Académique Documents
Professionnel Documents
Culture Documents
PRESENTADO POR:
TOBIAS ARIZA HURTADO
HARVY ARLEY GIL BONILLA
CC: 1.033.715.711
JUAN CAMILO ESCOBAR:
CC: 1.032.401.506
PRESENTADO A:
FRANCISCO NICOLAS SOLARTE
INTRODUCCIN
El Presente documento se realiza con el fin de aplicar los conocimientos previamente
adquiridos en el curso de Auditoria de Sistemas en esta fase se van a implementar
elementos propios para la realizacin de una auditoria, en el cual los estudiantes aplican los
estndares COBIT 4.1 previamente escogidos en el trabajo colaborativo II, en esta fase se
debe hacer nfasis en los controles para los posibles riesgos que puede sufrir la identidad,
buscando la identificacin de los controles que se tienen a estos riesgos.
La caracterstica principal que se busca en este trabajo es desarrollar los instrumentos
propuestos para el desarrollo del conocimiento, observando, verificando y conociendo las
herramientas que van a ser de nosotros excelentes ingenieros teniendo una base de auditoria
para el futuro.
OBJETIVO
Identificar los procesos COBIT que se estn trabajando para realizar los respectivos
procesos de identificacin de riesgos.
Identificar los controles que se pueden llevar a cabo para la mejora de los procesos
internos de una compaa.
DESARROLLO DE ACTIVIDADES
1. Listas de chequeo para verificar la existencia de controles diligenciada y
consolidada por cada proceso.
Listas de Chequeo Tobas Arias
https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view?
usp=sharing
No
X
X
X
X
X
No
X
X
X
X
LISTA DE CHEQUEO
FECHA: 6 de Mayo de 2016
REALIZADO POR: Juan Camilo Escobar
PROCESO EVALUADO: AI4 - Facilitar la Operacin y el Uso
DESCRIPCIN CONTROLES EXISTENTES EN EL
SI
NO
PROCESO
El rea de sistemas tiene implementada documentacin para
toda la parte de software?
Los manuales existentes estn actualizados?
La gerencia maneja la documentacin actual?
Los usuarios manejan la documentacin actual?
El personal de soporte maneja la documentacin actual?
La documentacin est estructurada?
La documentacin tiene un sentido lgico?
La documentacin lleva todos los procesos de la empresa?
La documentacin tiene una estructura con nomenclatura?
PROCESO
AUDITADO
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMIN
IO
Adquirir e
Implementar
(AI)
PROCE
SO
THA_O1
PGINA
1
DE
Adquirir y mantener
infraestructura tecnolgica (AI3)
DESCRIPCIN:
RIESGO:
Probabilidad de ocurrencia: 60
RECOMENDACIONES:
Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2
PROCESO
AUDITADO
Seguridad de la informacin.
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMIN
IO
Entregar y dar
Soporte (DS)
PROCE
SO
THA_O2
PGINA
1
DE
DESCRIPCIN:
Esto sucede porque las direcciones IP no son fijas sino se cuenta con
DHCP, por falta de recursos el hospital no cuenta con servicio de
antivirus y por ultimo no se cuenta con personal disponible para que
realice campaas de culturizacin sobre la importancia de la
seguridad de la informacin.
REF_PT:
CUESTIONARIOS- AI-C2
Anexo 1- Paginas 2
CONSECUENCIAS:
Al tener acceso a la red cualquier usuario este puede que tenga
acceso a informacin privada de la entidad.
Los equipos se pueden infectar de virus y este puede ocasionar
perdida de informacin.
Al no tener conocimiento sobre que es la seguridad de la
informacin y tics bsicos para hace practica de esta hay alto
nivel de que la informacin no est bien custodiada y
salvaguardada.
RIESGO:
Probabilidad de ocurrencia: 35
RECOMENDACIONES:
Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3
PROCESO
AUDITADO
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMIN
IO
Entregar y dar
Soporte (DS)
PROCE
SO
THA_O3
PGINA
1
DE
DESCRIPCIN:
CONSECUENCIAS:
Puede generar un reproceso en las actividades diarias adems
que no tengan en claro que es lo que van a solucionar.
Al no recibir actualizaciones cursos puede esto generar
reproceso adems que al usuario al no tener en claro que es la
piratera puede ocurrir una falta legal grave.
