Académique Documents
Professionnel Documents
Culture Documents
Autor
Carmen Paladines Edgar Guillermo
Asesor
Ing. Fernando Infante
Piura - 2011
NDICE GENERAL
CAPTULO I
GENERALIDADES
1.1.
Titulo
1.2.
Tipo de Investigacin
1.3.
Localidad o institucin donde se realiza la investigacin
1.4.
Autor
1.5.
Asesores
1.6.
Duracin del Proyecto.
CAPTULO II
PLAN DE INVESTIGACIN
2.1.
Descripcin de la Realidad Problemtica
2.2.
Formulacin del Problema
2.2.1.
Pregunta General
2.2.2.
Preguntas de Investigacin
2.2.3.
Objetivo General
2.2.4.
Objetivos Especficos
2.3.
Justificacin de la Investigacin
2.4.
Limitaciones de la Investigacin
2.5.
Marco Referencial Cientfico
2.5.1.
Antecedentes (internacional, nacional, regional y local)
2.6.
Marco Terico
2.6.1.
La Institucin: Hospital de Apoyo I Santa Rosa Piura
2.6.2.
Objetivos y metas de La Intitucin
2.6.3.
Polticas generales de la Institucin.
2.6.4.
Estrutura Orgnica Actual de la Institucin
2.6.5.
Actividades Principales de la Institucin
2.6.6.
reas Funcionales y descripcin de funciones
2.6.7.
rea de Estudio : Organigrama del Area de estudio
2.6.8.
Descripcin General de rea a Auditar
2.6.9.
Descripcin de la Red de Datos del Hospital
2.6.10. Descripcin del Hardware
2.6.11. Descripcin del Sotfware
2.6.12. Auditora en Redes
2.6.13. COBIT y otros estndares aplicados a Auditora Informtica en Redes y
comunicaciones
2.6.14. Gestin de Redes y Comunicaciones
2.7.
Marco Conceptual
2.7.1. Auditora Informtica ..................................................................................................... 36
2.7.2. Control Interno .............................................................................................................. 36
2.7.3. Red Informtica ............................................................................................................ 36
2.7.4. COBIT ........................................................................................................................... 37
2.7.1. Redes de Comunicacin ...............................................................................................37
2.8
Hiptesis
2.9.
Varibles e Indicadores
2.9.1.Variables......................................................................................................................... 38
2.9.2 Indicadores .................................................................................................................... 38
CAPTULO III
METODOLOGA
3.1.
Tipo de Estudio
AUDITORIA INFORMATICA ORIENTADA
3.2.
Diseo de Estudio
3.3.
Poblacin y Muestra
3.3.1.Muestra
3.4.Mtodos de Investigacin
3.5.
Tcnicas y Recoleccin de Datos
3.5.1. Tcnicas
3.5.2. Instrumentos
3.6.
Mtodos de Anlisis de Datos
CAPTULO IV
ADMINISTRACIN
4.1.
Cronograma de Actividades
4.2.
Presupuesto
4.3.
Financiamiento
CAPTULOIV
REFERENCIAS BIBLIOGRAFICAS
ANEXOS
ANEXO 1: Guia de Entrevista N1
ANEXO 2: Guia de Entrevista N2
ANEXO 3: Guia de Entrevista N3
ANEXO 4: Guia de Entrevista N4
ANEXO 5 Guia de Entrevista N5
ANEXO 6: Cuestionario N1
ANEXO 7: Cuestionario N2
ANEXO 8: Cuestionario N3
ANEXO 9: Estrutura de la Red Infomtica
ANEXO 10: Fotos del Servidor del Hospital de Apoyo I Santa Rosa - Piura
ANEXO 11: Fotos de Switch del Hospital de Apoyo I Santa Rosa - Piura
ANEXO 12: Fotos del Router y UPS
NDICE DE CUADROS
AUDITORIA INFORMATICA ORIENTADA
INTRODUCCIN
Hoy en da las comunicaciones y redes se han convertido en el soporte de cualquier entidad, ya
que estas ayudan a un mejor desarrollo de actividades y servicios. Estos servicios brindan
AUDITORIA INFORMATICA ORIENTADA
CAPTULO I
DATOS GENERALES
Auditoria Informtica Orientada a la Gestin de las Comunicaciones Y Redes Del Hospital I Santa
Rosa Piura basada en COBIT
1.2 Tipo de Investigacin
Investigacin Tecnolgica Aplicada (*) puesto que se pone en prctica los conocimiento tericos
para compararlos con la problemtica real existente en la institucin.
1.3. Localidad o institucin donde se realiza la investigacin
CAPTULO II
PLAN DE INVESTIGACION
2. El Problema
2.1 Descripcin de la Realidad del Problemtica
El Hospital Santa Rosa es una institucin abocada a la prestacin de servicios y que tiene
como funcin principal los servicios de salud de alta calidad y de carcter integral dirigidos
a las personas que proceden de cualquier punto del mbito regional.
