AUDITORIA DE SOFTWARE

TRABAJO COLABORATIVO III

PRESENTADO POR:
TOBIAS ARIZA HURTADO
HARVY ARLEY GIL BONILLA
CC: 1.033.715.711
JUAN CAMILO ESCOBAR:
CC: 1.032.401.506

PRESENTADO A:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

INGENIERA DE SISTEMAS
MAYO DE 2016
BOGOTA D.C.

INTRODUCCIN
El Presente documento se realiza con el fin de aplicar los conocimientos previamente
adquiridos en el curso de Auditoria de Sistemas en esta fase se van a implementar
elementos propios para la realizacin de una auditoria, en el cual los estudiantes aplican los
estndares COBIT 4.1 previamente escogidos en el trabajo colaborativo II, en esta fase se
debe hacer nfasis en los controles para los posibles riesgos que puede sufrir la identidad,
buscando la identificacin de los controles que se tienen a estos riesgos.
La caracterstica principal que se busca en este trabajo es desarrollar los instrumentos
propuestos para el desarrollo del conocimiento, observando, verificando y conociendo las
herramientas que van a ser de nosotros excelentes ingenieros teniendo una base de auditoria
para el futuro.

OBJETIVO

Identificar los procesos COBIT que se estn trabajando para realizar los respectivos
procesos de identificacin de riesgos.

Utilizar las herramientas COBIT que nos ayudan a encontrar inconsistencias en

procesos de una compaa.

Identificar los controles que se pueden llevar a cabo para la mejora de los procesos
internos de una compaa.

DESARROLLO DE ACTIVIDADES
1. Listas de chequeo para verificar la existencia de controles diligenciada y
consolidada por cada proceso.
Listas de Chequeo Tobas Arias

https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view?
usp=sharing

Listas de Harvy Arley Gil.

P01 Definir el plan estratgico de TI.

Hospital el Tunal E.S.E

Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P01 Definir el plan estratgico de TI
Pregunta
Si
Se cuenta con una planeacin para el rea de TI?
X
Existe un balance ptimo en la prestacin de los servicios
tcnicos del rea?
X
Se posee un registro de fallas detectadas en la
X
infraestructura tecnolgica del Hospital?
Se ha realizado un anlisis presupuestal de la ampliacin
de los recursos tecnolgicos?
X
La capacidad actual de la infraestructura es suficiente apra
soportar todos los procesos del hospital?
Se ha identificado las aplicaciones que necesitan una
reserva a futuro para su sostenimiento?
Existe un plan de trabajo en el rea de tecnologa donde se
proyecte las actualizaciones futuras?

P03 Determinar la direccin Tecnolgica.

No

X
X
X

Hospital el Tunal E.S.E

Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P03 Determinar la direccin Tecnolgica
Pregunta
Si
No
Existe una estrategia establecida por la direccin
X
tecnolgica en caso de un colapso?
Se ha hecho un reconocimiento de las nuevas
X
tecnologas que se van a implementar en la institucin?
Hay planes de contingencia en cuanto a la
X
infraestructura?
Existe asesoramiento por parte de entes externos para
la implementacin, prestacin, mantenimiento de las
X
nuevas herramientas a implementar?
Se ha preparado a la identidad para las nuevas
regulaciones del gobierno?
Se ha previsto las nuevas normas que rigen el proceso
de actualizacin en el rea de tecnologa?

X
X

P04. Definir Procesos, Organizacin y Relaciones de TI.

Hospital el Tunal E.S.E

Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P04. Definir Procesos, Organizacin y Relaciones de TI
Pregunta
Si
No
A travs del comit de tecnologa se han identificado
posibles riesgos con la implementacin de nuevas X
arquitecturas?
Hay un ente regulador fuera del lder de tecnologa o el
X
comit en caso de ausencia?
La asignacin de nuevos roles para cada integrante del
X
rea de TI ya estn definidas y comunicadas?
El personal de TI va a recibir la capacitacin requerida
para cada una de las nuevas tecnologas que se van a X
implementar en la institucin?

La nueva distribucin de cargas en el rea de TI van a

mejorar los tiempos de respuesta frente a los
inconvenientes que se puedan presentar?

P05 Administrar la inversin en TI.

