Auditoria Informática Orientada A La Gestión de Las Comunicaciones Y Redes Del Hospital I Santa Rosa - Piura Basada en COBIT

Facultad de Ingeniera
Escuela de Ingeniera de Sistemas

Auditoria Informtica Orientada a la Gestin de las
Comunicaciones Y Redes Del Hospital I Santa Rosa
Piura basada en COBIT
Proyecto de Tesis para obtener el Ttulo Profesional de Ingeniero de Sistemas.
Autor
Carmen Paladines Edgar Guillermo
Asesor
Ing. Fernando Infante
Piura - 2011
NDICE GENERAL
CAPTULO I
GENERALIDADES
1.1.
Titulo
1.2.
Tipo de Investigacin
1.3.
Localidad o institucin donde se realiza la investigacin
1.4.
Autor
1.5.
Asesores
1.6.
Duracin del Proyecto.
CAPTULO II
PLAN DE INVESTIGACIN
2.1.
Descripcin de la Realidad Problemtica
2.2.
Formulacin del Problema
2.2.1.
Pregunta General
2.2.2.
Preguntas de Investigacin
2.2.3.
Objetivo General
2.2.4.
Objetivos Especficos
2.3.
Justificacin de la Investigacin
2.4.
Limitaciones de la Investigacin
2.5.
Marco Referencial Cientfico
2.5.1.
Antecedentes (internacional, nacional, regional y local)
2.6.
Marco Terico
2.6.1.
La Institucin: Hospital de Apoyo I Santa Rosa Piura
2.6.2.
Objetivos y metas de La Intitucin
2.6.3.
Polticas generales de la Institucin.
2.6.4.
Estrutura Orgnica Actual de la Institucin
2.6.5.
Actividades Principales de la Institucin
2.6.6.
reas Funcionales y descripcin de funciones
2.6.7.
rea de Estudio : Organigrama del Area de estudio
2.6.8.
Descripcin General de rea a Auditar
2.6.9.
Descripcin de la Red de Datos del Hospital
2.6.10. Descripcin del Hardware
2.6.11. Descripcin del Sotfware
2.6.12. Auditora en Redes
2.6.13. COBIT y otros estndares aplicados a Auditora Informtica en Redes y
comunicaciones
2.6.14. Gestin de Redes y Comunicaciones
2.7.
Marco Conceptual
2.7.1. Auditora Informtica ..................................................................................................... 36
2.7.2. Control Interno .............................................................................................................. 36
2.7.3. Red Informtica ............................................................................................................ 36
2.7.4. COBIT ........................................................................................................................... 37
2.7.1. Redes de Comunicacin ...............................................................................................37
2.8
Hiptesis
2.9.
Varibles e Indicadores
2.9.1.Variables......................................................................................................................... 38
2.9.2 Indicadores .................................................................................................................... 38
CAPTULO III
METODOLOGA
3.1.
Tipo de Estudio
AUDITORIA INFORMATICA ORIENTADA
CARMEN PALADINES EDGAR
A LA GESTIN DE LAS COMUNICACIONES

Y REDES DEL HOSPITAL SANTA ROSA PIURA
BASADA EN COBIT.
3.2.
Diseo de Estudio
3.3.
Poblacin y Muestra
3.3.1.Muestra
3.4.Mtodos de Investigacin
3.5.
Tcnicas y Recoleccin de Datos
3.5.1. Tcnicas
3.5.2. Instrumentos
3.6.
Mtodos de Anlisis de Datos
CAPTULO IV
ADMINISTRACIN
4.1.
Cronograma de Actividades
4.2.
Presupuesto
4.3.
Financiamiento
CAPTULOIV
REFERENCIAS BIBLIOGRAFICAS
ANEXOS
ANEXO 1: Guia de Entrevista N1
ANEXO 5 Guia de Entrevista N5
ANEXO 6: Cuestionario N1
ANEXO 9: Estrutura de la Red Infomtica
ANEXO 10: Fotos del Servidor del Hospital de Apoyo I Santa Rosa - Piura
ANEXO 11: Fotos de Switch del Hospital de Apoyo I Santa Rosa - Piura
ANEXO 12: Fotos del Router y UPS
NDICE DE CUADROS

BASADA EN COBIT.
Cuadro N1: Variables de la Tesis

Cuadro N2: Indicadores de la Auditoria Informatica
Cuadro N5: Unidad del NODO de Telecomunicaciones y su nmero de trabajadores
Cuadro N6: Etapas del Mtodo de investigacin
Cuadro N7: Mtodo de Anlisis de Datos
Cuadro N8: Medidas de Tendencia
Cuadro N9: Presuspuesto del Proyecto
NDICE DE IMAGENES
Imagen N1: Estructura Orgnica de la Institucin

Imagen N2: Organigrama del rea de Estudio
Imagen N3: Cronogramas de Actividades
Imagen N4: Diagrama de Gantt.
INTRODUCCIN
Hoy en da las comunicaciones y redes se han convertido en el soporte de cualquier entidad, ya
que estas ayudan a un mejor desarrollo de actividades y servicios. Estos servicios brindan

BASADA EN COBIT.
informacin sensible u de vital importancia para la organizacin, generando diversas acciones

relacionadas con la toma de decisiones, polticas de administracin, informes econmicos entre
otros, siendo esta susceptible a cualquier variacin, modificacin o prdida.
Sin embargo toda nueva Tecnologa trae consigo nuevos problemas, y en el caso de las redes y
comunicaciones una de las principales dificultadas es la seguridad. Se debe considerar que el
desconocimiento de las herramientas de seguridad disponibles para redes, hace que sean
inseguras. Estos problemas de seguridad abarcan cuestiones como vulnerabilidades en los
protocolos de comunicacin y mecanismos de autenticacin y proteccin de datos dbiles dentro
de la red de la organizacin.
Para evaluar y revisar controles, sistemas, procedimientos
de informtica de los equipos de
cmputo es de vital importancia la utilizacin de eficiencia y seguridad, de la organizacin que

participa en el procedimiento de la informacin, con el fin de que por medio del sealamiento de
cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir
para la adecuada toma de decisiones.
Se considera necesario aplicar una auditora informtica de Comunicaciones y Redes al Hospital
de Apoyo I Santa Rosa Piura, utilizando el marco de trabajo COBIT. El motivo por el cual se
aplicara una auditoria solamente a la Red y comunicacin del Hospital es debido a la importancia
en el desarrollo de las actividades de atencin al paciente y administrativas del Hospital de Apoyo I
Santa Rosa Piura, puesto que se basan en la red en la cual depositan toda su confianza. Se
consider COBIT por el estndar de las buenas prcticas, ya que brinda una gestin general de las
Tecnologas de la Informacin. La investigacin se ha elaborado teniendo el apoyo de la direccin
del hospital, as como el jefe del rea de estadstica e informtica, quienes nos prestaron las
facilidades para realizar la investigacin.

BASADA EN COBIT.
CAPTULO I
DATOS GENERALES
1.1. Ttulo Tentativo


BASADA EN COBIT.
Auditoria Informtica Orientada a la Gestin de las Comunicaciones Y Redes Del Hospital I Santa
Rosa Piura basada en COBIT
1.2 Tipo de Investigacin
Investigacin Tecnolgica Aplicada (*) puesto que se pone en prctica los conocimiento tericos
para compararlos con la problemtica real existente en la institucin.
1.3. Localidad o institucin donde se realiza la investigacin
Hospital de Apoyo I Santa Rosa Piura

1.4. Autor
Carmen Paladines Edgar Guillermo
1.5 Asesores
Asesor Metodolgico: Lic. Luis Velez Ubills
Asesor Especialista: Ing. CIP. Fernando Infante
1.6 Duracin del proyecto
Del 29 de agosto del 2011 hasta el 17 de diciembre del 2011 Proyecto de Tesis IX Ciclo
Del 31 de marzo del 2011 hasta el 22 de julio del 2011 Desarrollo de Tesis X Ciclo

BASADA EN COBIT.
CAPTULO II
PLAN DE INVESTIGACION
2. El Problema
2.1 Descripcin de la Realidad del Problemtica

BASADA EN COBIT.
El Hospital Santa Rosa es una institucin abocada a la prestacin de servicios y que tiene
como funcin principal los servicios de salud de alta calidad y de carcter integral dirigidos
a las personas que proceden de cualquier punto del mbito regional.
Cuenta con cinco unidades diferentes, siendo una de ellas La unidad de Estadstica e
Informtica, que es la encargada de brindar el soporte en tecnologas de la informacin y
telecomunicaciones, para gestionar la calidad de sus servicios, optimizar procesos,
garantizando la solidez financiera de la Institucin.
La Unidad de Estadstica e Informtica presenta deficiencias en lo que respecta a la
estructuracin de la Red y Telecomunicacin del Hospital, que pone en riesgo el activo ms
importante de una institucin o empresa, su informacin, hardware y software, puesto que
existe un evidente vaco de filtros, virus informticos que se expanden por toda la Red,
ocasionando la infeccin de los dems equipos de cmputo de las diferentes Unidades del
Hospital Santa Rosa Piura.
La institucin cuenta en la actualidad (inventario 2011) con tres servidores y con 87
estaciones de trabajo las cuales estn distribuidas en las diferentes reas tanto
administrativas como de servicio y atencin al usuario del Hospital.
El rea de Estadstica e Informtica ha creado una lista describiendo los utilitarios a
instalarse en las estaciones de trabajo y a pesar que existe la normativa no se toma en
cuenta, ya que en algunas estaciones se ha visto instalado programas como el Messenger,
Juegos u otros no relacionados con el trabajo esto hace deducir que los usuarios tienen el
control total sobre su mquina ya que no existe un congelador instalado u otra aplicacin
que ayude a solucionar el problema.
Otro de los motivos por el cual el usuario instala programas innecesarios o navega en
pginas no adecuadas se debe que el servidor no cuenta con un PROXYS actualmente,
esto incrementa la descarga de archivos innecesarios (Virus Informticos), el retraso de los
procesos puesto que se pierde tiempo navegando en pginas que no son de inters.
En lo que respecta a copias de seguridad, el rea de Estadstica e Informtica solo hace
backup de los sistemas centralizados con son el SIHOS, SISMED, SIGA, SIAF, SIEM, se
realizan cada da y se guardan en el servidor despus de un mes recin los transfieren a
un disco duro extrable de 1 TeraByte de capacidad y este se deja dentro de la oficina ya

BASADA EN COBIT.
mencionada dejando de lado la proteccin de la copia puesto que esta se debe guardar en
un lugar seguro lejos del rea de trabajo, para los dems sistemas informticos cada rea
hace sus propios backup, y las guardan en sus correos electrnicos, disquete, USB, etc.
Sin embargo estas copias de seguridad ya sean para los Sistemas Centralizados o
Sistemas Informticos son echas sin precaucin alguna, es decir, sin percatarse de una
infeccin de la Red que ocasionara una no posible restauracin del Backup generado.
A pesar de esto no hay polticas de prevencin dadas al personal del hospital que
certifiquen un respaldo efectivo.
Por otro lado hay usuarios que le han puesto a su mquina seguridad de autentificacin a
travs de Windows por iniciativa propia, se podra quiz estar hablando de usuarios con
un conocimiento medio en cuestiones de seguridad y los dems no tienen, debido a falta
de orientacin al personal y lo ms resaltante que existe solo grupo de trabajo, no hay un
servidor dominio que realice el proceso de autentificacin.
Todas las estaciones de trabajo estn conectadas bajo una nica red, pero el cableado,
rotulado y canaletas son deficientes puesto que no se ha implementado un estndar que
les permita administrar de manera eficiente la red de manera lgica y fsica, el cableado
est hecho con Cable UTP categora 5e, habiendo ya en el mercado categora 6 y 7.
Esto puede provocar perdida de informacin o retraso en la transferencia de informacin
debido a las malas conexiones.
La Topologa que se usa en esta Institucin de Salud es: Estrella Extendida. Cada vez se
extiende ms, puesto que si es necesario o requerido por el personal administrativo se
adiciona un nuevo punto de Red, generando una infeccin de la mquina que requiri un
punto de Red, debido a que la Red se encuentra infectada.
2.2 Formulacin del Problema

2.2.1 Pregunta General

BASADA EN COBIT.
10
De qu manera la aplicacin de la Auditoria Informtica basada en COBIT, mejorar la

gestin de Comunicaciones y Redes del Hospital de Apoyo I Santa Rosa Piura?
2.2.2 Preguntas Especficas
Cmo aumenta la seguridad de la Red con la Auditoria en Comunicaciones y
Redes basada en COBIT?

