Practicas pre profesionales auditoria de redes

UNIVERSIDAD TECNOLÓGICA
DE LOS ANDES
FACULTAD DE INGENIERÍA
CARRERA PROFESIONAL DE INGENIERÍA DE
SISTEMAS E INFORMÁTICA
AUDITORIA DE LA RED INFORMATICA
C.S. PUEBLO JOVEN
INFORME DE
PRACTICAS PRE-PROFESIONALES
ASESOR:
ING. YURI ARGAMONTE HUAMANI
PRESENTADO POR:
ANATOLY ROZAS CORDOVA
ABANCAY – PERU
2014

Universidad Tecnológica de los Andes
Facultad de Ingeniería
Carrera Profesional de Ingeniería de
Sistemas e Informática
Pág. 1
DEDICATORIA
El presente trabajo está dedicado
principalmente a Dios, quien está
siempre con nosotros y nos dio la
oportunidad de seguir esta carrera.

Pág. 2
INDICE
Introducción...............................................5
Capitulo I.- Generalidades.................................7
1. Capítulo I..............................................8
1.1. Datos Generales de la Institución...............8
1.1.1. Razón Social..............................8
1.1.2. Ubicación.................................8
1.2. Naturaleza......................................8
1.2.1. Tipo de Institución.... ..................8
1.2.2. Dispositivos legales......................8
1.3. Estructura orgánica............................10
1.3.1. Organigrama Estructural..................10
1.4. Descripción de la Institución..................11
1.4.1. Visión...................................11
1.4.2. Misión...................................11
1.5. Objetivos Estratégicos.........................12
1.6. Objetivos Generales y Específicos..............13
1.6.1. Objetivo General.........................13
1.6.2. Objetivo Especifico......................13
Capitulo II.- Marco Teórico...............................15
2. Capítulo II............................................16
2.1. Marco Teórico..................................16
2.1.1. Red Informática...........................16
2.1.2. Funcionamiento y Gestión de las Redes.....17
2.1.3. Servicios de Red..........................19
2.1.4. Equipos de Red............................24
2.1.5. Estándar para el Cableado de
Telecomunicaciones (TIA/EIA 568-B).......29
2.1.6. Protocolos de Red.........................31
Capitulo III.- Auditoria de la Red Informática a la
Institución...............................................35
3. Capítulo III
3.1. Auditoria de la Red Informática aplicada al
Centro de Salud Pueblo Joven...................36
I. Introducción..............................36
II. Alcance de la Auditoria Informática.......38
2.1. Organigrama..........................38
2.1. Áreas Funcionales de la
Organización........................39
2.3. Relaciones Jerárquicas y Funcionales
entre Órganos de la Organización....39

Pág. 3
2.4. Número de Puestos de
Trabajo.............................40
III. Objetivos de la Auditoria a la Red Informática..42
IV. Planeación de la Auditoria Informática..........43
4.1 Fases de la Auditoria Informática.........43
4.2 Evaluación de los sistemas de Acuerdo al
Riesgo....................................44
4.3 Investigación Preliminar..................45
4.4 Personal Participante.....................46
V. Técnicas y herramientas de la auditoria
informática.....................................47
5.1 Verificación Ocular.......................47
5.2 Verificación Verbal.......................48
5.3 Verificación Documental...................49
5.4 Verificación Física.......................50
5.5 Verificación mediante herramientas de
computación...............................50
VI. Técnicas de trabajo.............................51
6.1 Análisis de la información recabada
del auditado..............................51
6.2 Análisis de la información propia.........51
6.3 Cruzamiento de las informaciones
Anteriores................................52
6.4 Entrevistas...............................52
6.5 Cuestionarios.............................52
VII. Herramientas....................................52
7.1 Cuestionario general
Inicial..................................52
VIII. Estudio Inicial del Entorno que se
Auditará........................................53
8.1 Situación Geográfica de los Sistemas de
Software...................................53
8.2 Inventario de Hardware y Software..........53
8.3 Comunicación y Redes de Comunicación.......54
IX. Determinación de los Recursos Necesarios para
Realizar la Auditoria...........................55
9.1 Recursos Materiales.
9.1.1 Recursos Materiales Software.......55
9.1.2 Recursos Materiales hardware.......55
9.2 Recursos Humanos.........................55
9.3 Situación Presupuestal y Financiera.......45
9.3.1 Presupuestos.......................56
Capítulo VI.- Técnicas y Herramientas de la Auditoria
Informática.................................57
X. Capitulo IV......................................58
10.1 Auditoria Física..........................58
a) Objetivos.
b) Alcance
c) Hallazgos Potenciales.
d) Conclusiones.

Pág. 4
e) Recomendaciones
10.2 Auditoria de la Red Física................62
a) Objetivos.
b) Alcance
d) Conclusiones.
e) Recomendaciones
10.3 Auditoria de la Red Lógica................67
a) Objetivos.
b) Alcance
d) Conclusiones.
e) Recomendaciones
10.4 Auditoria a la Administracion de la red...73
a) Objetivos.
b) Alcance
d) Conclusiones.
e) Recomendaciones
10.5 Auditoria a la Seguridad Informática......78
a) Objetivos.
b) Alcance
d) Conclusiones.
e) Recomendaciones
Capitulo V.- Actividades Realizadas.......................83
XI. Capítulo V.......................................84
11.1 Actividades realizadas en el periodo de
prácticas................................84
ANEXOS....................................................85

Pág. 5
INTRODUCCION
En la actualidad la auditoria es la parte administrativa que
representa el control de las medidas establecidas, auditoria
es su acepción más amplia y significativa verificar que la
información financiera. Administrativa y operacional que se
genera es confiable veraz y oportuna.
El manejo de información a través de las redes tecnológicas
comunicacionales se ha convertido en factor esencial para la
toma de decisiones en cual esperamos que se convierta en un
instrumento rápido y practico que permita conocer la
situación del proceso de salud-enfermedad del Centro De
Salud Pueblo Joven Micro Red Centenario.
Se realiza la presente Auditoria de la Red Informática al
C.S. Pueblo Joven, con la finalidad de mejorar y contribuir
la oportunidad de registros de información debido al
constante cambio en que nos encontramos y al avance
tecnológico en el que estamos inmersos.
Las Instituciones han visto por conveniente poner más
énfasis en las tecnologías de información con el fin de
mejorar las diferentes de las áreas involucradas el mismo
que ayudara optimizar sus procedimientos, costos y tiempos,
controles y sobre todo la seguridad de la información que
maneja.
Las Instituciones consideran que la información y la
tecnología representan sus activos más importantes para la
toma de decisiones y desempeño en todas sus áreas y
servicios.

Para lograr un buen diseño se debe seguir las
recomendaciones que los estándares brindan, por ello es que
se requiere conocimiento de las diferentes normas, así como
Pág. 6
un análisis de su infraestructura.
Con el presente trabajo se pretende realizar una revisión
exhaustiva técnica y especializada al sistema de redes,
considerando la evaluación de los tipos de redes, y textura,
topología, sus protocolos de comunicación, las conexiones,
accesos, privilegios, administración y demás aspectos que
repercuten en su instalación, funcionamiento y
aprovechamiento en el C.S. Pueblo Joven.

Pág. 7
CAPITULO I
GENERALIDADES

Pág. 8
1. CAPÍTULO I
1.1. DATOS GENERALES DE LA INSTITUCIÓN
1.1.1. RAZÓN SOCIAL
CENTRO DE SALUD PUEBLO JOVEN
MICRO RED CENTENARIO.
1.1.2. UBICACIÓN
 DEPARTAMENTO: APURIMAC.
 PROVINCIA: ABANCAY.
 DIRECCIÓN: AV. CENTENARIO S/N
VILLA AMPAY.
 TELÉFONO: 083-321585.
1.2. NATURALEZA
1.2.1. TIPO DE INSTITUCIÓN
Institución Pública.
1.2.2. DISPOSITIVOS LEGALES
Los centros de salud están regidos por los
principales dispositivos legales:
 La constitución política del Perú de
1993.
 Ley Bases de Descentralización (Ley Nº
27783).
 Ley Orgánica de los Gobiernos Regionales
(Ley Nº 27867.
 Ley Marco del Aseguramiento Universal
(Ley Nº 29344).

 Decreto Legislativo N° 584, Ley de
Organización y Funciones del MINSA
(Ministerio de Salud).
 Ley N° 26268. Presupuesto del Sector
Pág. 9
Público 1994.
 Decreto Supremo N° 002-92-SA, que aprueba
el Reglamento de Organización y Funciones
del MINSA.
 Decreto Supremo N° 01-94-SA que dispone
la ejecución del programa de
Administración Compartida.
 Decreto Supremo N° 038-94-PCM que aprueba
los planes operativos de los Programas de
Focalización del Gasto Social Básico de
Educación, Salud y el Poder Judicial.
 R. M. 032-93-PRES que aprueba el
organigrama estructural y ROF de los
Consejos Transitorios de la
Administración Regional.

