de esta

actividad se debe entregar los dominios, procesos y objetivos de control seleccionados del

estándar COBIT que serán evaluados.

PROGRAMA DE AUDITORIA COBIT

Proceso: Evaluación de nuevo hardware.

Objetivo de Control: En cuanto al procedimiento para el hardware y el software se

debe establecer que impacto genera en el rendimiento de sistema.

Proceso: Mantenimiento Preventivo y correctivo para Hardware y software.

Objetivo de Control: La parte administrativa del hospital deberá establecer un

cronograma donde se estipula las fechas dedicadas al mantenimiento preventivo y

correctivo del hardware y el software de los equipos y así mejorar su vida de

utilidad.

Proceso: Administración e implementación

Objetivo de Control: Se debe establecer por parte de la administración las medidas

necesarias para poder implementar y evaluar el nuevo hardware, además también se

debe estipular las medidas para hacer el mantenimiento preventivo del hardware.

Proceso: Suministro Ininterrumpido de Energía.

Objetivo de Control: Debido al suministro interrumpido de la energía el hospital

debe tomar las medidas necesarias para proteger los computadores y así evitar un

daño irreparable; Una de las posibles soluciones es el uso de reguladores o baterías

de suministro ininterrumpido para contrarrestar la ausencia de energía.

Resultados de la auditoria

Dominio:

Proceso: revisión y mantenimiento del equipo de cómputo.

Objetivo de control: se hará una evaluación eficaz tanto del hardware como del software

para así conseguir y tener una idea más clara de donde está la falla.

Dominio: entrega oportuna de servicios y soporte

Procesos: hacer el correcto mantenimiento al hospital con las instalaciones de energía.

Objetivo de control: hacer mantenimientos para cumplir con el buen funcionamiento de

energía y así evitar accidentes por el mal estado de los cables de luz.

Dominio: evaluación de riesgos

Procesos: mantener un control de los daños que hay en el hospital.

Objetivo de control: evitar que ocurran riesgos tecnológicos en los computadores, y hacer

arreglos en las superficies que tienen daños internos y externos.

Dominio: garantizar la seguridad de los sistemas

Procesos: buscar soluciones para que los sistemas no se vean afectados por las fallas.

Objetivo de control: prevenir que los equipos de cómputo tengan daños cuando ocurren

fallas de energía, proteger el sistema operativo con un sistema antivirus.

Diseño de los instrumentos

Se UTILIZO las siguientes herramientas.

Observación

Se examinó los diferentes aspectos que intervienen en el funcionamiento del área de

sistemas y los sistemas software, permitieron recolectar la información directamente sobre

el comportamiento de los sistemas.

Entrevistas

Obtuvimos información sobre lo que está auditando, además de tips que permitirán

conocer más sobre los puntos a evaluar o analizar.

Cuestionarios

De esta manera obtuvimos información que posteriormente puede clasificar e interpretar

por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una

opinión sobre el aspecto evaluado.

Cada estudiante debe hacer una lista de riesgos (mínimo 10) detectados, clasificarlos teniendo

en cuenta los dominios, procesos y objetivos de control del programa de auditoría identificando

Las posibles causas que los originan.

Procesos Seleccionados Riesgos asociados a cada

Proceso

Causas que Originan esos Riesgos

Evaluación de nuevo

hardware.

1. Mal rendimiento del

sistema, referente a los

diferentes sistemas que ya

usan en la organización.

El tamaño de la memoria

proporcionada.

El tiempo que la unidad central

de procesamiento se mantiene

inactiva.

Instalación inadecuada del S.O,

sobre carga del sistema.

2. software deficiente Mala calidad, Administradores

inexpertos o negligentes.

Mantenimiento Preventivo y

correctivo para Hardware y

software.

3. fallos del sistema

operativo. No hay optimización de

velocidad y problemas de inicio

o arranque del pc o equipos.

Pantalla azul, negra.