Cuenta con cinco unidades diferentes, siendo una de ellas La unidad de Estadstica e
Informtica, que es la encargada de brindar el soporte en tecnologas de la informacin y
telecomunicaciones, para gestionar la calidad de sus servicios, optimizar procesos,
garantizando la solidez financiera de la Institucin.
La Unidad de Estadstica e Informtica presenta deficiencias en lo que respecta a la
estructuracin de la Red y Telecomunicacin del Hospital, que pone en riesgo el activo ms
importante de una institucin o empresa, su informacin, hardware y software, puesto que
existe un evidente vaco de filtros, virus informticos que se expanden por toda la Red,
ocasionando la infeccin de los dems equipos de cmputo de las diferentes Unidades del
Hospital Santa Rosa Piura.
La institucin cuenta en la actualidad (inventario 2011) con tres servidores y con 87
estaciones de trabajo las cuales estn distribuidas en las diferentes reas tanto
administrativas como de servicio y atencin al usuario del Hospital.
El rea de Estadstica e Informtica ha creado una lista describiendo los utilitarios a
instalarse en las estaciones de trabajo y a pesar que existe la normativa no se toma en
cuenta, ya que en algunas estaciones se ha visto instalado programas como el Messenger,
Juegos u otros no relacionados con el trabajo esto hace deducir que los usuarios tienen el
control total sobre su mquina ya que no existe un congelador instalado u otra aplicacin
que ayude a solucionar el problema.
Otro de los motivos por el cual el usuario instala programas innecesarios o navega en
pginas no adecuadas se debe que el servidor no cuenta con un PROXYS actualmente,
esto incrementa la descarga de archivos innecesarios (Virus Informticos), el retraso de los
procesos puesto que se pierde tiempo navegando en pginas que no son de inters.
En lo que respecta a copias de seguridad, el rea de Estadstica e Informtica solo hace
backup de los sistemas centralizados con son el SIHOS, SISMED, SIGA, SIAF, SIEM, se
realizan cada da y se guardan en el servidor despus de un mes recin los transfieren a
un disco duro extrable de 1 TeraByte de capacidad y este se deja dentro de la oficina ya
AUDITORIA INFORMATICA ORIENTADA
mencionada dejando de lado la proteccin de la copia puesto que esta se debe guardar en
un lugar seguro lejos del rea de trabajo, para los dems sistemas informticos cada rea
hace sus propios backup, y las guardan en sus correos electrnicos, disquete, USB, etc.
Sin embargo estas copias de seguridad ya sean para los Sistemas Centralizados o
Sistemas Informticos son echas sin precaucin alguna, es decir, sin percatarse de una
infeccin de la Red que ocasionara una no posible restauracin del Backup generado.
A pesar de esto no hay polticas de prevencin dadas al personal del hospital que
certifiquen un respaldo efectivo.
Por otro lado hay usuarios que le han puesto a su mquina seguridad de autentificacin a
travs de Windows por iniciativa propia, se podra quiz estar hablando de usuarios con
un conocimiento medio en cuestiones de seguridad y los dems no tienen, debido a falta
de orientacin al personal y lo ms resaltante que existe solo grupo de trabajo, no hay un
servidor dominio que realice el proceso de autentificacin.
Todas las estaciones de trabajo estn conectadas bajo una nica red, pero el cableado,
rotulado y canaletas son deficientes puesto que no se ha implementado un estndar que
les permita administrar de manera eficiente la red de manera lgica y fsica, el cableado
est hecho con Cable UTP categora 5e, habiendo ya en el mercado categora 6 y 7.
Esto puede provocar perdida de informacin o retraso en la transferencia de informacin
debido a las malas conexiones.
La Topologa que se usa en esta Institucin de Salud es: Estrella Extendida. Cada vez se
extiende ms, puesto que si es necesario o requerido por el personal administrativo se
adiciona un nuevo punto de Red, generando una infeccin de la mquina que requiri un
punto de Red, debido a que la Red se encuentra infectada.
10
Revisar y evaluar los controles implementados en los Sistemas informticos del rea
de comunicaciones y redes. Para garantizar la integridad y la confiabilidad de la
informacin.
Evaluar la seguridad de la aplicacin de controles internos a la red del Hospital.
Evaluar el alineamiento de la gestin de redes y comunicaciones con las metas del
Hospital.
Determinar el nivel de madurez de la gestin de la Red y Comunicacin del Hospital
de acuerdo a COBIT.
Determinar controles a implementarse de acuerdo a las deficiencias encontradas.
Evaluar y revisar el cumplimiento de la aplicacin de Tcnicas de Internet e Intranet.
2.3. Justificacin
Justificacin Cientfica
Se justifica cientficamente, puesto que este Proyecto de Investigacin ser un aporte fundamental,
que plantear opciones inteligentes para resolver el problema en curso, que adems dejara
constancia del conocimiento aplicado y resultados generados, que sern tiles para
AUDITORIA INFORMATICA ORIENTADA
11
investigaciones futuras que traten un tema similar y para la propia institucin que contar con
fuentes de informacin relacionadas con una problemtica propia.
