SlideShare una empresa de Scribd logo

Metodologia y fases de auditoria

aslinag
aslinag

El documento presenta un plan de auditoría informática para el Hospital Integrado San Juan de Cimitarra. El plan incluye objetivos como evaluar el estado físico y actualización del hardware, verificar políticas de seguridad y mantenimiento, y asegurar la protección de datos. Se detallan las actividades de investigación preliminar, planeación, ejecución y resultados. El informe final concluye que no se realizan mantenimientos adecuados de hardware y software.

Educación
1 de 34
Descargar para leer sin conexión
PLAN DE AUDITORIA Se Determina a realizar una Auditoria Informática:  E.S.E HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA  NIT: 890.204.895-0  TELEFONO: (7) 6260141/6260330  GERENTE Y REPRESENTANTE LEGAL DE LA EMPRESA: SANDRA XIMENA CARDENAS NARVAEZ CC: 27.984.785  UBICACIÓN: E.S.E Hospital Integrado San Juan, empresa prestadora de servicios de salud, Departamento de Santander Municipio de Cimitarra, Km1 Vía puerto Araujo. Antecedentes ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA, Empresa Social del Estado Hospital Integrado San Juan de Cimitarra, Institución que presta los servicios de salud, que realiza anualmente el evaluación y control de los estos físicos y actualizado del hardware de los equipos de cómputo, para ello se hace obligatorio realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo sus objetivos misionales. Objetivos Objetivo General Evaluar la efectividad de la Gestión a la ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA respeto a las políticas, controles y procedimientos en el estado físico y actualizado del hardware de los equipos de cómputo del hospital integrado San juan de cimitarra Santander, en cuando a la seguridad de datos, trasferencia de datos, políticas de utilización, contratos de mantenimiento y seguridad física, para brindar una excelente servicios a los usuarios o pacientes.
Objetivo Específicos  Evaluar el diseño de prueba de los equipos de cómputo  Constatar los procedimientos de control al hardware para su vida útil, como tipos de mantenimientos.  Verificar que los software o programas obtenga su legalización  Revisión de las políticas y normas sobre seguridad física de los equipos.  Cuentas de los Inventarios  Planes de adquisición  Contratos de mantenimientos. Alcance y Delimitación Esta auditoría es un proceso sistemático que mide y evalúa, la gestión o actividades de una organización estatal, es así que la Presente auditoría se realiza sobre el Hardware de los equipos de cómputo que se encuentran ubicados en el hospital Integrado san juan de Cimitarra Santander, tomando como muestra 18 equipos. Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en el informe.
Metodología Para el cumplimiento de los objetivos proyectados en la auditoría, se efectuaran las siguientes actividades: Investigación preliminar:  Determinar la estructura organizacional de la institución prestadora de servicios de salud para establecer las responsabilidades del ingeniero de sistemas.  Evaluar los sistemas de información desde sus entradas, procesos, controles, archivos y seguridad.  Verificar el adecuado uso de legalidad de sistemas operativos  Revisar la configuración de los servicios de red, identificando los elementos que apoyan la seguridad y administración de esta.  Conocer la fecha de instalación e los equipos y planes de instalación.  Revisar las políticas de usos de los equipos  Revisar y verificar el número de equipos y sus características.  Revisar el manual o formato en que se encuentra estructurado la forma en que se diligencia el mantenimiento de los equipos de cómputo. Recursos Recursos humanos: Grupo de personal médico y administrativo Recursos físicos: Muestra de 18 equipos de cómputo Presupuesto ÌTEM VALOR Apoyo Personal profesional (1.200.000 mensual/persona ) $3.600.000 Servicios de impresión y útiles $430.000 Gastos Generales $340.000 movilidad $150.000
total $ 4.520.000 Cronograma Actividad Mes 1 Mes 2 Mes 3 Planificación de auditoria Estudio preliminar del área de hardware de equipos de computo 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Aplicación de la auditoria Elaboración del programa de auditoria Evaluación de los riesgos Realización de pruebas Elaboración de información Plan de mejoramiento Analizar y evaluar las estrategias De mejoramiento Elaboración de informe Presentación de informe Actividades Fase de conocimiento: - Realizar visitas a la empresa Aplicando entrevistas al ingeniero de sistemas y usuarios de los sistemas Fotografía-Cuerpo administrativo, usuarios de los sistemas e Ingeniero de sistemas
- Elaborar listas de chequeo Definición: es difícil, determinar si realmente en la Empresa se está realizando periódicamente los mantenimientos preventivos y correctivos ya que consta con un máximo de 28 computadores y elementos informáticos, en vista esta inquietud se hace revisión de los 18 computadores que se tomaron como muestra y se identifica y verifica que no tiene validez la información que presenta el ingeniero de sistemas sobre estos procesos de la Empresa (Hospital Integrado San Juan de Cimitarra). Evidencia: Actividades Fase de Planeación: - Diseñar los formatos de entrevistas
FORMATO DE ENTREVISTA 1-¿Dónde se encuentran localizadas sus instalaciones? _____________________________________________ 2-¿Cuantas personas trabajan en el departamento? ______________________________________________ 3-¿Están capacitadas para la tarea que desempeñan? Si _____ No______ ¿Que Topología utilizan en el área? Bus_____ Estrella______ anillo____ malla____ mixta___ ¿Cada cuánto tiempo se hace un respaldo de la información? 6 meses____ 12 meses___ otras____ ¿Qué sistema operativo utilizan? Windows___ Linux___ Mac Osx____ ¿Cuantos y cuales servidores cuentan en el área? 1__ 2___ 3__ otros___ ¿Cada Cuando se Realiza mantenimiento preventivo y correctivo? 6 meses____ 12 meses___ otras____
¿Qué tipo de seguridad tienen implementada? ______ ¿Qué tanta antigüedad tienen sus equipos? 1 año____ 2 años____ 3 años_____ otros___ - Diseñar listas de chequeo CUESTIONARIO DE CONTROL C1 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Evaluación de Nuevo Hardware CUESTIONARIO Pregunta SI NO N/A ¿Existe inventario de todos los equipos de cómputo? ¿Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos informáticos? ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía?
CUESTIONARIO DE CONTROL C2 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Mantenimiento Preventivo para Hardware CUESTIONARIO Pregunta SI NO N/A ¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático? ¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes? ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía? CUESTIONARIO DE CONTROL C3 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Suministro Ininterrumpido de Energía CUESTIONARIO Pregunta SI NO N/A ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo? ¿Se cuenta con los planos de instalación eléctrica? ¿Los equipos cuentan con un regulador? ¿Hay protección y seguridad para áreas húmedas referente al fluido eléctrico? - Diseñar el plan de pruebas que se llevarán a cabo - Diseño de cuestionario de auditoria informática CUESTIONARIO DE AUDITORIA INFORMÁTICA ¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar algún daño a los equipos? Sí____ No_____ Se cuenta con una salida de emergencia? Sí____ No_____ ¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo? Si ______ No ______ ¿Por qué? _____ ¿Se cuenta con los planos de instalación eléctrica? Si ______ No ______ ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones? Si ______ No ______ ¿Los equipos cuentan con un regulador?
Si ______ No ______ ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía? _________________ ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? Si ______ No ______ ¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes? Si ______ No ______ ¿Existen extintores? Si _______ ¿Cuántos? _____________________________________ No ______ Tipo de extintores: Manual ____ Automático ____ No existen ___ ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? Sí ___ No___ ¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático? Sí ___ No___ ¿Se tienen establecidos procedimientos de actualización a estas copias? Sí___ No___ Actividades fase de Ejecución: - Aplicación de pruebas que han sido diseñadas - Aplicar entrevistas a usuarios clave - Aplicar las listas de chequeo para verificación - Aplicar los cuestionarios a los usuarios del sistema - Otras……
Actividades fase de resultados: - Hallazgos encontrados y causas que los originan No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y preventivos. No existen hojas de vida para cada equipo de cómputo o dispositivo informático No hay un lugar adecuado para el proceso de mantenimientos Causas. La falta de sentido de pertenencia y profesionalismo o ética profesional, del ingeniero de sistemas de la empresa la empresa. Evidencia - Proponer el sistema de control para los riesgos detectados Entre estas tenemos: Actualmente no se cuenta con un sistema de Real para el sistema informático, en base a los mantenimientos de hardware y software, lo que dificulta la toma de decisiones por parte de la alta gerencia, dada la importancia de esta herramienta. Concluir el proceso de actualización y funcionamiento informático institucional. - Elaborar el dictamen de la auditoria
Hallazgos que soportan el dictamen: En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de Cimitarra no ve hacen los respectivos mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema de auditoria informática. Recomendación: El Administrador del área de sistemas de la respectiva Empresa, debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición, actualización, arreglos eléctricos y mantenimientos de hardware. Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos. Dictamen: Se aplican algunos procesos administrativos por el Administrador del área de sistemas informáticos ‘Ingeniero’, realizados de manera desorganizada y espontánea, no se hace calendarios o bitácora de inventarios y mantenimientos de hardware. - Elaborar informe final El presente Informe es de carácter preliminar, en consecuencia de los hallazgos consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro del debido proceso. Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus archivos. El escrito de contradicción debe allegarse en medio físico y magnético Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una
planeación de actividades diseñada por la oficina de control interno donde permita verificar el cumplimiento de los procedimientos de cada área. No existen procedimientos para las áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar a cabo. No existe un mapa de riesgos de la entidad. El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO. 2. Elaborar el programa de auditoría relacionando los objetivos y alcances del plan de auditoría con los dominios, procesos y objetivos de control del estándar COBIT 4.1. Como resultado de esta actividad se debe entregar los dominios, procesos y objetivos de control seleccionados del estándar COBIT que serán evaluados. PROGRAMA DE AUDITORIA COBIT  Proceso: Evaluación de nuevo hardware.  Objetivo de Control: En cuanto al procedimiento para el hardware y el software se debe establecer que impacto genera en el rendimiento de sistema.  Proceso: Mantenimiento Preventivo y correctivo para Hardware y software.  Objetivo de Control: La parte administrativa del hospital deberá establecer un cronograma donde se estipula las fechas dedicadas al mantenimiento preventivo y correctivo del hardware y el software de los equipos y así mejorar su vida de utilidad.  Proceso: Administración e implementación
 Objetivo de Control: Se debe establecer por parte de la administración las medidas necesarias para poder implementar y evaluar el nuevo hardware, además también se debe estipular las medidas para hacer el mantenimiento preventivo del hardware.  Proceso: Suministro Ininterrumpido de Energía.  Objetivo de Control: Debido al suministro interrumpido de la energía el hospital debe tomar las medidas necesarias para proteger los computadores y así evitar un daño irreparable; Una de las posibles soluciones es el uso de reguladores o baterías de suministro ininterrumpido para contrarrestar la ausencia de energía. Resultados de la auditoria Dominio: Proceso: revisión y mantenimiento del equipo de cómputo. Objetivo de control: se hará una evaluación eficaz tanto del hardware como del software para así conseguir y tener una idea más clara de donde está la falla. Dominio: entrega oportuna de servicios y soporte Procesos: hacer el correcto mantenimiento al hospital con las instalaciones de energía. Objetivo de control: hacer mantenimientos para cumplir con el buen funcionamiento de energía y así evitar accidentes por el mal estado de los cables de luz. Dominio: evaluación de riesgos Procesos: mantener un control de los daños que hay en el hospital. Objetivo de control: evitar que ocurran riesgos tecnológicos en los computadores, y hacer arreglos en las superficies que tienen daños internos y externos. Dominio: garantizar la seguridad de los sistemas Procesos: buscar soluciones para que los sistemas no se vean afectados por las fallas. Objetivo de control: prevenir que los equipos de cómputo tengan daños cuando ocurren fallas de energía, proteger el sistema operativo con un sistema antivirus. Diseño de los instrumentos Se UTILIZO las siguientes herramientas. Observación