4.Errores en el disco duro

Infectado por virus

Falta de mantenimiento

Altas de voltaje

PROCESOS RIESGOS CAUSAS

Evaluación de nuevo

hardware.

14. Que el Hardware no cumpla con lo requerido en el sistema. 15. Los componentes del Hardware sean de baja calidad.

Poca Capacidad de almacenamiento.

Por economizar dinero no se adquieran equipos be buena calidad.

Mantenimiento Preventivo

y correctivo para Hardware

y software.

16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. 19.Que el computador quede obsoleto y se pierda la información

Por falta de precauciones se dañen algunas partes del hardware.

Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados virus.

El polvo que cae al computador

Administración de

instalaciones e

implementación

20.Computadores totalmente dañados por un mal manejo al momento de instalar un

No se tiene una normatividad estipulada en el manejo de los computadores

No hay inventario de los equipos y

5. mal rendimiento y

recalentamiento

El polvo y el calor en los

ventiladores o cooler.

6. Perdida de información El sistema operativo se daña y

no hay alguna copia de

seguridad.

Desactualización del antivirus y

hay virus

Administración de

instalaciones e

implementación

7.Fallas en los sistemas

TIC por instalación

Uso de topología inadecuada y

seguridad

Condiciones medioambientales.

software y por no seguir las normas de seguridad mínimas 21.Equipos con partes que no corresponden

las partes pueden ser cambiadas por otras de baja calidad

Suministro Ininterrumpido

de Energía

22. Que los fusibles de la fuente de poder se quemen. 23.Que la tarjeta madre se presente conflicto con la memoria RAM 24. Que la información que se está trabajando se pierda en el momento que el computador se apaga.

Las constantes subidas y bajadas de la luz

Proceso Riesgos asociados a cada proceso

Causas que originan los riesgos

Evaluación del hardware 26. Poca seguridad del hardware de la empresa.

El polvo es uno de los causantes del daño interno de nuestro pc.

Mala utilización de las memorias lo cual ocasiona virus y coloca lento el sistema operativo.

Mantenimiento preventivo y correctivo para hardware y software

27. Fallas inesperadas en el sistema. 28.Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro.

Falta de un correctivo antivirus.

Mala utilización de la unidad o también por la degradación de los sellos.

Suministro ininterrumpido de energía

30. Las causas de los transitorios impulsivos.

Esto se da por la influencia de rayos, puestas a tierra y liberación de fallas de la red eléctrica.

Esto se produce cuando hay grandes cargas como por ejemplo cuando se enciende

una unidad de aire acondicionado.

Administración de instalaciones e implementación.

31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU.

Falta de un reglamento por parte de la empresa para que estén pendientes de los computadores.

LISTA DE RIESGOS

1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en

la organización.

2. No hay Software eficiente

3. Existen Fallos del sistema operativo.

4. Existen Errores en el disco duro, procesador y memoria.

5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los

equipos.

6. Hay Perdida de información

7. Existe Fallas en los sistemas TIC por instalación

8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos

(factor humano)…

9. Existen Daños a equipos o Instalaciones

10. No Hay seguridad informática (amenaza) peligro del sistema

11. Existe Daño Irreparable de equipos y pérdida de información.

12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos

electrónicos.

13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware.

14. Que los fusibles de la fuente de poder se quemen.

15. Que la tarjeta madre se presente conflicto con la memoria RAM

16. Que la información que se está trabajando se pierda en el momento que el computador

se apaga.

17. Computadores totalmente dañados por un mal manejo al momento de instalar un

software y por no seguir las normas de seguridad mínimas

18. Equipos con partes que no corresponden

19. Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la

vida del personal

20. Que el Hardware no cumpla con lo requerido en el sistema.

21. Los componentes del Hardware sean de baja calidad.

22. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el

hardware.