De qu manera se evaluar y revisar los controles implementados en los
Sistemas Informticos con la Auditoria a implementarse dentro del Hospital de
Apoyo I Santa Rosa - Piura?

De qu forma y en qu momento se reportan los riesgos, el control, el
cumplimiento y el desempeo de la gestin de la Red?

De qu manera se aplican los controles internos a la Red en el Hospital de Apoyo
I Santa Rosa - Piura?

Cmo se verificar el cumplimiento
comunicacin y redes dentro del Hospital?

De qu manera y en qu circunstancias se aplicarn las tcnicas de Internet e
del mantenimiento de los equipos de
Intranet, basndose en la gestin de la Red y Comunicacin del Hospital?
2.2.3 Objetivo General

Evaluar la gestin en Redes y Comunicaciones en el Hospital de Apoyo I Santa Rosa
Piura.
2.2.4 Objetivos Especficos
Revisar y evaluar los controles implementados en los Sistemas informticos del rea
de comunicaciones y redes. Para garantizar la integridad y la confiabilidad de la
informacin.
Evaluar la seguridad de la aplicacin de controles internos a la red del Hospital.
Evaluar el alineamiento de la gestin de redes y comunicaciones con las metas del
Hospital.
Determinar el nivel de madurez de la gestin de la Red y Comunicacin del Hospital
de acuerdo a COBIT.
Determinar controles a implementarse de acuerdo a las deficiencias encontradas.
Evaluar y revisar el cumplimiento de la aplicacin de Tcnicas de Internet e Intranet.
2.3. Justificacin
Justificacin Cientfica
Se justifica cientficamente, puesto que este Proyecto de Investigacin ser un aporte fundamental,
que plantear opciones inteligentes para resolver el problema en curso, que adems dejara
constancia del conocimiento aplicado y resultados generados, que sern tiles para

BASADA EN COBIT.
11
investigaciones futuras que traten un tema similar y para la propia institucin que contar con
fuentes de informacin relacionadas con una problemtica propia.
Justificacin Tecnolgica
Para la realizacin del Proyecto de Investigacin es necesario el uso de conocimientos de la

carrera de ingeniera de sistemas, en cuanto a lo que respecta a la gestin de tecnologas de
informacin.
Justificacin Institucional
Es importante desarrollar la investigacin en la cual se planteara la implementacin de una

Auditoria Informtica para determinar la seguridad de la Comunicacin y Red del Hospital Santa
Rosa de Piura, debido a que existe la necesidad de fortalecer aspectos en lo que respecta a la Red
y Comunicacin de dicha institucin, adems permitir a los responsables del rea de estadstica e
Informtica controlar de forma eficiente Topologa de la Red.
Justificacin del Investigador
La presente investigacin permitir al investigador ampliar los conocimientos sobre Redes y

Telecomunicaciones,
relacionados con la realidad laboral, de la misma forma adquirir la
experiencia necesaria para desenvolvernos en este mercado, as como cumplir con un requisito de
la Universidad, para obtener el ttulo Profesional de Ingeniero de Sistemas.
2.4 Limitaciones
El presente trabajo de investigacin, evaluara las deficiencias en el rea de Estadstica e
Informtica del Hospital Santa Rosa Piura, que servir como mapa para realizar los cambios que
se necesitan realizar con el fin de asegurar informacin y equipos de la entidad, basndose en
estndares internacionales.
Es limitado el acceso a las fuentes primarias debido a la falta de disponibilidad de tiempo del
personal que labora en el rea del NODO de Telecomunicaciones.
2.5. Marco Referencial Cientfico
2.5.1 Antecedentes (Internacionales, Nacionales y locales)
Antecedentes Internacionales
Auditora de la gestin de seguridad en la red de datos basada en COBIT.


BASADA EN COBIT.
12
MATUTE Macas, Mara del Carmen & QUISPE Cando, Trnsito del Rosario. 2006. Escuela
Politcnica Nacional, Quito, Ecuador.
Metodologa: Marco de trabajo COBIT, el cual, si bien es cierto no es una metodologa, proporciona
un conjunto de normas y buenas prcticas para el gobierno de las TI. Los investigadores han
abarcado todos los cuatro dominios de COBIT (descritos en el concepto de COBIT dentro del
marco conceptual) pero de ellos han seleccionado algunos procesos y uno o dos objetivos de
control para cada uno (como se pareca en el ndice del trabajo de investigacin). La metodologa
usada ha tomado en cuenta evaluar, primero, la planificacin y organizacin de TI; luego, la
adquisicin de TI; a continuacin, el servicio de soporte y, por ltimo, el monitoreo de los procesos
de gestin de TI, poniendo nfasis en la seguridad, que se refleja en la evaluacin del servicio de
soporte (garantizar la continuidad del servicio y garantizar la seguridad de los sistemas).
Con respecto a la Metodologa usada, se concluye lo siguiente:
COBIT es un proceso estndar, demasiado general, por eso es necesario, primero,
conocer la empresa y el rea a auditar y alinearlo con lo que sugiere COBIT.

Cabe mencionar que COBIT no es una metodologa, pero sin embargo presenta un
conjunto de guas que permiten analizar y evaluar las actividades de control interno en TI
realizadas por una empresa. En el rea responsable.

A travs de COBIT se proporciona una visin general de las fortalezas y debilidades de
Tecnologas de Informacin de una empresa, sin embargo no da una respuesta
tecnolgica.
Auditora de la Seguridad Informtica en la Red de Datos.

MAYOL Arnao, Reinaldo N. 2006. Universidad de los Andes, Mrida, Venezuela
Metodologa: En el trabajo del investigador aclara que desarrolla un modelo no una metodologa
porque, ste solo se aplica a la realidad de la Red, no siendo universal. El autor emple la
Metodologa Abierta para Pruebas de Seguridad.

BASADA EN COBIT.
13
Segn el modelo se conforma de cuatro mdulos:

-
Definicin de las condiciones

Definicin de las caractersticas tcnicas
Pruebas de Penetracin
Revisin.
Algunas de las conclusiones ms resaltantes son:
Se us el modelo para auditar la red del Rectorado de la universidad Los Andes
demostrando que es vlido.

El modelo puede evolucionar y convertirse en un estndar de buenas prcticas.
Este modelo puede trascender del contexto aplicado porque aplica una visin intermedia:
ni tan alejada de la arquitectura ni demasiado dependiente de la misma.
Auditoras de Seguridad Informtica y la OSSTMM.

HERVALEJO Snchez, Alberto. 2009. Universidad Politcnica de Valencia, Espaa
Metodologa: El investigador aplica la Open Source Security Testing Methodology Manual
(OSSTMM), una metodologa que ha sido producto de la colaboracin de ms de 150 expertos en
seguridad de todo el mundo y sigue en constante evolucin conforme nuevas amenazas vayan
apareciendo.
La metodologa divide el proceso de auditora en seis secciones (designada por letras de la A hasta
la F): Seguridad de la Informacin, seguridad de los procesos, seguridad en las tecnologas de
Internet, seguridad en las comunicaciones, seguridad inalmbrica y seguridad fsica.
El investigador llega a una conclusin general en la cual resalta la importancia de la capacitacin
de los usuarios (no limitarse slo al punto de vista tcnico) en el proceso de mejoramiento de los
controles de seguridad para las TI.
SIERRA & GARRIDO (2004) desarrollaron la tesis Anlisis comparativo entre el enfoque
tradicional y los enfoques modernos de evaluacin y mejora del control interno (Informes
COSO, COCO y COBIT) en las organizaciones. Universidad de Carabobo. Facultad de Ciencias
Econmicas y Sociales.
Metodologa: Los investigadores realizan un anlisis comparativo entre el enfoque tradicional y los
enfoques modernos de evaluacin y mejora del control interno en las organizaciones.

BASADA EN COBIT.
14
Lo ms resaltante de esta investigacin es que representa la conclusin de los estudios realizados

en el campo del anlisis corporativo Esta investigacin desarrolla un anlisis completo del estado
actual y futuro posible en las organizaciones, adems brinda un completo plan de estrategias y
metodologas de Seguridad Informtica.
Antecedes Nacionales
Sistema de Gestin de Seguridad de Informacin para una Institucin Financiera.

VILLENA Aguilar, Moiss Antonio. 2006. Pontificia Universidad Catlica del Per - Facultad de
Ciencias e Ingeniera- Lima
El investigador utiliza el Modelo de seguridad de informacin de McCumber, el cual es un modelo
que se caracteriza por ser, independiente del entorno, arquitectura o tecnologa que gestiona la
informacin de una organizacin. El modelo se aplica para todo tipo de organizaciones (es
universal).
Conclusiones que el autor cit:
La tecnologa de informacin por s sola garantiza la seguridad de informacin. De acuerdo
a los objetivos de negocio se vuelve imperativo gestionarla.

Si no se da la importancia debida a la proteccin de la informacin, de nada sirve los
ltimos adelantos tecnolgicos. El cual se ve reflejado en el cumplimiento de todas las
polticas de seguridad de informacin.
FIGUEROA (2003) desarrollo la Auditoria de Seguridad, en la Universidad Nacional Jos

Faustino Snchez Carrin. Facultad de Ingeniera.
Esta Tesis aporte en los cuestionarios y encuestas que se debe realizar para el desarrollo de la
evaluacin de hardware, aplicaciones de software y plan de contingencia y recuperacin.
El investigador ilustra sobre la aplicacin de las normas nacionales, el alcance, objetivos,
cronogramas, documentos a utilizar, metodologa de investigacin, informes finales y por
consiguiente sus respectivas conclusiones.
Entre las conclusiones resaltantes que el investigador cito:

BASADA EN COBIT.
15
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular:
a ello se debe la existencia de la Auditora de Seguridad Informtica en general, o a la
Auditora de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnicas
de Sistemas
Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna
forma su funcin: se est en el campo de la Auditora de Organizacin Informtica.

Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la Auditora es
la verificacin de la observancia de las normas tericamente existentes en el departamento
de Informtica y su coherencia con las del resto de la empresa.
Antecedes Locales
Auditora basada en ISO/IEC 17799 para la gestin de seguridad de las T.I en la UCV-Piura.
RIEGA Reto, Marco Antonio. 2010. Universidad Cesar Vallejo - Piura
Metodologa: El investigador aplica el estndar ISO/IEC 17799, el cual se organiza en diez
secciones que tratan diversos tpicos en gestin de seguridad de las TI: Planificacin contina del
Negocio, Sistema de Control de Acceso, Sistema de Desarrollo y Mantenimiento, Seguridad Fsica
y del Entorno, Conformidad, Seguridad Personal, Seguridad Organizacional, Administracin de
Redes y Ordenadores, Clasificacin y Control de Activos, y Polticas de Seguridad.
Entre las conclusiones ms resaltantes tenemos:
-
La aplicacin de la Auditoria ayudar a mejorar la gestin de la Seguridad de las T.I.

Identificacin de amenazas que afectan a la seguridad de las T.I
Debe implementarse, en OTI, un procedimiento formal para la concesin, administracin
de derechos y perfiles.
Se recomienda desarrollar e implementar un procedimiento de respaldo (uso de backups).
2.6 Marco Terico

2.6.1. La Institucin: Hospital de Apoyo I Santa Rosa Piura
Se encuentra ubicado en Av. Grau Chulucanas SNAAHH SAN MARTIN, Piura, Piura. Inicio sus
Actividades el 10 de Enero del 2009. Cuenta con una amplia gama de profesionales que conforman
esta institucin de salud.
El Hospital de la Amistad Per Corea es una Institucin especializada en recuperar la salud de las
personas en situaciones de emergencias y urgencias intra y extra hospitalarias, brindando atencin
mdica y quirrgica; con atencin de salud integral y especializada a la poblacin de su rea de
influencia, as como docencia e investigacin en el mbito nacional, con calidad y calidez.

BASADA EN COBIT.
16
2.6.2. Objetivos y Metas de la Institucin

El Hospital de Apoyo I Santa Rosa Piura, como toda institucin de salud posee sus objetivos y
sus metas. A continuacin mencionare brevemente sus objetivos, objetivos especficos y sus
metas:
Los objetivos generales del Hospital de Apoyo I Santa Rosa Piura:
El Hospital de Apoyo I Santa Rosa Piura tiene como objetivo general ampliar el acceso de
la atencin de salud, integral segn necesidades y demanda de los usuarios. Con esto
incrementara a la atencin con paquetes de servicios segn patologas de los usuarios que
acuden al establecimiento Hospitalario.
Mejorar la calidad y la organizacin de los servicios de salud; en funcin a las necesidades
y demanda de los usuarios.
Fortalecer las actividades de promocin de la salud y la prevencin contar los riesgos
que afectan la salud de la poblacin de la jurisdiccin.
Asegurar el acceso amplio a medicamentos de calidad con uso racional de los mismos.
Ampliar y proteger la oferta hospitalaria incorporando nuevas tecnologas mdicas e
informtica; para fortalecer el proceso de modernizacin pblica.
Fuente: - Manual de Funciones del Hospital Apoyo I Santa Rosa Piura.
- Plan de contingencia del Hospital de Apoyo I Santa Rosa Piura.
Ya mencionados los objetivos generales del Hospital, ahora paso a detallar los objetivos
especficos de esta Institucin de Salud. Los mencionare brevemente:
Mejorar mediante mecanismos fluidos y oportunos
el sistema de referencia y contra
referencia de la red de salud, a la que pertenece el Hospital.

Priorizar la atencin a los grupos poblacionales no asegurados especialmente de bajos
recursos y de indigentes que acuden a nuestro Establecimiento.

Mejoramiento de los procesos, procedimientos y protocolos hospitalarios.
Promover progresivamente la acreditacin de los servicios.
Incorporan oportunamente el requerimiento en los mecanismos de compras.
Contar con sistemas de aseguramiento de la calidad que incluye el cumplimiento de
buenas prcticas de control de calidad y de mantenimiento de medicamentos.

BASADA EN COBIT.
17
Potenciar la capacidad de gestin con la cooperacin Nacional e Internacional en materia

de inversiones para la ampliacin del Hospital.
Como toda Institucin de Salud, ya sea privada o estatal; cuenta con sus metas a mediano o largo
plazo dependiendo de la meta que se ha propuesto. El Hospital de Apoyo I Santa Rosa cuenta con
metas, las cuales mencionare a continuacin:
Meta N1: Incrementar
la cobertura de atencin integral especializado en la poblacin no
asegurada de menores ingresos econmicos.

Meta N2: Fortalecer un adecuado sistema de referencia y contra referencia en las redes de
salud.
Meta N3: Ampliar y modernizar la infraestructura, el equipamiento en general.
Meta N4: Crear mecanismos administrativos de bienestar e incentivos de personal para motivar
las capacidades y compromiso institucional.
Meta N5: Implementar progresivamente
con adecuada tecnologa el II nivel, contando con
proyectos de inversin y convenios de cooperacin nacional e internacional.

Meta N6: Estandarizar procedimientos y protocolos para intercambio de servicios y unidades al
interior del Establecimiento.
Meta N7: Concluir con la elaboracin y actualizacin de los documentos tcnico normativos de
gestin del Hospital.
Meta N8: Promover la accin sanitaria concertada con Municipios, las Instituciones Educativas, la
Sociedad Civil y Sector Privado, en la implementacin de programas de promocin y prevencin
de la salud.
Meta N9: Implementar adecuadamente mecanismos efectivos de vigilancia epidemiolgica intra y
extrahospitalaria.
Meta N10: Implementar un sistema eficiente y oportuno de abastecimiento ligado al petitorio
nacional nico de medicamentos esenciales en el sector pblico.
Meta N11: Asegurar la disponibilidad, calidad del servicio y precios asequibles a los usuarios del
Establecimiento Hospitalario.
Meta N12: Elaborar proyectos para la ampliacin de la infraestructura de tipo hospitalario.

BASADA EN COBIT.
18
2.6.3 Polticas generales de la Institucin

De acuerdo al Plan de Contingencia y Manual de Funciones del Hospital de Apoyo I Santa Rosa
Piura, la institucin de salud cuenta con polticas generales tanto nacionales como regionales.
Entre las Polticas Nacionales tenemos:
-
Adecuar el MINSA en funcin de la necesidad del cumplimiento de los objetivos regionales
y nacionales.
Gestin sanitaria orientada a solucionar los problemas de salud pblica
Universalizacin de la seguridad social
Acceso oportuno a los servicios de salud
Atencin a poblaciones dispersas y excluidas
Medicamentos de calidad para todos/as
Descentralizacin e integracin regional de salud
Financiamiento en funcin de metas
Gestin y desarrollo de los recursos humanos
Prioridad de las gestiones de promocin y prevencin de la salud.
El Hospital de Apoyo a su vez cuenta con las Polticas Generales Regionales, a continuacin las
mencionare:
Atencin Integral de Salud a toda la poblacin de la Regin Piura.

Reorientacin del gasto interno y externo para mejorar las condiciones de salud, logrando
el desarrollo en diferentes comunidades de la regin con nfasis a las de menores
recursos.
Fortalecer el Rol Rector de Salud en la Regin, impulsando el Consejo Regional y
Provincial Coordinado y Descentralizado de Salud.

Impulsar la promocin de la salud y prevencin de la enfermedad
Desarrollar Polticas de Gestin de Recursos Humanos con equidad y dignidad.
2.6.4
Estructura orgnica actual de la Institucin

BASADA EN COBIT.
19
Imagen N1: Estructura orgnica de la institucin

Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura
2.6.5. Actividades Principales de la Institucin


BASADA EN COBIT.
20
El Hospital de Apoyo I Santa Rosa Piura brinda servicios de salud en casos de emergencia, realiza
tratamientos mdicos a asegurados y particulares. Realiza exmenes clnicos, servicios de
farmacia, Hospitalizacin.
El hospital capacita y realiza charlas informativas para con su personal que labora en la institucin.
Fuente: Direccin General del Hospital de Apoyo I Santa Rosa Piura.
2.6.6 reas funcionales y descripcin de funciones

BASADA EN COBIT.
21
Unidad de Administracin

BASADA EN COBIT.
22
Es la oficina encargada de lograr que el hospital cuente con los recursos humanos, materiales y
econmicos necesarios, as como del mantenimiento y servicios generales, para el cumplimiento
de los objetivos estratgicos y funcionales asignados; depende de la direccin.
En la unidad de Administracin del Hospital encontramos la oficina de logstica, se encarga del
proceso de planear, implementar y controlar efectiva y eficientemente el flujo y almacenamiento de
bienes, servicios e informacin relacionada del punto de origen al punto de consumo con el
propsito de cumplir los requisitos. Con el fin de aumentar la eficiencia de la gestin de los
procesos logsticos es muy til la subdivisin del sistema logstico en subsistemas que agrupen
procesos y tareas relacionadas.
Tambin existe la Oficina de Proyeccin Social, se encarga de mejorar y afianzar el trabajo
comunitario que se realiza en las zonas urbano-marginales y rurales ms necesitadas de nuestro
departamento.
Unidad de Estadstica e Informtica: Nodo Telecomunicaciones
Es la oficina encargada de lograr que el Hospital provea la informacin estadstica de salud y el
soporte informtico, mecanizacin e integracin de los sistemas de informacin requeridos para los
procesos organizacionales; depende de la Direccin General.
Unidad de Planeamiento Estratgico
Es la oficina encargada de facilitar asesora tcnica encargado de la planificacin de las
actividades del Hospital, la racionalizacin de los recursos y el manejo de las inversiones.
Unidad de Epidemiologa
Garantiza la aplicacin de la metodologa y normatividad institucional vigente en materia de
vigilancia epidemiolgica e infecciones nosocomiales, con la participacin de todos los servicios del
hospital, para que los procesos relativos a los mismos, se desarrollen con tica y en forma
oportuna, eficiente, efectiva, resolutiva, con sentido humano y calidad, con el propsito de mejorar
las prcticas de atencin a los usuarios y en forma paralela, elevar la satisfaccin profesional del
propio personal, contribuyendo a mejorar el nivel de salud y calidad de vida de los usuarios y
prestadores de servicio de la institucin.