RIESGO:
Probabilidad de ocurrencia: 72
RECOMENDACIONES:
Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4
PROCESO
AUDITADO
Seguridad de la informacin.
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMIN
IO
Entregar y dar
Soporte (DS)
PROCE
SO
THA_O4
PGINA
1
DE
DESCRIPCIN:
CONSECUENCIAS:
Al no atender oportunamente la solicitud de realizacin de
backups la informacin se puede perder o daar y la
responsabilidad ya no es del usuario que la posee si no del rea
de sistemas.
Los medios donde se conserva la informacin se pueden daar
ocasionando perdida de la misma.
RIESGO:
Probabilidad de ocurrencia: 20
RECOMENDACIONES:
Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5
PROCESO
AUDITADO
Sistemas de prevencin y
control del centro de datos
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT
DOMIN
IO
Entregar y dar
Soporte (DS)
PROCE
SO
THA_O5
PGINA
1
DE
Administracin de ambiente
fsico (DS-12)
DESCRIPCIN:
CUESTIONARIOS- AI-C5
Anexo 1- Paginas 5
CONSECUENCIAS:
Al no contar con las herramientas de seguridad necesarias y
bsicas puede ocurrir un accidente que conlleve al dao parcial o
total ce los equipos que se encuentran dentro del centro de
datos.
En el momento de un incendio no se tiene a la mano un extintor
que pueda utilizarse en estos casos.
Si no hay sealizacin en el centro de datos sobre seguridad
puede ocurrir un accidente que involucre la seguridad de los
equipos q se manejan.
Al no contar con cmaras de vigilancia no se puede tener un
monitoreo contante del rea y adems en caso de alguna perdida
no se puede soportar la falla.
RIESGO:
Probabilidad de ocurrencia: 20
RECOMENDACIONES:
PO_01
MATERIAL DE
SOPORTE
COBIT 4.0
DOMINIO
Planear y Organizar
(P0)
PROCES
O
PGINA
1
DE
DESCRIPCIN:
REF_PT:
Cuestionario- C1
Lista de chequeo P01
CONSECUENCIAS:
Al no tener la suficiente estructura tecnolgica en el rea de TI en sus servidores
se presentan retrasos en todos los procesos por el exceso de peticiones a los
mismos, una vez estos servicios colapsan es necesario reiniciar los servicios
haciendo perder tiempo a los pacientes y funcionarios.
Tanto el rea de TI como el rea de presupuesto no presenta una articulacin en la
planeacin de las necesidades que se estn presentando actualmente cada una de
ellas defiende sus polticas internas sin llegar a un consenso en el cual se pueda
realizar un plan de trabajo para la adquisicin de nuevas herramientas
tecnolgicas.
RIESGO:
RECOMENDACIONES:
Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2
PO_02
MATERIAL DE
SOPORTE
COBIT 4.0
DOMINIO
Planear y
Organizar (P0)
PROCESO
PGINA
1
DE
DESCRIPCIN:
REF_PT:
CUESTIONARIOS- C2
Lista de Chequeo P03
CONSECUENCIAS:
Al no tener un respaldo de las empresas proveedoras o de otra identidad que
conozca la estructura que se est manejando en el hospital no se puede dar
mantenimiento o soporte en caso de algn dao interno o externo.
El personal al no recibir ningn tipo de capacitacin por los equipos especiales
(radiologa, ecografa, oftalmologa) en su software o configuracin est limitado
en la prestacin de soporte tcnico que se requiera.
No tener planes de contingencia hace ms vulnerable la operacin del sistema de
informacin en dado caso de colapso o cada en la base de datos del mismo,
corriendo el riesgo de prdida de informacin.
RIESGO:
RECOMENDACIONES:
Renovar contratacin con los proveedores de hardware de data center para tener
acceso a actualizaciones y soporte tcnico y equipos de reas especficas
(radiologa, ecografa, oftalmologa).
Buscar empresas certificadas en el uso de herramientas tecnolgicas que
permitan implementar medidas de prevencin en dado caso de contingencia o
dao en sectorizados.
Desarrollar un plan de capacitaciones para el personal de TI de la institucin
para tener la facilidad de prestar un servicio tcnico en primera medida.
Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3
PROCESO AUDITADO
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT 4.0
DOMINI
O
Planear y Organizar
(P0)
PROCES
O
PO_03
PGINA
1
DE
DESCRIPCIN:
CUESTIONARIO C3
Lista de Chequeo P04
CONSECUENCIAS:
El no tener identificado los posibles riesgos que se tienen en la institucin hacen
que todos sus procesos se puedan ver afectados en dado caso de un problema
institucional completo.