Hospital el Tunal E.S.E

Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P05 Administrar la inversin en TI
Pregunta
Si
En momentos anteriores la inversin fue
suficientemente planeada con forme el crecimiento de la
institucin?
La nueva proyeccin presupuestal tiene total
cubrimiento de las actualizaciones que requiere la
X
institucin?
Los nuevos proveedores manejan, y estn acreditados
con las nuevas normas tecnolgicas y de calidad?
X
Se tiene una reserva presupuestal en caso que alguna
de las actualizaciones no est disponible y se tenga que
X
contar con otra que difiere en costos con la primera?
Hay una comunicacin asertiva entre las reas de
presupuesto, contabilidad, TI he inventarios para la
X
implementacin?

No
X

La adquisicin de las nuevas tecnologas se va a

realizar por ciclos de acuerdo a la proyeccin
presupuestal?

P07 Administrar Recursos Humanos de TI.

Hospital el Tunal E.S.E

Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P07 Administrar Recursos Humanos de TI
Pregunta
Si
No
Las capacitaciones para el personal de TI para las
X
nuevas plataformas va a interrumpir con sus funciones?
Todo el personal con las capacitaciones puede suplir
una ausencia de la persona encargada de cierto proceso?
X
Se va a trabajar por mejorar las habilidades del
personal del rea de TI?
Cada integrante del grupo del rea de TI cumple con
los estndares exigidos para las funciones que
desempea?
Se va a tener en cuenta la calificacin de los usuarios
para con el personal de TI segn su funcin?
Se va a realizar una socializacin con el grupo de
trabajo para identificar falencias en los nuevos
procesos?

X
X
X

Listas de Chequeo Juan Camilo Escobar.

LISTA DE CHEQUEO
FECHA: 6 de Mayo de 2016
REALIZADO POR: Juan Camilo Escobar
PROCESO EVALUADO: AI4 - Facilitar la Operacin y el Uso
DESCRIPCIN CONTROLES EXISTENTES EN EL
SI

NO

PROCESO
El rea de sistemas tiene implementada documentacin para
toda la parte de software?
Los manuales existentes estn actualizados?
La gerencia maneja la documentacin actual?
Los usuarios manejan la documentacin actual?
El personal de soporte maneja la documentacin actual?
La documentacin est estructurada?
La documentacin tiene un sentido lgico?
La documentacin lleva todos los procesos de la empresa?
La documentacin tiene una estructura con nomenclatura?

2. Cuadro de hallazgos en cada uno de los procesos CobIT

evaluados.

Cuadro de hallazgos Tobiaz Arias.

Tabla Hallazgo 1
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 1

PROCESO
AUDITADO

Estado del hardware, software y

entorno fsico de los equipos de
computo.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Adquirir e
Implementar
(AI)

PROCE
SO

THA_O1

PGINA
1

DE

Adquirir y mantener
infraestructura tecnolgica (AI3)

DESCRIPCIN:

Los sistemas operativos no se encuentran actualizados.

No se cuenta con un sistema de seguridad en las reas donde
hay equipos de cmputo.

Esto sucede porque no se cuenta con un cronograma para los

tcnicos para que realicen sus actividades y en cuestin con la
seguridad por falta de recursos el proveedor que presta el servicio no
dispone de ello.
REF_PT:
CUESTIONARIOS- AI-C1
Anexo 1- Paginas 1
CONSECUENCIAS:
Al no tener los sistemas operativos actualizados estos pueden
presentar fallas y se pueden contagiar de virus fisilmente, esto
conlleva a que est en riesgo la informacin que se encuentra en
este.
Al no contar con sistemas de seguridad en las reas cmaras,
censores de movimiento, etc. hay la opcin de que si hay una
perdida no se pueda acudir a estas herramientas.

RIESGO:

Probabilidad de ocurrencia: 60

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Tener un cronograma de actividades para los tcnicos para

ejercer este tipo de mantenimientos preventivos y correctivos
se sugiere que sea cada 6 meses.
Administrar mejor los recursos para contar con un buen
proveedor de seguridad que cumpla con las exigencias de la
entidad.

Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2

PROCESO
AUDITADO

Seguridad de la informacin.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O2

PGINA
1

DE

Garantizar la seguridad de los

sistemas (DS-5)

DESCRIPCIN:

No hay restricciones para conexin a red de usuarios externos.