BASADA EN COBIT.
23
Unidad de Saneamiento Ambiental

Aquellos aspectos de la enfermedad humana y lesiones al ser humano, que son determinados o
condicionados por factores en el medio ambiente. Lo anterior implica el estudio de los efectos
patolgicos directos de diversos agentes qumicos, fsicos y biolgicos, as como los efectos que
ejerce el medio fsico y social en la salud en general, entre otros la vivienda, el desarrollo urbano, el
uso del terreno y el transporte, la industria y la agricultura.
Unidad de Apoyo a La Docencia
Es la unidad orgnica encargada de prestar apoyo a la docencia e investigacin segn los
convenios con las universidades y/o instituciones educativas; depende de la direccin.
2.7 rea de Estudio

Organigrama del rea de estudio

BASADA EN COBIT.
24
Imagen N2: Organigrama del rea de Estudio

Fuente: Unidad de Estadstica e Informtica.
2.7.1 Descripcin General Del rea a Auditar
Unidad de Estadstica e Informtica

BASADA EN COBIT.
25
Esta unidad tiene la funcin de brindar soporte informtico (desarrollo de sistemas, mantenimiento
de redes, PCs y sistemas), tambin maneja informacin de indicadores tales como: extensin de
uso (cantidad de paciente llegados al establecimiento, mensualmente), intensidad de uso
(frecuencia de atenciones por paciente, mensualmente), intervalos de sustitucin de cama (lapso
de tiempo libre de una cama entre un paciente y otro), permanencia de estancia de pacientes
(tiempo de hospitalizacin), productividad de sala de operaciones (nmero de operaciones por
tiempo de actividad de sala), etc.
Objetivos de la unidad de Estadstica e Informtica
En esta unidad encontramos los siguientes objetivos:

-
Brindar un servicio informtico a las dems reas con las que cuenta el Hospital.
Recolectar y analizar de los datos de diferentes fuentes, es decir de las reas de
comunicacin como son administracin, contabilidad, personal, saneamiento ambiental,
caja de emergencias, farmacia de emergencias, admisin de emergencias.

Formular medidas preventivas de la red del rea administrativa.
Informar al personal activo del rea los pasos a seguir en caso de cualquier riesgo.
Crear los controles adecuados para reducir el riesgo por fallas en el funcionamiento de la
red.
Reducir los problemas de comunicacin entre las mquinas clientes y servidor.
Uniformizar el estndar del cableado estructurado.
Prever plan de contingencia ante futuros imprevistos.
2.7.2 Descripcin de la Red de Datos del Hospital

Toda la red es administrada desde el servidor, el cual se encuentra en un ambiente con la
infraestructura adecuada el cual se denomina Nodo de Telecomunicaciones: Este ambiente cuenta
con aire acondicionado ya que adems del servidor tambin se encuentra el transformador de
corriente, adems de contar con un Rotures de 04 puertos con un DSL de 900 Mbps, 01 UPS y
cinco Switcht (Marca D-Link, de 24 puertos).
Fuente: Unidad de Estadstica e Informtica rea de Informtica
2.7.3 Descripcin de Hardware

La unidad de estadstica e informtica cuenta con 50 computadoras, un servidor de datos e Internet
y 48 estaciones de trabajo y una (1) Laptop.
Caractersticas del servidor

BASADA EN COBIT.
26
Respecto al servidor, ste presta soporte a las bases de datos del diferente software utilizados en
cada una de las reas con la que cuenta el hospital. As mismo permite el acceso al Internet y
brinda el servicio de intranet. Presenta las siguientes caractersticas:
Procesador: Intel Pentium IV, 2800 MHz.
Memoria: Trial Version.
Disco Duro: Maxtor 6Y080M0 (80 GB, 7200 RPM, Serial-ATA/150).
Tarjeta Grfica: RADEON 700 SERIES (16 MB).
Monitor: Monitor Plug and Play LG.
Grabadora: HL-DT-ST CD-RW GCE-8525B (52x / 32x /52x CD-RW).
Lectora: LITEON CD-ROM LTN486S (48x CD-ROM).
Tarjeta de red: Intel (R) PRO/1000 CT Network Connection.
Direccin Mac Principal: 00-09-6B-7F-76-5D.
Teclado y Mouse estndar.

Caractersticas de las estaciones de trabajo
En lo que respecta a las estaciones de trabajo la mayora de equipos han sido adquiridos
recientemente, todos cuentan con estabilizador
de corriente. Presentan las siguientes
caractersticas:
Procesador Intel Pentium 4A, 2666 MHz (5 x 533)
Memoria: 254 MB (PC2700 DDR SDRAM).
Disco Duro: 40 GB, ST380011A.
Tarjeta Grfica: Trident Video Accelerator 96XX/938X (1 MB).
Monitor: Plug and Play.
Lector Optico: HL-DT-ST CD-ROM GCR-8523B.
Tarjeta de Red: VIA VT6105 Rhine III Fast Ethernet Adapter

(192.168.1.30).
Tarjeta de Sonido: Intel 82801DB (M) ICH4 (-M) - AC'97 Audio
Controller [A-1].
Teclado y Mouse estndar.


BASADA EN COBIT.
27
2.7.4
-
Descripcin de Software
Sistema operativo del servidor:
El servidor cuenta con el siguiente sistema operativo: Microsoft Windows Server 2003
Server (Enterprise Edicin).
Sistema operativo de las estaciones:

Las estaciones en su mayora cuentan con sistema operativo Microsoft Windows XP
Professional, pero tambin encuentran computadoras con Windows 7.
Software aplicativos:
Todas las computadoras incluyendo al servidor, cuentan con los siguientes programas
aplicativos:
Microsoft Office 2003:
Nero StartSmart: utilitario para grabar informacin en cd.
WinRar y WinZip: compresor y descompresor.
Internet Explorer 8.0: para el acceso a Internet.
Windows Media Player.
Microsoft SQL Server: administrador de base de datos solo en el

servidor.
Microsoft Visual Studio 6.0.
Adobe Reader 7.0.
Antivirus Nod 32.
Adems del software anteriormente mencionado, algunas reas en el Hospital utilizan los
diferentes Sistemas de Gestin de Procesos. Tenemos:
Sistema de Farmacia y Caja: controla el stock, precios, preventas y
ventas de medicamentos, realiza un control de almacenes y de farmacia, genera

reportes de medicamentos, para el abastecimiento mensual de estos en el hospital.
Sistema de Ticket: se encarga de distribuir tickets para tener un
control de las consultas externas q son efectuadas en dos turnos de atencin

(maana y tarde), genera reportes diarios y mensuales de los pacientes atendidos
en las diferentes especialidades.

BASADA EN COBIT.
28
Sistema de Recursos Propios: gestiona los ingresos diarios por
turnos captados por las diferentes cajas (un total de 4) en el hospital de los diversos
servicios que se prestan (consulta externa, ecografas, diagnstico por imgenes,
etc.).
Sistema de Admisin: lleva a cabo la apertura historias clnicas de
pacientes nuevos y tiene un control de las historias clnicas de los pacientes

continuadores.
Sistema de Guardias: lleva a cabo
la programacin mensual de
guardias del personal del hospital (doctores y personal administrativo), se ingresan la

fecha y el tipo de guardia a realizar (diurna o nocturna), final de mes se corrobora las
guardias programadas con las guardias ejecutadas para ver se cumplen.
Sistema de Sala de Operaciones: lleva un control de los pacientes
atendidos en sala de operaciones para posteriores reportes.

Sistema de Programacin y Ejecucin de Presupuesto: se encarga
de la parte contable del hospital, sirve para devengar y confirmar cheques.

Sislab: tiene un control de los exmenes mdicos que se hacen en el
hospital, realiza la preventa de estos exmenes y genera los reportes de exmenes.
Fuente: Elaborado por el autor

BASADA EN COBIT.
29
2.7.5 La Auditora en Redes

Una Auditoria en redes consiste en la evaluacin de la gestin de la telemtica; es decir;
informtica ms comunicaciones. Puesto que se ha convertido en una funcin clave de la empresa,
por ese motivo la seguridad de la red y las comunicaciones es muy importante, en este mbito, los
riesgos presentes en la Red pueden darse por causas propias de la Tecnologa o por causa de
personas malintencionadas.
Si bien es cierto por motivos o problemas tcnicos, la transmisin de datos en la red puede fallar
debido a alteracin de bits, ocasionando un error en los medios de transmisin, alteracin de
secuencia o por ausencia de paquetes; es decir; desaparicin de las tramas por sobrecarga, error
del medio o error del direccionamiento.
Segn Boixo, 2008,497: los riesgos principales por delitos informticos son la Indagacin, que es la
lectura de un paquete por un tercero, la Suplantacin que es la introduccin de un paquete por un
tercero que el receptor del mensaje cree que es legtimo. La Modificacin, es decir; un tercero
modifica el contenido de un paquete envido.
El conocimiento del Auditor Informtico debe ser amplio, debe conocer sobre el modelo OSI (Open
System Interconection) y las siete capas que lo conforman. Adems segn el autor Boixo determina
que tanto la red fsica como la red lgica deben ser auditadas.
Fuente: (<http://www.slideshare.net/GeekMelomano/auditora-de-redes>, p.4).
Carlos Muoz propone la ejecucin de un anlisis de vulnerabilidad usando cualquiera de los
mtodos existentes: El de la caja negra (el auditor intentar vulnerar la red sin conocer nada de
ella) y el de caja blanca (donde la empresa le facilita cierta informacin de la red).
Fuente: (<http://www.slideshare.net/GeekMelomano/auditora-de-redes>, p. 14).
A pesar de ser dos tipos de pruebas muy interesantes no son de carcter obligatorio y, puede ser,
que la organizacin no permita a cualquier auditor realizarla salvo que ste pertenezca a alguna
empresa certificada en Hacking tico cuyos servicios son muy costosos.
El monitoreo de la red puede ser efectuado sin problemas por los administradores de la red de una
empresa como parte del control interno informtico de la red que puede incluir o no las pruebas
propuestas por Muoz o ceirse a los niveles propuestos por Boixo, depende de lo establecido por

BASADA EN COBIT.
30
los responsables de la red, lo que ayuda a la gestin proactiva que se ayuda mediante
herramientas tecnolgicas que facilitan la labor de los responsables, sin embargo estas actividades
se vern facilitadas si la Unidad de Estadstica e Informtica, especialmente el NODO de
Telecomunicaciones cuenta con una poltica de seguridad
escrita, aprobada formalmente,
actualizada, entendible, entendida y seguida, permitiendo al personal del rea conocer lo que
deben defender de lo contrario no se tomarn las decisiones correctas en caso de sobrevenir
situaciones que rompen la rutina de la administracin de la red.
Muchas empresas y organizaciones comenten el error de no alinear la administracin de las
Tecnologas de la Informacin con sus principios, objetivos o metas corporativas, sin embargo hay
muchos expertos en redes, sistemas informticos o soporte que adoptan una postura demasiada
tcnica, dejando de lado u olvidando las implicaciones de su labor en los objetivos de la empresa.
Con lo que respecta al marco de trabajo en que se basara la auditoria informtica a realizarse para
el Hospital de Apoyo I Santa Rosa Piura, indicar la justificacin de la eleccin de COBIT, el cual
es el estndar con el que se va a trabajar.
2.7.6 COBIT y otros estndares aplicados a Auditora Informtica en Redes y