23. Que el sistema operativo sea atacado por un virus por falta de actualizaciones.

24. Las partes internas del hardware se dañen o vuelvan el computador más lento.

25. Que el computador quede obsoleto y se pierda la información

26. Poca seguridad del hardware de la empresa.

27. Fallas inesperadas en el sistema.

28. Limpieza interna y externa de los computadores

29. Fallas en la unidad del disco duro y placa madre mainboard

30. Fallas en los dispositivos informáticos por los transitorios impulsivos.

31. Fallas en los daños internos del sistema operativo.

32. Mal funcionamiento de los ventiladores de la CPU

Tabla 1. Valoración de riesgos

Riesgos / Valoración Probabilidad Impactos

A M B L M C

Eléctricos

R1 Existe Daño Irreparable de equipos y pérdida de

información.

x x

R2 Hay Fallas en los sistemas de información y

Afectación del funcionamiento de equipos

electrónicos.

x x

R3 Existe un Alto riesgo de corto circuito (ocasiona

daños permanentes en el hardware.

x x

R14 Que los fusibles de la fuente de poder se quemen. X X

R15 Que la tarjeta madre se presente conflicto con la

memoria RAM

X X

R16 Que la información que se está trabajando se pierda en

el momento que el computador se apaga. X X

R30 Fallas en los dispositivos informáticos por los

transitorios impulsivos.

X X

R31 Fallas en los daños internos del sistema operativo. X X

R32 Mal funcionamiento de los ventiladores de la CPU. X X


A M B L M C

Siniestros y catástrofes

R4 Existe Daños a equipos o Instalaciones

x x

R5 No hay una correcta seguridad informática

(amenaza) peligro del sistema

x x

R17 Computadores totalmente dañados por un mal

manejo al momento de instalar un software y por no

seguir las normas de seguridad mínimas

X

X

R18 Equipos con partes que no corresponden X X


A M B L M C

Manejo y Control de Personal

R6 No hay un plan de manejo y control de Accidentes

del personal, empleados, directivos (factor

humano)…

x x

R19 Falta de plan de prevención y riesgos ante cualquier

evento catastrófico que amenace la vida del personal

del área de sistemas

X X


A M B L M C

Manejo y Control de Hardware y software

R7 No hay buen rendimiento del sistema, referente a

los diferentes sistemas que ya usan en la

organización.

x x

R8 No hay Software eficiente x x

R9 Existen Fallos del sistema operativo x x

R10 Existen Errores en el disco duro, procesador y

memoria.

x x

R11 No hay una correcta revisión y Existe mal

rendimiento y recalentamiento de los equipos.

x x

R12 Hay Perdida de información x x

R13 Existen Fallas en los sistemas TIC por instalación x x

R20 Que el Hardware no cumpla con lo requerido en el

sistema.

X X

R21 Los componentes del Hardware sean de baja calidad. X X

R22 Que no se sigan las debidas condiciones al momento de

hacer la limpieza en el hardware.

X X

R23 Que el sistema operativo sea atacado por un virus por

falta de actualizaciones.

X X

R24 Las partes internas del hardware se dañen o vuelvan el

computador más lento.

X X

R25 Que el computador quede obsoleto y se pierda la

información

X X

R26 Poca seguridad del hardware de la empresa. X X

R27 Fallas inesperadas en el sistema. X X

R28 Limpieza interna y externa de los computadores X X

A-alta

M-media

B-baja

L-leve

M-moderado

C-catastrófico

Tabla 2. Clasificación de Riesgos

LEVE MODERADO CATASTROFICO

R29 Fallas en la unidad del disco duro y placa madre

mainboard

X X

http://auditordesistemas.blogspot.com/2012/02/analisis-y-evaluacion-de-riesgos.html

http://auditordesistemas.blogspot.com/2012/02/analisis-y-evaluacion-de-riesgos.html

ALTO R1,R4,R14,R17,R18,R23,R24,R25,R26

R3,R5,R9,R10,R16,R29

MEDIO R2,R7,R11,13,R20 R6,R8,R12,R19,21,R22, R30,R31,R32

BAJO R15,R28

lista de riesgos detectados causa que los origina Controles para C/Riesgo

1. No hay buen rendimiento del

sistema, referente a los

diferentes sistemas que ya

usan en la organización.