Justificacin Tecnolgica
Justificacin Institucional
experiencia necesaria para desenvolvernos en este mercado, as como cumplir con un requisito de
la Universidad, para obtener el ttulo Profesional de Ingeniero de Sistemas.
2.4 Limitaciones
El presente trabajo de investigacin, evaluara las deficiencias en el rea de Estadstica e
Informtica del Hospital Santa Rosa Piura, que servir como mapa para realizar los cambios que
se necesitan realizar con el fin de asegurar informacin y equipos de la entidad, basndose en
estndares internacionales.
Es limitado el acceso a las fuentes primarias debido a la falta de disponibilidad de tiempo del
personal que labora en el rea del NODO de Telecomunicaciones.
2.5. Marco Referencial Cientfico
2.5.1 Antecedentes (Internacionales, Nacionales y locales)
Antecedentes Internacionales
12
MATUTE Macas, Mara del Carmen & QUISPE Cando, Trnsito del Rosario. 2006. Escuela
Politcnica Nacional, Quito, Ecuador.
Metodologa: Marco de trabajo COBIT, el cual, si bien es cierto no es una metodologa, proporciona
un conjunto de normas y buenas prcticas para el gobierno de las TI. Los investigadores han
abarcado todos los cuatro dominios de COBIT (descritos en el concepto de COBIT dentro del
marco conceptual) pero de ellos han seleccionado algunos procesos y uno o dos objetivos de
control para cada uno (como se pareca en el ndice del trabajo de investigacin). La metodologa
usada ha tomado en cuenta evaluar, primero, la planificacin y organizacin de TI; luego, la
adquisicin de TI; a continuacin, el servicio de soporte y, por ltimo, el monitoreo de los procesos
de gestin de TI, poniendo nfasis en la seguridad, que se refleja en la evaluacin del servicio de
soporte (garantizar la continuidad del servicio y garantizar la seguridad de los sistemas).
Con respecto a la Metodologa usada, se concluye lo siguiente:
13
SIERRA & GARRIDO (2004) desarrollaron la tesis Anlisis comparativo entre el enfoque
tradicional y los enfoques modernos de evaluacin y mejora del control interno (Informes
COSO, COCO y COBIT) en las organizaciones. Universidad de Carabobo. Facultad de Ciencias
Econmicas y Sociales.
Metodologa: Los investigadores realizan un anlisis comparativo entre el enfoque tradicional y los
enfoques modernos de evaluacin y mejora del control interno en las organizaciones.
AUDITORIA INFORMATICA ORIENTADA
14
Antecedes Nacionales
15
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular:
a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la
Auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnicas
de Sistemas
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna
Antecedes Locales
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I en la UCV-Piura.
RIEGA Reto, Marco Antonio. 2010. Universidad Cesar Vallejo - Piura
Metodologa: El investigador aplica el estndar ISO/IEC 17799, el cual se organiza en diez
secciones que tratan diversos tpicos en gestin de seguridad de las TI: Planificacin contina del
Negocio, Sistema de Control de Acceso, Sistema de Desarrollo y Mantenimiento, Seguridad Fsica
y del Entorno, Conformidad, Seguridad Personal, Seguridad Organizacional, Administracin de
Redes y Ordenadores, Clasificacin y Control de Activos, y Polticas de Seguridad.
Entre las conclusiones ms resaltantes tenemos:
-
de derechos y perfiles.
Se recomienda desarrollar e implementar un procedimiento de respaldo (uso de backups).
16
Ya mencionados los objetivos generales del Hospital, ahora paso a detallar los objetivos
especficos de esta Institucin de Salud. Los mencionare brevemente:
Mejorar mediante mecanismos fluidos y oportunos
17
18
y nacionales.
Gestin sanitaria orientada a solucionar los problemas de salud pblica
Universalizacin de la seguridad social
Acceso oportuno a los servicios de salud
Atencin a poblaciones dispersas y excluidas
Medicamentos de calidad para todos/as
Descentralizacin e integracin regional de salud
Financiamiento en funcin de metas
Gestin y desarrollo de los recursos humanos
Prioridad de las gestiones de promocin y prevencin de la salud.
El Hospital de Apoyo a su vez cuenta con las Polticas Generales Regionales, a continuacin las
mencionare:
recursos.
Fortalecer el Rol Rector de Salud en la Regin, impulsando el Consejo Regional y
2.6.4
19
20
El Hospital de Apoyo I Santa Rosa Piura brinda servicios de salud en casos de emergencia, realiza
tratamientos mdicos a asegurados y particulares. Realiza exmenes clnicos, servicios de
farmacia, Hospitalizacin.
El hospital capacita y realiza charlas informativas para con su personal que labora en la institucin.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
2.6.6 reas funcionales y descripcin de funciones
21
Unidad de Administracin
22
Es la oficina encargada de lograr que el hospital cuente con los recursos humanos, materiales y
econmicos necesarios, as como del mantenimiento y servicios generales, para el cumplimiento
de los objetivos estratgicos y funcionales asignados; depende de la direccin.