Pág. 10
1.3. ESTRUCTURA ORGÁNICA
1.3.1. ORGANIGRAMA ESTRUCTURAL
CONSEJO DIRECTIVO
JEFATURA
MEDICINA
MEDICINA
MEDICINA
ODONTOLOGIA
ODONTOLOGIA
ODONTOLOGIA
OBSTETRICIA
OBSTETRICI A 1
OBSTETRICIA 2
FARMACIA
LABORATORIO
ADMISION
UNIDAD DE
SEGUROS
ENFERMERIA
ENFERMERIA
TECNICAS DE
ENFERMERIA
ADULTO
MAYOR
PSICOLOGIA
SANEAMIENTO
AMBIENTAL
RECURSOS
HUMANOS
ESTADISTICA E
INFORMATICA
CONSEJO
CONSULTIVO

Pág. 11
1.4. DESCRIPCIÓN DE LA INSTITUCIÓN
El Centro de Salud Pueblo Joven, es parte de la
Micro de Salud Micaela Bastidas conserva la
dependencia de la Dirección Regional de Salud de
Apurímac, desarrolla sus actividades prestaciones
según los lineamientos de la política del sector y
comprometidos con la salud pública de educadores
Sanitarios de la organización interna y de la
población en general. En cumplimiento a la
normatividad el Centro de Salud Pueblo Joven es una
institución dedicada a los servicios y a la atención
de salud básica, primaria y urgente ante situaciones
de salud que deben ser tratadas.
1.4.1. VISIÓN
Somos un Centro de Salud con gerencia moderna,
adecuado para la prestación de servicios
modelos de calidad, debidamente equipada para
la resolución de problemas de salud de su
ámbito, bajo los principios de atención
integral con equidad, eficiencia y calidad.
1.4.2. MISIÓN
Garantizar la salud individual y colectiva de
la población de su ámbito, en forma integral,
con equidad, eficiencia y calidad, con énfasis
en las zonas de riesgos identificadas y
mediante actividades preventivo promocionales
y recuperativas bajo el enfoque de género y
estilos saludables.
1.5. OBJETIVOS ESTRATEGICOS

El ministerio de Salud ha establecido Lineamientos
de Política del Sector Salud, con resultados a ser
alcanzados por cada una de las instituciones y
Pág. 12
dependencias que conforman el Sector Salud.
 Reducir la mortalidad materna neonatal.
 Reducir la desnutrición crónica en menores de 5
años
 Priorizar las intervenciones de prevención de
las enfermedades transmisibles promoviendo
estilos de vida y entornos saludables.
 Reducir la mortalidad de las enfermedades
crónicas degenerativas, enfermedades
inmunoprevenibles y aquellas originadas por
factores externos.
 Mejora la oferta y calidad del servicio de salud
en beneficio de la población.
 Fortalecer el desarrollo y la gestión de los
recursos humanos en salud.
 Asegurar el acceso y disponibilidad de
medicamentos de calidad.
 Fortalecer el rol de rectoría en los diferentes
niveles de gobierno.
 Los Objetivos Estratégicos del Centro de Salud
Pueblo Joven al 2015.
 Priorizar las intervenciones de prevención de
las enfermedades.
 Fortalecer la oferta y calidad de los servicios
de salud.
 Fortalecer el desarrollo y la gestión de los
recursos humanos.

Pág. 13
1.6. OBJETIVOS GENERALES Y ESPECIFICOS
1.6.1. OBJETIVO GENERAL
 Fortalecer y mejorar las intervenciones
de prevención de las enfermedades y
transmisibles y no trasmisibles,
promoviendo estilo de vida saludables en
la población.
 Optimizar y fortalecer la oferta de los
servicios de salud con énfasis en la
mejora continua de la calidad de
atención.
 Mejorar las competencias del personal de
salud mediante la implementación de
actividades de capacitación en forma
continua de acuerdo a la demanda y
necesidades del centro de salud.
1.6.2. OBJETIVO ESPECIFICO
 Mejorar las intervenciones de prevención
de las enfermedades transmisibles y no
transmisibles promoviendo estilos de vida
y entornos saludables.
 competencias del personal de salud
mediante la implementación de actividades
de capacitación en forma continúa de
acuerdo a la demanda y necesidades del
centro de salud.
 Mejoramiento de la infraestructura y
equipamiento de los servicios de salud.
 Ampliación de cobertura y calidad en la
atención de los servicios de salud.

 Implementar las políticas de
desarrollo de los recursos humanos en
el centro de salud.
Pág. 14

Pág. 15
CAPITULO II
MARCO TEORICO

Pág. 16
2. CAPÍTULO II
2.1. MARCO TEÓRICO
2.1.1. RED INFORMÁTICA
Red informática, es un conjunto de equipos
informáticos conectados por medios físicos y/o
lógicos o cualquier otro método de transporte
de datos, que comparten información,
servicios, etc. Una red de comunicaciones es
un conjunto de medios técnicos que permiten la
comunicación a distancia entre equipos
autónomos.
Normalmente se trata de transmitir datos,
audio y vídeo por ondas electromagnéticas a
través de diversos medios, compartiendo
información, recursos como CD-ROM, impresoras,
grabadoras de DVD y servicios como e-mail,
Chat, conexiones a Internet, juegos, etc.
Podemos clasificar a cualquier red informática
según la direccionalidad de los datos o por
los tipos de transmisión: Red informática
simplex unidireccional, en la que una
computadora transmite y otra recibe. Red
informática half-duplex bidireccionales, en la
que solo una computadora transmite por vez. Y
la Red informática full-duplex, red en la que
ambas computadoras pueden transmitir y recibir
información a la vez.
Una red tiene tres niveles de componentes:
software de aplicaciones, software de red y
hardware de red.

El software de aplicaciones está formado por
programas informáticos que se comunican con
los usuarios de la red y permiten compartir
información (como archivos, gráficos o vídeos)
y recursos (como impresoras o unidades de
Pág. 17
disco).
2.1.2. FUNCIONAMIENTO Y GESTIÓN DE LAS REDES
La gestión de red trata acerca de cómo se
controla y vigila el correcto funcionamiento
de todos los equipos informáticos conectados
entre sí con la finalidad de compartir
información y recursos mediante distintos
elementos de conexión. Las redes pueden ser
objeto de acceso ilegal, por lo que los
archivos y recursos deben de protegerse, un
intruso que se introdujera en la red podría
espiar los paquetes enviados por la red o
enviar mensajes ficticios.

En el caso de información sensible el cifrado
de los datos hace que un intruso no pueda leer
los paquetes que lleguen a su poder. La
mayoría de los servidores poseen medida de
seguridad y autentificación para garantizar
que una petición de leer o modificar un
fichero o de utilizar recursos procede de un
Pág. 18
usuario legítimo y no de un intruso.
A través de la compartición de información de
una red LAN o Wireless, los usuarios de los
sistemas informáticos de una organización
podrán hacer un mejor uso de los mismos,
mejorando de este modo el rendimiento global
de la organización.
Un centro de gestión de red dispone de tres
tipos principales de recursos.
Métodos de Gestión. Definen las pautas de
comportamiento de los demás componentes del
centro de gestión de red ante determinadas
circunstancias.
Recursos Humanos. Personal encargo del
correcto funcionamiento del centro de gestión
de red.
Herramienta de Apoyo. Herramienta que facilita
las tareas de gestión a los operadores humanos
y posibilitan minimizar el número de estos.
Esta gestión de red es crucial para que un
sistema complejo de ordenadores y recursos
interconectados puedan funcionar y proteger el
ataque de intrusos que desean introducirse en
la red para espiar los paquetes enviados por
este medio enviar mensajes ficticios.

Pág. 19
2.1.3. SERVICIOS DE RED
Todos los servicios de red están basados en la
relación Cliente/Servidor. Los servicios de
red es la creación de una red de trabajo en un
ordenador. La finalidad de una red es que los
usuarios de los sistemas informáticos de una
organización puedan hacer un mejor uso de los
mismos mejorando de este modo el rendimiento
global de la organización Así las
organizaciones obtienen una serie de ventajas
del uso de las redes en sus entornos de
trabajo, como pueden ser:
 Mayor facilidad de comunicación.
 Mejora de la competitividad.
 Mejora de la dinámica de grupo.
 Reducción del presupuesto para uso de
Software.
 Reducción de los costos de proceso por
usuario.
 Mejoras en la administración de los
programas.
 Mejoras en la integridad de los datos.
 Mejora en los tiempos de respuesta.
 Flexibilidad en el proceso de datos.
 Mayor seguridad para acceder a la
información.
 Posibilidad de organizar grupos de
Trabajo.

