CASO 6.

La empresa ABC, Paralizo sus actividades operativas durante tres (3) das debido
a la interrupcin del servicio en su Red Informtica, conectada a Internet, por
efectos de ataques con virus informticos, acto que de paso dejo fuera de
Servicio por daos fsicos en sus discos duros a 12 equipos de computo de tipo
PCs. la empresa tiene en su red Informtica un total de 550 computadores de
diferentes tipos conectados prestando diferentes servicios as.
6 Servidores distribuidos en Proxy, Servicios (Mail, FTP, Chat), Datos, Backup
Documentos y Datos, Publicacin de Aplicativos en la Web, Servicio Telefnico.
Los otros equipos son de tipo PC, empleados como terminales de acceso a los
servicios ofrecidos por la Divisin de Informtica de la Empresa.

Pasados los tres das la empresa pudo recuperarse de la ciada del sistema, luego
de detectar varias fallas las que estuvieron involucradas en el desastre. Se
detectaron virus informticos cuyo propsito fue bloqueo de Impresoras, Duplicidad
en Licencias de Emuladores de Terminales, Bombardeo de Procesos a Memoria y
Cargue de estos en memoria, escritura no deseada en Discos Duros, Replica de
mensajes a travs de la Red.

Igualmente se detecto un troyano de tipo Puerta Trasera (Back Door.A), por donde
ingresaron al Sistema y eliminaron datos de la empresa, adems se cree que
modificaron algn tipo de informacin. Para resolver el problema la empresa decidi
restaurar el backup de Datos y Servicios de la semana anterior y proceder a
levantar la informacin faltante en el sistema. El costo estimado de las perdidas se
considero en Setenta millones de Pesos ($70.000.000)

Despus del anlisis del problema se consider las siguientes debilidades:

- Los antivirus Licenciados disponibles son pocos (60), son de la firma Panda
Antivirus
- Se observa la presencia en otros equipos de programas de antivirus sin
licencia (Norton, Mcaffee, AVG), instalados en demostracin o usando copias
no autorizadas por la empresa.
- El uso Indiscriminado de Disquetes para uso personal, para el desarrollo de
actividades no relacionadas con las funciones de la empresa.
- Uso de Servicios de Internet, poco Seguros, Correos en Hotmail, yahoo,
latinmail y otros.
- Descargue de Archivos de sitios no seguros.
- Ingreso a paginas de Pornografa
- No se han definido reglas sobre el uso de las Herramientas
computacionales.
- No existe Servicio de Correo Institucional.
- El personal no esta Capacitado en Seguridad Informtica, ni administracin de
redes y telecomunicaciones.
- No existe la funcin de Administrador de Red, base de Datos y Seguridad
- No hay Software para Monitoreo de Redes, ni Vigilancia de uso y acceso a
Internet.
- Existe poco personal en la oficina de sistemas (cinco Ingenieros), con
funciones varias y entrelazadas (comparten responsabilidades).
En consecuencia, la empresa ha tenido dificultad para atender a sus clientes,
servicio que se presta a travs de la Publicacin de un Portal en la Pagina Web
de la Compaa, con desarrollo Interno.

Las Inversiones de la Empresa, se han incrementado en los dos ltimos aos

para fortalecer la infraestructura tecnolgica en Informtica, en consecuencia
actualmente dispone del siguiente inventario de activos:
Seis (6), Servidores de rango Medio marcas IBM, SUN, HP, a costo promedios
de Veinticinco Millones de Pesos C/u ($25.000.000).
Sistemas Operativos UnIx-AIX ver 5L, UNIX- Solares, Linux SuSe, ReadHat, con
costos de Quince Millones de Pesos ($15.000.000).
Dos tipos de Licencias de Bases de Datos as: Oracle 9i (Cuarenta Mil Dlares),
MySql Versin Open Free.
Sistemas Operativos Windows Xp, Windows 2000, y 98, para las estaciones de
trabajo.
Los equipos de Comunicacin de redes, Utiliza Switches Marca 3COM y CISCO
System, para un total de 50 equipos a un costo promedio de Trescientos Mil
Pesos C/u ($300,000). Empleando Radio Enlace Va Micro Ondas hacia el
proveedor de Servicios de Internet con la Empresa EMTELCO, con ancho de
Banda de 2 Mega Bytes por segundo, pagando un arriendo mensual de Seis
Millones de Pesos ($6.000.000).
Igualmente se renov parte del cableado estructurado a un costo de Veinticinco
millones de Pesos ($25.000.000). El personal de sistemas se capacit en
administracin en Oracle 9i, Sistemas Operativos Unix, Linux y Programacin
para desarrollo en la Web.