Se examinó los diferentes aspectos que intervienen en el funcionamiento del área de sistemas y los sistemas software, permitieron recolectar la información directamente sobre el comportamiento de los sistemas. Entrevistas Obtuvimos información sobre lo que está auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. Cuestionarios De esta manera obtuvimos información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado. Cada estudiante debe hacer una lista de riesgos (mínimo 10) detectados, clasificarlos teniendo en cuenta los dominios, procesos y objetivos de control del programa de auditoría identificando Las posibles causas que los originan. Procesos Seleccionados Riesgos asociados a cada Proceso Causas que Originan esos Riesgos Evaluación de nuevo hardware. 1. Mal rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización.  El tamaño de la memoria proporcionada.  El tiempo que la unidad central de procesamiento se mantiene inactiva.  Instalación inadecuada del S.O, sobre carga del sistema. 2. software deficiente  Mala calidad, Administradores inexpertos o negligentes. Mantenimiento Preventivo y correctivo para Hardware y software. 3. fallos del sistema operativo.  No hay optimización de velocidad y problemas de inicio o arranque del pc o equipos.  Pantalla azul, negra. 4.Errores en el disco duro  Infectado por virus  Falta de mantenimiento  Altas de voltaje
PROCESOS RIESGOS CAUSAS Evaluación de nuevo hardware. 14. Que el Hardware no cumpla con lo requerido en el sistema. 15. Los componentes del Hardware sean de baja calidad. Poca Capacidad de almacenamiento. Por economizar dinero no se adquieran equipos be buena calidad. Mantenimiento Preventivo y correctivo para Hardware y software. 16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. 19.Que el computador quede obsoleto y se pierda la información Por falta de precauciones se dañen algunas partes del hardware. Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados virus. El polvo que cae al computador Administración de instalaciones e implementación 20.Computadores totalmente dañados por un mal manejo al momento de instalar un No se tiene una normatividad estipulada en el manejo de los computadores No hay inventario de los equipos y 5. mal rendimiento y recalentamiento  El polvo y el calor en los ventiladores o cooler. 6. Perdida de información  El sistema operativo se daña y no hay alguna copia de seguridad.  Desactualización del antivirus y hay virus Administración de instalaciones e implementación 7.Fallas en los sistemas TIC por instalación Uso de topología inadecuada y seguridad Condiciones medioambientales.
software y por no seguir las normas de seguridad mínimas 21.Equipos con partes que no corresponden las partes pueden ser cambiadas por otras de baja calidad Suministro Ininterrumpido de Energía 22. Que los fusibles de la fuente de poder se quemen. 23.Que la tarjeta madre se presente conflicto con la memoria RAM 24. Que la información que se está trabajando se pierda en el momento que el computador se apaga. Las constantes subidas y bajadas de la luz Proceso Riesgos asociados a cada proceso Causas que originan los riesgos Evaluación del hardware 26. Poca seguridad del hardware de la empresa. El polvo es uno de los causantes del daño interno de nuestro pc. Mala utilización de las memorias lo cual ocasiona virus y coloca lento el sistema operativo. Mantenimiento preventivo y correctivo para hardware y software 27. Fallas inesperadas en el sistema. 28.Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro. Falta de un correctivo antivirus. Mala utilización de la unidad o también por la degradación de los sellos. Suministro ininterrumpido de energía 30. Las causas de los transitorios impulsivos. Esto se da por la influencia de rayos, puestas a tierra y liberación de fallas de la red eléctrica. Esto se produce cuando hay grandes cargas como por ejemplo cuando se enciende
una unidad de aire acondicionado. Administración de instalaciones e implementación. 31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU. Falta de un reglamento por parte de la empresa para que estén pendientes de los computadores. LISTA DE RIESGOS 1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. 2. No hay Software eficiente 3. Existen Fallos del sistema operativo. 4. Existen Errores en el disco duro, procesador y memoria. 5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. 6. Hay Perdida de información 7. Existe Fallas en los sistemas TIC por instalación 8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… 9. Existen Daños a equipos o Instalaciones 10. No Hay seguridad informática (amenaza) peligro del sistema 11. Existe Daño Irreparable de equipos y pérdida de información. 12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos electrónicos. 13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. 14. Que los fusibles de la fuente de poder se quemen. 15. Que la tarjeta madre se presente conflicto con la memoria RAM 16. Que la información que se está trabajando se pierda en el momento que el computador se apaga. 17. Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas
18. Equipos con partes que no corresponden 19. Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la vida del personal 20. Que el Hardware no cumpla con lo requerido en el sistema. 21. Los componentes del Hardware sean de baja calidad. 22. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 23. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 24. Las partes internas del hardware se dañen o vuelvan el computador más lento. 25. Que el computador quede obsoleto y se pierda la información 26. Poca seguridad del hardware de la empresa. 27. Fallas inesperadas en el sistema. 28. Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro y placa madre mainboard 30. Fallas en los dispositivos informáticos por los transitorios impulsivos. 31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU Tabla 1. Valoración de riesgos Riesgos / Valoración Probabilidad Impactos A M B L M C Eléctricos R1 Existe Daño Irreparable de equipos y pérdida de información. x x R2 Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos electrónicos. x x
R3 Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. x x R14 Que los fusibles de la fuente de poder se quemen. X X R15 Que la tarjeta madre se presente conflicto con la memoria RAM X X R16 Que la información que se está trabajando se pierda en el momento que el computador se apaga. X X R30 Fallas en los dispositivos informáticos por los transitorios impulsivos. X X R31 Fallas en los daños internos del sistema operativo. X X R32 Mal funcionamiento de los ventiladores de la CPU. X X Riesgos / Valoración Probabilidad Impactos A M B L M C Siniestros y catástrofes R4 Existe Daños a equipos o Instalaciones x x R5 No hay una correcta seguridad informática (amenaza) peligro del sistema x x R17 Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas X X R18 Equipos con partes que no corresponden X X
Riesgos / Valoración Probabilidad Impactos A M B L M C Manejo y Control de Personal R6 No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… x x R19 Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la vida del personal del área de sistemas X X Riesgos / Valoración Probabilidad Impactos A M B L M C Manejo y Control de Hardware y software R7 No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. x x R8 No hay Software eficiente x x R9 Existen Fallos del sistema operativo x x R10 Existen Errores en el disco duro, procesador y memoria. x x R11 No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. x x R12 Hay Perdida de información x x R13 Existen Fallas en los sistemas TIC por instalación x x R20 Que el Hardware no cumpla con lo requerido en el sistema. X X
R21 Los componentes del Hardware sean de baja calidad. X X R22 Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. X X R23 Que el sistema operativo sea atacado por un virus por falta de actualizaciones. X X R24 Las partes internas del hardware se dañen o vuelvan el computador más lento. X X R25 Que el computador quede obsoleto y se pierda la información X X R26 Poca seguridad del hardware de la empresa. X X R27 Fallas inesperadas en el sistema. X X R28 Limpieza interna y externa de los computadores X X A-alta M-media B-baja L-leve M-moderado C-catastrófico Tabla 2. Clasificación de Riesgos LEVE MODERADO CATASTROFICO R29 Fallas en la unidad del disco duro y placa madre mainboard X X
ALTO R1,R4,R14,R17,R 18,R23,R24,R25,R 26 R3,R5,R9,R10,R 16,R29 MEDIO R2,R7,R11,13,R20 R6,R8,R12,R19,21 ,R22, R30,R31,R32 BAJO R15,R28 lista de riesgos detectados causa que los origina Controles para C/Riesgo 1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. El tamaño de la memoria proporcionada. El tiempo que la unidad central de procesamiento se mantiene inactiva. Instalación inadecuada del S.O, sobre carga del sistema. Adquirir equipos con capacidad para las actividades a realizar que sean compatibles con los demás de la organización y que sea de una buena calidad, para que mejore el rendimiento en el sistema. 2. No hay Software eficiente Mala calidad, Administradores inexpertos o negligentes en el uso y adquisición del software. Adquirir Software de excelente calidad que cumple los requerimientos necesarios para la organización. 3. Existen Fallos del sistema operativo. No hay optimización de velocidad y problemas de inicio o arranque del pc o equipos. Pantalla azul, negra. Tener un sistema operativo con una instalación correcta. Realizar todo tipo de mantenimiento preventivo y correctivo. Tanto de hardware como software. 4. Existen Errores en el disco duro Infectado por virus Falta de mantenimiento Altas de voltaje Realizar mantenimiento al disco duro para optimizar su funcionamiento. Actualizar e instalar un buen antivirus Comprobar los discos periódicamente y Los SAI (sistemas de alimentación ininterrumpida )ofrecen protección
5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. El polvo y el calor en los ventiladores o cooler. Realizar mantenimientos correctivos y preventivos para una mejor vida útil del equipo. Limpiar todo el polvo de los ventiladores cada seis meses como mínimo. 6. Hay Perdida de información El sistema operativo se daña y no hay alguna copia de seguridad. Desactualización del antivirus y hay virus Realizar copias de seguridad periódicamente para resguardar información. Instalar y Actualizar un antivirus de calidad. 7. Existe Fallas en los sistemas TIC por instalación Uso de topología inadecuada y seguridad Condiciones medioambientales. Usar una correcta topología para obtener un buen sistema de información. Tener planes estratégicos de TI para estos casos. 8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… Mala Admiración de instalaciones, baja calidad. Tener un manejo para las instalaciones actas para el factor humano de buena calidad. 9. Existen Daños a equipos o Instalaciones Uso Incorrecto de políticas de seguridad Desastres naturales, sistemas de contingencia (estabilizadores de corriente, fuentes de ventilación.) Debe de haber Instalaciones adecuadas para resistir a los desastres ambientales como las inundaciones, sobre cargas eléctricas) Un adecuado Plan de contingencia 10. No Hay seguridad informática (amenaza) peligro del sistema Debilidades del sistema Desastres naturales Utilizar un buen firewall y antivirus Tener un control de acceso en base de datos y sobre los sistemas de aplicación. Usar niveles de protección informática 11. Existe Daño Irreparable de equipos y pérdida de información. suministro de energía eléctrica deficiente Tener estabilizadores y ups en buen estado y de buena calidad y una buena calidad de red eléctrica. Utilizar equipos de variación de voltaje. 12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos Tensión eléctrica sufre diversas fluctuaciones. Tener una adecuada instalación eléctrica que soporte las diversas fluctuaciones de electricidad.
electrónicos. 13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. Subidas de tensión y Picos de tensión. Usar equipos de protección contra la variación de voltajes. Usar dispositivo protector que limita las subidas transitorias de tensión 14. Que el Hardware no cumpla con lo requerido en el sistema. Poca Capacidad de almacenamiento. Verificar cada uno de los componentes antes de la adquisición de un computador 15. Los componentes del Hardware sean de baja calidad. Por economizar dinero no se adquieran equipos be buena calidad. Sin importar el valor adquirir equipos de buena calidad. 16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. Por falta de precauciones se dañen algunas partes del hardware. Contratar gente con experiencia que tenga en cuenta todas las precauciones al momento de manipular las partes del hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus. Estipular 1 mantenimiento preventivo y correctivo por periodo con personal idóneo 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. El polvo que cae al computador ubicar los computadores lejos de las ventanas, cuando no estén en uso mantenerlos tapados con forros adecuados 19. Que el computador quede obsoleto y se pierda la información Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus. Hacer revisión semanal de los antivirus y su actualización automática y así evitar que un virus se filtre. 20.Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas El polvo que cae al computador. Además no se tiene ninguna precaución con la instalación de Software Ubicación adecuada de los equipos y personal idónea que los maneje 21.Equipos con partes que no corresponden No hay inventario de los equipos y las partes pueden ser cambiadas por otras de baja calidad Crear un inventario de los equipos existentes para tener mayor control al respecto. 22.Falta de plan de prevención y riesgos ante cualquier evento No existe un plan de contingencia que ayude a Capacitar al personal sobre las medias a seguir si se presenta un evento