El tamaño de la memoria

proporcionada.

El tiempo que la unidad

central de procesamiento

se mantiene inactiva.

Instalación inadecuada

del S.O, sobre carga del

sistema.

Adquirir equipos con capacidad para

las actividades a realizar que sean

compatibles con los demás de la

organización y que sea de una buena

calidad, para que mejore el

rendimiento en el sistema.

2. No hay Software eficiente Mala calidad,

Administradores

inexpertos o negligentes

en el uso y adquisición

del software.

Adquirir Software de excelente

calidad que cumple los requerimientos

necesarios para la organización.

3. Existen Fallos del sistema

operativo.

No hay optimización de

velocidad y problemas de

inicio o arranque del pc o

equipos.

Pantalla azul, negra.

Tener un sistema operativo con una

instalación correcta.

Realizar todo tipo de mantenimiento

preventivo y correctivo.

Tanto de hardware como software.

4. Existen Errores en el disco

duro

Infectado por virus

Falta de mantenimiento

Altas de voltaje

Realizar mantenimiento al disco duro para

optimizar su funcionamiento.

Actualizar e instalar un buen antivirus

Comprobar los discos periódicamente y

Los SAI (sistemas de alimentación

ininterrumpida

)ofrecen protección

http://www.xatakahome.com/iluminacion-y-energia/sai-sistemas-de-alimentacion-ininterrumpida-por-que-son-recomendables

http://www.xatakahome.com/iluminacion-y-energia/sai-sistemas-de-alimentacion-ininterrumpida-por-que-son-recomendables

5. No hay una correcta revisión y

Existe mal rendimiento y

recalentamiento de los

equipos.

El polvo y el calor en

los ventiladores o

cooler.

Realizar mantenimientos correctivos y

preventivos para una mejor vida útil

del equipo.

Limpiar todo el polvo de los

ventiladores cada seis meses como

mínimo.

6. Hay Perdida de información El sistema operativo se

daña y no hay alguna

copia de seguridad.

Desactualización del

antivirus y hay virus

Realizar copias de seguridad

periódicamente para resguardar

información.

Instalar y Actualizar un antivirus de

calidad.

7. Existe Fallas en los sistemas

TIC por instalación

Uso de topología

inadecuada y seguridad

Condiciones

medioambientales.

Usar una correcta topología para

obtener un buen sistema de

información.

Tener planes estratégicos de TI para

estos casos.

8. No hay un plan de manejo y

control de Accidentes del

personal, empleados, directivos

(factor humano)…

Mala Admiración de

instalaciones, baja

calidad.

Tener un manejo para las instalaciones

actas para el factor humano de buena

calidad.

9. Existen Daños a equipos o

Instalaciones

Uso Incorrecto de

políticas de seguridad

Desastres naturales,

sistemas de contingencia

(estabilizadores de

corriente, fuentes de

ventilación.)

Debe de haber Instalaciones adecuadas

para resistir a los desastres ambientales

como las inundaciones, sobre cargas

eléctricas)

Un adecuado Plan de contingencia

10. No Hay seguridad informática

(amenaza) peligro del sistema

Debilidades del sistema

Desastres naturales

Utilizar un buen firewall y antivirus

Tener un control de acceso en base de

datos y sobre los sistemas de

aplicación.

Usar niveles de protección informática

11. Existe Daño Irreparable de

equipos y pérdida de

información.

suministro de energía

eléctrica deficiente

Tener estabilizadores y ups en buen

estado y de buena calidad y una buena

calidad de red eléctrica.

Utilizar equipos de variación de

voltaje.

12. Hay Fallas en los sistemas de

información y Afectación del

funcionamiento de equipos

Tensión eléctrica sufre

diversas fluctuaciones.