En la unidad de Administracin del Hospital encontramos la oficina de logstica, se encarga del
proceso de planear, implementar y controlar efectiva y eficientemente el flujo y almacenamiento de
bienes, servicios e informacin relacionada del punto de origen al punto de consumo con el
propsito de cumplir los requisitos. Con el fin de aumentar la eficiencia de la gestin de los
procesos logsticos es muy til la subdivisin del sistema logstico en subsistemas que agrupen
procesos y tareas relacionadas.
Tambin existe la Oficina de Proyeccin Social, se encarga de mejorar y afianzar el trabajo
comunitario que se realiza en las zonas urbano-marginales y rurales ms necesitadas de nuestro
departamento.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
Unidad de Estadstica e Informtica: Nodo Telecomunicaciones
Es la oficina encargada de lograr que el Hospital provea la informacin estadstica de salud y el
soporte informtico, mecanizacin e integracin de los sistemas de informacin requeridos para los
procesos organizacionales; depende de la Direccin General.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
Unidad de Planeamiento Estratgico
Es la oficina encargada de facilitar asesora tcnica encargado de la planificacin de las
actividades del Hospital, la racionalizacin de los recursos y el manejo de las inversiones.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
Unidad de Epidemiologa
Garantiza la aplicacin de la metodologa y normatividad institucional vigente en materia de
vigilancia epidemiolgica e infecciones nosocomiales, con la participacin de todos los servicios del
hospital, para que los procesos relativos a los mismos, se desarrollen con tica y en forma
oportuna, eficiente, efectiva, resolutiva, con sentido humano y calidad, con el propsito de mejorar
las prcticas de atencin a los usuarios y en forma paralela, elevar la satisfaccin profesional del
propio personal, contribuyendo a mejorar el nivel de salud y calidad de vida de los usuarios y
prestadores de servicio de la institucin.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
AUDITORIA INFORMATICA ORIENTADA
23
24
25
Esta unidad tiene la funcin de brindar soporte informtico (desarrollo de sistemas, mantenimiento
de redes, PCs y sistemas), tambin maneja informacin de indicadores tales como: extensin de
uso (cantidad de paciente llegados al establecimiento, mensualmente), intensidad de uso
(frecuencia de atenciones por paciente, mensualmente), intervalos de sustitucin de cama (lapso
de tiempo libre de una cama entre un paciente y otro), permanencia de estancia de pacientes
(tiempo de hospitalizacin), productividad de sala de operaciones (nmero de operaciones por
tiempo de actividad de sala), etc.
Fuente: Unidad de Estadstica e Informtica.
Brindar un servicio informtico a las dems reas con las que cuenta el Hospital.
Recolectar y analizar de los datos de diferentes fuentes, es decir de las reas de
comunicacin como son administracin, contabilidad, personal, saneamiento ambiental,
red.
Reducir los problemas de comunicacin entre las mquinas clientes y servidor.
Uniformizar el estndar del cableado estructurado.
Prever plan de contingencia ante futuros imprevistos.
Fuente: Unidad de Estadstica e Informtica.
26
Respecto al servidor, ste presta soporte a las bases de datos del diferente software utilizados en
cada una de las reas con la que cuenta el hospital. As mismo permite el acceso al Internet y
brinda el servicio de intranet. Presenta las siguientes caractersticas:
En lo que respecta a las estaciones de trabajo la mayora de equipos han sido adquiridos
recientemente, todos cuentan con estabilizador
caractersticas:
Controller [A-1].
27
2.7.4
-
Descripcin de Software
Sistema operativo del servidor:
El servidor cuenta con el siguiente sistema operativo: Microsoft Windows Server 2003
Server (Enterprise Edicin).
Software aplicativos:
Todas las computadoras incluyendo al servidor, cuentan con los siguientes programas
aplicativos:
Adems del software anteriormente mencionado, algunas reas en el Hospital utilizan los
diferentes Sistemas de Gestin de Procesos. Tenemos:
Sistema de Farmacia y Caja: controla el stock, precios, preventas y
28
turnos captados por las diferentes cajas (un total de 4) en el hospital de los diversos
servicios que se prestan (consulta externa, ecografas, diagnstico por imgenes,
etc.).
Sistema de Admisin: lleva a cabo la apertura historias clnicas de
la programacin mensual de
29
30
los responsables de la red, lo que ayuda a la gestin proactiva que se ayuda mediante
herramientas tecnolgicas que facilitan la labor de los responsables, sin embargo estas actividades
se vern facilitadas si la Unidad de Estadstica e Informtica, especialmente el NODO de
Telecomunicaciones cuenta con una poltica de seguridad
actualizada, entendible, entendida y seguida, permitiendo al personal del rea conocer lo que
deben defender de lo contrario no se tomarn las decisiones correctas en caso de sobrevenir
situaciones que rompen la rutina de la administracin de la red.
Muchas empresas y organizaciones comenten el error de no alinear la administracin de las
Tecnologas de la Informacin con sus principios, objetivos o metas corporativas, sin embargo hay
muchos expertos en redes, sistemas informticos o soporte que adoptan una postura demasiada
tcnica, dejando de lado u olvidando las implicaciones de su labor en los objetivos de la empresa.