catastrófico que amenace la vida del personal combatir una emergencia. catastrófico por medio de simulacros 23. Que los fusibles de la fuente de poder se quemen. Las constantes subidas y bajadas de la luz Contar con una planta eléctrica para remplazar la energía cuando esta de vaya 24.Que la tarjeta madre se presente conflicto con la memoria RAM Las constantes subidas y bajadas de la luz Contar con UPS para regular la cargar de energía y evitar daños 25. Que la información que se está trabajando se pierda en el momento que el computador se apaga. Las constantes subidas y bajadas de la luz Adquirir el hábito de ir guardando la información de forma constante para evitar pérdidas. 26. Poca seguridad del hardware de la empresa. Mal uso de los computadores o uso malintencionado. Configurar los equipos y dispositivos de red de forma que sea lo más complicado posible realizar manipulaciones sobre ellos. 27. Fallas inesperadas en el sistema. Esto se debe a posibles virus, o estar instalando y desinstalando programas una y otra vez también puede ocasionar problemas. Evitar meter al computador memoria con virus, entrar a páginas no segura o hacer compras por internet en páginas spy, esto ocasiona fallas y virus en el sistema. 28.Limpieza interna y externa de los computadores Posibles daños en el computador ocasionados por la suciedad. Hacer mantenimiento progresivo a los computadores, ya que estos constantemente les cae polvo y ocasiona daños. 29.Fallas en la unidad del disco duro y placa madre mainboard Estas fallas se presentan cuando hay una placa dañada esto puede dañar los demás componentes conectados a ella incluyendo el procesador etc. Haciendo un recorrido visual por la placa, podremos observar a simple vista los capacitores afectados. 30Fallas en los dispositivos informáticos por los transitorios impulsivos. Son fenómenos inherentes al funcionamiento de las cargas con dispositivos electrónicos. Instalar una red de alta, media y baja tensión, para así evitar daños ocurridos por las fuertes descargas eléctricas, rayos y accidentes en los postes o torres de transmisión. 31.Fallas en los daños internos del sistema operativo Se deben al apago inoportuno del equipo, dejando procesos a medio realizar. Coordinar las instrucciones internas y externas para que el conjunto produzca finalmente el resultado esperado. 32. Mal funcionamiento de los ventiladores de la CPU. Esto se debe a la suciedad que se acumula por lo tanto baja considerablemente la velocidad del Es recomendable hacer servicio de limpieza al ventilador regularmente por lo general cada 6 meses.
funcionamiento. DICTAMEN DE AUDITORÍA 1.1 LINEA DEL SISTEMA DE INFORMACIÓN Destinatario: E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA Análisis del sistema de información, salvaguarda el activo empresarial, mantiene la integridad de los datos Los sistemas de información, Revelan una evolución positiva desde la perspectiva de los indicadores de la situación sistemática. La situación fiscal de la Ese Hospital Integrado San Juan de Cimitarra a diciembre 31 del 2014 es positiva y presenta liquidez, se hace análisis de cada procesos COBIT evaluados de la misma manera se determina cada Riesgos y Cada control propuesto. El Informe se apoya en los datos suministrados por el área de sistemas, presupuesto y control interno del Ese de Cimitarra. ALCANCE Identificación de los procesos COBIT y SI relevantes, Determinar el nivel de complejidad de los sistemas Identificar y evaluar el riesgo En la empresa con sistemas complejos, Evaluar y documentar la efectividad Determinando el nivel de complejidad de los sistemas. Se hace evidencia de los siguientes procesos: Proceso: AI3 Adquirir y mantener la arquitectura tecnológica. Objetivo de Control: Evaluación de Hardware, con un Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados para los sistemas de información; Mala calidad, Administradores inexpertos o negligentes en el uso y adquisición del software. Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software, con un Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados, Existen Fallos del sistema operativo, disco duro y demás hardware. Proceso: DS12 Administración de Instalaciones. Objetivo de Control: Hacer mantenimientos en redes eléctricas para cumplir con el buen funcionamiento de energía e instalaciones y así evitar accidentes por el mal estado de los cables de luz. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
Objetivo de Control: Suministro Interrumpido de Energía. Con un Nivel de Madurez 1-INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados, Existe Daño Irreparable de equipos y pérdida de información. Proceso: Protección contra Factores Ambientales. Objetivo de Control: Seguridad Física. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, Los procesos están estandarizados, se documentan, de acuerdo a los riesgos , Existe Fallas en los sistemas TIC por instalación; Uso de topología inadecuada y seguridad Condiciones medioambientales. 2. AUDITORIA DE MANTENIMIENTO 5.1 Alcance de la Auditoria. • Planes y procedimientos de Mantenimiento • Normativa 5.2. Objetivos de la Auditoria.- Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y preventivo del software. 5.3. Referencia Legal: • Estándares – ISO/IEC 12207 – IEEE 1074 – IEEE 1219 – ISO/IEC 14764 Resultado: Se hace análisis del proceso de mantenimiento y no cumple con los objetivos propuestos. 6. Administración de Instalaciones De Redes eléctricas Alcance de la Auditoria.  Organización de Instalaciones eléctricas  Mantenimiento de redes eléctricas  Planes y procedimientos Objetivos de la Auditoria. 14. Realizar un informe de Auditoria con el objeto de verificar las adecuaciones de las instalaciones eléctricas con el fin de no tener Daños Irreparables de equipos y pérdida de información. preguntas 100% 80% bueno 60% regular 20% no cumple
excelente Evaluar la existencia, difusión, aplicación y uso de contra contingencias de sistemas. x Evaluar las medidas preventivas o correctivas en caso de siniestro en el área de sistemas x Resultado: Se debe de mejorar la parte de las instalaciones de redes eléctricas, para poder disminuir y optimizar las pérdidas de información y tener un plan de contingencia actualizado y mejorado para poder prevenir siniestros en esta área. INFORME FINAL DE AUDITORÍA CARTA DE PRESENTACION DEL EQUIPO AUDITOR Miércoles, 20 de mayo de 2015 CARTA DE PRESENTACION Cimitarra Santander, mayo 20 del 2015 Directora RESPONSABLE-Gerente SANDRA XIMENA CARDENAS NARVAEZ Presentación formal del informe de auditoría. REF: Auditoria al Sistema de Información, E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
Estimada Gerente: Sandra Cárdenas Somos una entidad emprendedora en el servicio de auditoría de sistemas. El objetivo de esta carta es la presentación de las falencias y problemáticas encontradas en el área de sistemas de la institución prestadora de servicios de salud, que fueron de gran ayuda para la realización de este proyecto. Las instalaciones del área de sistemas cuentan con unos excelentes equipos de cómputo para el uso de los usuarios (agentes administrativos, equipo médico y demás), pero esta cuenta con algunos problemas que pueden poner en riesgo sus equipos. Le podemos ofrecer la asesoría y ayuda de cómo puede mejorar esas falencias encontradas en las instalaciones. Es importante realizar este proceso para evitar grandes pérdidas a futuro y mejorar el uso de esta lo más antes posible. Dispuestos siempre a proporcionarle una respuesta adecuada a sus necesidades, estaremos llamando para concertar una cita o reunión para la entrega formal del informe. Gracias por su pertinente atención, Cordialmente, EQUIPO AUDITOR Nilsa Atehortua Galeano Auditora fiscal CC.1099546747 Cel.: 3174922676 e-mail: aslinag Maribel Pardo Galeano Contralor publico Luzmar Flórez Abogada Objetivos de la auditoria  Análisis de la eficiencia de los Sistemas Informáticos  Verificación del cumplimiento de la Normativa en este ámbito
 Determinar la veracidad de la información del área de sistemas  Revisar las políticas de usos de los equipos  Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pc  Revisión de la eficaz gestión de los recursos informáticos.  Administración del Ciclo de vida de los sistemas  Servicios de Entrega y Soporte  Verificar los avances tecnológicos  Protección y Seguridad  Planes de continuidad y Recuperación de desastres LOS ALCANCES DE LA MISMA ALCANCE La auditoría Informática se orientó al análisis y evaluación de la gestión desarrollada por la entidad, en la administración de los bienes Informáticos o tecnológicos, infraestructura e instalaciones eléctricas, recursos y el cumplimiento de su actividad misional, conforme a las normas y principios que regulan el ejercicio de la gestión fiscal, con los procedimientos establecidos por la Contraloría General de Santander, sobre los documentos e información suministrada por la administración de la E.S.E. Hospital Integrado San Juan de Cimitarra. Es responsabilidad del Representante Legal de la Entidad el contenido de la información suministrada. El presente Informe se efectuó sobre la base de un análisis y evaluación de los sistemas de información y cifras registradas en la rendición de la cuenta a través de SIA confrontada con la documentación verificada en el trabajo de campo, sobre el análisis de la información que se hizo en forma selectiva de algunos de los documentos y revisión de equipos informáticos, instalaciones en redes eléctricas, donde verifican una serie de Riesgos encontrados y aclaraciones solicitadas así como a los resultados que se observaron en el trabajo de campo practicado en la Auditoría realizada Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en el informe. PROBLEMAS QUE SE PRESENTARON EN EL PROCESO DE AUDITORÍA RESPECTO A CONSECUCIÓN DE LA INFORMACIÓN Se hace verificación de los documentos respecto a su autenticidad y se comprueba que en la parte de mantenimiento preventivo y correctivo de equipos de cómputo y elementos
informáticos no poseen una veracidad de estas actividades, evidenciadas por medio de redivisión de estos elementos durante la auditoria. Se verifica que no hay un cronograma o agenda real del ingeniero de sistemas de la organización, solo presenta de forma documentada, pero desorganizada…Algunos datos no son reales y de realiza su verificación por medio de revisiones. LISTA DE LOS HALLAZGOS ENCONTRADOS Hallazgos En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de Cimitarra no se hacen los respectivos mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema de auditoria informática.  No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y preventivos.  No existen hojas de vida para cada equipo de cómputo o dispositivo informático  En cuanto al lugar adecuado para el proceso de mantenimientos, se debe de tener un sitio apropiado para este ya que se presenta mucho polvo y mugre que se esparce y se inhala por el personal médico y usuarios.  No hay una adecuada la iluminación del área donde se encuentran los equipos de cómputo.  No Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos informáticos.  En cuanto al Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware). Se debe de tener un mantenimiento y mejora para los sistemas de información y para prevenir riesgos profesionales.  En cuando a las políticas de seguridad no concretan los procesos y procedimientos para copias de seguridad y restauración de las mismas. Las políticas de seguridad no
contemplan la periodicidad de revisión de las bitácoras para la actividad de, mantenimientos correctivos y preventivos, base de datos y al sistema operativo. No hay una apropiada administración de usuarios en el sistema de información.  En cuanto a objetividad de planes de mantenimiento preventivo y correctivo: El plan de mantenimiento es correctivo para equipos de infraestructura del hospital, no preventivo. No existe documentación sobre el procedimiento a seguir y frecuencia para realizar evaluaciones y observaciones, actualización, riesgos, vulnerabilidades y requerimientos de seguridad.  Perdida de información, por problemas en los equipos por fallas en disco duro. RECOMENDACIONES O CONTROLES PROPUESTOS El presente Informe es de carácter preliminar, en consecuencia de los hallazgos consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro del debido proceso. Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus archivos. El escrito de contradicción debe allegarse en medio físico y magnético Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una planeación de actividades diseñada por la oficina de control interno donde permita verificar el cumplimiento de los procedimientos de cada área. No existen procedimientos para las áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar a cabo. No existe un mapa de riesgos de la entidad. El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO. Recomendación: Con respecto al área de sistemas El Administrador de la respectiva Empresa, debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición, actualización, arreglos eléctricos y mantenimientos de hardware. Recomendación: Con respecto a Realización de mantenimientos, se debe de hacer para optimizar el funcionamiento del disco duro.
Con respecto a la existencia de planes de mantenimiento preventivo y correctivo se recomienda: Definir un plan de mantenimiento preventivo y correctivo. Asignar personal que se encargue de ejecutarlo. Definir un plan para adquisición y mantenimiento de la infraestructura tecnológica. Asignar personal que se encargue de documentar el procedimiento a seguir sobre evaluación, actualización, riesgos, vulnerabilidades y requerimientos de seguridad. Recomendación: Con respecto una adecuada instalación eléctrica se debe de tener una instalación que soporte las diversas fluctuaciones de electricidad. Recomendación: Con respecto a equipos de protección se debe de usar para contra la variación de voltajes. Recomendación: Con respecto al Uso de dispositivo protector que limita las subidas transitorias de tensión, para optimizar la información y la calidad de equipos.