Analice la Problemtica expuesta y determine lo siguiente:

Describas Las Amenazas presentes en el problema.
Describa Los aspectos Crticos en el Uso de la tecnologa Informtica
Describa los Escenarios de Riesgo de la Tecnologa Informtica en Uso
Describa Las Actividades Sujetas a Control del Sistema de Informacin
Prepare la Matriz Delphi para fijar Controles Apropiados a la T.I. Instalada.
Caso de Estudio 7:
La Universidad UPTC, elabora los certificados para los estudiantes, en la oficina
respectiva de cada programa, estos son elaborados empleando Word, por la
secretaria, y luego pasan al Coordinador del programa para su firma, Los datos
se toman del Archivo fsico donde estn almacenados en carpetas, con la malla de
cada uno de los estudiantes del programa donde semestre a semestre se consignan
las Notas manualmente, de los reportes finales de cada profesor. La Oficina de
Control Interno verific el proceso y consult con el coordinador del programa y la
secretaria, sobre la actividad, quines informan lo siguiente:
Coordinador de Programa: No se usa el aplicativo porque, el men de opciones, no
ofrece acceso a consulta de las notas del estudiante, si tiene opcin para generar
certificados, pero no es confiable porque all, no estn todas notas de los estudiantes
y adems algunas estn erradas en los registros de la computadora (no concuerdan
los registros de la computadora con los del archivo fsico); por esa razn se toman
los registros del archivo fsico.
La Secretaria:Tomo las plantillas del estudiante, y transcribe semestralmente los
datos de las listas de clase de los docentes en las plantillas; con esos datos
reproduce los certificados, pasando nuevamente las notas de las plantillas hacia la
hoja en Word, pocas veces me equivoco adems el coordinador revisa mi trabajo.
La universidad tiene la oficina de Registro y Control Acadmico, encargada de la
grabacin y administracin de notas de los alumnos por cada semestre, el dice: la
Oficina dispone de software hecho por el Departamento de sistemas de la
Universidad, donde se registran las notas y los clculos de cada periodo, por
estudiante, segn las planillas de notas de los docentes, esos datos son confiables y
se revisa la grabacin del personal de la oficina para asegurar que se graben las
notas en forma correcta, luego los certificados salen de acuerdo con la realizad, de
otra parte el reglamento acadmico dice que los certificados se generan y entregan
en admisiones.
El jefe de Sistemas dice: Los programas de computadora se modifican y revisan de
acuerdo con un procedimiento escrito a solicitud de los usuarios; siguiendo las
normas y reglamentos de la Universidad, luego estos guardan y escriben la
informacin segn reglas establecidas previamente.
De acuerdo con el caso anterior, efectuar el Anlisis de Riesgos.
Caso 8.

La Universidad de Colombia, realiz el proceso de Inscripciones para admitir aspirantes a cupos de