DHCP: facilita la administración automatizando
la asignación de direcciones IP a los nodos de
la red. Los servidores de autenticación son
otro servicio de red, estos permiten a cada
usuario tener su propia cuenta y todo lo que
hagan con esa cuenta esta registrado bajo su
Pág. 20
nombre de usuario.
Para que todo esto sea posible, la red debe
prestar una serie de servicios a sus usuarios,
como son:
Acceso: Los servicios de acceso a la red se
encargan tanto de la verificación de la
identidad del usuario para determinar cuáles
son los recursos de la misma que puede
utilizar, como servicios para permitir la
conexión de usuarios de la red desde lugares
remotos.
Control de acceso: Para el control de acceso,
el usuario debe identificarse conectándose con
un servidor en el cual se autentifica por
medio de un nombre de usuario y una clave de
acceso. Si ambos son correctos, el usuario
puede conectarse a la red.
Acceso remoto: En este caso, la red de la
organización está conectada con redes públicas
que permiten la conexión de estaciones de
trabajo situadas en lugares distantes.
Dependiendo del método utilizado para
establecer la conexión el usuario podrá
acceder a unos u otros recursos.

Ficheros: El servicio de ficheros consiste en
ofrecer a la red grandes capacidades de
almacenamiento para descargar o eliminar los
discos de las estaciones. Esto permite
almacenar tanto aplicaciones como datos en el
servidor, reduciendo los requerimientos de las
estaciones. Los ficheros deben ser cargados en
Pág. 21
las estaciones para su uso.
Impresión: Permite compartir impresoras de
alta calidad, capacidad y coste entre
múltiples usuarios, reduciendo así el gasto.
Existen equipos servidores con capacidad de
almacenamiento propio donde se almacenan los
trabajos en espera de impresión, lo cual
permite que los clientes se descarguen de esta
información con más rapidez.
Una variedad de servicio de impresión es la
disponibilidad de servidores de fax, los
cuales ponen al servicio de la red sistemas de
fax para que se puedan enviar éstos desde
cualquier estación. En ciertos casos, es
incluso posible enviar los faxes recibidos por
correo electrónico al destinatario.
Correo: El correo electrónico es la aplicación
de red más utilizada. Permite claras mejoras
en la comunicación frente a otros sistemas.
Por ejemplo, es más cómodo que el teléfono
porque se puede atender al ritmo determinado
por el receptor, no al ritmo de los llamantes.
Además tiene un costo menor para transmitir
iguales cantidades de información. Frente al
correo

convencional tiene la clara ventaja de la
rapidez.
Información: Los servidores de información
pueden bien servir ficheros en función de sus
contenidos como pueden ser los documentos
hipertexto, como es el caso de esta
presentación. O bien, pueden servir
información dispuesta para su proceso por las
aplicaciones, como es el caso de los
Pág. 22
servidores de bases de datos.
Otros: Las redes modernas, con grandes
capacidades de transmisión, permiten
transferir contenidos diferentes de los datos,
como pueden ser imágenes o sonidos. Esto
permite aplicaciones como:
 Estaciones integradas (voz y datos).
 Telefonía integrada.
 Servidores de imágenes.
 Videoconferencia de sobremesa.
 Redes sociales.
Para la prestación de los servicios de red se
requiere que existan sistemas en la red con
capacidad para actuar como servidores. Los
servidores y servicios de red se basan en los
sistemas operativos de red.
Un sistema operativo de red es un conjunto de
programas que permiten y controlan el uso de
dispositivos de red por múltiples usuarios.
Estos programas interceptan las peticiones de
servicio de los usuarios y las dirigen a los

equipos servidores adecuados. Por ello, el
sistema operativo de red, le permite a ésta
ofrecer capacidades de multiproceso y
multiusuario. Según la forma de interacción de
los programas en la red, existen dos formas de
Pág. 23
arquitectura lógica:
Cliente-servidor: Este es un modelo de proceso
en el que las tareas se reparten entre
programas que se ejecutan en el servidor y
otros en la estación de trabajo del usuario.
En una red cualquier equipo puede ser el
servidor o el cliente. El cliente es la
entidad que solicita la realización de una
tarea, el servidor es quien la realiza en
nombre del cliente. Este es el caso de
aplicaciones de acceso a bases de datos, en
las cuales las estaciones ejecutan las tareas
del interfaz de usuario (pantallas de entrada
de datos o consultas, listados, etc) y el
servidor realiza las actualizaciones y
recuperaciones de datos en la base.
En este tipo de redes, las estaciones no se
comunican entre sí.
Las ventajas de este modelo incluyen:
 Incremento en la productividad.
 Control o reducción de costos al
compartir recursos.
 Facilidad de administración, al
concentrarse el trabajo en los
servidores.
 Facilidad de adaptación.

Redes de pares (peer-to-peer): Este modelo
permite la comunicación entre usuarios
(estaciones) directamente sin tener que pasar
por un equipo central para la transferencia.
Las principales ventajas de este modelo son:
Pág. 24
 Sencillez y facilidad de instalación,
administración y uso.
 Flexibilidad. Cualquier estación puede ser
un servidor y puede cambiar de papel, de
proveedor a usuario según los servicios.
2.1.4. EQUIPOS DE RED
1. CONCENTRADORES.
Son equipos que permiten estructurar el
cableado de las redes. La variedad de tipos
y características de estos equipos es muy
grande. En un principio eran solo
concentradores de cableado, pero cada vez
disponen de mayor número de capacidades,
como aislamiento de tramos de red, capacidad
de conmutación de las salidas para aumentar
la capacidad de la red, gestión remota, etc.
La tendencia es a incorporar más funciones
en el concentrador.
Existen concentradores para todo tipo de
medios físicos.

Pág. 25
2. NIC/MAU – TARJETA DE RED.
Network Interface Card (Tarjeta de interfaz
de red) o Medium Access Unit (unidad de acceso
al medio). Es el dispositivo que conecta la
estación (ordenador u otro equipo de red) con
el medio físico. Se suele hablar de tarjetas
en el caso de los ordenadores, ya que la
presentación suele ser como una tarjeta de
ampliación de los mismos, diferente de la
placa de CPU, aunque cada vez son más los
equipos que disponen de interfaz de red,
principalmente Ethernet, incorporado.
A veces, es necesario, además de la tarjeta
de red, un transceptor.
Este es un dispositivo que se conecta al
medio físico y a la tarjeta, bien porque no
sea posible la conexión directa (10base5) o
porque el medio sea distinto del que utiliza
la tarjeta.

Pág. 26
3. REPETIDORES.
Son equipos que actúan a nivel físico.
Prolongan la longitud de la red uniendo dos
segmentos y amplificando la señal, pero junto
con ella amplifican también el ruido. La red
sigue siendo una sola, con lo cual, siguen
siendo válidas las limitaciones en cuanto al
número de estaciones que pueden compartir el
medio.
4. BRIDGES.
Son equipos que unen dos redes actuando sobre
los protocolos de bajo nivel, en el nivel de
control de acceso al medio.
Solo el tráfico de una red que va dirigido a
la otra atraviesa el dispositivo. Esto permite
a los administradores dividir las redes en
segmentos lógicos, descargando de tráfico las
interconexiones.
Los bridges producen las señales, con lo cual
no se transmite ruido a través de ellos.

Pág. 27
5. ROUTERS.
Son equipos de interconexión de redes que
actúan a nivel de los protocolos de red.
Permite utilizar varios sistemas de
interconexión mejorando el rendimiento de la
transmisión entre redes. Su funcionamiento es
más lento que los bridges pero su capacidad es
mayor. Permiten, incluso, enlazar dos redes
basadas en un protocolo, por medio de otra que
utilice un protocolo diferente.
6. GATEWAYS.
Son equipos para interconectar redes con
protocolos y arquitecturas completamente
diferentes a todos los niveles de
comunicación. La traducción de las unidades de
información reduce mucho la velocidad de
transmisión a través de estos equipos.
7. CABLES DE RED (SOLO ETHERNET Y HPNA).
Los cables de red conectan equipos entre sí,
con el hardware relacionado, centradores y
enrutadores.

Pág. 28
8. CONECTOR O PLUG RJ-45
Conector de plástico en donde se ubican los 8
hilos del cable UTP siguiendo un código de
colores, Estos plug sirven para conectar los
puertos de las tarjetas de red a los puntos de
red, path panel y a los puertos hub o switch.
9. SERVIDORES DE TERMINALES E IMPRESORAS.
Son equipos que permiten la conexión a la red
de equipos periféricos tanto para la entrada
como para la salida de datos. Estos
dispositivos se ofrecen en la red como
recursos compartidos. Así un terminal
conectado a uno de estos dispositivos puede
establecer sesiones contra varios ordenadores
multiusuario disponibles en la red.
Igualmente, cualquier sistema de la red puede
imprimir en las impresoras conectadas a un
servidor.