Recomendados

Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Leomar Martinez
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMichelle Perez
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Planeación de la auditoría en informática
Planeación de la auditoría en informáticaPlaneación de la auditoría en informática
Planeación de la auditoría en informáticaJosé Arias
 

Recomendados

Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Auditoria de sistemas instalados .
Auditoria de sistemas instalados .Leomar Martinez
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMichelle Perez
 
Manual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaManual de Tecnicas Para Auditoria Informatica
Manual de Tecnicas Para Auditoria InformaticaDiego Pacheco
 
Proyecto de auditoria 2014
Proyecto de auditoria 2014Proyecto de auditoria 2014
Proyecto de auditoria 2014migerlin
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Planeación de la auditoría en informática
Planeación de la auditoría en informáticaPlaneación de la auditoría en informática
Planeación de la auditoría en informáticaJosé Arias
 
Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemascarlos
 
Trabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa caTrabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa caMoises Peña
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasarelyochoa
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-11401201014052012
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticasmzuritap
 
Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)Deisy contreras
 
UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15Ubatifce
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Caracterizacion Gestión Documental
Caracterizacion Gestión DocumentalCaracterizacion Gestión Documental
Caracterizacion Gestión Documentalbuenasnuevascbi
 
Auditoría de Cumplimiento
Auditoría de CumplimientoAuditoría de Cumplimiento
Auditoría de CumplimientoManuel Tapia Rabelo
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativaandrea veliz
 
Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...miguelserrano5851127
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financierabuenasnuevascbi
 
Fundamentos De Auditoria
Fundamentos De AuditoriaFundamentos De Auditoria
Fundamentos De AuditoriaJohn Leonardo Arcila R.
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 
Proyecto Cobit Auditoria
Proyecto Cobit AuditoriaProyecto Cobit Auditoria
Proyecto Cobit Auditoriacarloscv
 
INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA Alcaldía Dabeiba
 

Más contenido relacionado

La actualidad más candente

Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoriarubyvg
 
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemascarlos
 
Trabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa caTrabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa caMoises Peña
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informaticaxsercom
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasarelyochoa
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-11401201014052012
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticasmzuritap
 
Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)Deisy contreras
 
UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15Ubatifce
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Caracterizacion Gestión Documental
Caracterizacion Gestión DocumentalCaracterizacion Gestión Documental
Caracterizacion Gestión Documentalbuenasnuevascbi
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativaandrea veliz
 
Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...miguelserrano5851127
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financierabuenasnuevascbi
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redesJerich Chavarry
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 

La actualidad más candente (20)

Proyecto Final de Auditoria
Proyecto Final de AuditoriaProyecto Final de Auditoria
Proyecto Final de Auditoria
 
26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas26901848 manual-de-auditoria-de-sistemas
26901848 manual-de-auditoria-de-sistemas
 
Trabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa caTrabajo auditoria informatica ekipa ca
Trabajo auditoria informatica ekipa ca
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Herramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For UccHerramientas y Técnicas de Auditoria de Sistema For Ucc
Herramientas y Técnicas de Auditoria de Sistema For Ucc
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria informatica-sesion-1
Auditoria informatica-sesion-1Auditoria informatica-sesion-1
Auditoria informatica-sesion-1
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informática
 
Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)Caracterizacion gestion_tecnologica (1)
Caracterizacion gestion_tecnologica (1)
 
UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15UBATIFCE CECYT Informe 15
UBATIFCE CECYT Informe 15
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoria
 
Caracterizacion Gestión Documental
Caracterizacion Gestión DocumentalCaracterizacion Gestión Documental
Caracterizacion Gestión Documental
 
Auditoría de Cumplimiento
Auditoría de CumplimientoAuditoría de Cumplimiento
Auditoría de Cumplimiento
 
Auditoria a una unidad educativa
Auditoria a una unidad educativaAuditoria a una unidad educativa
Auditoria a una unidad educativa
 
Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...Informe de evaluación del sistema de control interno de una entidad autónoma ...
Informe de evaluación del sistema de control interno de una entidad autónoma ...
 
07 caracterización de gestión financiera
07 caracterización de gestión financiera07 caracterización de gestión financiera
07 caracterización de gestión financiera
 
Fundamentos De Auditoria
Fundamentos De AuditoriaFundamentos De Auditoria
Fundamentos De Auditoria
 
auditoria de Seguridad de redes
auditoria de Seguridad de redesauditoria de Seguridad de redes
auditoria de Seguridad de redes
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
 

Destacado

Proyecto Cobit Auditoria
Proyecto Cobit AuditoriaProyecto Cobit Auditoria
Proyecto Cobit Auditoriacarloscv
 
INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA Alcaldía Dabeiba
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAddin Palencia Morales
 
Criterios de la evaluación de hoja de vida
Criterios de la evaluación de hoja de vidaCriterios de la evaluación de hoja de vida
Criterios de la evaluación de hoja de vidaSegundo Alvites
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
Auditoria a un sistema de computo
Auditoria a un sistema de computoAuditoria a un sistema de computo
Auditoria a un sistema de computoDani Romero Cruz
 
A2 doc verificación de hoja de vida
A2 doc verificación de hoja de vidaA2 doc verificación de hoja de vida
A2 doc verificación de hoja de vidaiejcg
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Luis Angello RH-CyberComputer
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Darthuz Kilates
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computokmiloguitar
 
Auditoria ISO 19011:2011 para Laboratorios
Auditoria ISO 19011:2011 para LaboratoriosAuditoria ISO 19011:2011 para Laboratorios
Auditoria ISO 19011:2011 para LaboratoriosLUIS GONZALEZ BACA
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaManu Mujica
 
Plan de prevencion de riesgos en una empresa
Plan de prevencion de riesgos en una empresaPlan de prevencion de riesgos en una empresa
Plan de prevencion de riesgos en una empresaLuis Canales
 
Procedimiento soporte tecnico y mmto de equipos
Procedimiento soporte tecnico y mmto de equiposProcedimiento soporte tecnico y mmto de equipos
Procedimiento soporte tecnico y mmto de equiposjhonfospino
 
Programa Prevencion de Riesgos Maderera
Programa Prevencion de Riesgos MadereraPrograma Prevencion de Riesgos Maderera
Programa Prevencion de Riesgos MadereraMauricio Pérez
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacciónYeilan Ivette González Odio
 
Informe De Auditoria Hospital Clinicas
Informe De Auditoria Hospital ClinicasInforme De Auditoria Hospital Clinicas
Informe De Auditoria Hospital Clinicasguest71c277
 

Destacado (20)

Proyecto Cobit Auditoria
Proyecto Cobit AuditoriaProyecto Cobit Auditoria
Proyecto Cobit Auditoria
 
INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA INFORME EVALUACION HOJAS DE VIDA
INFORME EVALUACION HOJAS DE VIDA
 
Auditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moqueguaAuditoria informatica municipalidad-moquegua
Auditoria informatica municipalidad-moquegua
 
Criterios de la evaluación de hoja de vida
Criterios de la evaluación de hoja de vidaCriterios de la evaluación de hoja de vida
Criterios de la evaluación de hoja de vida
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
Plan de merketing
Plan de merketingPlan de merketing
Plan de merketing
 
Auditoria a un sistema de computo
Auditoria a un sistema de computoAuditoria a un sistema de computo
Auditoria a un sistema de computo
 
A2 doc verificación de hoja de vida
A2 doc verificación de hoja de vidaA2 doc verificación de hoja de vida
A2 doc verificación de hoja de vida
 
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1Proyecto de auditoría informática aplicando la metodología cobit 4.1
Proyecto de auditoría informática aplicando la metodología cobit 4.1
 
Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.Plantilla trabajo final estandares de calidad de TI.
Plantilla trabajo final estandares de calidad de TI.
 
Auditoria Centro computo
Auditoria Centro computoAuditoria Centro computo
Auditoria Centro computo
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
Auditoria ISO 19011:2011 para Laboratorios
Auditoria ISO 19011:2011 para LaboratoriosAuditoria ISO 19011:2011 para Laboratorios
Auditoria ISO 19011:2011 para Laboratorios
 
Elaboración de un informe de Auditoria
Elaboración de un informe de AuditoriaElaboración de un informe de Auditoria
Elaboración de un informe de Auditoria
 
Plan de Auditoria
Plan de AuditoriaPlan de Auditoria
Plan de Auditoria
 
Plan de prevencion de riesgos en una empresa
Plan de prevencion de riesgos en una empresaPlan de prevencion de riesgos en una empresa
Plan de prevencion de riesgos en una empresa
 
Procedimiento soporte tecnico y mmto de equipos
Procedimiento soporte tecnico y mmto de equiposProcedimiento soporte tecnico y mmto de equipos
Procedimiento soporte tecnico y mmto de equipos
 
Programa Prevencion de Riesgos Maderera
Programa Prevencion de Riesgos MadereraPrograma Prevencion de Riesgos Maderera
Programa Prevencion de Riesgos Maderera
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción
 
Informe De Auditoria Hospital Clinicas
Informe De Auditoria Hospital ClinicasInforme De Auditoria Hospital Clinicas
Informe De Auditoria Hospital Clinicas
 

Similar a Metodologia y fases de auditoria

Proyecto final profesora gloria
Proyecto final profesora gloriaProyecto final profesora gloria
Proyecto final profesora gloriaBrayan Vazquez
 
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.Lineth Concha
 
Presentacion informatica julia y narce reabastecimiento de insumos
Presentacion informatica julia y narce reabastecimiento de insumosPresentacion informatica julia y narce reabastecimiento de insumos
Presentacion informatica julia y narce reabastecimiento de insumosnaryul
 
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfEVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfCamilomechas
 
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTO
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTOIMPLEMENTAR UN PROGRAMA DE MANTENIMIENTO
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTOLUIS MONREAL
 
administración del mantenimiento
administración del mantenimientoadministración del mantenimiento
administración del mantenimientoLUIS MONREAL
 
Modelo de plan de mantenimiento
Modelo de plan de mantenimientoModelo de plan de mantenimiento
Modelo de plan de mantenimientobeatrizluis1235466
 
Plan de mantenimientos de equipos de computo
Plan de mantenimientos de equipos de computoPlan de mantenimientos de equipos de computo
Plan de mantenimientos de equipos de computoUrbina15
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Plan de mtto 2
Plan de mtto 2Plan de mtto 2
Plan de mtto 2Alan Ponce
 
Plan de mantenimiento
Plan de mantenimientoPlan de mantenimiento
Plan de mantenimientoMarisol Nieto
 
3 alabs Software solution
3 alabs Software solution3 alabs Software solution
3 alabs Software solutionJ R7
 
Sesión 2_Proceso de mantenimiento industrial general
Sesión 2_Proceso de mantenimiento industrial generalSesión 2_Proceso de mantenimiento industrial general
Sesión 2_Proceso de mantenimiento industrial generalOilArt
 
03 ejemplo plan_soporte
03 ejemplo plan_soporte03 ejemplo plan_soporte
03 ejemplo plan_soporteClc Jrm
 

Similar a Metodologia y fases de auditoria (20)

Proyecto final profesora gloria
Proyecto final profesora gloriaProyecto final profesora gloria
Proyecto final profesora gloria
 
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.
Manual de procedimientos de Soporte Técnico de Alfredo Lozoya.
 