Tener una adecuada instalación

eléctrica que soporte las diversas

fluctuaciones de electricidad.

electrónicos.

13. Existe un Alto riesgo de corto

circuito (ocasiona daños

permanentes en el hardware.

Subidas de tensión y

Picos de tensión.

Usar equipos de protección contra la

variación de voltajes.

Usar dispositivo protector que limita

las subidas transitorias de tensión

14. Que el Hardware no cumpla con lo requerido en el sistema.

Poca Capacidad de almacenamiento.

Verificar cada uno de los componentes

antes de la adquisición de un

computador

15. Los componentes del Hardware sean de baja calidad.

Por economizar dinero no se adquieran equipos be buena calidad.

Sin importar el valor adquirir equipos

de buena calidad.

16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware.

Por falta de precauciones se dañen algunas partes del hardware.

Contratar gente con experiencia que

tenga en cuenta todas las precauciones

al momento de manipular las partes

del hardware.

17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones.

Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus.

Estipular 1 mantenimiento preventivo

y correctivo por periodo con personal

idóneo

18. Las partes internas del hardware se dañen o vuelvan el computador más lento.

El polvo que cae al computador

ubicar los computadores lejos de las

ventanas, cuando no estén en uso

mantenerlos tapados con forros

adecuados

19. Que el computador quede obsoleto y se pierda la información

Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus.

Hacer revisión semanal de los

antivirus y su actualización automática

y así evitar que un virus se filtre.

20.Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas

El polvo que cae al computador. Además no se tiene ninguna precaución con la instalación de Software

Ubicación adecuada de los equipos y

personal idónea que los maneje

21.Equipos con partes que no corresponden

No hay inventario de los equipos y las partes pueden ser cambiadas por otras de baja calidad

Crear un inventario de los equipos

existentes para tener mayor control al

respecto.

22.Falta de plan de prevención y riesgos ante cualquier evento

No existe un plan de contingencia que ayude a

Capacitar al personal sobre las medias

a seguir si se presenta un evento

catastrófico que amenace la vida del personal

combatir una emergencia. catastrófico por medio de simulacros

23. Que los fusibles de la fuente de poder se quemen.


Contar con una planta eléctrica para

remplazar la energía cuando esta de

vaya

24.Que la tarjeta madre se presente conflicto con la memoria RAM


Contar con UPS para regular la cargar

de energía y evitar daños

25. Que la información que se está trabajando se pierda en el momento que el computador se apaga.


Adquirir el hábito de ir guardando la

información de forma constante para

evitar pérdidas.

26. Poca seguridad del hardware de

la empresa.

Mal uso de los

computadores o uso

malintencionado.

Configurar los equipos y dispositivos

de red de forma que sea lo más

complicado posible realizar

manipulaciones sobre ellos.

27. Fallas inesperadas en el sistema. Esto se debe a posibles

virus, o estar instalando y

desinstalando programas

una y otra vez también

puede ocasionar

problemas.

Evitar meter al computador memoria

con virus, entrar a páginas no segura o

hacer compras por internet en páginas

spy, esto ocasiona fallas y virus en el

sistema.

28.Limpieza interna y externa de los

computadores

Posibles daños en el

computador ocasionados

por la suciedad.

Hacer mantenimiento progresivo a los

computadores, ya que estos

constantemente les cae polvo y

ocasiona daños.

29.Fallas en la unidad del disco duro

y placa madre mainboard

Estas fallas se presentan

cuando hay una placa

dañada esto puede dañar

los demás componentes

conectados a ella

incluyendo el procesador

etc.

Haciendo un recorrido visual por la

placa, podremos observar a simple

vista los capacitores afectados.

30Fallas en los dispositivos

informáticos por los transitorios

impulsivos.

Son fenómenos inherentes

al funcionamiento de las

cargas con dispositivos

electrónicos.

Instalar una red de alta, media y baja

tensión, para así evitar daños ocurridos

por las fuertes descargas eléctricas,

rayos y accidentes en los postes o

torres de transmisión.