Pág. 29
2.1.5. ESTÁNDAR PARA EL CABLEADO DE
TELECOMUNICACIONES (TIA/EIA 568-B)
El estándar TIA/EIA568B se desarrolló gracias a
la contribución de más de 60 organizaciones,
incluyendo fabricantes, usuarios finales, y
consultoras. Los trabajos para la
estandarización comenzaron en 1985, cuando la
Asociación para la Industria de las
Comunicaciones y las Computadoras (CCIA)
solicitó a la Alianza de Industrias de
Electrónica (EIA), una organización de
Normalización, que definiera un estándar para
el cableado de sistemas de telecomunicaciones.
EIA acordó el desarrollo de un conjunto de
estándares, y se formó el comité TR-42, con
nueve subcomités para desarrollar los trabajos
de estandarización.
La primera revisión del estándar, TIA/EIA-568-
A.1-1991, se emitió en 1991 y fue actualizada
en 1995. La demanda comercial de sistemas de
cableado aumentó fuertemente en aquel período,
debido a la aparición de los ordenadores
personales y las redes de comunicación de
datos, y a los avances en estas tecnologías. El
desarrollo de cables de pares cruzados de altas
prestaciones y la popularización de los cables
de fibra óptica, conllevaron cambios
importantes en el estándar, que fue sustituido
por el actual conjunto de estándares TIA/EIA-
568-B.

TIA/EIA-568-B intenta definir estándares que
permitirán el diseño e implementación de
sistemas de cableado estructurado para
edificios comerciales y entre edificios en
entornos de campus. El sustrato de los
estándares es campus y define los tipos de
cables, distancias, conectores, arquitecturas,
terminaciones de cables y características de
rendimiento, requisitos de instalación de cable
y métodos de pruebas de los cables instalados.
El estándar principal, el TIA/EIA-568-B.1
define los requisitos generales, mientras que
TIA/EIA-568-B.2 se centra en componentes de
sistemas de cable de pares balanceados y el -
568-B.3 aborda componentes de sistemas de cable
Pág. 30
de fibra óptica.
La intención de estos estándares es
proporcionar una serie de prácticas
recomendadas para el diseño e instalación de
sistemas de cableado que soporten una amplia
variedad de los servicios existentes, y la
posibilidad de soportar servicios futuros que
sean diseñados considerando los estándares de
cableado. El estándar pretende cubrir un rango
de vida de más de diez años para los sistemas
de cableado comercial. Este objetivo ha tenido
éxito en su mayor parte, como se evidencia con
la definición de cables de categoría 5 en 1991,
un estándar de cable que satisface la mayoría
de requerimientos para 1000BASE-T, emitido en
1999.

Todos estos documentos acompañan a estándares
relacionados que definen caminos y espacios
comerciales (569-A), cableado residencial (570-
A), estándares de administración (606), tomas
de tierra (607) y cableado exterior (758).
También se puede decir que este intento definir
estándares permitieron determinar, además del
diseño e implementación en sistema de cableado
estructurado, qué cables de par trenzados
utilizar para estructurar conexiones locales.
Pág. 31
2.1.6. PROTOCOLOS DE RED
Podemos definir protocolo como el conjunto de
normas que regulan la comunicación
(establecimiento, mantenimiento y cancelación)
entre los distintos componentes de una red
informática.
Los protocolos de red organizan la información
(control de datos) para su transmisión por el
medio físico a través de los protocolos de bajo
nivel.
TCP/IP.
Este no es un protocolo, sino un conjunto de
protocolos, que toma su nombre de los dos más
conocidos: TCP (Transmission Control Protocol,
protocolo de control de transmisión) e IP
(Internet Protocol). Esta familia de protocolos
es la base de la red Internet, la mayor red de
ordenadores del mundo. Por lo cual, se ha
convertido en el más extendido.

IPX/SPX.
Internet Packet eXchange(Intercambio de
Paquetes inter red).
Sequenced Packet eXchange(Intercambio de
Pág. 32
Paquetes Secuenciados).
Es el conjunto de protocolos de bajo nivel
utilizados por el sistema operativo de red
Netware de Novell. SPX actúa sobre IPX para
asegurar la entrega de los datos.
DECnet.
Es un protocolo de red propio de Digital
Equipement Corporation (DEC), que se utiliza
para las conexiones en red de los ordenadores y
equipos de esta marca y sus compatibles. Está
muy extendido en el mundo académico.
Uno de sus componentes, LAT (Local Area
Transport, transporte de área local), se
utiliza para conectar periféricos por medio de
la red y tiene una serie de características de
gran utilidad como la asignación de nombres de
servicio a periféricos o los servicios
dedicados.
X.25.
Es un protocolo utilizado principalmente en WAN
y, sobre todo, en las redes públicas de
transmisión de datos. Funciona por conmutación
de paquetes, esto es, que los bloques de datos
contienen información del origen y destino de
los mismos para que la red los pueda entregar
correctamente aunque cada uno circule por un
camino diferente.

Pág. 33
AppleTalk.
Este protocolo está incluido en el sistema
operativo del ordenador Apple Macintosh desde
su aparición y permite interconectar
ordenadores y periféricos con gran sencillez
para el usuario, ya que no requiere ningún tipo
de configuración por su parte, el sistema
operativo se encarga de todo. Existen tres
formas básicas de este protocolo:
LocalTalk.
Es la forma original del protocolo. La
comunicación se realiza por uno de los puertos
serie del equipo. La velocidad de transmisión
no es muy rápida pero es adecuada para los
servicios que en principio se requerían de
ella, principalmente compartir impresoras.
Ethertalk.
Es la versión de AppleTalk sobre Ethernet. Esto
aumenta la velocidad de transmisión y facilita
aplicaciones como la transferencia de ficheros,
opera a una velocidad de 10 Mbps, Fast Ethernet
opera a una velocidad de 100 Mbps
Tokentalk.
Es la versión de Appletalk para redes
Tokenring, opera a 4 o 16 Mbps.
NetBEUI.
NetBIOS Extended User Interface (Interfaz de
usuario extendido para NetBIOS). Es la versión
de Microsoft del NetBIOS (Network Basic
Input/Output System, sistema básico de

entrada/salida de red), que es el sistema de
enlazar el software y el hardware de red en los
PCs. Este protocolo es la base de la red de
Microsoft Windows para Trabajo en Grupo, aunque
netbeui es la mejor elección como protocolo
para la comunicación dentro de una LAN el
problema es que no soporta el enrutamiento de
mensajes hacia otras redes, que deberá hacerse
Pág. 34
a través de otros protocolos.

Pág. 35
CAPITULO III
AUDITORIA DE LA RED
INFORMATICA A LA INSTITUCION

Pág. 36
3. CAPÍTULO III
3.1. AUDITORIA DE LA RED INFORMATICA APLICADA AL CENTRO
DE SALUD PUEBLO JOVEN.
I. INTRODUCCIÓN.
El presente trabajo hace mención a un informe
detallado sobre el proceso o elaboración de una
Auditoria a la red informática aplicada al Centro
de Salud Pueblo Joven.
Para ello empezamos a conocer los aspectos
generales del Centro de Salud Pueblo Joven,
durante el proceso de la elaboración de la
auditoria a la red informática, verificamos
diferentes aspectos, actividades que se realizan
dentro la institución.
Para la auditoria en si elaboramos un esquema a
seguir damos una amplia gama de procesos de
calidad y selección de información verídica
quienes gracias a la colaboración de nuestra
fuente logramos dar alcance a todos los aspectos
que cumplen con un proceso auditable.
En resumen a este trabajo de Auditoría
Informática, encontramos en primer lugar la
Organización Institucional, especificando el
detalle y formación de nuestra fuente,
seguidamente los Objetivos de la Auditoria
Informática a nuestra fuente en función al primer
aspecto que vista la realidad operacional.
Se ha desarrollado un plan de elaboración de
auditoría en base al proceso del esquema,
encontrando en ello diferentes inquietudes que
describen en pasos para encontrar una real y
consistente información.

Se ha utilizado técnicas y herramientas de
auditoría, estudio del sistema auditable, los
recursos que usamos en función a este proceso, la
auditoria elaborada en todos sus aspectos
informáticos y organizacional, culminando con el
informe general que sustente todo este trabajo
mostrando todas las inquietudes, logros,
beneficios, debilidades y otras razones que
mejoren el proceso informático de la fuente
Pág. 37
auditada.
La auditoría una vez culminada nos mostrara o dará
como resultado las diferentes debilidades,
fortalezas y/o carencias que presenta la
institución para de esta forma tener un precedente
de ayuda para la gerencia y el fortalecimiento de
las diversas actividades que se contempla dentro
del marco de la auditoria.
Empezamos este trabajo para mejorar los aspectos
de nuestra fuente auditable y no cuestionar ni
mucho menos debilitar los procesos, actividades y
funciones que poco a poco van mejorando en la
estructura de su funcionalidad como institución.