Comunicaciones
COBIT (Control Objectives for Information and related Tecnology) es un modelo, marco de trabajo
(framework) o marco de referencia creado por ISACA y lanzado en 1996; la ltima versin estable
es la 4.1 y su ltima actualizacin es la 5, sta ltima solo disponible en ingls.
COBIT permite a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas
tcnicos y riesgos de negocio, y comunicar ese nivel de control a los interesados, con ese fin,
COBIT incorpora las mejores prcticas de gestin de Tecnologas de la Informacin, que incluye
COSO, ITIL, Norma ISO/IEC 17799, entre otras.
COBIT tiene por misin investigar, desarrollar, hacer pblico y promover un marco de control de
gobierno de Tecnologas de la Informacin autorizado, actualizado, aceptado internacionalmente
para la adopcin por parte de las empresas y el uso diario por parte de gerentes de negocio,
profesionales de TI y profesionales de aseguramiento (COBIT 4.1, 2007,9).
Segn COBIT la administracin de las Tecnologas de la Informacin, significa que las TI ests
orientadas al negocio; es decir; una alineacin estratgica, por tanto maximizan los beneficios de la

BASADA EN COBIT.
31
organizacin que las Tecnologas de la Informacin son administradas responsablemente y que los
riesgos sean administrados apropiadamente. Esto es sometido a la medicin y monitoreo
constante.
COBIT est orientado al negocio, orientado a procesos, basado en controles y orientado por la
medicin.
Est orientado al negocio porque est diseado como una gua integral para la gerencia y para los
dueos de los procesos de negocio (COBIT 4.1, 2007,10) dndole un papel importante a la
informacin para que la empresa u organizacin alcance sus objetivos, cuando los objetivos y
metas se han definido
Los dominios de COBIT engloban 34 procesos que son tiles para identificar si las actividades y
responsabilidades de la organizacin se cumplen, y a pesar de que no se recomienda aplicar todos
los procesos del COBIT, el marco de trabajo rene una lista completa de ellos.
COBIT est basado en controles porque reconoce que cada proceso necesita ser controlado para
asegurar que los objetivos del negocio puedan llevarse a cabo y para detectar, corregir y prevenir
sucesos no deseados. (COBIT 4.1, 2007,13)
Todos los controles de COBIT no pueden ser implementados, sino que deben seleccionarse
aquellos que se van a aplicar, decidir los que se van a implementar y finalmente aceptar el riesgo
de no implementar los controles que podra aplicar.
COBIT est impulsado por la medicin porque proporciona una visin del nivel en el que la
empresa se encuentra, en el que se est proyectando, el avance hacia esa meta y la relacin costo
beneficio por alcanzar ese nivel deseado; para ello COBIT propone modelos de madurez para
conocer qu tan bien una organizacin est administrando las Tecnologas de Informacin de tal
manera que puede estar en uno de los seis niveles de madurez desde el nivel 0, es decir, no
existente, hasta un nivel 5 u optimizado (COBIT 4.1, 2007,17).
Los niveles de madurez son inversamente proporcionales al riesgo existente en la administracin
de las Tecnologas de Informacin, a mayor madurez en los procesos, menos nivel de riesgo y
viceversa.

BASADA EN COBIT.
32
Estos niveles de madurez no slo se dirigen a la comprensin de la situacin actual de la empresa

sino que es una herramienta de benchmarking en la que se compara la empresa con el estatus
actual de la industria, con la cual se crea(n) el(los) objetivos(s) para mejorar la situacin actual.
A continuacin se describirn los niveles de madurez segn el modelo genrico de madurez:
(COBIT 4.1, 2007, 19)
-
0 No Existente: carencia completa de cualquier proceso reconocible dentro de la
empresa.
1 Inicial: La empresa ha reconocido que existen problemas que deben ser resueltos, pero
no existen procesos estndar sino procesos ad-hoc y una administracin con enfoque
an no organizado.
2 Repetible: Los procesos siguen procedimientos similares en reas diferentes que
realizan la misma tarea, pero todava no son estandarizados.

3 Definido: Los procedimientos se han estandarizado y documentado y se han difundido a
travs de entrenamiento.
4 Administrado: Los procesos estn en constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin fragmentada y limitadamente.

5 Optimizado: Los procesos estn al nivel de mejor prctica y se encuentran en
mejoramiento continuo.
Para un marco de trabajo COBIT es recomendado para la gestin de Tecnologas de la

informacin, sin embargo existe otro marco similar que pudiese haber escogido es el ITIL, el cual
tiene la ventaja de ser ms especfico que COBIT, puesto que COBIT define el qu? e ITIL define
el cmo?, esto segn Velsquez (2009), sin embargo se critica a ITIL de que sus medidas no
puedan implementarse en pequeos y medianos departamentos de Tecnologas de Informacin, en
este caso como es la Unidad del NODO de Telecomunicaciones.
La otra metodologa que se haba considerado era MAGERIT, est proponer un anlisis de riesgos
y a su vez aplica las salvaguardas necesarias para minimizarlos. sta metodologa es muy
interesante pero sin embargo slo se aplica al anlisis de riesgos, lo cual corresponde a u proceso
de COBIT (proceso PO9 de COBIT); esto es ms eficiente para realizar un plan de contingencia
que una Auditora Informtica.
COBIT rene caractersticas de ITIL y MAGERIT, lo que posibilita una visin ms amplia, sin
embargo la desventaja de COBIT es su generalidad, en otras palabras se limita al qu debe
hacerse y no cmo hacerse, lo que significa que debe ayudarse de otras metodologas y
estndares para estudiar un aspecto es particular.

BASADA EN COBIT.
33
Tomando el caso de MAGERIT, en el proceso P09, COBIT recomienda un anlisis de riesgos pero
no dice cmo, en cambio MAGERIT propone los procedimientos y tcnicas a aplicarse, sucede lo
mismo con respecto a las Auditoras en Redes y Comunicaciones, para ese fin existen numerosos
estndares muchos de ellos son modelos y paradigmas de gestor agente o la gestin OSI.
Los estndares enmarcados con COBIT servirn de base para basar el desarrollo de esta auditora
en redes y comunicaciones del Hospital de Apoyo I Santa Rosa Piura.
2.7.7 Gestin de Redes y Comunicaciones
Hoy en da las organizaciones se han visto en la necesidad de invertir en tecnologas que permitan
su manejo eficiente para lograr sus metas y objetivos, pero no solo basta con tener la tecnologa o
contar con el personal que sepa usarla, sino, en saber gestionarla.
Segn Roberto Hernando (2003), refiere que la gestin de red es el conjunto de actividades
dedicadas al control y vigilancia de recursos de telecomunicacin. Su principal objetivo es
garantizar un nivel de servicio en los recursos gestionados con el mnimo coste
Fuente: (<http://www.rhenardo.net/modules/tutorials/doc/redes/Gredes.html>,2003).
Sin embargo hay otra definicin segn Mendoza (2010), la gestin de redes se compone de los
elementos de toda gestin, en otras palabras, es la planificacin, organizacin, operacin,
mantenimiento y control de los elementos que forman una red para garantizar un nivel de servicio
de acuerdo a un costo.
Fuente. (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones >, 2010, p. 3).
Puntualmente T.Saydam y T.Magedanz(1996), dice que los elementos que una gestin de redes
debe considerar: La gestin de redes incluye el despliegue, integracin y coordinacin del
hardware, software y los elementos humanos para monitorizar, probar, sondear, configurar,
analizar, evaluar y controlar los recursos de la red para conseguir los requerimientos de tiempo
real, desempeo operacional y calidad de servicio a un precio razonable
De estas definiciones se puede concluir que la gestin de redes no se diferencia de cualquier tipo
de gestin en lo que respecta a los elementos de control: Planificacin, organizacin, direccin y
control; a la consideracin de los elementos humanos y a la persecucin de un mismo fin.
De las definiciones anteriores se infiere que la importancia fundamental de una gestin en redes es
minimizar los gastos y, sobretodo, prdidas, que pueden producirse de darse una mala gestin.

BASADA EN COBIT.
34
Citando nuevamente a Mendoza (2010), esta importancia general puede desglosarse en las
siguientes, de las cuales se citarn algunas:
-
Los sistemas de informacin son imprescindibles y estn soportados sobre las redes.
La informacin manejada tiende a ser cada da mayor y estar ms dispersa.
Aumentar la satisfaccin de los usuarios.
Tecnologa heterognea: Existen productos y servicios de mltiples fabricantes los cuales
incorporan diversas tecnologas que provocan un aumento constante de la complejidad de
los recursos gestionados tanto en cantidad como en heterogeneidad
Fuente: (<http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones >,2010, p. 5, p. 6)
Otra importancia es el adecuado manejo de problemas, la empresa, especialmente, el rea

responsable de gestionar las Tecnologas de Informacin debe saber qu hacer para evitar, segn
Mendoza (2010), un aumento de costos de operacin, entonces, para disminuirlos, recomienda la
aplicacin de una gestin ms proactiva que reactiva para la deteccin de fallos antes de que
estos sucedan .
En un enfoque ms proactivo debe abarcar varios aspectos; es decir, reas funcionales, a tomarse
en cuenta, segn lo recomienda OSI, los cuales son:
-
Configuracin: Facilidades que permiten controlar, identificar, recoger y proporcionar

datos a objetos gestionados, con el propsito de asistir a operar servicios de
interconexin.
Prestaciones: Facilidades dedicadas a evaluar el comportamiento de objetos
gestionados y la efectividad de determinadas actividades.

Supervisin y Fallos: Conjunto de facilidades que permiten la deteccin, aislamiento y
correccin de una operacin anormal.

Seguridad: Aspectos que son esenciales en la gestin de red y que permiten proteger
los objetos gestionados.

Contabilidad: Facilidades que permiten establecer cargos por el uso de determinados
objetos e identificar costes por el uso de stos.
Fuente: (<http://www.edicionsupc.es/ftppublic/pdfmostra/TL01304M.pdf>,1998,p. 1)
Mendoza (2010) afirma que las reas funcionales de la gestin definen lo que se va a gestionar y la
forma como se gestiona la red, se realiza por medio del monitoreo y control de la misma.