Los equipos de cmputo no cuentan con servicio de antivirus.
No se genera cultura sobre el tema de seguridad de la
informacin.

Esto sucede porque las direcciones IP no son fijas sino se cuenta con
DHCP, por falta de recursos el hospital no cuenta con servicio de
antivirus y por ultimo no se cuenta con personal disponible para que
realice campaas de culturizacin sobre la importancia de la
seguridad de la informacin.
REF_PT:
CUESTIONARIOS- AI-C2
Anexo 1- Paginas 2

CONSECUENCIAS:
Al tener acceso a la red cualquier usuario este puede que tenga
acceso a informacin privada de la entidad.
Los equipos se pueden infectar de virus y este puede ocasionar
perdida de informacin.
Al no tener conocimiento sobre que es la seguridad de la
informacin y tics bsicos para hace practica de esta hay alto
nivel de que la informacin no est bien custodiada y
salvaguardada.

RIESGO:

Probabilidad de ocurrencia: 35

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Se recomienda tener IP fijas para mejor control y monitoreo.

Implementar cuanto antes un sistema de antivirus as sea free
siempre en cuando este sea actualizado constantemente.
Empezar a crear publicidad ya sea va electrnica hacer del
tema de seguridad de informacin, ejemplo: correos,
comunicaciones internas, fondos de escritorio, etc.

Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3

PROCESO
AUDITADO

Capacitacin a los usuarios.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O3

PGINA
1

DE

Educar y entrenar a los

usuarios (DS-7)

DESCRIPCIN:

Los manuales que se requieren no estn en un lugar accesible.

Los usuarios no reciben cursos de actualizacin.

Esto sucede porque los manuales que pueden llegar a ayudar en un

proceso no estn a la mano o de fcil acceso adems los usuarios no
cuentan con el tiempo para realizar actividades de actualizacin y la
entidad no las brinda..
REF_PT:
CUESTIONARIOS- AI-C3
Anexo 1- Paginas 3

CONSECUENCIAS:
Puede generar un reproceso en las actividades diarias adems
que no tengan en claro que es lo que van a solucionar.
Al no recibir actualizaciones cursos puede esto generar
reproceso adems que al usuario al no tener en claro que es la
piratera puede ocurrir una falta legal grave.

RIESGO:

Probabilidad de ocurrencia: 72

Impacto segn relevancia del proceso: alto

RECOMENDACIONES:

Ubicar un sitio fsico y uno en la red o en la nube donde se

encuentre un repositorio de todos los manuales que puedan ser
tiles.
Realizar campaas de capacitacin para aclarar temas como de
legalidad y actualizaciones requeridas por los usuarios.

Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4

PROCESO
AUDITADO

Seguridad de la informacin.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O4

PGINA
1

DE

Administracin de datos (DS11)

DESCRIPCIN:

No es oportuna la atencin de los tcnicos al momento de

realizar un backup de informacin.
La informacin no se encuentra en un estado de conservacin
segura.

Esto sucede porque la entidad cuenta con poco personal (tcnicos)

que suplan con la solicitud de soportes tcnicos. Adems por falta
recursos no se cuenta con un lugar fsico seguro donde se
salvaguarde los backup de la informacin.
REF_PT:
CUESTIONARIOS- AI-C4
Anexo 1- Paginas 4

CONSECUENCIAS:
Al no atender oportunamente la solicitud de realizacin de
backups la informacin se puede perder o daar y la
responsabilidad ya no es del usuario que la posee si no del rea
de sistemas.
Los medios donde se conserva la informacin se pueden daar
ocasionando perdida de la misma.

RIESGO:

Probabilidad de ocurrencia: 20

Impacto segn relevancia del proceso: bajo

RECOMENDACIONES:

Contar con ms personal y si no es posible priorizar estos tipos

de soporte en este caso solicitud de backups y tener un
procedimiento adecuado para realizarlo.
Hacer uso primero que doto de las TRD para almacenamiento
de informacin y tener esta en un lugar lo ms seguro posible.

Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5

PROCESO
AUDITADO

Sistemas de prevencin y
control del centro de datos

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O5

PGINA
1

DE

Administracin de ambiente
fsico (DS-12)

DESCRIPCIN:

No se cuenta con sistemas de emergencia como detectores de

humo, alarmas u otro tipo.
No se cuenta con medios adecuados para la extincin de fuego
en el centro de datos.
No existe sealizacin de prohibiciones para fumar, consumir
alimentos y bebidas.
No se cuenta con cmara de vigilancia en el centro de datos.