Pág. 38
II. ALCANCE DE LA AUDITORIA INFORMÁTICA.
2.1. ORGANIGRAMA.
CONSEJO DIRECTIVO
JEFATURA
MEDICINA
ODONTOLOGI
A
FARMACIA
LABORATORIO
ADMISION
UNIDAD DE
SEGUROS
OBTETRICIA ENFERMERIA
ADULTO
MAYOR
SANEAMIENTO
AMBIENTAL
RECURSOS
HUMANOS
ESTADISTICA E
INFORMATICA
CONSEJO
CONSULTIVO

Pág. 39
2.2. AREAS FUNCIONALES DE LA ORGANIZACION.
La Estructura Orgánica del Centro de Salud
Pueblo Joven cuenta con órgano normativo y de
fiscalización, órgano de ejecutivos, órgano
de línea y de apoyo
 Órgano Normativo y de Fiscalización.
 Consejo Directivo.
 Órgano Ejecutivo.
 Jefe/Gerente
 Órgano Línea.
 Área de Medicina
 Área de Odontología.
 Área de Obstetricia.
 Área de Enfermería.
 Área de Adulto Mayor.
 Área de Saneamiento Ambiental.
 Órgano Apoyo.
 Área de Recursos Humanos.
 Área de Farmacia.
 Área de Laboratorio.
 Área de Admisión
 Área de Unidad de Seguros.
 Área de Estadística e Informática.
2.3. RELACIONES JERÁRQUICAS Y FUNCIONALES ENTRE
ÓRGANOS DE LA ORGANIZACIÓN.
Las áreas funcionales del Centro de Salud
Pueblo Joven dependen jerárquicamente del
Jefe/Gerente.
Las funciones del Jefe/Gerente del Centro de
Salud Pueblo Joven Centenario son:
 Planear
 Organizar.

Pág. 40
 Dirigir
 Gestionar.
 Administrar.
 Ejecutar.
 Coordinar.
 Evaluar.
 Supervisar y control.
Las atenciones que debe de realizar el
Centro de Salud Pueblo Joven en beneficio de
toda la población a costos accesibles de
acuerdo a las posibilidades económicas y de
esta manera mejorar la calidad de vida de
las personas.
2.4. NÚMERO DE PUESTOS DE TRABAJO.
CARGO
ESTRUCTURADO
NUMERO DE
PERSONAS
GERENCIA JEFE/GERENTE 01
RECURSOS HUMANOS JEFE RECURSOS HUMANOS 01
AREA DE MEDICINA
 COORDINADOR MEDICO 01
 MEDICOS CIRUJANOS 03
AREA ODONTOLOGIA
 COORDINADOR
ODONTOLOGO
01
 CIRUJANOS
DENTISTAS
02
AREA DE OBSETRICIA
 COORDINADOR
OBSTETRA
01
 OBSTETRA 04
AREA DE ENFERMERIA
 CORDINADOR
ENFERMERIA
01
 ENFERMERAS 06
 TECNICAS DE
ENFERMERIA.
08
AREA DE ADULTO
 COORDINADOR ADULTO
MAYOR
01

Pág. 41
MAYOR  PSICOLOGOS 01
AREA
SANEAMIENTO
AMBIENTAL
 COORDINADOR
SANEAMIENTO
AMBIENTAL
01
AREA DE FARMACIA
 RESPONSABLE DE
FARMACIA QUIMICO
FARMACEUTICO
01
 TECNICO EN
FARMACIA
01
AREA DE
LABORATORIO
 RESPONSABLE DE
LABORATORIO
BIOLOGO
01
AREA DE ADMISION
 RESPONSABLE DE
ADMISION
01
 TECNICOS 03
 AUXILIARES 04
AREA DE UNIDAD DE
SEGUROS
 RESPONSABLE UNIDAD
DE SEGUROS
01
 ADMINISTRATIVOS 02
 DIGITADORES 02
AREA DE
ESTADISTICA E
INFORMATICA
 RESPONSABLE DE
ESTADISTICA E
INFORMATICA
01
 DIGITADORES 02
TOTAL 52

III. OBJETIVOS DE LA AUDITORIA A LA RED INFORMÁTICA.
La auditoría a la red informática del centro de
salud Pueblo Joven Centenario tiene como
objetivo principal proporcionar información
vital e indispensable de la situación actual
para mejorar la toma de decisiones de
información de todos los componentes que forman
e interactúan con la red informática
(ordenadores, hardware de la red, dispositivos
electrónicos, software), además de todo el
entorno que los rodea en el lugar donde se
ubican y de las personas que están encargadas
del manejo, acceso, vigilancia de estos sistemas
Pág. 42
informáticos.
OBJETIVOS ESPECIFICOS
 Obtener una visión general de la ubicación de
todos los componentes en una red informática.
 Evaluar los ambientes, documentos, normativas,
planes de seguridad de todas las áreas del
centro de salud Pueblo Joven Centenario.
 Identificar las políticas de seguridad de la
información dentro de la institución.
 Asegurar el acceso autorizado de usuario y
prevenir accesos no autorizados a los sistemas
de información.
 Revisión de la existencia de planes de
contingencia que garanticen la seguridad
física y lógica contra desastres naturales.
 Revisar el correcto uso de los equipos de
cómputo.

 Evaluar si el personal que labora dentro de
las áreas funcionales se encuentran
capacitados y aptos para el manejo de los
Pág. 43
equipos de la red informática.
IV. PLANEACIÓN DE LA AUDITORIA INFORMÁTICA.
4.1. FASES DE LA AUDITORIA INFORMÁTICA.
ase Actividad Fec./Inicio Fec./Fin
4.1.1 Realización del Plan de la
auditoria
 Elaborar el plan de la
Auditoria.
 Elaborar el plan de
cronograma de actividades.
16/05/2014 27/05/2014
4.1.2 Revisión Documental
Preliminar
 Solicitud de Manuales y
documentos para la
realización de los
objetivos, funciones y
metas de la institución.
 Recopilación de la
información organizacional:
estructura orgánica,
recursos humanos,
presupuestos.
28/05/2014 10/06/2014
4.1.3 Desarrollo detallada de la
Auditoria.
 Entrevistas a los jefes,
coordinares, responsables y
personal del centro de
salud Pueblo Joven.
 Evaluar la estructura
orgánica: gerencia,
coordinaciones y
responsables de cada área,
funciones y
responsabilidades.
 Análisis de las claves de
acceso, control, seguridad,
confiabilidad y respaldos.
 Evaluación de los Recursos
Humanos: desempeño,
11/06/2014 26/07/2014

Pág. 44
capacitación, condiciones
de trabajo, recursos en
materiales y financieros
mobiliarios y equipos.
 Evaluación de los sistemas:
relevamiento de hardware y
Software, evaluación del
diseño lógico y del
desarrollo del sistema.
 Evaluación de la red:
diseño topológico, cableado
estructurado, software de
administración de red,
seguridad en la red.
 Evaluar el parque
informático (Pc’s, Laptop,
servidores).
 Evaluación del Proceso de
Datos y de los Equipos de
Cómputos: seguridad de los
datos, control de
operación, seguridad física
y procedimientos de
respaldo.
4.1.4 Revisión y Pre-Informe
 Revisión de los papeles de
trabajo (cuestionarios
aplicados).
 Determinación del
Diagnostico e Implicancias.
 Elaboración del borrador.
28/07/2014 02/08/2014
4.1.5 Entrega del Informe
 Corrección del borrador
 Elaboración y presentación
del Informe.
03/08/2014 7/09/2014
4.1.6 Sustentación del informe. 16/09/2013 16/09/2013
4.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL
RIESGO.
Se procedió a evaluar los riesgos existentes
en todas las áreas de la institución,
evaluando de esta la forma la red
informática, el uso de los equipos

informáticos, el acceso a los sistemas de
información, instalaciones eléctricas si está
debidamente instalados para su uso,
verificando si existen terminales que están
Pág. 45
fuera de la red.
La infraestructura no está diseñada y
considerada para un buen uso y crecimiento de
la red informática, encontrando deficiencias
para el cableado de red.
Los trabajadores de la institución no tienen
conocimiento adecuado del uso de los
servicios de la red, manejo informático y
algunos programas de oficina.
Falta de implementación extintores de acuerdo
a las normas establecidas.
4.3. INVESTIGACIÓN PRELIMINAR
Para comenzar la auditoria al Centro de Salud
Pueblo Joven Centenario fueron mediante la
recolección de los diferentes documentos
legales como: políticas de seguridad, manejo
de TIC’s, ROF, CAP, MOF, Planos de
Distribución de Estructura y Red Informática.
La información preliminar nos facilitó la
recopilación de información y así poder
realizar una revisión general de las áreas
del Centro Salud Pueblo Joven Centenario por
medio de observaciones, entrevistas y
solicitudes de documentos con el fin de
definir el objetivo principal y alcance de
estudio de la auditoria.