31.Fallas en los daños internos del sistema operativo

Se deben al apago

inoportuno del equipo,

dejando procesos a medio

realizar.

Coordinar las instrucciones internas y

externas para que el conjunto produzca

finalmente el resultado esperado.

32. Mal funcionamiento de los

ventiladores de la CPU.

Esto se debe a la suciedad

que se acumula por lo

tanto baja

considerablemente la

velocidad del

Es recomendable hacer servicio de

limpieza al ventilador regularmente por

lo general cada 6 meses.

funcionamiento.

DICTAMEN DE AUDITORÍA

1.1 LINEA DEL SISTEMA DE INFORMACIÓN

Destinatario: E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA

Análisis del sistema de información, salvaguarda el activo empresarial, mantiene la integridad

de los datos

Los sistemas de información, Revelan una evolución positiva desde la perspectiva de los

indicadores de la situación sistemática.

La situación fiscal de la Ese Hospital Integrado San Juan de Cimitarra a diciembre 31 del 2014 es

positiva y presenta liquidez, se hace análisis de cada procesos COBIT evaluados de la misma

manera se determina cada Riesgos y Cada control propuesto.

El Informe se apoya en los datos suministrados por el área de sistemas, presupuesto y control

interno del Ese de Cimitarra.

ALCANCE

Identificación de los procesos COBIT y SI relevantes, Determinar el nivel de complejidad de los

sistemas Identificar y evaluar el riesgo En la empresa con sistemas complejos, Evaluar y

documentar la efectividad Determinando el nivel de complejidad de los sistemas.

Se hace evidencia de los siguientes procesos:

Proceso: AI3 Adquirir y mantener la arquitectura tecnológica.

Objetivo de Control: Evaluación de Hardware, con un Nivel de madurez de Nivel de 1 INICIAL, se

encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son

espontáneos y desorganizados para los sistemas de información; Mala calidad, Administradores

inexpertos o negligentes en el uso y adquisición del software.

Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software, con un

Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y

riesgos existentes porque Los procesos son espontáneos y desorganizados, Existen Fallos del

sistema operativo, disco duro y demás hardware.

Proceso: DS12 Administración de Instalaciones.

Objetivo de Control: Hacer mantenimientos en redes eléctricas para cumplir con el buen

funcionamiento de energía e instalaciones y así evitar accidentes por el mal estado de los cables

de luz. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos

existentes, porque Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.

Objetivo de Control: Suministro Interrumpido de Energía. Con un Nivel de Madurez 1-INICIAL, se

encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son

espontáneos y desorganizados, Existe Daño Irreparable de equipos y pérdida de información.

Proceso: Protección contra Factores Ambientales.

Objetivo de Control: Seguridad Física. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a

los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, Los procesos están

estandarizados, se documentan, de acuerdo a los riesgos , Existe Fallas en los sistemas TIC por

instalación; Uso de topología inadecuada y seguridad

Condiciones medioambientales.

2. AUDITORIA DE MANTENIMIENTO

5.1 Alcance de la Auditoria.

• Planes y procedimientos de Mantenimiento

• Normativa

5.2. Objetivos de la Auditoria.- Realizar un informe de Auditoria con el objeto de evaluar el

mantenimiento correctivo y preventivo del software.

5.3. Referencia Legal:

• Estándares – ISO/IEC 12207 – IEEE 1074 – IEEE 1219 – ISO/IEC 14764

Resultado:

Se hace análisis del proceso de mantenimiento y no cumple con los objetivos propuestos.

6. Administración de Instalaciones De Redes eléctricas

Alcance de la Auditoria.