Esto sucede porque por falta de comunicacin entre el departamento

de sistemas y el departamento de salud ocupacional y el de
mantenimiento que en este caso corresponde al departamento de
recursos fsicos para que puedan llevar a cabo soluciones para este
tipo de faltas, adems el proveedor de seguridad no dispone de
cmaras de seguridad en la entidad.
REF_PT:

CUESTIONARIOS- AI-C5
Anexo 1- Paginas 5
CONSECUENCIAS:
Al no contar con las herramientas de seguridad necesarias y
bsicas puede ocurrir un accidente que conlleve al dao parcial o
total ce los equipos que se encuentran dentro del centro de
datos.
En el momento de un incendio no se tiene a la mano un extintor
que pueda utilizarse en estos casos.
Si no hay sealizacin en el centro de datos sobre seguridad
puede ocurrir un accidente que involucre la seguridad de los
equipos q se manejan.
Al no contar con cmaras de vigilancia no se puede tener un
monitoreo contante del rea y adems en caso de alguna perdida
no se puede soportar la falla.

RIESGO:

Probabilidad de ocurrencia: 20

Impacto segn relevancia del proceso: bajo

RECOMENDACIONES:

Ponerse en contacto con las reas pertinente y solicitar una

revisin sobre las necesidades obtenida para tener control
sobre estos temas de incidencia y prever un accidente.
Solicitar al proveedor de seguridad la instalacin de una
cmara de seguridad en el centro de datos soportando la
importancia de esta rea para la institucin y el desarrollo de
sus actividades.

Cuadro de hallazgos Harvy Arley Gil.

Tabla Hallazgo 1
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 1

PO_01

Continuidad de los procesos de TI en la

PROCESO AUDITADO institucin proyectando su crecimiento
estructural.
RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINIO

Planear y Organizar
(P0)

PROCES
O

PGINA
1

DE

P01 Definir el plan estratgico de

TI

DESCRIPCIN:

La infraestructura tecnolgica actual no es capaz de soportar la demanda total

de los usuario tanto del rea asistencial como administrativa.
La distribucin de los recursos econmicos para el rea de TI no tuvo la
suficiente proyeccin quedando el montaje tecnolgico a media marcha.

Esta situacin problema se presenta por la falta de prevencin en el crecimiento de la

institucin, en principio se tena establecido como un centro mdico pero a medida del
aumento en la poblacin aledaa se constituy una institucin hospitalaria, haciendo
que la planeacin para el rea tecnolgica se quedara corto, con esto el rea de TI no da
abasto con la demanda de peticiones a sus servidores.

REF_PT:
Cuestionario- C1
Lista de chequeo P01

CONSECUENCIAS:
Al no tener la suficiente estructura tecnolgica en el rea de TI en sus servidores
se presentan retrasos en todos los procesos por el exceso de peticiones a los
mismos, una vez estos servicios colapsan es necesario reiniciar los servicios
haciendo perder tiempo a los pacientes y funcionarios.
Tanto el rea de TI como el rea de presupuesto no presenta una articulacin en la
planeacin de las necesidades que se estn presentando actualmente cada una de
ellas defiende sus polticas internas sin llegar a un consenso en el cual se pueda
realizar un plan de trabajo para la adquisicin de nuevas herramientas
tecnolgicas.
RIESGO:

Probabilidad de ocurrencia: 62.06

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Articular las reas de TI y presupuesto para observar la viabilidad del proceso

de actualizacin de la infraestructura tecnolgica, costos, tipo de pago,
proveedores, gestin de contratos, herramientas de gestin libre,
mantenimientos y soporte.
Empezar depurar los procesos que generalmente no se utilizan para evitar las
saturaciones en el servidor, para no tener que reiniciar el sistema y evitar
demoras en los procesos del rea asistencias y administrativa, estableciendo un
lmite de uso en la memoria RAM, mientras se puede cambiar de Windows a
Linux.

Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2

PO_02

PROCESO AUDITADO Coordinacin de la direccin tecnolgica

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINIO

Planear y
Organizar (P0)

PROCESO

PGINA
1

DE

P03 Determinar la direccin

Tecnolgica

DESCRIPCIN:

No existen planes de contingencia en dado caso de un dao masivo ocasionando

prdidas de informacin, daos en segmentos de los discos, datos daados.
No se tiene respaldo de ninguna identidad de fuera en soporte a la actual
estructura tecnolgica del hospital.
El comit de direccin tecnolgica no tiene contemplado un plan de
capacitaciones para el personal del rea de TI.

No se tiene contemplado un plan de capacitaciones para el personal que est en el rea

de TI por falta de tener contemplado un cronograma de estas actividades por parte de la
direccin tecnolgica, el no tener un respaldo de una compaa especializada en
algunos de los equipos que operan en el hospital el personal no puede dar soporte a
situaciones que se presenten con estos equipos, de igual manera no tener una base para
posibles contingencias hacen vulnerables el sistema de informacin y todas las
propiedades que este implica.

REF_PT:
CUESTIONARIOS- C2
Lista de Chequeo P03

CONSECUENCIAS:
Al no tener un respaldo de las empresas proveedoras o de otra identidad que
conozca la estructura que se est manejando en el hospital no se puede dar
mantenimiento o soporte en caso de algn dao interno o externo.
El personal al no recibir ningn tipo de capacitacin por los equipos especiales
(radiologa, ecografa, oftalmologa) en su software o configuracin est limitado
en la prestacin de soporte tcnico que se requiera.
No tener planes de contingencia hace ms vulnerable la operacin del sistema de
informacin en dado caso de colapso o cada en la base de datos del mismo,
corriendo el riesgo de prdida de informacin.

RIESGO:

Probabilidad de ocurrencia: 6 0.60

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Renovar contratacin con los proveedores de hardware de data center para tener
acceso a actualizaciones y soporte tcnico y equipos de reas especficas
(radiologa, ecografa, oftalmologa).
Buscar empresas certificadas en el uso de herramientas tecnolgicas que
permitan implementar medidas de prevencin en dado caso de contingencia o
dao en sectorizados.
Desarrollar un plan de capacitaciones para el personal de TI de la institucin
para tener la facilidad de prestar un servicio tcnico en primera medida.

Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3

PROCESO AUDITADO

Infraestructura, procesos y organizacin

de TI

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINI
O

Planear y Organizar
(P0)

PROCES
O

PO_03

PGINA
1

DE

P04. Definir Procesos,

Organizacin y Relaciones de TI

DESCRIPCIN:

En el comit de tecnologa nunca se ha contemplado un anlisis con los posibles

riesgos, planes de trabajo en dado caso de cada en la infraestructura
tecnolgica actualmente ni en el futuro.
No se cuenta con ente de control diferente que el comit o el lder del rea para
evaluar la gestin del departamento TI, verificando que se est alcanzando
todos los objetivos propuestos por esta rea.
Se sigue trabajando con un modelo obsoleto en el rea de TI ninguno de los
tcnicos conoce otro proceso que no sea el que maneje haciendo que las
ausencias en algn momento sea una vulnerabilidad.

En el comit de tecnologa no se han descrito temas como el posible anlisis de riesgos

a los que la institucin est expuesta por la falta de la actualizacin de la plataforma
tecnolgica, tambin es indispensable contar con un ingeniero de sistemas calificado en
el rea de control interno para tener un soporte a los procesos que se vienen llevando en
el rea de TI, es necesario cambiar la forma de trabajo y roles en el rea de informtica
para evitar que una ausencia pueda dejar vulnerable el rea.
REF_PT:

CUESTIONARIO C3
Lista de Chequeo P04

CONSECUENCIAS:
El no tener identificado los posibles riesgos que se tienen en la institucin hacen
que todos sus procesos se puedan ver afectados en dado caso de un problema
institucional completo.
Al no tener una articulacin entre los miembros del equipo de trabajo del rea de
TI, la ausencia de cualquier elemento deja de forma vulnerable el proceso que
tiene a cargo por el hecho de no tener un backup.