Presentacion informatica julia y narce reabastecimiento de insumos
Presentacion informatica julia y narce reabastecimiento de insumosPresentacion informatica julia y narce reabastecimiento de insumos
Presentacion informatica julia y narce reabastecimiento de insumos
 
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdfEVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
EVALUACION DEL PROCESO DE DATOS Y EQUIPO DE COMPUTO.. Capitulo quinto.pdf
 
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTO
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTOIMPLEMENTAR UN PROGRAMA DE MANTENIMIENTO
IMPLEMENTAR UN PROGRAMA DE MANTENIMIENTO
 
administración del mantenimiento
administración del mantenimientoadministración del mantenimiento
administración del mantenimiento
 
Modelo de plan de mantenimiento
Modelo de plan de mantenimientoModelo de plan de mantenimiento
Modelo de plan de mantenimiento
 
Plan de mantenimiento
Plan de mantenimientoPlan de mantenimiento
Plan de mantenimiento
 
Plan de mantenimiento
Plan de mantenimientoPlan de mantenimiento
Plan de mantenimiento
 
Plan de mantenimientos de equipos de computo
Plan de mantenimientos de equipos de computoPlan de mantenimientos de equipos de computo
Plan de mantenimientos de equipos de computo
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Plan de mtto 2
Plan de mtto 2Plan de mtto 2
Plan de mtto 2
 
Plan de mantenimiento
Plan de mantenimientoPlan de mantenimiento
Plan de mantenimiento
 
3 alabs Software solution
3 alabs Software solution3 alabs Software solution
3 alabs Software solution
 
Monitoreo condicion
Monitoreo condicionMonitoreo condicion
Monitoreo condicion
 
Quality Pro
Quality ProQuality Pro
Quality Pro
 
358050855 planificacion-de-soporte-tecnico
358050855 planificacion-de-soporte-tecnico358050855 planificacion-de-soporte-tecnico
358050855 planificacion-de-soporte-tecnico
 
Sesión 2_Proceso de mantenimiento industrial general
Sesión 2_Proceso de mantenimiento industrial generalSesión 2_Proceso de mantenimiento industrial general
Sesión 2_Proceso de mantenimiento industrial general
 
Guia de aprendizaje 1
Guia de aprendizaje 1Guia de aprendizaje 1
Guia de aprendizaje 1
 
03 ejemplo plan_soporte
03 ejemplo plan_soporte03 ejemplo plan_soporte
03 ejemplo plan_soporte
 

Más de aslinag

Nilsa atehortua 17
Nilsa atehortua 17Nilsa atehortua 17
Nilsa atehortua 17aslinag
 
Nilsa atehortua 17
Nilsa atehortua 17Nilsa atehortua 17
Nilsa atehortua 17aslinag
 
Coevaluacion
CoevaluacionCoevaluacion
Coevaluacionaslinag
 
Trafinal col3
Trafinal col3Trafinal col3
Trafinal col3aslinag
 
Formato de autoevaluación individual
Formato de autoevaluación individualFormato de autoevaluación individual
Formato de autoevaluación individualaslinag
 
Formato de autoevaluación individual
Formato de autoevaluación individualFormato de autoevaluación individual
Formato de autoevaluación individualaslinag
 
Guion multimedia
Guion multimediaGuion multimedia
Guion multimediaaslinag
 

Más de aslinag (7)

Nilsa atehortua 17
Nilsa atehortua 17Nilsa atehortua 17
Nilsa atehortua 17
 
Nilsa atehortua 17
Nilsa atehortua 17Nilsa atehortua 17
Nilsa atehortua 17
 
Coevaluacion
CoevaluacionCoevaluacion
Coevaluacion
 
Trafinal col3
Trafinal col3Trafinal col3
Trafinal col3
 
Formato de autoevaluación individual
Formato de autoevaluación individualFormato de autoevaluación individual
Formato de autoevaluación individual
 
Formato de autoevaluación individual
Formato de autoevaluación individualFormato de autoevaluación individual
Formato de autoevaluación individual
 
Guion multimedia
Guion multimediaGuion multimedia
Guion multimedia
 

Último

ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PCCesarFernandez937857
 

Último (20)

ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
Identificación de componentes Hardware del PC
Identificación de componentes Hardware del PCIdentificación de componentes Hardware del PC
Identificación de componentes Hardware del PC
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 