BASADA EN COBIT.
35
Segn el autor Roberto Hernando (2002) la monitorizacin, se ocupa de la observacin y anlisis

del estado y el comportamiento de los recursos gestionados. y la parte del control es: la
encargada de modificar parmetros e invocar acciones en los recursos gestionados.
En otras palabras, la monitorizacin observa y analiza; el control aplica y modifica. Ambas
actividades requieren un personal de Tecnologas de la Informacin calificado con amplia y con
experiencia as como una slida formacin moral y compromiso con la organizacin. En el aspecto
estrictamente tecnolgico, la gestin de redes se basa, por lo general, en el modelo o paradigma
Gestor-Cliente el cual agrupa los componentes de una red sean de hardware o de software en
gestores y clientes.
Cualquier modelo que se aplique, siempre requerir la ayuda de herramientas tecnolgicas que
apoyen no que realicen la gestin de redes. Segn Thortonm, Garibaldi y Mahdi (1998), la
incorporacin de estas herramientas a la gestin de redes facilita la incorporacin de una gestin
proactiva porque la informacin de rendimiento que se puede recuperar de una red es tan extensa
que urge la necesidad de emplear medios automticos que ayuden al personal de Tecnologas de
Informacin, en redes en particular.
Fuente (<http://tonet.0catch.com/doc/datamine1.pdf>,1998, p. 2).
Los mtodos de trabajo preferir una gestin proactiva a una reactiva que forman parte de un
sistema integrado de gestin de redes. La cual engloba todos los elementos y factores que influyen
en la eficiencia de la operacin de la red de una organizacin.
La gestin de redes abarca varios aspectos que van ms all de lo tecnolgico, su propsito es no
tener la mejor tecnologa en redes sino es cumplir con los objetivos de la organizacin minimizando
costos, disminuyendo los riesgos y minimizando prdidas.
2.8 Marco Conceptual

2.8.1 Auditora Informtica

BASADA EN COBIT.
36
Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y

recomendar en asuntos relativos a la planificacin, control, eficiencia, seguridad y adecuacin del
servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y
discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad, Seguridad y
Eficacia.
Fuente:(<http://www.ctmsoftware.es/wp/servicios-2/auditoria-informatica/>,2011).
2.8.2 Control Interno
El control interno es un proceso ejecutado por el consejo de directores, la administracin y todo el
personal de una entidad, diseado para proporcionar una seguridad razonable con miras a la
consecucin de objetivos en las siguientes reas:
-
Efectividad y eficiencia en las operaciones.
Confiabilidad en la informacin financiera.
Cumplimiento de las leyes y regulaciones aplicables.
Comprende el plan de organizacin y el conjunto de mtodos y medidas adoptadas dentro de una

entidad para salvaguardar sus recursos, verificar la exactitud y veracidad de su informacin
financiera y administrativa, promover la eficiencia en las operaciones, estimular la observacin de
las polticas prescrita y lograr el cumplimiento de las metas y objetivos programados.
Fuente:(<http://www.gestiopolis.com/canales/financiera/articulos/no11/controlinterno.htm>, 2001).
2.8.3 Red Informtica
Una red informtica est formada por un conjunto de ordenadores intercomunicados entre s que
utilizan distintas tecnologas de hardware y software. Las tecnologas que utilizan (tipos de cables,
de tarjetas, dispositivos) y los programas (protocolos) varan segn la dimensin y funcin de la
propia red. De hecho, una red puede estar formada por slo dos ordenadores, aunque
tambin por un nmero casi infinito; muy a menudo, algunas redes se conectan entre s
creando, por ejemplo, un conjunto de mltiples redes interconectadas, es decir, lo que conocemos
por Internet.(MailxMail. Recuperado el 21 de abril del 2011)
Fuente: http://www.mailxmail.com/curso-introduccion-internet-redes/que-es-red).
2.8.4 COBIT

BASADA EN COBIT.
37
COBIT (Control Objectives for Information and related Tecnology) es un modelo, marco de trabajo
(framework) o marco de referencia creado por ISACA en 1996 con la misin de investigar,
desarrollar, hacer pblico y promover un marco de control de gobierno de TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por parte de las empresas y el uso
diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento
(COBIT 4.1, 2007,9).
COBIT toma en cuenta 4 dominios:
1. Planear y Organizar: Proporciona direccin para la entrega de
soluciones y la entrega del servicio
2. Adquirir e Implementar: Proporciona las soluciones y las pasa para
convertirlas en servicios.
3. Entregar y Dar Soporte: Recibe las soluciones y las hace utilizables
para los usuarios finales.
4. Monitorear y Evaluar: Monitorear todos los procesos para asegurar que
se sigue la direccin provista.
El cuarto dominio de COBIT ser tomado en cuenta para la aplicacin de la Auditora

informtica en Redes y Comunicaciones del Hospital de Apoyo I Santa Rosa Piura.
2.8.5 Redes de Comunicacin

Se entiende como una Red de Comunicacin (Network) una conexin de diferentes computadoras
que pueden
comunicarse e
intercambiar
informacin,
utilizando
sus
propios recursos o
recursos ajenos. Cuando las computadoras conectadas estn prximas unas a otras, la red se
llama red local (local network).
Las redes de comunicaciones estn compuestas por nodos, estos son los puntos de conexin
en la red que contienen las fronteras comunes entre las diferentes computadoras y terminales
de usuarios dentro de una red.
Fuente:( http://www.docstoc.com/docs/21359474/ -REDES-Y-TELECOMUNICACIONES)

BASADA EN COBIT.
38
2.9 Hiptesis
La aplicacin de una auditora basada en COBIT mejora la gestin de redes y comunicaciones
del Hospital de Apoyo I Santa Rosa Piura.
2.10
Variables e indicadores
2.10.1 Variables
TIPO
Independiente
Dependiente
Interviniente
NOMBRE
DEFINICIN
Auditora Informtica
Es el conjunto de Tcnicas, actividades y

procedimientos destinados a analizar, evaluar,
verificar y recomendar en asuntos relativos a
la
planificacin,
control,
eficiencia
y
seguridad.
Es el conjunto de actividades dedicadas al

La gestin en Redes y
Comunicaciones del
control y vigilancia de recursos de
Hospital de Apoyo I Santa telecomunicacin.
Rosa - Piura
Marco para el desarrollo
de trabajo COBIT
Es parte del proceso de investigacin que nos

permite desarrollar ciertos pasos para lograr
nuestros objetivos.
Cuadro N1: Variables de la Tesis

Elaborado por el Autor
2.10.2 Indicadores
Indicador
Definicin
Conceptual
Definicin
Operacional

BASADA EN COBIT.
39
Unidad
Tcnica
Instrume
NHP=T . H . P . I
Nmero
de
horas perdidas
por usuario al
mes, debido a
interrupciones a
la red. (NHP)
Nmero
de
veces que se ha
realizado
el
mantenimiento
preventivo de la
red en el ao.
(NVMRA)
Es el Total del nmero de

veces
que
se
ha
realzado
el
mantenimiento
preventivo a la red del
Hospital.
Nmero
de
incidentes de la
Red
resueltos
en el Tiempo
Requerido.
(NIRTR)
Es el nmero total de
incidentes de la Red y
comunicaciones que se
resuelven en el tiempo
requerido.
Es el total de horas
perdidas
por
interrupciones
del
servicio planeadas como
no planeadas
Dnde:
T.H.P.I= Total de horas perdidas por
interrupciones
Mes
Entrevista
Gua de
Entrevista
Anual
Entrevista
Gua de
Entrevista
Mes
Entrevista
Gua de
Entrevista
NVMRA=TNuM . A
Dnde:
NuM.A = Numero de mantenimiento
a la red (por ao)
NIRTR=( NuI . R)TI

Dnde:
Nu.I.R = Nmero de Incidentes de
Red
T.I= Nmero total de incidentes.
Matriz de consistencia
Cuadro N2: Indicadores de la Auditoria informtica Orientada a la Gestin de las Comunicaciones

y Redes del Hospital de Apoyo I Santa Rosa-Piura basada en COBIT
Elaborado por el autor
Indicador
Definicin
Conceptual
Definicin
Operacional
Unidad
Tcnica
Instrumento
Mes
Revisin
Bibliogrfica
Fichas
Bibliogrficas
Semestral
Entrevista
Gua de
Entrevista 04
PCFSR=(TCF )100
Porcentaje
de
Controles fsicos
que garantiza la
seguridad de la
Red. (PCFSR)
Inversin total
en actualizacin
de Tecnologas
de Informacin
(ITATI)
Dnde:
Es el porcentaje total de
controles aplicados a la
red fsica del Hospital.
Es
el
Total
del
presupuesto invertido en
la actualizacin de las
Tecnologas
de
Informacin,
para
mejorar la Red del
PCFSR= Porcentaje de controles

Fsicos que garantiza la seguridad de la
Red.
TCF= Total de Controles Fsicos.
ITATI =TI
Dnde:
ITATI=
inversin
en
la

BASADA EN COBIT.
total
40
actualizacin
de
tecnologas
informacin.
TI = Total de Inversin
Hospital.
Porcentaje
de
controles
lgicos
para
garantizar
la
seguridad de la
Red. (PCLSR)
de
PCLSR=(TCL)100
Es el porcentaje total de
controles aplicados a la
red lgica del Hospital.
Dnde:
PCLSR= Porcentaje de controles
lgicos de seguridad de la Red.
TCL= Total de Controles lgicos.
Mes
Revisin
Bibliogrfica
Fichas
Bibliogrficas

Indicador
Definicin
Conceptual
Definicin
Operacional
Unidad
Tcnica
Instrumento
PMGRH=(( P NMR+ PNMA+ PNMM )/3)100
Porcentaje
de
madurez de la
gestin de redes
del
Hospital
(PMGRH)
Nmero
de
controles para
evitar el acceso
fsico
no
autorizado.
(NCEAFA)
Es el Porcentaje de
nivel alcanzado en los
procesos aplicados a
aspectos de la gestin
de redes.
Dnde:
PNMM = Nivel de Madurez
Mantenimiento de la red
PNMA = Nivel de Madurez
Actualizacin
de
Personal
administracin de TI
PNMR = Nivel de Madurez en Gestin
Riesgos
en
Anual
Encuesta
en
en
Cuestionario
01
Cuestionario
02
Cuestionario
03
Tel
de
NTCEAFA=NCEAFA
Nmero de controles
para evitar el acceso
fsico no autorizado.
Dnde:
NTCEAFA= Nmero total de controles
para evitar el acceso fsico no autorizado.
NCEAFA= Nmero de controles para evitar
el acceso fsico no autorizado
Semestral
Entrevista


BASADA EN COBIT.
41
Gua de
Entrevista 05
Tel
CAPTULO III
METODOLOGA

BASADA EN COBIT.
42
3.1. Tipo de Estudio

Segn el investigador Espinoza (2006) formular el tipo de estudio es de suma importancia en una
investigacin, porque determinara el tipo de informacin que se espera obtener, as como el nivel
de anlisis que deber realizar.
La investigacin sigue el paradigma cuantitativo puesto que se probar una hiptesis, es de una
funcin aplicada y es de tipo Cuasi- Experimental porque no es posible crear grupos de forma
aleatoriamente debido a que la muestra de estudio (El personal de la Unidad de Estadstica e
Informtica rea de Informtica: NODO de Telecomunicaciones) es muy pequea para realizar
un estudio experimental, en cambio, se puede adoptar posibles aspectos del diseo experimental
en la programacin de procedimientos para la recoleccin de datos.
3.2. Diseo de Estudio
La aplicacin de una Auditora, se tomar como pre-test, tiendo en cuenta la situacin actual de la
Unidad de NODO de Telecomunicaciones y se tomarn los lineamientos, estndares
recomendados por el COBIT, la IEEE y la ISO, las cuales apoyan a COBIT como post-test.
Al concluir la investigacin se comparar la situacin real con la situacin ideal; es decir; con
recomendacin de estndares para responder a las preguntas de investigacin.
3.3. Poblacin y Muestra

La poblacin est definida por:
El personal de la Unidad del NODO de Telecomunicaciones, el cual se encuentra conformado por
once personas.
REA O CARGO
Jefe de la Unidad
Soporte Tcnico
rea de Redes
Programador Web
Asistente administrativo
Practicante
N DE PERSONAS
1
3
2
2
1
2
TOTAL
11
Cuadro N5: Unidad del NODO de Telecomunicaciones y su nmero de trabajadores.