Organización de Instalaciones eléctricas

Mantenimiento de redes eléctricas

Planes y procedimientos

Objetivos de la Auditoria. 14. Realizar un informe de Auditoria con el objeto de verificar las adecuaciones de las

instalaciones eléctricas con el fin de no tener Daños Irreparables de equipos y pérdida de

información.

preguntas 100% 80% bueno 60% regular 20% no cumple

excelente

Evaluar la

existencia, difusión,

aplicación y uso de

contra

contingencias de

sistemas.

x

Evaluar las medidas

preventivas o

correctivas en caso

de siniestro en el

área de sistemas

x

Resultado:

Se debe de mejorar la parte de las instalaciones de redes eléctricas, para poder disminuir y

optimizar las pérdidas de información y tener un plan de contingencia actualizado y

mejorado para poder prevenir siniestros en esta área.

INFORME FINAL DE AUDITORÍA

CARTA DE PRESENTACION DEL EQUIPO AUDITOR

Miércoles, 20 de mayo de 2015

CARTA DE PRESENTACION

Cimitarra Santander, mayo 20 del 2015

Directora RESPONSABLE-Gerente SANDRA XIMENA CARDENAS NARVAEZ Presentación formal del informe de auditoría.

REF: Auditoria al Sistema de Información, E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA

Estimada Gerente: Sandra Cárdenas

Somos una entidad emprendedora en el servicio de auditoría de sistemas. El objetivo de esta carta es la presentación de las falencias y problemáticas encontradas en el área de sistemas de la institución prestadora de servicios de salud, que fueron de gran ayuda para la realización de este proyecto. Las instalaciones del área de sistemas cuentan con unos excelentes equipos de cómputo para el uso de los usuarios (agentes administrativos, equipo médico y demás), pero esta cuenta con algunos problemas que pueden poner en riesgo sus equipos.

Le podemos ofrecer la asesoría y ayuda de cómo puede mejorar esas falencias encontradas en las instalaciones. Es importante realizar este proceso para evitar grandes pérdidas a futuro y mejorar el uso de esta lo más antes posible.

Dispuestos siempre a proporcionarle una respuesta adecuada a sus necesidades, estaremos llamando para concertar una cita o reunión para la entrega formal del informe.

Gracias por su pertinente atención,

Cordialmente,

EQUIPO AUDITOR

Nilsa Atehortua Galeano

Auditora fiscal CC.1099546747

Cel.: 3174922676

e-mail: aslinag Maribel Pardo Galeano Contralor publico

Luzmar Flórez

Abogada

Objetivos de la auditoria

Análisis de la eficiencia de los Sistemas Informáticos

Verificación del cumplimiento de la Normativa en este ámbito

Determinar la veracidad de la información del área de sistemas

Revisar las políticas de usos de los equipos

Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pc

Revisión de la eficaz gestión de los recursos informáticos.

Administración del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Verificar los avances tecnológicos

Protección y Seguridad

Planes de continuidad y Recuperación de desastres

LOS ALCANCES DE LA MISMA

ALCANCE

La auditoría Informática se orientó al análisis y evaluación de la gestión desarrollada por la

entidad, en la administración de los bienes Informáticos o tecnológicos, infraestructura e

instalaciones eléctricas, recursos y el cumplimiento de su actividad misional, conforme a las

normas y principios que regulan el ejercicio de la gestión fiscal, con los procedimientos

establecidos por la Contraloría General de Santander, sobre los documentos e información

suministrada por la administración de la E.S.E. Hospital Integrado San Juan de Cimitarra.

Es responsabilidad del Representante Legal de la Entidad el contenido de la información

suministrada.

El presente Informe se efectuó sobre la base de un análisis y evaluación de los sistemas de

información y cifras registradas en la rendición de la cuenta a través de SIA confrontada con la

documentación verificada en el trabajo de campo, sobre el análisis de la información que se hizo

en forma selectiva de algunos de los documentos y revisión de equipos informáticos, instalaciones

en redes eléctricas, donde verifican una serie de Riesgos encontrados y aclaraciones solicitadas así

como a los resultados que se observaron en el trabajo de campo practicado en la Auditoría

realizada

Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el

examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en

el informe.