Metodologia y fases de auditoria

  • 1. PLAN DE AUDITORIA Se Determina a realizar una Auditoria Informática:  E.S.E HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA  NIT: 890.204.895-0  TELEFONO: (7) 6260141/6260330  GERENTE Y REPRESENTANTE LEGAL DE LA EMPRESA: SANDRA XIMENA CARDENAS NARVAEZ CC: 27.984.785  UBICACIÓN: E.S.E Hospital Integrado San Juan, empresa prestadora de servicios de salud, Departamento de Santander Municipio de Cimitarra, Km1 Vía puerto Araujo. Antecedentes ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA, Empresa Social del Estado Hospital Integrado San Juan de Cimitarra, Institución que presta los servicios de salud, que realiza anualmente el evaluación y control de los estos físicos y actualizado del hardware de los equipos de cómputo, para ello se hace obligatorio realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo sus objetivos misionales. Objetivos Objetivo General Evaluar la efectividad de la Gestión a la ESE HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA respeto a las políticas, controles y procedimientos en el estado físico y actualizado del hardware de los equipos de cómputo del hospital integrado San juan de cimitarra Santander, en cuando a la seguridad de datos, trasferencia de datos, políticas de utilización, contratos de mantenimiento y seguridad física, para brindar una excelente servicios a los usuarios o pacientes.
  • 2. Objetivo Específicos  Evaluar el diseño de prueba de los equipos de cómputo  Constatar los procedimientos de control al hardware para su vida útil, como tipos de mantenimientos.  Verificar que los software o programas obtenga su legalización  Revisión de las políticas y normas sobre seguridad física de los equipos.  Cuentas de los Inventarios  Planes de adquisición  Contratos de mantenimientos. Alcance y Delimitación Esta auditoría es un proceso sistemático que mide y evalúa, la gestión o actividades de una organización estatal, es así que la Presente auditoría se realiza sobre el Hardware de los equipos de cómputo que se encuentran ubicados en el hospital Integrado san juan de Cimitarra Santander, tomando como muestra 18 equipos. Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en el informe.
  • 3. Metodología Para el cumplimiento de los objetivos proyectados en la auditoría, se efectuaran las siguientes actividades: Investigación preliminar:  Determinar la estructura organizacional de la institución prestadora de servicios de salud para establecer las responsabilidades del ingeniero de sistemas.  Evaluar los sistemas de información desde sus entradas, procesos, controles, archivos y seguridad.  Verificar el adecuado uso de legalidad de sistemas operativos  Revisar la configuración de los servicios de red, identificando los elementos que apoyan la seguridad y administración de esta.  Conocer la fecha de instalación e los equipos y planes de instalación.  Revisar las políticas de usos de los equipos  Revisar y verificar el número de equipos y sus características.  Revisar el manual o formato en que se encuentra estructurado la forma en que se diligencia el mantenimiento de los equipos de cómputo. Recursos Recursos humanos: Grupo de personal médico y administrativo Recursos físicos: Muestra de 18 equipos de cómputo Presupuesto ÌTEM VALOR Apoyo Personal profesional (1.200.000 mensual/persona ) $3.600.000 Servicios de impresión y útiles $430.000 Gastos Generales $340.000 movilidad $150.000
  • 4. total $ 4.520.000 Cronograma Actividad Mes 1 Mes 2 Mes 3 Planificación de auditoria Estudio preliminar del área de hardware de equipos de computo 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 Aplicación de la auditoria Elaboración del programa de auditoria Evaluación de los riesgos Realización de pruebas Elaboración de información Plan de mejoramiento Analizar y evaluar las estrategias De mejoramiento Elaboración de informe Presentación de informe Actividades Fase de conocimiento: - Realizar visitas a la empresa Aplicando entrevistas al ingeniero de sistemas y usuarios de los sistemas Fotografía-Cuerpo administrativo, usuarios de los sistemas e Ingeniero de sistemas
  • 5. - Elaborar listas de chequeo Definición: es difícil, determinar si realmente en la Empresa se está realizando periódicamente los mantenimientos preventivos y correctivos ya que consta con un máximo de 28 computadores y elementos informáticos, en vista esta inquietud se hace revisión de los 18 computadores que se tomaron como muestra y se identifica y verifica que no tiene validez la información que presenta el ingeniero de sistemas sobre estos procesos de la Empresa (Hospital Integrado San Juan de Cimitarra). Evidencia: Actividades Fase de Planeación: - Diseñar los formatos de entrevistas
  • 6. FORMATO DE ENTREVISTA 1-¿Dónde se encuentran localizadas sus instalaciones? _____________________________________________ 2-¿Cuantas personas trabajan en el departamento? ______________________________________________ 3-¿Están capacitadas para la tarea que desempeñan? Si _____ No______ ¿Que Topología utilizan en el área? Bus_____ Estrella______ anillo____ malla____ mixta___ ¿Cada cuánto tiempo se hace un respaldo de la información? 6 meses____ 12 meses___ otras____ ¿Qué sistema operativo utilizan? Windows___ Linux___ Mac Osx____ ¿Cuantos y cuales servidores cuentan en el área? 1__ 2___ 3__ otros___ ¿Cada Cuando se Realiza mantenimiento preventivo y correctivo? 6 meses____ 12 meses___ otras____
  • 7. ¿Qué tipo de seguridad tienen implementada? ______ ¿Qué tanta antigüedad tienen sus equipos? 1 año____ 2 años____ 3 años_____ otros___ - Diseñar listas de chequeo CUESTIONARIO DE CONTROL C1 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Evaluación de Nuevo Hardware CUESTIONARIO Pregunta SI NO N/A ¿Existe inventario de todos los equipos de cómputo? ¿Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos informáticos? ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía?
  • 8. CUESTIONARIO DE CONTROL C2 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Mantenimiento Preventivo para Hardware CUESTIONARIO Pregunta SI NO N/A ¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático? ¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes? ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía? CUESTIONARIO DE CONTROL C3 E.S.E hospital Integrado Sn juan De Cimitarra Santander R/PT Cuestionario de Control dominio Adquisición e Implementación proceso Adquirir y mantener la arquitectura tecnológica objetivo de control Suministro Ininterrumpido de Energía CUESTIONARIO Pregunta SI NO N/A ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
  • 9. ¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo? ¿Se cuenta con los planos de instalación eléctrica? ¿Los equipos cuentan con un regulador? ¿Hay protección y seguridad para áreas húmedas referente al fluido eléctrico? - Diseñar el plan de pruebas que se llevarán a cabo - Diseño de cuestionario de auditoria informática CUESTIONARIO DE AUDITORIA INFORMÁTICA ¿Dentro del centro de cómputo existen materiales que puedan ser inflamables o causar algún daño a los equipos? Sí____ No_____ Se cuenta con una salida de emergencia? Sí____ No_____ ¿Es adecuada la iluminación del área donde se encuentran los equipos de cómputo? Si ______ No ______ ¿Por qué? _____ ¿Se cuenta con los planos de instalación eléctrica? Si ______ No ______ ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones? Si ______ No ______ ¿Los equipos cuentan con un regulador?
  • 10. Si ______ No ______ ¿Con que periodo se les da mantenimiento a los equipos de cómputo y suministros de energía? _________________ ¿Se lleva cronograma o bitácora para el proceso de mantenimientos y cambio de partes? Si ______ No ______ ¿Existe un lugar adecuado para el proceso de mantenimientos y cambio de partes? Si ______ No ______ ¿Existen extintores? Si _______ ¿Cuántos? _____________________________________ No ______ Tipo de extintores: Manual ____ Automático ____ No existen ___ ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? Sí ___ No___ ¿Existen hojas de vida para cada equipo de cómputo o dispositivo informático? Sí ___ No___ ¿Se tienen establecidos procedimientos de actualización a estas copias? Sí___ No___ Actividades fase de Ejecución: - Aplicación de pruebas que han sido diseñadas - Aplicar entrevistas a usuarios clave - Aplicar las listas de chequeo para verificación - Aplicar los cuestionarios a los usuarios del sistema - Otras……
  • 11. Actividades fase de resultados: - Hallazgos encontrados y causas que los originan No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y preventivos. No existen hojas de vida para cada equipo de cómputo o dispositivo informático No hay un lugar adecuado para el proceso de mantenimientos Causas. La falta de sentido de pertenencia y profesionalismo o ética profesional, del ingeniero de sistemas de la empresa la empresa. Evidencia - Proponer el sistema de control para los riesgos detectados Entre estas tenemos: Actualmente no se cuenta con un sistema de Real para el sistema informático, en base a los mantenimientos de hardware y software, lo que dificulta la toma de decisiones por parte de la alta gerencia, dada la importancia de esta herramienta. Concluir el proceso de actualización y funcionamiento informático institucional. - Elaborar el dictamen de la auditoria
  • 12. Hallazgos que soportan el dictamen: En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de Cimitarra no ve hacen los respectivos mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema de auditoria informática. Recomendación: El Administrador del área de sistemas de la respectiva Empresa, debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición, actualización, arreglos eléctricos y mantenimientos de hardware. Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos. Dictamen: Se aplican algunos procesos administrativos por el Administrador del área de sistemas informáticos ‘Ingeniero’, realizados de manera desorganizada y espontánea, no se hace calendarios o bitácora de inventarios y mantenimientos de hardware. - Elaborar informe final El presente Informe es de carácter preliminar, en consecuencia de los hallazgos consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro del debido proceso. Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus archivos. El escrito de contradicción debe allegarse en medio físico y magnético Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una
  • 13. planeación de actividades diseñada por la oficina de control interno donde permita verificar el cumplimiento de los procedimientos de cada área. No existen procedimientos para las áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar a cabo. No existe un mapa de riesgos de la entidad. El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO. 2. Elaborar el programa de auditoría relacionando los objetivos y alcances del plan de auditoría con los dominios, procesos y objetivos de control del estándar COBIT 4.1. Como resultado de esta actividad se debe entregar los dominios, procesos y objetivos de control seleccionados del estándar COBIT que serán evaluados. PROGRAMA DE AUDITORIA COBIT  Proceso: Evaluación de nuevo hardware.  Objetivo de Control: En cuanto al procedimiento para el hardware y el software se debe establecer que impacto genera en el rendimiento de sistema.  Proceso: Mantenimiento Preventivo y correctivo para Hardware y software.  Objetivo de Control: La parte administrativa del hospital deberá establecer un cronograma donde se estipula las fechas dedicadas al mantenimiento preventivo y correctivo del hardware y el software de los equipos y así mejorar su vida de utilidad.  Proceso: Administración e implementación
  • 14.  Objetivo de Control: Se debe establecer por parte de la administración las medidas necesarias para poder implementar y evaluar el nuevo hardware, además también se debe estipular las medidas para hacer el mantenimiento preventivo del hardware.  Proceso: Suministro Ininterrumpido de Energía.  Objetivo de Control: Debido al suministro interrumpido de la energía el hospital debe tomar las medidas necesarias para proteger los computadores y así evitar un daño irreparable; Una de las posibles soluciones es el uso de reguladores o baterías de suministro ininterrumpido para contrarrestar la ausencia de energía. Resultados de la auditoria Dominio: Proceso: revisión y mantenimiento del equipo de cómputo. Objetivo de control: se hará una evaluación eficaz tanto del hardware como del software para así conseguir y tener una idea más clara de donde está la falla. Dominio: entrega oportuna de servicios y soporte Procesos: hacer el correcto mantenimiento al hospital con las instalaciones de energía. Objetivo de control: hacer mantenimientos para cumplir con el buen funcionamiento de energía y así evitar accidentes por el mal estado de los cables de luz. Dominio: evaluación de riesgos Procesos: mantener un control de los daños que hay en el hospital. Objetivo de control: evitar que ocurran riesgos tecnológicos en los computadores, y hacer arreglos en las superficies que tienen daños internos y externos. Dominio: garantizar la seguridad de los sistemas Procesos: buscar soluciones para que los sistemas no se vean afectados por las fallas. Objetivo de control: prevenir que los equipos de cómputo tengan daños cuando ocurren fallas de energía, proteger el sistema operativo con un sistema antivirus. Diseño de los instrumentos Se UTILIZO las siguientes herramientas. Observación
  • 15. Se examinó los diferentes aspectos que intervienen en el funcionamiento del área de sistemas y los sistemas software, permitieron recolectar la información directamente sobre el comportamiento de los sistemas. Entrevistas Obtuvimos información sobre lo que está auditando, además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. Cuestionarios De esta manera obtuvimos información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado. Cada estudiante debe hacer una lista de riesgos (mínimo 10) detectados, clasificarlos teniendo en cuenta los dominios, procesos y objetivos de control del programa de auditoría identificando Las posibles causas que los originan. Procesos Seleccionados Riesgos asociados a cada Proceso Causas que Originan esos Riesgos Evaluación de nuevo hardware. 1. Mal rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización.  El tamaño de la memoria proporcionada.  El tiempo que la unidad central de procesamiento se mantiene inactiva.  Instalación inadecuada del S.O, sobre carga del sistema. 2. software deficiente  Mala calidad, Administradores inexpertos o negligentes. Mantenimiento Preventivo y correctivo para Hardware y software. 3. fallos del sistema operativo.  No hay optimización de velocidad y problemas de inicio o arranque del pc o equipos.  Pantalla azul, negra. 4.Errores en el disco duro  Infectado por virus  Falta de mantenimiento  Altas de voltaje