BASADA EN COBIT.
43
3.3.1 Muestra
Por una poblacin pequea no se calcular muestra, dado que en la Unidad del NODO de
Telecomunicaciones no existen gran cantidad de personas que laboren en esa unidad.
3.4. Mtodos de Investigacin
El mtodo de investigacin se basara en tres etapas:
ETAPAS
DESCRIPCIN
Se recopilar informacin de la Unidad
Etapa N1
mediante los instrumentos de medicin.

Se aplicara la auditoria informtica a la
Etapa N2
gestin de redes de la del Hospital.

Se compara la situacin real (etapa 1) con la
situacin ideal que recomienda la auditoria
Etapa N3
informtica (etapa 2).

Cuadro N6: Etapas del Mtodo de Investigacin.
3.5. Tcnicas e instrumentos de recoleccin de datos

3.5.1. Tcnicas
Entrevista
Segn Morales Lizarazo las entrevistas se definen como las tcnicas que se utilizan para obtener
informacin de forma verbal, a travs de preguntas, acerca de las necesidades de la organizacin.
Los entrevistados deben ser personas relacionadas de alguna manera con la organizacin, el
sistema actual o el sistema propuesto. En la investigacin se realizara mediante la aplicacin de
Guas de entrevista al personal de la Unidad.
Encuestas
Para Morales Lizarazo es una tcnica para recopilar informacin tomando una muestra de la
poblacin objetivo, se obtiene informacin sobre las necesidades y preferencias de usuarios o
clientes, difiere de un censo en donde toda la poblacin es estudiada, se pueden obtener datos
estadsticos de la informacin recolectada, las preguntas suelen ser cerradas. Se realizara esta
tcnica al aplicar los cuestionarios al personal de la Unidad del NODO de Telecomunicaciones.
Revisin Bibliogrfica

BASADA EN COBIT.
44
Segn Morales Lizarazo revisin bibliogrfica es el proceso por cual se considera la literatura
existente sobre el tema que se va a investigar. Para la revisin de fuentes bibliogrficas es que
utilizaremos esta tcnica.
3.5.2 Instrumentos
Los Cuestionarios
Eunice Garrido.Pueden define a los cuestionarios como una la nica forma posible de relacionarse
con un gran nmero de personas para conocer varios aspectos del sistema, se pueden obtener
respuestas ms honestas debido al anonimato de los participantes, las preguntas estandarizadas
pueden arrojar datos ms confiables En el proyecto utilizaremos cuestionarios para recolectar
informacin.
Gua de Entrevista
Garrido expresa que es una gua que contiene los temas, preguntas sugeridas y aspectos a
analizar en una entrevista de trabajo.
Fichas Bibliogrficas
Segn Quiroz Vctor una ficha bibliogrfica es una ficha pequea, destinada a anotar meramente
los datos de un libro o artculo. Estas fichas se hacen para todos los libros o documentos que
eventualmente son tiles a nuestra investigacin.
3.6. Mtodos de anlisis de datos
La informacin se analizara utilizando los siguientes mtodos:
MTODO
DESCRIPCIN
Para la recoleccin, anlisis e interpretacin
Anlisis estadstico
de datos.
Aplicado a los cuestionarios aplicados.
Se aplicara para analizar los datos obtenidos
Tabulacin
Distribucin de frecuencias y
representaciones grficas (histogramas)

en las encuestas realizadas al personal.
Cuadro N7: Mtodos de Anlisis de Datos.
Medidas de tendencia central

MEDIDAS
La media y Moda
DESCRIPCION
Aplicado a indicadores como: Nmero de

BASADA EN COBIT.
45
procesos crticos, nmero de horas perdidas,

nmero de controles fsicos y nmero de
controles lgicos.
El clculo de la varianza y las desviaciones
estndares
La realizacin de pruebas estadsticas, el
anlisis de varianza
Para medir el grado de aceptacin de los
resultados.
Cuadro N8: Medidas de Tendencia.

BASADA EN COBIT.
Para manejar el margen de error.
46
CAPTULO IV
ADMINISTRACIN
4.1 Cronograma de Actividades: Gantt

Imagen N3: Cronogramas de actividades.
Imagen N3: Diagrama de Gantt.
4.2 Presupuesto
RECURSO
Personal
Hardware
DESCRIPCION
CANTIDAD
Responsable del trabajo de investigacin

Asesor
1
1
Notebook HP Pavilion g4-1085la, Core i5

Una impresora HP Deskjet 3845
Mouse Microsoft V3
1
1
1

BASADA EN COBIT.
PRECIO
UNITARIO
(S/.)
150.00
270.0
SUBTOTAL
2220.00
100.00
20.00
SUBTOTAL
47
TOTAL (S/.)
150.00
270.00
420.00
2220.00
100.00
20.00
2320.00
Software
Otros
Materiales
Servicios
Windows Seven Home Basic

Microsoft Office 2010 Basic (Word, Excel,
PowerPoint, Proyect)
Mozilla Firefox 3.5.2.
Google Chrome
WinRard 3.6.2
WinZip 10
Nero 7 Premium
Adobe Reader 9
WinAudit 2.1.7.0
The Dude Freeware 3.4
Antivirus AVG Internet Security 9.0
1
1
450.00
210.00
450.00
210.00
1
1
1
1
1
1
1
1
1
Materiales de escritorio (lpiz, lapiceros,

grapadora, perforador, regla)
Millar Papel A4
Cartuchos para impresora HP deskjet3845
N 27
CDs de 700 MB
Flderes Manila A4 Grafos
Memoria USB de 8 GB Marca: Kinstong
Duracell Plus 9V Battery
Probado de cables de RED UTP
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
SUBTOTAL
25.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
660.00
25.00
1
5
25.00
10.00
25.00
50.00
1
2
1
2
1
Fotocopiado
Transporte Urbano
Energa elctrica
Internet
0
1
3
3
1.50
0.70
100.00
8.00
300.00
SUBTOTAL
0.10
100.00
30.00
120.00
SUBTOTAL
TOTAL
1.50
1.40
100.00
16.00
300.00
518.90
0.00
100.00
90.00
360.00
550.00
4468.90
Cuadro N9: Presupuesto del Proyecto.

4.3 Financiamiento
El Proyecto fue financiado de la siguiente manera:
-
El pago al asesor fue financiado por la Universidad

El financiamiento para los recursos de hardware, software, otros materiales y servicios
fueron costeados por el autor que desarrolla la tesis.

El asesoramiento externo es financiado por el autor que desarrolla la tesis.

BASADA EN COBIT.
48

BASADA EN COBIT.
49
CAPTULO V
REFERENCIAS BIBLIOGRAFICAS
QUIROZ, Vctor. Fichas Bibliogrficas. Recuperado el 20 de agosto del 2011:

http://es.scribd.com/doc/44263841/FICHAS-BIBLIOGRAFICAS
CABRERO Garca, J. & Richart Martnez, M. (2011). Diseo de la Investigacin.

Recuperado el 23 de agosto del 2011:
http://www.aniorte-nic.net/apunt_metod_investigac4_4.htm.
GARIBALDI, J. & Mahdi, A.E. IEEE (1998). Gestin de Red Proactiva usando
Minera de Datos. Recuperado el 15 de setiembre del 2011:
http://tonet.0catch.com/doc/datamine1.pdf

BASADA EN COBIT.
50
GMEZ, G. Gestipolis. (2001). Control Interno. Una responsabilidad de todos

los integrantes de la organizacin empresarial. Recuperado el 16 de setiembre
del 2011:
http://www.gestiopolis.com/canales/financiera/articulos/no11/controlinterno.htm.
LVAREZ Amat. Gestipolis (2006). El control interno en la economa

empresarial. Recuperado el 15 de setiembre del 2011:
http://www.gestiopolis.com/recursos6/Docs/Eco/contrinter.htm.
reas funcionales de gestin (1998). Recuperado el 15 de setiembre del 2011:

http://www.edicionsupc.es/ftppublic/pdfmostra/TL01304M.pdf.
BASALDA lvarez, Luis Daniel (2005). Seguridad en Informtica. Recuperado

el 15 de setiembre del 2011: http://www.bib.uia.mx/tesis/pdf/014663/014663.pdf
MAYOL Arnao, Reinaldo N (2006). Modelo para la Auditora de la Seguridad

Informtica en la Red de Datos de la Universidad de los Andes. Recuperado el 16
de setiembre del 2011:
http://tesis.ula.ve/postgrado/tde_busca/arquivo.php?codArquivo=114
MEJA Herrera, Luis Fernando. (2009). Qu es Gestin y monitoreo de red.

Recuperado el 20 de setiembre del 2011:
http://servidorespararedes.blogspot.com/2009/01/que-es-aplicaciones-web.html
MENDOZA, M & Toledo, A. (2010). Gestin de Redes de Telecomunicaciones.

Recuperado el 21 de setiembre del 2011:
http://www.slideboom.com/presentations/84669/Gesti%C3%B3n-de-Redes-deTelecomunicaciones.
MUOZ Alemn, Jonathan. Auditora de Redes. Recuperado el 22 de setiembre

del 2011: http://www.slideshare.net/GeekMelomano/auditora-de-redes.

BASADA EN COBIT.
51
MIRANDA Guevara, E. Auditora de Redes. Recuperado el 28 de setiembre del

2011: http://www.slideshare.net/GeekMelomano/auditora-de-redes
HERNANDO Roberto (2001). Gestin de red. Recuperado el 29 de setiembre del

2011: http://www.rhernando.net/modules/tutorials/doc/redes/Gredes.html
HERVALEJO Snchez, Alberto (2009). Auditoras de Seguridad Informtica y la

OSSTMM. Recuperado el 29 de setiembre del 2011:
http://es.scribd.com/doc/17740680/Auditorias-de-SeguridadInformatica-y-la-OSSTMM
IT Governance Institute. (2007). Generacin de publicaciones creativas segn el

estilo APA. [versin electrnica]. COBIT 4.1.
Los Nuevos Conceptos de Control Interno. Recuperado el 30 de setiembre del

2011: http://www.auditoria.uady.mx/arts/INFORME COSO (RESUMEN).pdf
MATUTE Macas, Mara del Carmen & QUISPE Cando (2006), Trnsito del
Rosario. Auditora de la Gestin de Seguridad en la Red de Datos del Swisstel
basada en COBIT. Recuperado el 04 octubre del 2011:
http://biblioteca.epn.edu.ec/catalogo/fulltext/CD-0049.pdf
VALENCIA del Toro, J. Generacin de publicaciones creativas segn el estilo

APA. [versin electrnica]. Adoptando los modelos de control interno COSO y
COBIT.
VELAZQUEZ Friederichsen, E (2008). ITIL vs COBIT. Recuperado el 14 de

octubre del 2011: http://www.sg.com.mx/content/view/720/99999999/
VILLENA Aguilar, Moiss Antonio (2006). Sistema de Gestin de Seguridad de

Informacin para una Institucin Financiera. Recuperado el 18 de octubre del
2011:
http://es.scribd.com/doc/17740680/Auditorias-de-Seguridad-Informatica-y-
la-OSSTMM

BASADA EN COBIT.
52
ANEXOS

BASADA EN COBIT.
53
ANEXO 1
GUA DE ENTREVISTA N01: INTERRUPCIONES NO PLANEADAS A LA RED DEL

HOSPITAL
Cuestiones relacionadas sobre Interrupciones no Planeadas (Generalidades)
Interrupciones no planeadas ms comunes.
Procesos clave de negocio soportados por la infraestructura de redes del
Hospital de Apoyo I Santa Rosa Piura.