RIESGO:

Probabilidad de ocurrencia: 32

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

El comit tecnolgico necesita empezar a elaborar un plan de trabajo para

empezar a identificar todos los riesgos (hardware, software) que se tienen en la
institucin.
Contratar el personal idneo para la oficina de control interno organizacional
para que pueda auditar los procesos del rea de TI articulando con el comit y
lder de tecnologa para implementar planes de mejora.
Articular todos los procesos del rea de tecnologa donde los tcnicos empecen
a capacitar a sus compaeros en dado caso de alguna ausencia.

Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4

PO_04

PROCESO
AUDITADO

Presupuesto para el rea de TI.

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINI
O

Planear y Organizar
(P0)

PROCESO

PGINA
1

DE

P05 Administrar la inversin en

TI

DESCRIPCIN:

La antigua proyeccin presupuestal careca de una visin del crecimiento del

hospital por tal motivo se adquirieron equipos con las mnimas especificaciones
tcnicas para la implementacin de los servicios cliente/servidor.
Es necesario tener un plan con la nueva proyeccin presupuestal que est en
curso para la actualizacin de la plataforma tecnolgica y que no se quede corta
en la transicin de este proceso.

Esto sucede por la falta de articulacin de varias dependencias del hospital sobre todo
entre el rea de TI y Presupuesto donde nunca se estuvo de acuerdo en el modelo que le
iba mejor a la institucin, implementando medidas contraproducentes sin proyectar el
crecimiento del hospital, por otra parte si no son bien distribuidos los nuevos recursos
para la actualizacin de la plataforma tecnolgica del hospital no se podr llevar a feliz
trmino este proyecto, donde se debe tener en cuenta que se debe buscar la estabilidad
del rea TI para darle la diligencia a los dems procesos que estn involucrados.

REF_PT:

CUESTIONARIOS C4
Lista de Chequeo P05

CONSECUENCIAS:
Si no se tiene cuidado con la nueva proyeccin presupuestal donde esta descrita
toda la actualizacin de la plataforma tecnolgica del hospital una vez mas se
acudir a soluciones a corto plazo y no se solucionara de manera radical problema
de saturacin en los servicios, es de vital importancia la articulacin de toda el
rea financiera y TI.
RIESGO:

Probabilidad de ocurrencia: 46.42

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Cronograma con las compras de los nuevos equipos, as como la facturacin de

los mismos.
Reuniones paulatinas para analizar el avance de las actualizaciones para
verificar el desembolso de nuevos recursos conforme se va implementando
estas mismas.

Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5

PO_05

PROCESO AUDITADO Administracin del personal de TI

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT

DOMINI
O

Planear y Organizar (P0) PROCESO

PGINA
1

DE

P07 Administrar Recursos

Humanos de TI

DESCRIPCIN:

No se observa una retroalimentacin entre los integrantes del grupo de trabajo,

esto perjudica procesos que solo los lleva una persona.
La falta de capacitacin en todas las reas que maneja TI afecta el soporte
tcnico siendo indispensable que recaiga en una sola persona.

Esto sucede porque el rea no tiene la cultura de tener un backup como se hace con la
informacin, las personas que manejan un solo proceso son celosas en compartir su
conocimiento, tambin la falta de capacitacin para los dems miembros del equipo en
dado caso de una situacin fortuita que obligue a la ausencia de esa persona.
REF_PT:
CUESTIONARIOS C5
Lista de chequeo P07
CONSECUENCIAS:
Al no contar con una retroalimentacin entre los miembros del grupo de trabajo no
hay una unidad para soportar los procesos que se tienen en el rea.
Al depender de una sola persona por proceso se est expuesto a vulnerabilidades

en el proceso o retraso por situaciones ajenas a la institucin y ms de ndole

personal.
RIESGO:

Probabilidad de ocurrencia: 76.92

Impacto segn relevancia del proceso: Medio

RECOMENDACIONES:

Es importante que todos los miembros del grupo de trabajo tengan el

conocimiento de la totalidad de los procesos que se llevan en el rea.
Buscar una armona dentro del grupo de trabajo para que se apoyen mutuamente
en la resolucin de situaciones problema donde se evidencie el crecimiento
como tcnicos y personas.

Cuadro de hallazgos Juan Camilo Escobar.

HALLAZGO 1

Hospital El Tunal E.S.E III Nivel

PROCESO
AUDITADO
RESPONSAB
LE
MATERIAL
DE SOPORTE
DOMINIO

Desarrollo, uso y divulgacin de procedimientos

Juan Camilo Escobar
COBIT 4.1
ADQUIRIR E
IMPLEMENTAR

PROCES
O

AI4 - Facilitar la
Operacin y el Uso

DESCRIPCIN:

Falta de poltica de desarrollo de documentacin de todos los procesos

de sistemas.