  • 16. PROCESOS RIESGOS CAUSAS Evaluación de nuevo hardware. 14. Que el Hardware no cumpla con lo requerido en el sistema. 15. Los componentes del Hardware sean de baja calidad. Poca Capacidad de almacenamiento. Por economizar dinero no se adquieran equipos be buena calidad. Mantenimiento Preventivo y correctivo para Hardware y software. 16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. 19.Que el computador quede obsoleto y se pierda la información Por falta de precauciones se dañen algunas partes del hardware. Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados virus. El polvo que cae al computador Administración de instalaciones e implementación 20.Computadores totalmente dañados por un mal manejo al momento de instalar un No se tiene una normatividad estipulada en el manejo de los computadores No hay inventario de los equipos y 5. mal rendimiento y recalentamiento  El polvo y el calor en los ventiladores o cooler. 6. Perdida de información  El sistema operativo se daña y no hay alguna copia de seguridad.  Desactualización del antivirus y hay virus Administración de instalaciones e implementación 7.Fallas en los sistemas TIC por instalación Uso de topología inadecuada y seguridad Condiciones medioambientales.
  • 17. software y por no seguir las normas de seguridad mínimas 21.Equipos con partes que no corresponden las partes pueden ser cambiadas por otras de baja calidad Suministro Ininterrumpido de Energía 22. Que los fusibles de la fuente de poder se quemen. 23.Que la tarjeta madre se presente conflicto con la memoria RAM 24. Que la información que se está trabajando se pierda en el momento que el computador se apaga. Las constantes subidas y bajadas de la luz Proceso Riesgos asociados a cada proceso Causas que originan los riesgos Evaluación del hardware 26. Poca seguridad del hardware de la empresa. El polvo es uno de los causantes del daño interno de nuestro pc. Mala utilización de las memorias lo cual ocasiona virus y coloca lento el sistema operativo. Mantenimiento preventivo y correctivo para hardware y software 27. Fallas inesperadas en el sistema. 28.Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro. Falta de un correctivo antivirus. Mala utilización de la unidad o también por la degradación de los sellos. Suministro ininterrumpido de energía 30. Las causas de los transitorios impulsivos. Esto se da por la influencia de rayos, puestas a tierra y liberación de fallas de la red eléctrica. Esto se produce cuando hay grandes cargas como por ejemplo cuando se enciende
  • 18. una unidad de aire acondicionado. Administración de instalaciones e implementación. 31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU. Falta de un reglamento por parte de la empresa para que estén pendientes de los computadores. LISTA DE RIESGOS 1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. 2. No hay Software eficiente 3. Existen Fallos del sistema operativo. 4. Existen Errores en el disco duro, procesador y memoria. 5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. 6. Hay Perdida de información 7. Existe Fallas en los sistemas TIC por instalación 8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… 9. Existen Daños a equipos o Instalaciones 10. No Hay seguridad informática (amenaza) peligro del sistema 11. Existe Daño Irreparable de equipos y pérdida de información. 12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos electrónicos. 13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. 14. Que los fusibles de la fuente de poder se quemen. 15. Que la tarjeta madre se presente conflicto con la memoria RAM 16. Que la información que se está trabajando se pierda en el momento que el computador se apaga. 17. Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas
  • 19. 18. Equipos con partes que no corresponden 19. Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la vida del personal 20. Que el Hardware no cumpla con lo requerido en el sistema. 21. Los componentes del Hardware sean de baja calidad. 22. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. 23. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. 24. Las partes internas del hardware se dañen o vuelvan el computador más lento. 25. Que el computador quede obsoleto y se pierda la información 26. Poca seguridad del hardware de la empresa. 27. Fallas inesperadas en el sistema. 28. Limpieza interna y externa de los computadores 29. Fallas en la unidad del disco duro y placa madre mainboard 30. Fallas en los dispositivos informáticos por los transitorios impulsivos. 31. Fallas en los daños internos del sistema operativo. 32. Mal funcionamiento de los ventiladores de la CPU Tabla 1. Valoración de riesgos Riesgos / Valoración Probabilidad Impactos A M B L M C Eléctricos R1 Existe Daño Irreparable de equipos y pérdida de información. x x R2 Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos electrónicos. x x
  • 20. R3 Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. x x R14 Que los fusibles de la fuente de poder se quemen. X X R15 Que la tarjeta madre se presente conflicto con la memoria RAM X X R16 Que la información que se está trabajando se pierda en el momento que el computador se apaga. X X R30 Fallas en los dispositivos informáticos por los transitorios impulsivos. X X R31 Fallas en los daños internos del sistema operativo. X X R32 Mal funcionamiento de los ventiladores de la CPU. X X Riesgos / Valoración Probabilidad Impactos A M B L M C Siniestros y catástrofes R4 Existe Daños a equipos o Instalaciones x x R5 No hay una correcta seguridad informática (amenaza) peligro del sistema x x R17 Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas X X R18 Equipos con partes que no corresponden X X
  • 21. Riesgos / Valoración Probabilidad Impactos A M B L M C Manejo y Control de Personal R6 No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… x x R19 Falta de plan de prevención y riesgos ante cualquier evento catastrófico que amenace la vida del personal del área de sistemas X X Riesgos / Valoración Probabilidad Impactos A M B L M C Manejo y Control de Hardware y software R7 No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. x x R8 No hay Software eficiente x x R9 Existen Fallos del sistema operativo x x R10 Existen Errores en el disco duro, procesador y memoria. x x R11 No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. x x R12 Hay Perdida de información x x R13 Existen Fallas en los sistemas TIC por instalación x x R20 Que el Hardware no cumpla con lo requerido en el sistema. X X
  • 22. R21 Los componentes del Hardware sean de baja calidad. X X R22 Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. X X R23 Que el sistema operativo sea atacado por un virus por falta de actualizaciones. X X R24 Las partes internas del hardware se dañen o vuelvan el computador más lento. X X R25 Que el computador quede obsoleto y se pierda la información X X R26 Poca seguridad del hardware de la empresa. X X R27 Fallas inesperadas en el sistema. X X R28 Limpieza interna y externa de los computadores X X A-alta M-media B-baja L-leve M-moderado C-catastrófico Tabla 2. Clasificación de Riesgos LEVE MODERADO CATASTROFICO R29 Fallas en la unidad del disco duro y placa madre mainboard X X
  • 23. ALTO R1,R4,R14,R17,R 18,R23,R24,R25,R 26 R3,R5,R9,R10,R 16,R29 MEDIO R2,R7,R11,13,R20 R6,R8,R12,R19,21 ,R22, R30,R31,R32 BAJO R15,R28 lista de riesgos detectados causa que los origina Controles para C/Riesgo 1. No hay buen rendimiento del sistema, referente a los diferentes sistemas que ya usan en la organización. El tamaño de la memoria proporcionada. El tiempo que la unidad central de procesamiento se mantiene inactiva. Instalación inadecuada del S.O, sobre carga del sistema. Adquirir equipos con capacidad para las actividades a realizar que sean compatibles con los demás de la organización y que sea de una buena calidad, para que mejore el rendimiento en el sistema. 2. No hay Software eficiente Mala calidad, Administradores inexpertos o negligentes en el uso y adquisición del software. Adquirir Software de excelente calidad que cumple los requerimientos necesarios para la organización. 3. Existen Fallos del sistema operativo. No hay optimización de velocidad y problemas de inicio o arranque del pc o equipos. Pantalla azul, negra. Tener un sistema operativo con una instalación correcta. Realizar todo tipo de mantenimiento preventivo y correctivo. Tanto de hardware como software. 4. Existen Errores en el disco duro Infectado por virus Falta de mantenimiento Altas de voltaje Realizar mantenimiento al disco duro para optimizar su funcionamiento. Actualizar e instalar un buen antivirus Comprobar los discos periódicamente y Los SAI (sistemas de alimentación ininterrumpida )ofrecen protección
  • 24. 5. No hay una correcta revisión y Existe mal rendimiento y recalentamiento de los equipos. El polvo y el calor en los ventiladores o cooler. Realizar mantenimientos correctivos y preventivos para una mejor vida útil del equipo. Limpiar todo el polvo de los ventiladores cada seis meses como mínimo. 6. Hay Perdida de información El sistema operativo se daña y no hay alguna copia de seguridad. Desactualización del antivirus y hay virus Realizar copias de seguridad periódicamente para resguardar información. Instalar y Actualizar un antivirus de calidad. 7. Existe Fallas en los sistemas TIC por instalación Uso de topología inadecuada y seguridad Condiciones medioambientales. Usar una correcta topología para obtener un buen sistema de información. Tener planes estratégicos de TI para estos casos. 8. No hay un plan de manejo y control de Accidentes del personal, empleados, directivos (factor humano)… Mala Admiración de instalaciones, baja calidad. Tener un manejo para las instalaciones actas para el factor humano de buena calidad. 9. Existen Daños a equipos o Instalaciones Uso Incorrecto de políticas de seguridad Desastres naturales, sistemas de contingencia (estabilizadores de corriente, fuentes de ventilación.) Debe de haber Instalaciones adecuadas para resistir a los desastres ambientales como las inundaciones, sobre cargas eléctricas) Un adecuado Plan de contingencia 10. No Hay seguridad informática (amenaza) peligro del sistema Debilidades del sistema Desastres naturales Utilizar un buen firewall y antivirus Tener un control de acceso en base de datos y sobre los sistemas de aplicación. Usar niveles de protección informática 11. Existe Daño Irreparable de equipos y pérdida de información. suministro de energía eléctrica deficiente Tener estabilizadores y ups en buen estado y de buena calidad y una buena calidad de red eléctrica. Utilizar equipos de variación de voltaje. 12. Hay Fallas en los sistemas de información y Afectación del funcionamiento de equipos Tensión eléctrica sufre diversas fluctuaciones. Tener una adecuada instalación eléctrica que soporte las diversas fluctuaciones de electricidad.
  • 25. electrónicos. 13. Existe un Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware. Subidas de tensión y Picos de tensión. Usar equipos de protección contra la variación de voltajes. Usar dispositivo protector que limita las subidas transitorias de tensión 14. Que el Hardware no cumpla con lo requerido en el sistema. Poca Capacidad de almacenamiento. Verificar cada uno de los componentes antes de la adquisición de un computador 15. Los componentes del Hardware sean de baja calidad. Por economizar dinero no se adquieran equipos be buena calidad. Sin importar el valor adquirir equipos de buena calidad. 16. Que no se sigan las debidas condiciones al momento de hacer la limpieza en el hardware. Por falta de precauciones se dañen algunas partes del hardware. Contratar gente con experiencia que tenga en cuenta todas las precauciones al momento de manipular las partes del hardware. 17. Que el sistema operativo sea atacado por un virus por falta de actualizaciones. Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus. Estipular 1 mantenimiento preventivo y correctivo por periodo con personal idóneo 18. Las partes internas del hardware se dañen o vuelvan el computador más lento. El polvo que cae al computador ubicar los computadores lejos de las ventanas, cuando no estén en uso mantenerlos tapados con forros adecuados 19. Que el computador quede obsoleto y se pierda la información Como no hay personal disponible los equipos no se actualizan y por consiguiente son más propensos a hacer atacados por virus. Hacer revisión semanal de los antivirus y su actualización automática y así evitar que un virus se filtre. 20.Computadores totalmente dañados por un mal manejo al momento de instalar un software y por no seguir las normas de seguridad mínimas El polvo que cae al computador. Además no se tiene ninguna precaución con la instalación de Software Ubicación adecuada de los equipos y personal idónea que los maneje 21.Equipos con partes que no corresponden No hay inventario de los equipos y las partes pueden ser cambiadas por otras de baja calidad Crear un inventario de los equipos existentes para tener mayor control al respecto. 22.Falta de plan de prevención y riesgos ante cualquier evento No existe un plan de contingencia que ayude a Capacitar al personal sobre las medias a seguir si se presenta un evento