Cuestiones relacionadas sobre plan de contingencia e interrupciones no planeadas
Interrupciones no planeadas consideradas en un plan de contingencia
Planes de continuidad en caso de interrupcin del servicio
o En caso de corte de fluido elctrico.
o En caso de infeccin por malware.
o En caso de ataques DOS.
o Otros casos (nombrados en interrupciones no planeadas ms
comunes).

BASADA EN COBIT.
54
ANEXO 2
GUA DE ENTREVISTA N02: MANTENIMIENTO A LA RED DEL HOSPITAL
Cuestiones relacionadas con las actividades de mantenimiento

Actividades de mantenimiento proactivo
Mantenimiento fsico de equipos en el DATACENTER o fuera de l.
Mantenimiento lgico de equipos en el DATACENTER o fuera de l.
Mantenimiento de los servidores de la universidad.
Monitoreo de la red usando herramientas de software.
Actividades de medicin del desempeo actual de los recursos de red
Actividades de medicin del desempeo futuro (prediccin) de los recursos
Tolerancia a fallas de equipos.
Cuestiones relacionadas con las actividades de mantenimiento y el plan de
contingencia
Principales riesgos latentes durante las actividades de mantenimiento.
Problemas encontrados durante las actividades de mantenimiento.
Actividades de mantenimiento correctivo
Cuestiones sobre la Planificacin de Actividades de Mantenimiento de la Red
Proceso de Planificacin
Circunstancias en las que se necesita un mantenimiento de la red
Reparacin de equipos y adquisicin de nuevos equipos.
Designacin de responsables en el mantenimiento de red.

BASADA EN COBIT.
55
ANEXO 3
GUA DE ENTREVISTA N03: INCIDENTES RESUELTOS EN EL TIEMPO

DETERMINADO
Cuestiones relacionadas con el anlisis de incidentes

Anlisis de incidentes de red para determinar tendencias
Consulta de incidentes histricos para mejorar la administracin de
incidentes.
Actualizacin de planes de contingencia ante incidentes de red.
Cuestiones relacionadas sobre la atencin de incidentes en la red

Incidentes de red ms comunes detectados en la red del Hospital.
Proceso de atencin de incidentes de red.
Tiempo de atencin de incidentes
Quejas de los usuarios.
Registro de incidentes de red.

BASADA EN COBIT.
56
ANEXO 4
GUA DE ENTREVISTA N04: INVERSIONES EN TECNOLOGAS DE INFORMCIN

(Redes y Comunicaciones)
Cuestiones relacionadas con ltimas inversiones realizadas en TI (redes)

ltimos equipos adquiridos.
ltimas actualizaciones realizadas en redes (hardware).
ltimas actualizaciones realizadas en redes (software).

BASADA EN COBIT.
57
ANEXO 5
GUA DE ENTREVISTA N05: EVITAR EL ACCESO FSICO NO AUTORIZADO
Cuestiones relacionadas con el acceso fsico

Medidas de Seguridad para evitar el acceso de terceros
Sealizacin de reas de prohibicin de acceso
Personal permanente para garantizar la proteccin fsica
Cuestiones relacionadas con el acceso fsico de la Red

Medidas de Seguridad para el acceso fsico a la Red
La red cuenta con los estndares adecuados para garantizar el acceso
fsico no autorizado.
Personal autorizado para la Red de Hospital
ANEXO 6
CUESTIONARIO N01: GESTIN DE RIESGOS DE RED
Encuestado: ______________________________________________

BASADA EN COBIT.
58
Cargo: _______________________
Fecha:
LEYENDA PARA LA CALIFICACIN USADA

0: No se aplican los procesos en absoluto
1: Procesos no estandarizados y desorganizados
2: Los procesos siguen un patrn regular
3: Los procesos se han estandarizado y se documentan
4: Los procesos se monitorean y poseen nivel de buenas prcticas
N
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
EVALUACIN
0 1 2 3 4
PREGUNTAS
Existen procedimientos de control para mitigar los riesgos
identificados?
El monitoreo de la red se rige en base a estndares ya
establecidos o mediante el uso de software que cumplen dichos
estndares?
Se realizan evaluaciones de vulnerabilidad de manera
regular?
Se monitorea la red y servidores constantemente?
Se han clasificado los incidentes de red segn su impacto?
Se han documentado los procedimientos de control interno del
rea de redes?
La misma se encuentra disponible y es conocida por los
responsables del rea?
Los responsables y colaboradores de la administracin de la
red cuentan con funciones bien definidas y documentadas?
El rea cuenta con un plan de contingencia para TI (redes)?
Los procedimientos del plan de contingencia son de
conocimiento de los responsables del rea?
Se documentan los principales incidentes de red?
Se analizan los anteriores para mejorar el control interno y
realimentar la gestin de riesgos?
La documentacin de incidentes de red es la adecuada?
Se revisan con frecuencia las polticas y procedimientos de
gestin de riesgos en el rea?
Se actualizan las polticas y procedimientos de gestin de
riesgos en el rea?
ANEXO 7
CUESTIONARIO N02: ACTUALIZACIN DEL PERSONAL EN ADMINISTRACIN DE

TECNOLOGAS DE INFORMACIN - REDES
Encuestado: ________________________________________

BASADA EN COBIT.
59
Cargo: __________________________________
Fecha:

N
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
EVALUACIN
0 1 2 3 4
PREGUNTAS
El personal y colaboradores del rea pueden suplir al administrador
de la red en caso de ausencia de ste?
El personal del rea es evaluado con regularidad?
El personal mejora su desempeo despus de una capacitacin?
El personal del rea es capacitado en el uso de nuevos equipos?
El personal del rea es capacitado cuando son implantados nuevos
procedimientos o polticas?
La capacitacin del personal del rea cuenta con las vas de
comunicacin adecuadas?
El personal del rea de redes se siente satisfecho con las
capacitaciones brindadas?
Existen procedimientos formales de capacitacin al personal de TI?
El rea cuenta con un programa de capacitacin para nuevos
trabajadores?
El personal del rea se encuentra capacitado para responder en
caso de producirse un incidente en la red?
El personal del rea, a su vez capacita a los usuarios finales ante
cambios de procedimientos de gestin de la red?
Se maneja una programacin de capacitaciones de actualizacin del
personal del rea de redes?
Se maneja una programacin de capacitaciones realizadas por el
rea de redes para los usuarios finales?
Los directivos de la organizacin son conscientes de la importancia
de tener un personal de TI capacitado?
Lo anterior se traduce en un apoyo significativo al rea?
ANEXO 8
CUESTIONARIO N03: MANTENIMIENTO DE LA RED
Encuestado: ___________________________________________
Cargo: _______________________________
Fecha:


BASADA EN COBIT.
60

N
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
PREGUNTAS
EVALUACIN
1 2 3 4
Se establece un proceso de planificacin para la revisin del

desempeo y la capacidad de los recursos de redes?
Se reporta continuamente los monitoreos de la red de la
universidad?
Las tareas de
mantenimiento
interrumpen
el servicio
momentneamente?
Lo anterior est previamente documentado junto con las medidas a
ejecutarse?
Se realiza mantenimiento a la configuracin de servidores y proxys?
Se notifican las fallas encontradas?
Se les da seguimiento a las anteriores?
Existen salvaguardas para mitigar los riesgos a presentarse durante
el mantenimiento?
Las anteriores se consideran dentro de un plan de contingencia?
Se controla el acceso a los espacios fsicos cuando se est
realizando las actividades de mantenimiento?
Se lleva un registro de mantenimientos realizados?
Se realizan mediciones del desempeo futuro de los recursos de
red?
Existe un procedimiento para determinar si un equipo necesita ser
cambiado?
Existe un programa de mantenimiento correctivo para los equipos de
la red?
Se maneja un inventario de equipos de red dentro del datacenter y
fuera de l?
ANEXO 9
Hospital I Santa Rosa: Estructura de la Red Informtica

BASADA EN COBIT.
61
ANEXO 10
FOTOS: Servidor del Hospital
Apoyo I Santa Rosa Piura

BASADA EN COBIT.
62
ANEXO 11
FOTOS: Switch del Hospital Apoyo I Santa Rosa
Switch ubicado en el Nodo de Telecomunicaciones


BASADA EN COBIT.
Switch ubicado en el rea Farmacia
63
Switch ubicado en el techo del Hospital
ANEXO 12
FOTOS: Router del Hospital de Apoyo I Santa Rosa
Router ubicado en el nodo de telecomunicaciones

BASADA EN COBIT.
64
FOTOS: UPS
UPS ubicados en el Nodo de Telecomunicaciones

BASADA EN COBIT.
65

Auditoria Informática Orientada A La Gestión de Las Comunicaciones Y Redes Del Hospital I Santa Rosa - Piura Basada en COBIT

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria Informática Orientada A La Gestión de Las Comunicaciones Y Redes Del Hospital I Santa Rosa - Piura Basada en COBIT

Transféré par

Droits d'auteur :

Formats disponibles

Facultad de Ingeniera

Escuela de Ingeniera de Sistemas

Proyecto de Tesis para obtener el Ttulo Profesional de Ingeniero de Sistemas.

Escuela de Ingeniera de Sistemas

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

Cuadro N1: Variables de la Tesis

Imagen N1: Estructura Orgnica de la Institucin

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

informacin sensible u de vital importancia para la organizacin, generando diversas acciones

de informtica de los equipos de

cmputo es de vital importancia la utilizacin de eficiencia y seguridad, de la organizacin que

AUDITORIA INFORMATICA ORIENTADA

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

1.1. Ttulo Tentativo

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

Hospital de Apoyo I Santa Rosa Piura

AUDITORIA INFORMATICA ORIENTADA

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

AUDITORIA INFORMATICA ORIENTADA

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

2.2 Formulacin del Problema

AUDITORIA INFORMATICA ORIENTADA

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

De qu manera la aplicacin de la Auditoria Informtica basada en COBIT, mejorar la

Cmo aumenta la seguridad de la Red con la Auditoria en Comunicaciones y

Redes basada en COBIT?

Apoyo I Santa Rosa - Piura?

cumplimiento y el desempeo de la gestin de la Red?

I Santa Rosa - Piura?

comunicacin y redes dentro del Hospital?

del mantenimiento de los equipos de

Intranet, basndose en la gestin de la Red y Comunicacin del Hospital?

2.2.3 Objetivo General

CARMEN PALADINES EDGAR

A LA GESTIN DE LAS COMUNICACIONES

Escuela de Ingeniera de Sistemas

Para la realizacin del Proyecto de Investigacin es necesario el uso de conocimientos de la

Es importante desarrollar la investigacin en la cual se planteara la implementacin de una

Justificacin del Investigador

La presente investigacin permitir al investigador ampliar los conocimientos sobre Redes y

relacionados con la realidad laboral, de la misma forma adquirir la

Auditora de la gestin de seguridad en la red de datos basada en COBIT.

CARMEN PALADINES EDGAR