PROBLEMAS QUE SE PRESENTARON EN EL PROCESO DE AUDITORÍA RESPECTO A CONSECUCIÓN DE LA INFORMACIÓN

Se hace verificación de los documentos respecto a su autenticidad y se comprueba que en

la parte de mantenimiento preventivo y correctivo de equipos de cómputo y elementos

informáticos no poseen una veracidad de estas actividades, evidenciadas por medio de

redivisión de estos elementos durante la auditoria.

Se verifica que no hay un cronograma o agenda real del ingeniero de sistemas de la

organización, solo presenta de forma documentada, pero desorganizada…Algunos datos

no son reales y de realiza su verificación por medio de revisiones.

LISTA DE LOS HALLAZGOS ENCONTRADOS

Hallazgos

En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de

Cimitarra no se hacen los respectivos mantenimientos preventivos y correctivos

periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los

archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica

que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema

de auditoria informática.

No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y

preventivos.

No existen hojas de vida para cada equipo de cómputo o dispositivo informático

En cuanto al lugar adecuado para el proceso de mantenimientos, se debe de tener un sitio apropiado para este ya que se presenta mucho polvo y mugre que se esparce y se inhala por el personal médico y usuarios.

No hay una adecuada la iluminación del área donde se encuentran los equipos de

cómputo.

No Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos

informáticos.

En cuanto al Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware). Se debe de tener un mantenimiento y mejora para los sistemas de información y para prevenir riesgos profesionales.

En cuando a las políticas de seguridad no concretan los procesos y procedimientos para copias de seguridad y restauración de las mismas. Las políticas de seguridad no

contemplan la periodicidad de revisión de las bitácoras para la actividad de, mantenimientos correctivos y preventivos, base de datos y al sistema operativo. No hay una apropiada administración de usuarios en el sistema de información.

En cuanto a objetividad de planes de mantenimiento preventivo y correctivo: El plan de mantenimiento es correctivo para equipos de infraestructura del hospital, no preventivo. No existe documentación sobre el procedimiento a seguir y frecuencia para realizar evaluaciones y observaciones, actualización, riesgos, vulnerabilidades y requerimientos de seguridad.

Perdida de información, por problemas en los equipos por fallas en disco duro.

RECOMENDACIONES O CONTROLES PROPUESTOS

El presente Informe es de carácter preliminar, en consecuencia de los hallazgos

consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro

del debido proceso.

Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus

archivos. El escrito de contradicción debe allegarse en medio físico y magnético

Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el

presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una

planeación de actividades diseñada por la oficina de control interno donde permita verificar

el cumplimiento de los procedimientos de cada área. No existen procedimientos para las

áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar

a cabo.

No existe un mapa de riesgos de la entidad.

El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia

siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO

Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y

elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO.

Recomendación: Con respecto al área de sistemas El Administrador de la respectiva Empresa,

debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición,

actualización, arreglos eléctricos y mantenimientos de hardware.

Recomendación: Con respecto a Realización de mantenimientos, se debe de hacer para optimizar

el funcionamiento del disco duro.

Con respecto a la existencia de planes de mantenimiento preventivo y correctivo se recomienda:

Definir un plan de mantenimiento preventivo y correctivo. Asignar personal que se encargue de

ejecutarlo. Definir un plan para adquisición y mantenimiento de la infraestructura tecnológica.

Asignar personal que se encargue de documentar el procedimiento a seguir sobre evaluación,

actualización, riesgos, vulnerabilidades y requerimientos de seguridad.

Recomendación: Con respecto una adecuada instalación eléctrica se debe de tener una instalación

que soporte las diversas fluctuaciones de electricidad.

Recomendación: Con respecto a equipos de protección se debe de usar para contra la variación

de voltajes.

Recomendación: Con respecto al Uso de dispositivo protector que limita las subidas transitorias

de tensión, para optimizar la información y la calidad de equipos.

metodologia y fases de auditoria

Education