admisin mediante examen de admisin, durante los dos meses anteriores. La rectora Solicito a
Control Interno elaborar un Balance de Riesgos y Controles sobre el anlisis entregado por la Oficina
de Sistemas de la Universidad, que dice as: Respecto a las vivencias del proceso de inscripciones
a travs del servicio en lnea utilizando la Pgina WEB sobre Internet, los aspectos analizados son:
Aplicativo: Desarrollado con Herramientas para ambiente Web (PHP), soportado sobre Sistema
Operativo Linux, SUSSE Versin 9.0, los datos almacenados sobre la Base de datos MySQL,
Herramientas de Software Libre, utilizada para disminuir los costos de Inversin en licenciamiento. En
trminos generales fue funcional, an cuando en las dos primeras semanas, estuvo sujeto a
mantenimiento y ajustes orientados a solucionar las dificultades iniciales. El otro aspecto est
relacionado con la Amigabilidad del aplicativo, hubo la necesidad de explicar con ms amplitud
algunos campos y hacerlo en otros que no lo tenan. En trminos Generales este se comporto bajo
los parmetros esperados, se requiere depurar la informacin solicitada para otro proceso venidero.
Flujo de Informacin Entre los Bancos y la Universidad, Banco La Patria: Recibi los pagos de
los Inscritos y se comprometi todos los das a enviar la informacin de los recaudos va correo
electrnico con el administrador de la Base de Datos de la Universidad. Prest Buen servicio, puntual
al enviar el reporte diario de los clientes inscritos, se esmero en la depuracin de datos errados,
cometidos por sus funcionarios, an cuando persisti los errores de trascripcin y clientes no
reportados en los informes diarios: La calidad de los Datos, con problemas durante todo el Proceso,
estos llegaban incompletos (Sin documento o sin el Nmero de recibo), Haciendo necesario que
sistemas manipulara las modificaciones de las inscripciones.
Hardware: Dos (2) Computadores, Clon de tipo PC utilizado para administrar los datos del proceso
fall, el da Diez y Seis (16) de Abril, hubo la necesidad de retirarlo de las oficinas del proveedor de
Internet, para corregir su falla (Memoria Floja). En sntesis funcion para los 6800 inscritos, el otro se
utiliz como servidor de Backup, esta se realiz todos los das en la Maana y la Tarde, montando los
datos sobre otra imagen de Base de datos en MySQL.
Telecomunicaciones: El acceso a Internet, ofreci estabilidad y un Nivel aceptable de velocidad a
los usuarios. La Intranet, acceso al PC, para efectos de mantenimiento y Solucin de Problemas de
los Clientes, estable pero en horas pico, oper con lentitud (demora para Leer un Registro 40
Segundos y 60 para Guardar los datos).
Recurso Humano:
Admisiones. Coordin y Gestion el Proceso, atendiendo solicitudes de los clientes, el flujo de
comunicacin con sistemas y los usuarios, fue apropiado.
Sistemas: Ofreci Soporte Tcnico permanente en mantenimiento del aplicativo en forma personal y
por telfono, los datos y las copias de respaldo. Igualmente respald la solucin de problemas y
necesidades de clientes.
Caso de Estudio 9.

El Lunes en la Maana, un docente de la Universidad, Ingreso a desarrollar su

clase en la sala de Audiovisuales, donde se dispona a utilizar el Computador
conectado a un televisor de 34 pulgadas a travs de una tarjeta de control
instalada dentro del Computador. El docente no pudo hacer su clase debido a que
el computador fue desvalijado y le retiraron la Tarjeta de Conexin PC-TV.

Para determinar responsabilidades la Oficina de Control Interno de la Universidad,

abri una Investigacin, la que se describe a continuacin:
El auditor reviso las planillas de prestamos y ocupacin del aula donde Observo
que un docente del rea de Administracin de empresas fue la Ultima persona que
utiliz la sala, al ser consultado el Docente Informa que despus de utilizar la Sala el
da sbado finaliz su clase a las 5:50 de tarde, dejo los elementos completos y
cerro la sala con llave. Al salir de la institucin le inform al vigilante del estado de la
misma.