Con lo que respecta al marco de trabajo en que se basara la auditoria informtica a realizarse para
el Hospital de Apoyo I Santa Rosa Piura, indicar la justificacin de la eleccin de COBIT, el cual
es el estndar con el que se va a trabajar.
31
organizacin que las Tecnologas de la Informacin son administradas responsablemente y que los
riesgos sean administrados apropiadamente. Esto es sometido a la medicin y monitoreo
constante.
COBIT est orientado al negocio, orientado a procesos, basado en controles y orientado por la
medicin.
Est orientado al negocio porque est diseado como una gua integral para la gerencia y para los
dueos de los procesos de negocio (COBIT 4.1, 2007,10) dndole un papel importante a la
informacin para que la empresa u organizacin alcance sus objetivos, cuando los objetivos y
metas se han definido
Los dominios de COBIT engloban 34 procesos que son tiles para identificar si las actividades y
responsabilidades de la organizacin se cumplen, y a pesar de que no se recomienda aplicar todos
los procesos del COBIT, el marco de trabajo rene una lista completa de ellos.
COBIT est basado en controles porque reconoce que cada proceso necesita ser controlado para
asegurar que los objetivos del negocio puedan llevarse a cabo y para detectar, corregir y prevenir
sucesos no deseados. (COBIT 4.1, 2007,13)
Todos los controles de COBIT no pueden ser implementados, sino que deben seleccionarse
aquellos que se van a aplicar, decidir los que se van a implementar y finalmente aceptar el riesgo
de no implementar los controles que podra aplicar.
COBIT est impulsado por la medicin porque proporciona una visin del nivel en el que la
empresa se encuentra, en el que se est proyectando, el avance hacia esa meta y la relacin costo
beneficio por alcanzar ese nivel deseado; para ello COBIT propone modelos de madurez para
conocer qu tan bien una organizacin est administrando las Tecnologas de Informacin de tal
manera que puede estar en uno de los seis niveles de madurez desde el nivel 0, es decir, no
existente, hasta un nivel 5 u optimizado (COBIT 4.1, 2007,17).
Los niveles de madurez son inversamente proporcionales al riesgo existente en la administracin
de las Tecnologas de Informacin, a mayor madurez en los procesos, menos nivel de riesgo y
viceversa.
32
empresa.
1 Inicial: La empresa ha reconocido que existen problemas que deben ser resueltos, pero
no existen procesos estndar sino procesos ad-hoc y una administracin con enfoque
an no organizado.
2 Repetible: Los procesos siguen procedimientos similares en reas diferentes que
travs de entrenamiento.
4 Administrado: Los procesos estn en constante mejora y proporcionan buenas prcticas.
33
Tomando el caso de MAGERIT, en el proceso P09, COBIT recomienda un anlisis de riesgos pero
no dice cmo, en cambio MAGERIT propone los procedimientos y tcnicas a aplicarse, sucede lo
mismo con respecto a las Auditoras en Redes y Comunicaciones, para ese fin existen numerosos
estndares muchos de ellos son modelos y paradigmas de gestor agente o la gestin OSI.
Los estndares enmarcados con COBIT servirn de base para basar el desarrollo de esta auditora
en redes y comunicaciones del Hospital de Apoyo I Santa Rosa Piura.
2.7.7 Gestin de Redes y Comunicaciones
Hoy en da las organizaciones se han visto en la necesidad de invertir en tecnologas que permitan
su manejo eficiente para lograr sus metas y objetivos, pero no solo basta con tener la tecnologa o
contar con el personal que sepa usarla, sino, en saber gestionarla.
Segn Roberto Hernando (2003), refiere que la gestin de red es el conjunto de actividades
dedicadas al control y vigilancia de recursos de telecomunicacin. Su principal objetivo es
garantizar un nivel de servicio en los recursos gestionados con el mnimo coste
Fuente: (<http://www.rhenardo.net/modules/tutorials/doc/redes/Gredes.html>,2003).
Sin embargo hay otra definicin segn Mendoza (2010), la gestin de redes se compone de los
elementos de toda gestin, en otras palabras, es la planificacin, organizacin, operacin,
mantenimiento y control de los elementos que forman una red para garantizar un nivel de servicio
de acuerdo a un costo.
Fuente. (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones >, 2010, p. 3).
Puntualmente T.Saydam y T.Magedanz(1996), dice que los elementos que una gestin de redes
debe considerar: La gestin de redes incluye el despliegue, integracin y coordinacin del
hardware, software y los elementos humanos para monitorizar, probar, sondear, configurar,
analizar, evaluar y controlar los recursos de la red para conseguir los requerimientos de tiempo
real, desempeo operacional y calidad de servicio a un precio razonable
De estas definiciones se puede concluir que la gestin de redes no se diferencia de cualquier tipo
de gestin en lo que respecta a los elementos de control: Planificacin, organizacin, direccin y
control; a la consideracin de los elementos humanos y a la persecucin de un mismo fin.