Pág. 46
4.4. PERSONAL PARTICIPANTE
Personal Auditor Colaboradores (Auditados)
- Anatoly Rozas
Cordova
Lic. Betty Escobar Hurtado
(Gerente del Centro de
Salud)
Sr. Roger Bravo Juyo
(Responsable de
Informática).
Med. Cir. Cinthia Ponce
Valderrama (Coordinador
Medicina).
Lic. Marleny Nancy Quispe
Yucra (Coordinadora
Obstetricia).
Lic. Gilma Serrano
Sullcahuaman (Coordinadora
Enfermería).
Odont. Claudia Batállanos
Barrionuevo (Coordinadora
Odontología).
Q.F. Noelia Flores Zegarra
(Responsable Farmacia).
Tec. Maria Ysabel Cuellar
Bravo (Responsable Unidad de
Seguros).
Tec. Reynaldo Palomino
Alarcon (Responsable HIS-MIS).

Pág. 47
V. TÉCNICAS Y HERRAMIENTAS DE LA AUDITORIA
INFORMÁTICA.
5.1. VERIFICACIÓN OCULAR
La verificación ocular nos permitió realizar
una observación de los procesos y actividades
que se van desarrollando en las diferentes
áreas del Centro de Salud Pueblo Joven
Centenario, así mismo ver de qué manera el
instalado el cableado estructurado, la
ubicación de las terminales y los dispositivos
de la red.
En las áreas se hizo una verificación ocular
con la finalidad de observar en qué estado se
encontraban los distintos dispositivos de red
con los que cuenta la institución en sus
distintas áreas y si cumplían las normas
establecidas.
Al realizar la verificación ocular en la
institución se pudo constatar que:
 La institución cuentan con acceso a
internet, con el fin de que el personal
pueda establecer una comunicación de una
manera más rápida con las diferentes áreas
existentes en la institución.
 Se observó que las áreas de la institución
cuenta con PC’s para el manejo de la
información.
 Se observó que el área de Estadística e
Informática esta implementada con 01 PC’s,
01 impresora el cual hacen uso de ella las
PC´s de las diferentes áreas.

 La institución maneja la información
haciendo uso de un software integrado
(ARFSIS, HIS-MIS, HISTORIAS CLINICAS), así
mismo tiene una red interna para la
transmisión de información entre las áreas
Pág. 48
que cuenta la institución.
 Se observó la falta de ambientes y
espacios para el funcionamiento adecuado
de las respectivas áreas.
 Se observó en la institución la no
existencia de mecanismos de seguridad
(extintores, detectores de humo,
aspersores, etc.)
 El personal que labora dentro de la
institución tiene un conocimiento básico
del uso del software y de los equipos de
cómputo.
 La distribución del cableado es inadecuado
no se ajustan a sus estándares.
 Las instalaciones eléctricas se encuentran
en pésimo estado.
 Infraestructura e instalaciones
inadecuadas para el funcionamiento de la
institución.
5.2. VERIFICACIÓN VERBAL
La verificación verbal permitió realizar una
investigación, de cómo se realizan los
procesos, actividades y tareas dentro de la
institución, mediante el dialogo y formulación
de preguntas, a fin de aclarar algunos
aspectos de la investigación; para ello se

tuvo que recurrir a herramientas de
recolección de información como son:
 Encuestas: Es una herramienta aplicada que
consiste en la aplicación de cuestionarios con
preguntas predeterminadas y posibilidad de
respuesta corta o cerrada sobre un tema
concreto que fueron aplicadas a los
Pág. 49
coordinares y responsables de cada área
 Las entrevistas: Herramienta que nos permite
un dialogo directo que se ha formulado al
personal de la institución, se hizo con la
finalidad de poder obtener información diversa
que nos servirá para la auditoria que se está
realizando.
5.3. VERIFICACIÓN DOCUMENTAL
Mediante esta técnica se realizó la
comprobación de los documentos que soportan
una transacción o acto administrativo los
cuales cumplan los requisitos como: Autoridad,
Legalidad, derecho, Propiedad y certidumbre.
Se desarrolló una revisión selectiva con el
fin de realizar un examen ocular.
Se verifico la existencia de:
 ROF (Reglamento de Organización y
Funciones)
 MOF (Manual de Organización y Funciones)
 CAP (Cuadro de Asignación de Personal)
 Inventario de los equipos de cómputo.
 Inventario del software.
 Patrimonio documentario de la institución.
 Manuales de capacitación.


 Manual de usuario de los diferentes
Pág. 50
aplicativos informáticos.
5.4. VERIFICACIÓN FÍSICA
Se realizó la visita a las diferentes áreas
para la verificación física e inspección, para
poder determinar la existencia de bienes,
documentos u otros activos los cuales nos
permiten cerciorarnos de su existencia,
autenticidad e integridad.
Se constató que en la institución cuenta en
la actualidad con los siguientes equipos de
cómputo:
 Computadores (18).
 Impresora (12).
 Switch (02).
 Acces Point (02).
5.5. VERIFICACIÓN MEDIANTE HERRAMIENTAS DE
COMPUTACIÓN
La verificación para recabar información se
hizo mediante herramientas de computación,
permitió realizar la revisión de los diversos
componentes informáticos como son: El
software, redes, programas, arquitectura
interna de las computadoras, etc.
Las siguientes herramientas para la evaluación
son:
 EL Everest es un software que nos permite
reconocer todas las características de
nuestro ordenador.

 El AIDA brinda un reporte de las
características, arquitectura y
componentes de los equipos de cómputo.
 Antivirus: ESET Nod32, este utilitario
reporto la existencia de virus, gusanos,
troyanos y otros malware maliciosos en los
Pág. 51
ordenadores de la institución.
 Wifislax: sistema operativo que administra
y gestiona la seguridad de la red.
VI. TÉCNICAS DE TRABAJO
6.1. ANÁLISIS DE LA INFORMACIÓN RECABADA DEL
AUDITADO.
Se recabo la información brindada por cada
una de las áreas de la institución es la
siguiente:
 Inventarios de componentes de computo
(parque informático) por cada área.
 Descripción de las funciones que se
realizan en las diferentes áreas.
 Organigrama de la institución.
 Normas de la institución.
6.2. ANÁLISIS DE LA INFORMACIÓN PROPIA.
A través de los instrumentos aplicados en la
institución se recopilo información de
diferente naturaleza, dando sustento a
nuestra investigación.

6.3. CRUZAMIENTO DE LAS INFORMACIONES ANTERIORES.
Por propia cuenta se obtuvo información,
viendo los resultados obtenidos podemos
dilucidar ciertas coherencias de parte del
auditado con el auditor en cuanto a la
documentación, observación, etc. El cual nos
servirá para la elaboración de la conclusión,
recomendación y puntos que deberán tomarse en
Pág. 52
cuenta.
6.4. ENTREVISTAS.
Este instrumento facilita la recopilación de
datos para luego ser tabulados e
interpretados.
El mismo que se aplicó al personal de la
institución quienes tuvieron la gentileza de
brindarnos datos relevantes para nuestros
objetivos.
6.5. CUESTIONARIOS
Este instrumento conto con preguntas
dicotómicas, opción múltiple. El cual se
aplicó al personal de la institución.
VII. HERRAMIENTAS.
7.1. CUESTIONARIO GENERAL INICIAL.
Para poder realizar la dicha auditoria, se
formuló un cuestionario para el personal de
la institución.
1.Nombre de la Institución
2.Misión de la Institución.
3.¿Cuál es su profesión?
4.¿Cargo y responsabilidad que ocupa?

5.¿Cuáles son las áreas funcionales en la
institución?
6.¿Con cuántas áreas cuenta la Institución?
7.¿Cuáles son los objetivos de las áreas?
8.¿Qué funciones cumplen cada área?
9.¿Cuántas personas laboran en cada área?
10.¿Cuenta con área de informática o un área
similar?
VIII. ESTUDIO INICIAL DEL ENTORNO QUE SE AUDITARÁ.
8.1. SITUACIÓN GEOGRÁFICA DE LOS SISTEMAS DE
Pág. 53
SOFTWARE.
El Centro de Salud Pueblo Joven Centenario
se encuentra ubicado en la Av. Centenario
s/n Villa Ampay Provincia de Abancay y
Departamento de Apurímac.
8.2. INVENTARIO DE HARDWARE Y SOFTWARE.
Inventario de Hardware del Centro de Salud
Pueblo Joven Centenario.
UBICACIÓN DESCCRIPCION
Nº
COMPUTADORA
Nº
LAPTOP
AMBIENTE
01
GERENCIA/JEFATURA 02 01
RECURSOS HUMANOS 01
FARMACIA 02
LABORATORIO 01
ESTADISTICA E
INFORMATICA 01
SANEAMIENTO
AMBIENTAL 01
AMBIENTE
02
MEDICINA 01
ODONTOLOGIA 01
OBSTETRICA 01
ENFERMERIA 01
ADULTO MAYOR 01
ADMISION 02
UNIDAD DE SEGUROS 03

Las características de las computadoras y la
laptop se podrán apreciar en el anexo 01.
Inventario de Software del Centro de Salud
Pág. 54
Pueblo Joven Centenario.
SISTEMAS OPERATIVOS
PC CON LICENCIA PC SIN LICENCIA
WINDOWS XP 0
6
WINDOWS
VISTA
1
0
WINDOWS 7 0 12
OFIMATICA
MS OFFICE
2003
0
6
MS OFFICE
2007
0
12
ARCVIEW 0 1
ADOBE READER 0 19
ANTIVIRUS
NOD 32 0 19
OTROS APLICATIVOS
HIS 0 1
ARFSIS 0 3
8.3. COMUNICACIÓN Y REDES DE COMUNICACIÓN
Se observa que el Centro de Salud Pueblo
Joven Centenario cuenta con una red LAN
con acceso a internet.