El procedimiento para prstamo y uso de la sala es el siguiente:

El docente interesado solicita en la oficina de informacin de la direccin
administrativa, el prstamo de la sala, la secretaria busca en las planillas de control
para verificar si esta libre, en caso de estarlo adjudica esta a l docente interesado;
el da de uso de la misma el docente debe solicitar al portero en turno de la
institucin para que este abra y entregue al docente la sala (Inventario por
Observacin visual), con los elementos all presentes, el docente facilita en ingreso
de los alumnos a la sala y llama a lista para verificar el acceso de sus alumnos, al
final de la clase este debe requerir al portero para que nuevamente reciba el
inventario de la sala de audiovisuales y proceda a cerrar con llave.
El Inventario de la sala es el siguiente: Saln de 5x4 Mts, cuatro lmparas
luminarias, un tablero acrlico, cuarenta (40) sillas, un escritorio con silla para
docente, Un computador con accesorios de Mediana tecnologa, Un televisor de 34
Pulgadas un VHS, un estabilizador de Voltaje, el saln tiene una ventana con cristal
sin reja, una puerta de madera con chapa de pomo sin reja de seguridad. El
Vigilante adems de controlar el acceso en la puerta principal tuene la funcin de
prestar y controlar el uso de las dos (2) salas de audiovisuales.

Para la Actividad Sujeta a Control Prstamo y Uso de Salas de Audiovisuales

Describa:
1. Cinco reas de Impacto
2. Cinco Amenazas.
3. Cinco Causas de Riesgo.
4. Cinco Controles Sugeridos.
5. Cinco controles Existentes.
Caso 10.

LA Clnica Seguros Mdicos S.A., ofrece servicio de Urgencias Mdicas las 24

Horas del Da, para clientes y usuarios particulares, con la siguiente descripcin de
los procesos en curso:

Los pacientes son ingresados a travs del rea definida por la clnica para atender
el servicio de urgencias, donde inicialmente se hace admisin del paciente, para
identificar, su procedencia, si es cliente o particular, la EPS donde recibe atencin en
servicios de salud y la disponibilidad de pagos, junto con la evaluacin clnica previa
para determinar el tipo de atencin (Traumatologa, pediatra, consulta medica,
reanimacin), a los pacientes se les abre una cuenta para almacenar los cargos
por servicios especiales (rayos x, Laboratorio Clnico, Electro Cardiogramas,
encefalogramas, ecografas y otros), adems Suministros farmacuticos,
ortopdicos y traumatolgicos.

Cada elemento suministrado lo hace dependencias especializadas segn el servicio,

donde deben administrar y controlar cada uno de ello, para finalmente facturar y
cobrar al cliente respectivo, cuando el medico tratante da de Alta al Paciente.

Los tratamientos y servicios anunciados se escriben en hojas de remisin, por cada

dependencia que presta el servicio, donde se consigna el nmero de la admisin,,
se enva al medico tratante quien los recauda y almacena en una carpeta de historia
clnica abierta al paciente, por cada prestacin se genera una remisin, al final el
proceso Dar de Alta, consiste en Revisar la Historia Clnica, para consolidar los
cargos al paciente con el objeto de determinar costos individuales de:
- Servicio Medico.
- Farmacia.
- Servicios Especiales (Radiologa, ecografa, Lab. Clnico, otros).
- Otros Suministros.
Para elaborar la factura final, desglosando los pagos que debe hacer (copagos,
Bonos, otros) el paciente quien se dirige a la Caja y los cargos a facturar a la EPS.
AL cierre del tratamiento el medico devuelve los suministros no utilizados a las
fuentes de suministro, solo factura lo utilizado. Incluso por fracciones.

Los mdicos, manifiestan inconformidad por las remisiones, porque en algunos

casos no es claro la descripcin, las cantidades y los costos. Igualmente manifiestan
que los suministros farmacuticos, no siempre se despachan segn solicitud
medica.

Farmacia: Informa que no siempre existe el medicamento solicitado, luego ellos

deben preparar, o reemplazar por un equivalente.
Adems manifiestan que en general los turnos de la Noche se equivocan en los
reportes de cantidades suministradas, ejemplo solicitaron tres ampolletas de
Novalgina con 1000,000 de Unds, esa es su composicin Farmacutica, sin
embargo al final reportan Un Milln de cantidades del producto aplicadas al
paciente, cuando solo pidi tres(3). Y no se dispone de esa cantidad en inventario.
Utiliza Excel para generar reportes estadsticos, Consumos y pedidos de farmacia.