De las definiciones anteriores se infiere que la importancia fundamental de una gestin en redes es
minimizar los gastos y, sobretodo, prdidas, que pueden producirse de darse una mala gestin.
34
Citando nuevamente a Mendoza (2010), esta importancia general puede desglosarse en las
siguientes, de las cuales se citarn algunas:
-
Los sistemas de informacin son imprescindibles y estn soportados sobre las redes.
La informacin manejada tiende a ser cada da mayor y estar ms dispersa.
Aumentar la satisfaccin de los usuarios.
Tecnologa heterognea: Existen productos y servicios de mltiples fabricantes los cuales
incorporan diversas tecnologas que provocan un aumento constante de la complejidad de
los recursos gestionados tanto en cantidad como en heterogeneidad
Fuente: (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones >,2010, p. 5, p. 6)
interconexin.
Prestaciones: Facilidades dedicadas a evaluar el comportamiento de objetos
Mendoza (2010) afirma que las reas funcionales de la gestin definen lo que se va a gestionar y la
forma como se gestiona la red, se realiza por medio del monitoreo y control de la misma.
AUDITORIA INFORMATICA ORIENTADA
35
36
2.8.4 COBIT
37
COBIT (Control Objectives for Information and related Tecnology) es un modelo, marco de trabajo
(framework) o marco de referencia creado por ISACA en 1996 con la misin de investigar,
desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso
diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento
(COBIT 4.1, 2007,9).
COBIT toma en cuenta 4 dominios:
1. Planear y Organizar: Proporciona direccin para la entrega de
soluciones y la entrega del servicio
2. Adquirir e Implementar: Proporciona las soluciones y las pasa para
convertirlas en servicios.
3. Entregar y Dar Soporte: Recibe las soluciones y las hace utilizables
para los usuarios finales.
4. Monitorear y Evaluar: Monitorear todos los procesos para asegurar que
se sigue la direccin provista.
comunicarse e
intercambiar
informacin,
utilizando
sus
propios recursos o
recursos ajenos. Cuando las computadoras conectadas estn prximas unas a otras, la red se
llama red local (local network).
Las redes de comunicaciones estn compuestas por nodos, estos son los puntos de conexin
en la red que contienen las fronteras comunes entre las diferentes computadoras y terminales
de usuarios dentro de una red.
Fuente:( http://www.docstoc.com/docs/21359474/ -REDES-Y-TELECOMUNICACIONES)
38
2.9 Hiptesis
La aplicacin de una auditora basada en COBIT mejora la gestin de redes y comunicaciones
del Hospital de Apoyo I Santa Rosa Piura.
2.10
Variables e indicadores
2.10.1 Variables
TIPO
Independiente
Dependiente
Interviniente
NOMBRE
DEFINICIN
Auditora Informtica
2.10.2 Indicadores
Indicador
Definicin
Conceptual
Definicin
Operacional
39
Unidad
Tcnica
Instrume
NHP=T . H . P . I
Nmero
de
horas perdidas
por usuario al
mes, debido a
interrupciones a
la red. (NHP)
Nmero
de
veces que se ha
realizado
el
mantenimiento
preventivo de la
red en el ao.
(NVMRA)
Nmero
de
incidentes de la
Red
resueltos
en el Tiempo
Requerido.
(NIRTR)
Es el nmero total de
incidentes de la Red y
comunicaciones que se
resuelven en el tiempo
requerido.
Es el total de horas
perdidas
por
interrupciones
del
servicio planeadas como
no planeadas
Dnde:
T.H.P.I= Total de horas perdidas por
interrupciones
Mes
Entrevista
Gua de
Entrevista
Anual
Entrevista
Gua de
Entrevista
Mes
Entrevista
Gua de
Entrevista
NVMRA=TNuM . A
Dnde:
NuM.A = Numero de mantenimiento
a la red (por ao)
Matriz de consistencia
Indicador
Definicin
Conceptual
Definicin
Operacional
Unidad
Tcnica
Instrumento
Mes
Revisin
Bibliogrfica
Fichas
Bibliogrficas
Semestral
Entrevista
Gua de
Entrevista 04
PCFSR=(TCF )100
Porcentaje
de
Controles fsicos
que garantiza la
seguridad de la
Red. (PCFSR)
Inversin total
en actualizacin
de Tecnologas
de Informacin
(ITATI)
Dnde:
Es el porcentaje total de
controles aplicados a la
red fsica del Hospital.
Es
el
Total
del
presupuesto invertido en
la actualizacin de las
Tecnologas
de
Informacin,
para
mejorar la Red del
ITATI =TI
Dnde:
ITATI=
inversin
en
la
total
40
actualizacin
de
tecnologas
informacin.
TI = Total de Inversin
Hospital.
Porcentaje
de
controles
lgicos
para
garantizar
la
seguridad de la
Red. (PCLSR)
de
PCLSR=(TCL)100
Es el porcentaje total de
controles aplicados a la
red lgica del Hospital.
Dnde:
PCLSR= Porcentaje de controles
lgicos de seguridad de la Red.