  • 26. catastrófico que amenace la vida del personal combatir una emergencia. catastrófico por medio de simulacros 23. Que los fusibles de la fuente de poder se quemen. Las constantes subidas y bajadas de la luz Contar con una planta eléctrica para remplazar la energía cuando esta de vaya 24.Que la tarjeta madre se presente conflicto con la memoria RAM Las constantes subidas y bajadas de la luz Contar con UPS para regular la cargar de energía y evitar daños 25. Que la información que se está trabajando se pierda en el momento que el computador se apaga. Las constantes subidas y bajadas de la luz Adquirir el hábito de ir guardando la información de forma constante para evitar pérdidas. 26. Poca seguridad del hardware de la empresa. Mal uso de los computadores o uso malintencionado. Configurar los equipos y dispositivos de red de forma que sea lo más complicado posible realizar manipulaciones sobre ellos. 27. Fallas inesperadas en el sistema. Esto se debe a posibles virus, o estar instalando y desinstalando programas una y otra vez también puede ocasionar problemas. Evitar meter al computador memoria con virus, entrar a páginas no segura o hacer compras por internet en páginas spy, esto ocasiona fallas y virus en el sistema. 28.Limpieza interna y externa de los computadores Posibles daños en el computador ocasionados por la suciedad. Hacer mantenimiento progresivo a los computadores, ya que estos constantemente les cae polvo y ocasiona daños. 29.Fallas en la unidad del disco duro y placa madre mainboard Estas fallas se presentan cuando hay una placa dañada esto puede dañar los demás componentes conectados a ella incluyendo el procesador etc. Haciendo un recorrido visual por la placa, podremos observar a simple vista los capacitores afectados. 30Fallas en los dispositivos informáticos por los transitorios impulsivos. Son fenómenos inherentes al funcionamiento de las cargas con dispositivos electrónicos. Instalar una red de alta, media y baja tensión, para así evitar daños ocurridos por las fuertes descargas eléctricas, rayos y accidentes en los postes o torres de transmisión. 31.Fallas en los daños internos del sistema operativo Se deben al apago inoportuno del equipo, dejando procesos a medio realizar. Coordinar las instrucciones internas y externas para que el conjunto produzca finalmente el resultado esperado. 32. Mal funcionamiento de los ventiladores de la CPU. Esto se debe a la suciedad que se acumula por lo tanto baja considerablemente la velocidad del Es recomendable hacer servicio de limpieza al ventilador regularmente por lo general cada 6 meses.
  • 27. funcionamiento. DICTAMEN DE AUDITORÍA 1.1 LINEA DEL SISTEMA DE INFORMACIÓN Destinatario: E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA Análisis del sistema de información, salvaguarda el activo empresarial, mantiene la integridad de los datos Los sistemas de información, Revelan una evolución positiva desde la perspectiva de los indicadores de la situación sistemática. La situación fiscal de la Ese Hospital Integrado San Juan de Cimitarra a diciembre 31 del 2014 es positiva y presenta liquidez, se hace análisis de cada procesos COBIT evaluados de la misma manera se determina cada Riesgos y Cada control propuesto. El Informe se apoya en los datos suministrados por el área de sistemas, presupuesto y control interno del Ese de Cimitarra. ALCANCE Identificación de los procesos COBIT y SI relevantes, Determinar el nivel de complejidad de los sistemas Identificar y evaluar el riesgo En la empresa con sistemas complejos, Evaluar y documentar la efectividad Determinando el nivel de complejidad de los sistemas. Se hace evidencia de los siguientes procesos: Proceso: AI3 Adquirir y mantener la arquitectura tecnológica. Objetivo de Control: Evaluación de Hardware, con un Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados para los sistemas de información; Mala calidad, Administradores inexpertos o negligentes en el uso y adquisición del software. Objetivo de Control: Mantenimiento Preventivo y correctivo para Hardware y software, con un Nivel de madurez de Nivel de 1 INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados, Existen Fallos del sistema operativo, disco duro y demás hardware. Proceso: DS12 Administración de Instalaciones. Objetivo de Control: Hacer mantenimientos en redes eléctricas para cumplir con el buen funcionamiento de energía e instalaciones y así evitar accidentes por el mal estado de los cables de luz. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, se establecen metas de mejoramiento.
  • 28. Objetivo de Control: Suministro Interrumpido de Energía. Con un Nivel de Madurez 1-INICIAL, se encuentra en ese nivel de acuerdo a los controles y riesgos existentes porque Los procesos son espontáneos y desorganizados, Existe Daño Irreparable de equipos y pérdida de información. Proceso: Protección contra Factores Ambientales. Objetivo de Control: Seguridad Física. Con un Nivel de Madurez 4-ADMINISTRADO: de acuerdo a los controles y riesgos existentes, porque Se utiliza métricas de rendimiento, Los procesos están estandarizados, se documentan, de acuerdo a los riesgos , Existe Fallas en los sistemas TIC por instalación; Uso de topología inadecuada y seguridad Condiciones medioambientales. 2. AUDITORIA DE MANTENIMIENTO 5.1 Alcance de la Auditoria. • Planes y procedimientos de Mantenimiento • Normativa 5.2. Objetivos de la Auditoria.- Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y preventivo del software. 5.3. Referencia Legal: • Estándares – ISO/IEC 12207 – IEEE 1074 – IEEE 1219 – ISO/IEC 14764 Resultado: Se hace análisis del proceso de mantenimiento y no cumple con los objetivos propuestos. 6. Administración de Instalaciones De Redes eléctricas Alcance de la Auditoria.  Organización de Instalaciones eléctricas  Mantenimiento de redes eléctricas  Planes y procedimientos Objetivos de la Auditoria. 14. Realizar un informe de Auditoria con el objeto de verificar las adecuaciones de las instalaciones eléctricas con el fin de no tener Daños Irreparables de equipos y pérdida de información. preguntas 100% 80% bueno 60% regular 20% no cumple
  • 29. excelente Evaluar la existencia, difusión, aplicación y uso de contra contingencias de sistemas. x Evaluar las medidas preventivas o correctivas en caso de siniestro en el área de sistemas x Resultado: Se debe de mejorar la parte de las instalaciones de redes eléctricas, para poder disminuir y optimizar las pérdidas de información y tener un plan de contingencia actualizado y mejorado para poder prevenir siniestros en esta área. INFORME FINAL DE AUDITORÍA CARTA DE PRESENTACION DEL EQUIPO AUDITOR Miércoles, 20 de mayo de 2015 CARTA DE PRESENTACION Cimitarra Santander, mayo 20 del 2015 Directora RESPONSABLE-Gerente SANDRA XIMENA CARDENAS NARVAEZ Presentación formal del informe de auditoría. REF: Auditoria al Sistema de Información, E.S.E. HOSPITAL INTEGRADO SAN JUAN DE CIMITARRA
  • 30. Estimada Gerente: Sandra Cárdenas Somos una entidad emprendedora en el servicio de auditoría de sistemas. El objetivo de esta carta es la presentación de las falencias y problemáticas encontradas en el área de sistemas de la institución prestadora de servicios de salud, que fueron de gran ayuda para la realización de este proyecto. Las instalaciones del área de sistemas cuentan con unos excelentes equipos de cómputo para el uso de los usuarios (agentes administrativos, equipo médico y demás), pero esta cuenta con algunos problemas que pueden poner en riesgo sus equipos. Le podemos ofrecer la asesoría y ayuda de cómo puede mejorar esas falencias encontradas en las instalaciones. Es importante realizar este proceso para evitar grandes pérdidas a futuro y mejorar el uso de esta lo más antes posible. Dispuestos siempre a proporcionarle una respuesta adecuada a sus necesidades, estaremos llamando para concertar una cita o reunión para la entrega formal del informe. Gracias por su pertinente atención, Cordialmente, EQUIPO AUDITOR Nilsa Atehortua Galeano Auditora fiscal CC.1099546747 Cel.: 3174922676 e-mail: aslinag Maribel Pardo Galeano Contralor publico Luzmar Flórez Abogada Objetivos de la auditoria  Análisis de la eficiencia de los Sistemas Informáticos  Verificación del cumplimiento de la Normativa en este ámbito
  • 31.  Determinar la veracidad de la información del área de sistemas  Revisar las políticas de usos de los equipos  Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pc  Revisión de la eficaz gestión de los recursos informáticos.  Administración del Ciclo de vida de los sistemas  Servicios de Entrega y Soporte  Verificar los avances tecnológicos  Protección y Seguridad  Planes de continuidad y Recuperación de desastres LOS ALCANCES DE LA MISMA ALCANCE La auditoría Informática se orientó al análisis y evaluación de la gestión desarrollada por la entidad, en la administración de los bienes Informáticos o tecnológicos, infraestructura e instalaciones eléctricas, recursos y el cumplimiento de su actividad misional, conforme a las normas y principios que regulan el ejercicio de la gestión fiscal, con los procedimientos establecidos por la Contraloría General de Santander, sobre los documentos e información suministrada por la administración de la E.S.E. Hospital Integrado San Juan de Cimitarra. Es responsabilidad del Representante Legal de la Entidad el contenido de la información suministrada. El presente Informe se efectuó sobre la base de un análisis y evaluación de los sistemas de información y cifras registradas en la rendición de la cuenta a través de SIA confrontada con la documentación verificada en el trabajo de campo, sobre el análisis de la información que se hizo en forma selectiva de algunos de los documentos y revisión de equipos informáticos, instalaciones en redes eléctricas, donde verifican una serie de Riesgos encontrados y aclaraciones solicitadas así como a los resultados que se observaron en el trabajo de campo practicado en la Auditoría realizada Para lograr este propósito fue necesaria la planeación y ejecución del trabajo, de manera que el examen proporcione una base razonable para fundamentar conceptos y opiniones expresadas en el informe. PROBLEMAS QUE SE PRESENTARON EN EL PROCESO DE AUDITORÍA RESPECTO A CONSECUCIÓN DE LA INFORMACIÓN Se hace verificación de los documentos respecto a su autenticidad y se comprueba que en la parte de mantenimiento preventivo y correctivo de equipos de cómputo y elementos
  • 32. informáticos no poseen una veracidad de estas actividades, evidenciadas por medio de redivisión de estos elementos durante la auditoria. Se verifica que no hay un cronograma o agenda real del ingeniero de sistemas de la organización, solo presenta de forma documentada, pero desorganizada…Algunos datos no son reales y de realiza su verificación por medio de revisiones. LISTA DE LOS HALLAZGOS ENCONTRADOS Hallazgos En la Empresa prestadora de servicios médicos E.S.E Hospital Integrado San Juan de Cimitarra no se hacen los respectivos mantenimientos preventivos y correctivos periódicamente, ni cambio de partes nuevas y actualizaciones de software; según los archivos encontrados o presentados, con la evidencia presentada de verifica y se autentifica que no se lleva este procedimiento, por el cual es un riesgo a vulnerabilidad para el sistema de auditoria informática.  No hay un cronograma o plan de actividad sobre los mantenimientos correctivos y preventivos.  No existen hojas de vida para cada equipo de cómputo o dispositivo informático  En cuanto al lugar adecuado para el proceso de mantenimientos, se debe de tener un sitio apropiado para este ya que se presenta mucho polvo y mugre que se esparce y se inhala por el personal médico y usuarios.  No hay una adecuada la iluminación del área donde se encuentran los equipos de cómputo.  No Existe actualización del inventario de todos los equipos de cómputo nuevos o equipos informáticos.  En cuanto al Alto riesgo de corto circuito (ocasiona daños permanentes en el hardware). Se debe de tener un mantenimiento y mejora para los sistemas de información y para prevenir riesgos profesionales.  En cuando a las políticas de seguridad no concretan los procesos y procedimientos para copias de seguridad y restauración de las mismas. Las políticas de seguridad no
  • 33. contemplan la periodicidad de revisión de las bitácoras para la actividad de, mantenimientos correctivos y preventivos, base de datos y al sistema operativo. No hay una apropiada administración de usuarios en el sistema de información.  En cuanto a objetividad de planes de mantenimiento preventivo y correctivo: El plan de mantenimiento es correctivo para equipos de infraestructura del hospital, no preventivo. No existe documentación sobre el procedimiento a seguir y frecuencia para realizar evaluaciones y observaciones, actualización, riesgos, vulnerabilidades y requerimientos de seguridad.  Perdida de información, por problemas en los equipos por fallas en disco duro. RECOMENDACIONES O CONTROLES PROPUESTOS El presente Informe es de carácter preliminar, en consecuencia de los hallazgos consignados están sujetos a la respectiva contradicción o réplica, y gozan de reserva dentro del debido proceso. Los soportes valorados necesarios y suficientes para estos efectos, que reposan en sus archivos. El escrito de contradicción debe allegarse en medio físico y magnético Se incita a que se tomen medidas que conduzcan a corregir las situaciones descritas en el presente Informe Definitivo en aras de lograr el fortalecimiento institucional. No existe una planeación de actividades diseñada por la oficina de control interno donde permita verificar el cumplimiento de los procedimientos de cada área. No existen procedimientos para las áreas de la entidad, lo que permite que el seguimiento a cualquier trámite no se pueda llevar a cabo. No existe un mapa de riesgos de la entidad. El Hospital integrado San Juan de Cimitarra, en su respuesta manifiesta que en la vigencia siguiente se corregirá esta situación, por lo cual SE CONFIRMA EL HALLAZGO COMO Mantenimiento Preventivo y correctivo para Hardware y software de equipos de cómputo y elementos informáticos PARA INCLUIR EN EL PLAN DE MEJORAMIENTO. Recomendación: Con respecto al área de sistemas El Administrador de la respectiva Empresa, debe realizar la debida corrección al riesgo presentado de inventarios, planes de adquisición, actualización, arreglos eléctricos y mantenimientos de hardware. Recomendación: Con respecto a Realización de mantenimientos, se debe de hacer para optimizar el funcionamiento del disco duro.
  • 34. Con respecto a la existencia de planes de mantenimiento preventivo y correctivo se recomienda: Definir un plan de mantenimiento preventivo y correctivo. Asignar personal que se encargue de ejecutarlo. Definir un plan para adquisición y mantenimiento de la infraestructura tecnológica. Asignar personal que se encargue de documentar el procedimiento a seguir sobre evaluación, actualización, riesgos, vulnerabilidades y requerimientos de seguridad. Recomendación: Con respecto una adecuada instalación eléctrica se debe de tener una instalación que soporte las diversas fluctuaciones de electricidad. Recomendación: Con respecto a equipos de protección se debe de usar para contra la variación de voltajes. Recomendación: Con respecto al Uso de dispositivo protector que limita las subidas transitorias de tensión, para optimizar la información y la calidad de equipos.