IX. DETERMINACIÓN DE LOS RECURSOS NECESARIOS PARA
Pág. 55
REALIZAR LA AUDITORIA.
9.1. RECURSOS MATERIALES.
9.1.1. RECURSOS MATERIALES SOFTWARE
Para recabar información de los
recursos que tiene cada PC’c, se
utilizó el Everest V 2.20, el SW Aida
la cual nos permite obtener
información sobre las características
que tiene la PC, así como software de
seguridad, redes, etc.
9.1.2. RECURSOS MATERIALES HW
Dentro de los recursos materiales
tenemos una amplia variedad de
componentes computacionales como
tarjetas de video, placas madre,
procesadores de diversas marcas que
nos permiten ver el rendimiento,
funcionalidad, etc. de los diversos
terminales con las que cuenta la
institución, se hizo el uso d:
USB’s
Cámara Fotográfica.
Testeador de red alámbricas e
inalámbricas.
9.2. RECURSOS HUMANOS.
Para la auditoria que se realizó al Centro de
Salud se contó con el practicante: Anatoly
Rozas Cordova. Que están realizando sus
prácticas pre-profesionales.

Pág. 56
9.3. SITUACIÓN PRESUPUESTAL Y FINANCIERA.
9.3.1. PRESUPUESTOS
Para poder realizar el proyecto actual
de la auditoria a la red informática
no se contó con presupuesto ni
financiamiento, el financiamiento fue
sostenible personalmente para
encaminar el proyecto de dicha
auditoria.
CONCEPTO MONTO
MATERIAL DE OFICINA (PAPELES
TINTA, ETC
S/.
120.00
TRANSPORTE Y MOVILIDAD
S/.
220.00
GASTOS VARIOS
S/.
200.00
TOTAL
S/.
540.00

Pág. 57
CAPITULO IV
TECNICAS Y HERRAMIENTAS
DE LA AUDITORIA
INFORMATICA

Pág. 58
X. CAPITULO IV
10.1. AUDITORIA FISICA
A. OBJETIVOS.
OBJETIVO ENERAL
Revisar, inspeccionar y evaluar los recursos
destinados a proteger físicamente todos los
componentes que forman e interactúan con la red
informática (ordenadores, hardware de la red,
dispositivos electrónicos, etc), además de todo el
entorno que los rodea en el lugar donde se ubican
y de las personas que están encargadas del manejo,
acceso, vigilancia de estos sistemas informáticos.
OBJETIVOS ESPECIFICOS
 Identificar las políticas de seguridad de la
información.
 Revisión de la existencia de planes de
contingencia que garanticen la seguridad
física contra desastres naturales.
 Verificar si se cuenta con los recursos
necesarios para poder contrarrestar cualquier
desastre natural.
 Evaluar las medidas de seguridad contra
acciones hostiles verificando la seguridad del
personal, datos, hardware, software,
instalaciones, documentos confidenciales, etc.
 Verificar la infraestructura.
 Revisar el correcto uso de los equipos de
cómputo.

 Evaluar si el personal que labora en la
institución se encuentra capacitado y apto
para el manejo de los equipos de cómputo y la
Pág. 59
red.
B. ALCANCE
 Sistemas técnicos de seguridad y protección.
 Organización y cualificación del personal de
seguridad.
 Equipos de cómputo, software, instalaciones
eléctricas, infraestructura, documentos, etc.
 Ambiente de trabajo.
 Planes y procesamiento.
C. HALLASGOS POTENCIALES.
 No se cuenta con un plan de contingencia ante
cualquier emergencia ya sea incendios,
derrumbes, etc, que puedan ocasionar daños al
personal y a los equipos.
 Infraestructura e instalaciones inadecuadas.
 La distribución de los equipos en cada área es
inadecuado, el cual dificulta el uso y manejo
por parte del personal.
 La institución solo cuenta con una salida de
emergencia.
 No se cuenta con una inadecuada iluminación
para en todas las áreas el cual dificulta el
desarrollo de sus actividades.

Pág. 60
D. CONCLUSIONES.
 como resultado de la auditoria podemos
manifestar que hemos cumplido con evaluar cada
uno de los objetivos contenidos en el programa
de auditoria
 la institución presenta deficiencias sobre todo
en el debido cumplimiento de normas de
seguridad.
 No existe revisión a las normas de seguridad
por parte del personal.
E. RECOMENDACIONES
 Establecer planes de contingencia para afrontar
cualquier emergencia que pueda suscitarse en el
futuro ya sea incendios, derrumbes, etc.., que
puedan ocasionar daños al personal, a los
equipos y afectar el normal funcionamiento de
la institución.
 Adquirir extintores y ubicarlos en lugares
estratégicos de toda la institución.
 Establecer prohibiciones para fumar en las
áreas de la Institución o al menos en las áreas
donde se realizan más procesos al estar más
inmersos al iniciar un incendio.
 Realizar una revisión periódica de toda la
infraestructura para ver el estado de las
mismas y prevenir cualquier desastre que pueda
sucintarse.
 Exigir identificación a las personas que
ingresan a la institución.
 Adquirir equipos de ventilación.

 Realizar un plan de emergencia (plan de
evacuación, uso de recursos de emergencia,
Pág. 61
extintores).
 Verificar el estado de puertas de acceso y
salida a la institución para poder afrontar
cualquier suceso como robos.
 Elaborar un calendario de mantenimiento de
rutina periódica capacitar al personal en las
diversas medidas de seguridad que puedan
tomarse ante cualquier desastre natural,
acciones hostiles, etc.

Pág. 62
10.2. AUDITORIA DE LA RED FISICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar los recursos que conforman la red
físicamente, tanto en la red cableada como en la
red inalámbrica con las que cuenta la institución,
que le permiten conectar las computadoras y otros
equipos informáticos entre sí. Tales como
(computadoras, cableado estructurado, dispositivos
de internet working, etc.)
OBJETIVOS ESPECÍFICOS
 Evaluar los equipos de cómputo: las
características de las computadoras, tarjetas
de red, impresoras, etc, que están
interconectados en la red.
 Evaluar el área de comunicaciones de donde se
distribuyen los cables a las demás áreas y
verificar si cuentan con los recursos
necesarios para una óptima distribución,
evaluar las medidas que impidan el acceso a
personas no autorizadas.
 Revisar y evaluar el estado de las distintas
partes de la red informática de la institución,
tales como equipos de cómputo, cableado,
impresora y dispositivos de internet networking
(switch, puentes, router, etc.).
 Evaluar el estado de los medios del cableado
(canales, tuberías, etc.), que le permitan una
adecuada transmisión de los datos si no
presentan ningún tipo de interferencia.

 Evaluar el armado de la red cableada, el
tendido adecuado de los cables y líneas de
comunicación.
 Verificar el cumplimiento de los estándares
Pág. 63
para las redes LAN.
 Verificar el estado del cableado y las
especificaciones eléctricas utilizadas en la
red.
 Verificar si existen procedimientos para la
protección de cables y bocas de conexión que
impidan ser conectadas e interceptadas por
personas no autorizadas.
 Comprobar si se usan todos los materiales
normados y si cumplen las categorías para una
transmisión de datos óptimo.
B. ALCANCE DE LA AUDITORIA.
 Sistemas técnicos de la red.
 Estado actual de la red.
 Cumplimiento de los estándares de redes LAN,
WLAN.
 Cableado de red e instalaciones eléctricas.
C. HALLAZGOS POTENCIALES.
 Los equipos de cómputo con que cuenta la
institución se encuentran algunos en mal
estado, la mayoría de las computadoras son
Pentium IV equipados para cumplir con las
funciones que se realizan en la institución,
excepto de algunas computadoras que deberían
ser cambiadas o repotenciadas.