Al no tener una articulacin entre los miembros del equipo de trabajo del rea de
TI, la ausencia de cualquier elemento deja de forma vulnerable el proceso que
tiene a cargo por el hecho de no tener un backup.
RIESGO:
Probabilidad de ocurrencia: 32
RECOMENDACIONES:
Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4
PO_04
PROCESO
AUDITADO
RESPONSABLE
MATERIAL DE
SOPORTE
COBIT 4.0
DOMINI
O
Planear y Organizar
(P0)
PROCESO
PGINA
1
DE
DESCRIPCIN:
Esto sucede por la falta de articulacin de varias dependencias del hospital sobre todo
entre el rea de TI y Presupuesto donde nunca se estuvo de acuerdo en el modelo que le
iba mejor a la institucin, implementando medidas contraproducentes sin proyectar el
crecimiento del hospital, por otra parte si no son bien distribuidos los nuevos recursos
para la actualizacin de la plataforma tecnolgica del hospital no se podr llevar a feliz
trmino este proyecto, donde se debe tener en cuenta que se debe buscar la estabilidad
del rea TI para darle la diligencia a los dems procesos que estn involucrados.
REF_PT:
CUESTIONARIOS C4
Lista de Chequeo P05
CONSECUENCIAS:
Si no se tiene cuidado con la nueva proyeccin presupuestal donde esta descrita
toda la actualizacin de la plataforma tecnolgica del hospital una vez mas se
acudir a soluciones a corto plazo y no se solucionara de manera radical problema
de saturacin en los servicios, es de vital importancia la articulacin de toda el
rea financiera y TI.
RIESGO:
RECOMENDACIONES:
Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5
PO_05
MATERIAL DE
SOPORTE
COBIT
DOMINI
O
PGINA
1
DE
DESCRIPCIN:
Esto sucede porque el rea no tiene la cultura de tener un backup como se hace con la
informacin, las personas que manejan un solo proceso son celosas en compartir su
conocimiento, tambin la falta de capacitacin para los dems miembros del equipo en
dado caso de una situacin fortuita que obligue a la ausencia de esa persona.
REF_PT:
CUESTIONARIOS C5
Lista de chequeo P07
CONSECUENCIAS:
Al no contar con una retroalimentacin entre los miembros del grupo de trabajo no
hay una unidad para soportar los procesos que se tienen en el rea.
Al depender de una sola persona por proceso se est expuesto a vulnerabilidades
RECOMENDACIONES:
HALLAZGO 1
PROCES
O
AI4 - Facilitar la
Operacin y el Uso
DESCRIPCIN:
RIESGO:
RECOMENDACIONES:
PROBABILIDA
D
A
M
B
IMPACTO
L
Hardware
R1
R2
R3
R4
R5
R6
R7
R8
R9
R1
0
R1
1
R1
2
R1
3
R1
4
Equipos Infectados.
Prdida o daos en los archivos o
sistema operativo de los equipos.
Dao del hardware del equipo de
computo
Equipos que no estn conectados a
una UPS pueden sufrir corto en la
board, fuente, disco duro, prdida de
activos fijos.
Seguridad Fsica
Robo y perdida de equipos de
cmputo (hardware y software).
Perdida
de
informacin
por
desconexiones,
cortos,
reinicios
inesperados.
Redes
Cada de la red, reproceso en
actividades.
Congestin en la red y en el trfico de
esta.
Demora
en
los
procesos
que
necesitan aplicaciones web poniendo
en peligro la vida de los pacientes
Seguridad Lgica
Perdida de informacin o dao de la
misma.
X
X
X
X
X
X
Documentacin
Procesos detenidos por falta de
X
documentacin.
No existen polticas de administracin
y respaldo de almacenamiento de la X
informacin
No existen polticas de seguridad
X
X
X
X
X
RIESGOS o
HALLAZGOS
ENCONTRADOS
Dao del hardware
del equipo de
computo
TIPO DE
CONTROL
SOLUCIONES O CONTROLES
PREVENTIVO
Perdida de
informacin o dao
de la misma
PREVENTIVO
Acceso a
informacin
confidencial
CORRECTIVO
Problemas de
legalidad piratera
(DIAN)
PREVENTIVO
BIBLIOGRAFIA