TCL= Total de Controles lgicos.
Mes
Revisin
Bibliogrfica
Fichas
Bibliogrficas
Indicador
Definicin
Conceptual
Definicin
Operacional
Unidad
Tcnica
Instrumento
Porcentaje
de
madurez de la
gestin de redes
del
Hospital
(PMGRH)
Nmero
de
controles para
evitar el acceso
fsico
no
autorizado.
(NCEAFA)
Es el Porcentaje de
nivel alcanzado en los
procesos aplicados a
aspectos de la gestin
de redes.
Dnde:
PNMM = Nivel de Madurez
Mantenimiento de la red
PNMA = Nivel de Madurez
Actualizacin
de
Personal
administracin de TI
PNMR = Nivel de Madurez en Gestin
Riesgos
en
Anual
Encuesta
en
en
Cuestionario
01
Cuestionario
02
Cuestionario
03
Tel
de
NTCEAFA=NCEAFA
Nmero de controles
para evitar el acceso
fsico no autorizado.
Dnde:
NTCEAFA= Nmero total de controles
para evitar el acceso fsico no autorizado.
NCEAFA= Nmero de controles para evitar
el acceso fsico no autorizado
Semestral
Entrevista
41
Gua de
Entrevista 05
Tel
CAPTULO III
METODOLOGA
42
N DE PERSONAS
1
3
2
2
1
2
TOTAL
11
Cuadro N5: Unidad del NODO de Telecomunicaciones y su nmero de trabajadores.
Elaborado por el autor
43
3.3.1 Muestra
Por una poblacin pequea no se calcular muestra, dado que en la Unidad del NODO de
Telecomunicaciones no existen gran cantidad de personas que laboren en esa unidad.
3.4. Mtodos de Investigacin
El mtodo de investigacin se basara en tres etapas:
ETAPAS
DESCRIPCIN
Se recopilar informacin de la Unidad
Etapa N1
Etapa N2
Etapa N3
Entrevista
Segn Morales Lizarazo las entrevistas se definen como las tcnicas que se utilizan para obtener
informacin de forma verbal, a travs de preguntas, acerca de las necesidades de la organizacin.
Los entrevistados deben ser personas relacionadas de alguna manera con la organizacin, el
sistema actual o el sistema propuesto. En la investigacin se realizara mediante la aplicacin de
Guas de entrevista al personal de la Unidad.
Encuestas
Para Morales Lizarazo es una tcnica para recopilar informacin tomando una muestra de la
poblacin objetivo, se obtiene informacin sobre las necesidades y preferencias de usuarios o
clientes, difiere de un censo en donde toda la poblacin es estudiada, se pueden obtener datos
estadsticos de la informacin recolectada, las preguntas suelen ser cerradas. Se realizara esta
tcnica al aplicar los cuestionarios al personal de la Unidad del NODO de Telecomunicaciones.
Revisin Bibliogrfica
44
Segn Morales Lizarazo revisin bibliogrfica es el proceso por cual se considera la literatura
existente sobre el tema que se va a investigar. Para la revisin de fuentes bibliogrficas es que
utilizaremos esta tcnica.
3.5.2 Instrumentos
Los Cuestionarios
Eunice Garrido.Pueden define a los cuestionarios como una la nica forma posible de relacionarse
con un gran nmero de personas para conocer varios aspectos del sistema, se pueden obtener
respuestas ms honestas debido al anonimato de los participantes, las preguntas estandarizadas
pueden arrojar datos ms confiables En el proyecto utilizaremos cuestionarios para recolectar
informacin.
Gua de Entrevista
Garrido expresa que es una gua que contiene los temas, preguntas sugeridas y aspectos a
analizar en una entrevista de trabajo.
Fichas Bibliogrficas
Segn Quiroz Vctor una ficha bibliogrfica es una ficha pequea, destinada a anotar meramente
los datos de un libro o artculo. Estas fichas se hacen para todos los libros o documentos que
eventualmente son tiles a nuestra investigacin.
3.6. Mtodos de anlisis de datos
La informacin se analizara utilizando los siguientes mtodos:
MTODO
DESCRIPCIN
Para la recoleccin, anlisis e interpretacin
Anlisis estadstico
de datos.
Aplicado a los cuestionarios aplicados.
Se aplicara para analizar los datos obtenidos
Tabulacin
Distribucin de frecuencias y
DESCRIPCION
Aplicado a indicadores como: Nmero de
45
resultados.
Cuadro N8: Medidas de Tendencia.
Elaborado por el autor
46
CAPTULO IV
ADMINISTRACIN
RECURSO
Personal
Hardware
DESCRIPCION
CANTIDAD
1
1
1
1
1
PRECIO
UNITARIO
(S/.)
150.00
270.0
SUBTOTAL
2220.00
100.00
20.00
SUBTOTAL
47
TOTAL (S/.)