Solo hay documentacin de algunos procesos.

Falta de nomenclatura de los procesos.

La gerencia no maneja la documentacin.

Los usuarios finales no manejan la documentacin.

REF_PT: Cuestionario de Control: C1

CONSECUENCIAS:

El conocimiento queda aislado a solo la persona que maneja el

proceso.

En caso que la persona no se encuentre el proceso puede quedar

detenido.

Se pueden causar o generar errores por falta de conocimiento del

procedimiento.

RIESGO:

Probabilidad de ocurrencia: = 77.56%

Impacto segn relevancia del proceso: Alta

RECOMENDACIONES:

Se recomienda crear una poltica, para la documentacin de todos los

procesos de sistemas, donde se estructure con nomenclatura, donde
haya encargados para la creacin, revisin, autorizacin, y
actualizacin de los procesos.

Se recomienda divulgar y relacionar todos los procesos creados con la

gerencia, el personal tcnico, y los usuarios finales.

3. Cuadro de tratamiento de los riesgos consolidado.

RIESGOS/VALORACION

PROBABILIDA
D
A
M
B

IMPACTO
L

Hardware
R1
R2
R3

R4

R5
R6

R7
R8
R9

R1
0
R1
1
R1
2
R1
3
R1
4

Equipos Infectados.
Prdida o daos en los archivos o
sistema operativo de los equipos.
Dao del hardware del equipo de
computo
Equipos que no estn conectados a
una UPS pueden sufrir corto en la
board, fuente, disco duro, prdida de
activos fijos.
Seguridad Fsica
Robo y perdida de equipos de
cmputo (hardware y software).
Perdida
de
informacin
por
desconexiones,
cortos,
reinicios
inesperados.
Redes
Cada de la red, reproceso en
actividades.
Congestin en la red y en el trfico de
esta.
Demora
en
los
procesos
que
necesitan aplicaciones web poniendo
en peligro la vida de los pacientes
Seguridad Lgica
Perdida de informacin o dao de la
misma.

Acceso no autorizado a los equipos.

4. Cuadro de riesgos y controles propuestos

X
X

X
X

X
X

Documentacin
Procesos detenidos por falta de
X
documentacin.
No existen polticas de administracin
y respaldo de almacenamiento de la X
informacin
No existen polticas de seguridad

X
X

X
X
X

RIESGOS o
HALLAZGOS
ENCONTRADOS
Dao del hardware
del equipo de
computo

TIPO DE
CONTROL

SOLUCIONES O CONTROLES

PREVENTIVO

Solicitar al rea de recursos fsicos con

conjunto con salud ocupacional para
hacer revisin de los puntos elctricos
para que estos cumplan con sus
debidas
exigencias
adems
de
canalizar toda la parte de cableado.
Realizar una brigada de actualizacin
del antivirus que por defecto viene con
el sistema operativo o adquirir una
licencia de antivirus con un proveedor.
Crear polticas de seguridad en el
servidor de dominio, preferiblemente
cambiar
de
direccionamiento
IP
dinmico
por
DHCP
por
direccionamiento fijo. Actualizacin del
sistema operativo del servidor y
fortalecimiento
del
firewall
del
hospital.
Ingresar todos los equipos de cmputo
al dominio de red para que estos no
ingresar
como
administrador
al
sistema, crear credenciales para los
usuarios,
establecer
polticas
de
seguridad para las cuentas de usuario
creadas para que estos no puedan
realizar la instalacin de software
ilegal.

Perdida de
informacin o dao
de la misma

PREVENTIVO

Acceso a
informacin
confidencial

CORRECTIVO

Problemas de
legalidad piratera
(DIAN)

PREVENTIVO

BIBLIOGRAFIA

Referenciado de, Documento de apoyo curso de auditoria de sistemas Universidad

Nacional Abierta y a Distancia 2016 I, foro de trabajo Colaborativo.
Referenciado de, rea de Tecnologa Hospital el Tunal E.S.E.
Referenciado de, rea de control interno Hospital el Tunal E.S.E.