150.00
270.00
420.00
2220.00
100.00
20.00
2320.00
Software
Otros
Materiales
Servicios
1
1
450.00
210.00
450.00
210.00
1
1
1
1
1
1
1
1
1
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
SUBTOTAL
25.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
660.00
25.00
1
5
25.00
10.00
25.00
50.00
1
2
1
2
1
Fotocopiado
Transporte Urbano
Energa elctrica
Internet
0
1
3
3
1.50
0.70
100.00
8.00
300.00
SUBTOTAL
0.10
100.00
30.00
120.00
SUBTOTAL
TOTAL
1.50
1.40
100.00
16.00
300.00
518.90
0.00
100.00
90.00
360.00
550.00
4468.90
4.3 Financiamiento
El Proyecto fue financiado de la siguiente manera:
-
48
49
CAPTULO V
REFERENCIAS BIBLIOGRAFICAS
GARIBALDI, J. & Mahdi, A.E. IEEE (1998). Gestin de Red Proactiva usando
Minera de Datos. Recuperado el 15 de setiembre del 2011:
http://tonet.0catch.com/doc/datamine1.pdf
50
51
MATUTE Macas, Mara del Carmen & QUISPE Cando (2006), Trnsito del
Rosario. Auditora de la Gestin de Seguridad en la Red de Datos del Swisstel
basada en COBIT. Recuperado el 04 octubre del 2011:
http://biblioteca.epn.edu.ec/catalogo/fulltext/CD-0049.pdf
http://es.scribd.com/doc/17740680/Auditorias-de-Seguridad-Informatica-y-
la-OSSTMM
52
ANEXOS
53
ANEXO 1
54
ANEXO 2
55
ANEXO 3
incidentes.
Actualizacin de planes de contingencia ante incidentes de red.
56
ANEXO 4
57
ANEXO 5
fsico no autorizado.
Personal autorizado para la Red de Hospital
ANEXO 6
CUESTIONARIO N01: GESTIN DE RIESGOS DE RED
Encuestado: ______________________________________________
AUDITORIA INFORMATICA ORIENTADA
58
Cargo: _______________________
Fecha:
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
EVALUACIN
0 1 2 3 4
PREGUNTAS
Existen procedimientos de control para mitigar los riesgos
identificados?
El monitoreo de la red se rige en base a estndares ya
establecidos o mediante el uso de software que cumplen dichos
estndares?
Se realizan evaluaciones de vulnerabilidad de manera
regular?
Se monitorea la red y servidores constantemente?
Se han clasificado los incidentes de red segn su impacto?
Se han documentado los procedimientos de control interno del
rea de redes?
La misma se encuentra disponible y es conocida por los
responsables del rea?
Los responsables y colaboradores de la administracin de la
red cuentan con funciones bien definidas y documentadas?
El rea cuenta con un plan de contingencia para TI (redes)?
Los procedimientos del plan de contingencia son de
conocimiento de los responsables del rea?
Se documentan los principales incidentes de red?
Se analizan los anteriores para mejorar el control interno y
realimentar la gestin de riesgos?
La documentacin de incidentes de red es la adecuada?
Se revisan con frecuencia las polticas y procedimientos de
gestin de riesgos en el rea?
Se actualizan las polticas y procedimientos de gestin de
riesgos en el rea?
ANEXO 7
Encuestado: ________________________________________
AUDITORIA INFORMATICA ORIENTADA
59
Cargo: __________________________________
Fecha:
EVALUACIN
0 1 2 3 4
PREGUNTAS
El personal y colaboradores del rea pueden suplir al administrador
de la red en caso de ausencia de ste?
El personal del rea es evaluado con regularidad?
El personal mejora su desempeo despus de una capacitacin?
El personal del rea es capacitado en el uso de nuevos equipos?
El personal del rea es capacitado cuando son implantados nuevos
procedimientos o polticas?
La capacitacin del personal del rea cuenta con las vas de
comunicacin adecuadas?
El personal del rea de redes se siente satisfecho con las
capacitaciones brindadas?
Existen procedimientos formales de capacitacin al personal de TI?
El rea cuenta con un programa de capacitacin para nuevos
trabajadores?
El personal del rea se encuentra capacitado para responder en
caso de producirse un incidente en la red?
El personal del rea, a su vez capacita a los usuarios finales ante
cambios de procedimientos de gestin de la red?
Se maneja una programacin de capacitaciones de actualizacin del
personal del rea de redes?
Se maneja una programacin de capacitaciones realizadas por el
rea de redes para los usuarios finales?
Los directivos de la organizacin son conscientes de la importancia
de tener un personal de TI capacitado?
Lo anterior se traduce en un apoyo significativo al rea?
ANEXO 8
CUESTIONARIO N03: MANTENIMIENTO DE LA RED
Encuestado: ___________________________________________
Cargo: _______________________________
Fecha:
60
PREGUNTAS
EVALUACIN
1 2 3 4
ANEXO 9
61
ANEXO 10
FOTOS: Servidor del Hospital
Apoyo I Santa Rosa Piura
62
ANEXO 11
FOTOS: Switch del Hospital Apoyo I Santa Rosa
63
ANEXO 12
FOTOS: Router del Hospital de Apoyo I Santa Rosa
64
FOTOS: UPS
65