 La red no cuenta con un armario adecuado de
telecomunicaciones que actuaría como punto de
transmisión entre el montante y las
canalizaciones, facilitando la distribución e
identificación de los diversos puntos de red
que salen a las demás áreas de la institución.
 Toda la red cuenta con un router, un switch
principal de 16 puertos, los cuales se
encargan de distribuir los cables de red a los
demás puntos de la institución, que a
Pág. 64
continuación.
 No se cuenta con todos los elementos normados
en el Estándar EIA/TIA 568B, necesarios para
un eficiente funcionamiento de la red
asegurando la transmisión de datos optima y a
una adecuada velocidad (Cables Pach Cord,
Pach Panel, Jacks, cajas toma datos).
 La red cableada de la institución está
realizada en función al estándar EIA/TIA 568B,
para el cableado, que a su vez utiliza el
cable UTP cat 5E, y los conectores RJ45,
permitiendo una velocidad de 100Mbps, normados
en el estándar de redes LAN/TEIA 568B.
 Algunas partes del cableado no están
protegidas con canaletas, pudiendo dañarse con
facilidad.
 La estética de la red no fue considerada al
momento del armado, al no usar todos los
materiales necesarios como los codos en las
canaletas.
 La institución no cuenta con un ordenador que
cumple la función de un servidor ubicado en
el área de informática.

 No se cuenta con supresores de sobretensión
que se deben montar en los tomacorrientes de
 pared en donde se conectan los dispositivos de
Pág. 65
red.
 No existe ninguna medida de seguridad para la
protección de la red que impida que usuarios
extraños accedan a la red de la institución.
D. CONCLUSIONES.
 La infraestructura de la red presenta
deficiencias en cuanto a la realización del
cableado, al no considerar los diversos
estándares para los mismos.
 Existe una deficiencia en el diseño de la red
al no considerar medidas de seguridad y
mantenimiento de la red.
E. RECOMENDACIONES.
 Reemplazar o repotenciar las PCs, impresoras
que presentan o registran fallas en su
funcionamiento.
 Capacitación al personal en cuanto al uso del
Hardware y Software.
 Equipar un armario donde pueda contener
equipos de telecomunicación, equipos de
control y terminaciones de cables para revisar
interconexiones.
 Implementar los demás elementos especificados
normados en el estándar EIA/TIA 568B, para
lograr un eficiente funcionamiento de la red.

 Realizar una adecuada distribución del
cableado con respecto a los terminales para
identificarlos rápidamente en caso de que se
Pág. 66
generen algunas fallas en la red.
 Separar los cables de la red de los cables de
emergencia a unos 20 como mínimo, y en caso de
que presenten cruces cintas aislantes.
 Proteger en su totalidad el cableado de la
red, para evitar posibles daños de los mismos.
 Montar supresores de sobretensión en los
tomacorrientes de pared en los cuales se
conectan los dispositivos de red.
 Adquirir un UPS para suministrar energía en
caso de pérdida de fluido eléctrico dando
tiempo suficiente para poder guardar los
cambios correspondientes, las aplicaciones y
datos que se encuentren en el mismo.

Pág. 67
10.3. AUDITORIA DE LA RED LOGICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar todos los elementos que intervienen en la
red lógica, como son los programas, sistemas
operativos, sistemas de información, etc.,
verificando la existencia de barreras y
procedimientos que resguarden el acceso a los
datos y que de esta manera solo se permita
acceder a ellos a las personas autorizadas para
hacerlo.
OBJETIVOS ESPECÍFICOS.
 Evaluar los programas, sistemas que se utilizan
en cada una de las computadoras de la red
informática, si se usan adecuada mente.
 Examinar las configuraciones de red, protocolos
que se utilizan, dirección IP, grupos de
trabajo, etc.
 Evaluar la seguridad del ordenador principal en
cuanto a accesos no autorizados que puedan
dañar o eliminar información valiosa de la
institución.
 Evaluar la seguridad de los terminales, si se
cuenta con contraseñas y otros procedimientos
para limitar y detectar cualquier intento de
acceso no autorizado en la red informática.
 Evaluar las propiedades de los terminales en
la red que unidades, datos están disponibles
para el acceso en la red.

 Verificar las técnicas de cifrado de datos
donde haya riesgos de accesos de datos
impropios.
 Verificar que los datos que viajan por internet
Pág. 68
vayan cifrados.
 Verificar la compatibilidad, actualizaciones de
los sistemas operativos, software utilizado.
 Registro de las actividades de la red, para
ayudar a reconstruir incidencias y detectar
accesos no autorizados.
 Verificar si el SW se adquieren siempre y
cuando tengan la seguridad de que los sistemas
computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
 Verificar la existencia de un plan de
actividades previo a la instalación de
sistemas de información.
 Evaluar el nivel de satisfacción de los
usuarios con los sistemas de información.
 Verificar el grado de fiabilidad de la
información.
 Verificar si se realizan encriptaciones de la
información pertinente.
 Verificar la importación y exportación de
datos.
 Verificar que los sistemas operativos pidan
nombre de usuario y la contraseña para cada
sesión.
 Verificar si el acceso a los sistemas de
información, si están asignados a determinados
usuarios o es de acceso libre.

 Verificar si existen políticas que prohíban la
instalación de programas o equipos personales
en la red.
Pág. 69
 Seguridad del ordenador principal.
 Vulnerabilidades de la red informática.
 Estado de software, sistemas operativos y
sistemas de información.
 Evaluación del personal.
 La mayoría de los terminales realizan un uso
adecuado de los programas al no usar nada
innecesario o que dificulte el funcionamiento
de la red, a excepción de algunas área que
utilizan programas ajenos a sus funciones,
tales como Emule, Ares, que disminuyen la
velocidad de acceso a internet al consumir
ancho de banda.
 En la configuración de la red se utiliza
únicamente el protocolo TCP/IP, el cual permite
conectar la red, mediante una dirección IP, y a
internet mediante la puerta de enlace asignada
al router.

 El acceso a la mayoría de las terminales no
está restringido a usuarios de la red, y
cualquier usuario puede manipular las carpetas
Pág. 70
compartidas de las demás áreas.
 Los diversos terminales generalmente presentan
las mismas propiedades en cuanto al
compartimiento de unidades, carpetas y su
acceso como ya se indicó con el usuario
invitado y su respectiva contraseña, en el caso
de las impresoras se comparten de forma general
y a varias áreas de la institución.
 No se utilizan ninguna técnica de cifrado de
datos en toda la institución para proteger la
información de la misma y para los datos que
viajan por internet.
 Los sistemas operativos actuales usados en la
institución son actualizados debidamente para
poder soportar los sistemas de información que
se instalan y/o programas que se utilizan en la
misma.
 Se realiza un estudio previo para determinar si
los software y/o sistemas de información para
determinar la implantación de los mismos en la
institución detectando claramente sus
beneficios.
 Se coordina un plan de actividades
(capacitaciones y pruebas) previa implantación
de los nuevos sistemas de información y otros
software que se necesita.
 La mayoría de los sistemas con que cuenta la
institución vienen funcionando de forma óptima
en las diferentes áreas de la institución.

 No se realiza ninguna encriptación para la
Pág. 71
protección de los datos.
 La mayoría de los diversos sistemas operativos
presentan controles de acceso mediante
usuarios, exceptuando por algunos, que no lo
hacen, que podrían causar sabotaje por medio de
los mismos compañeros de trabajo.
 No existe ninguna política y controlo que
prohíba la instalación de programas o equipos
personales en la red.
 Existe un calendario de mantenimiento ofimático
y de software.
 Se mantiene una adecuada actualización del
software utilizados tanto como los antivirus.
 No se cuentan con un mantenimiento y
asistencia técnica de los sistemas de
información.
 Falta de capacitación al personal para el uso
de los equipos de cómputo, a la vez del
software que se utiliza.
D. CONCLUSIONES.
 Los escases de personal debidamente capacitado.
 Cabe destacar que el sistema ofimático pudiera
servir de gran apoyo a la institución, el cual
no es explotado en su totalidad por falta de
personal capacitado.
 Vulnerabilidad de la seguridad en cuanto al
acceso no autorizado por parte del ordenador
principal y otros terminales.

Pág. 72
E. RECOMENDACIONES.
 Tomar las acciones necesarias como el control
de instalación de programas innecesarios en la
red, que puedan interferir con el
funcionamiento adecuado de la red, internet.
 Establecer medidas de restricción en cuanto al
ordenador principal por parte de otros
terminales de la institución, pudiendo asignar
únicamente una cuenta de administrador.
 Bloquear el acceso a los terminales que
presentan estas deficiencias y puedan ser
accedidos por otros terminales de la
institución.
 Establecer técnicas de cifrado de datos en la
institución para proteger la información de la
misma, de la misma manera para los datos que
viajan por internet.
 Mantenimiento y/o asistencia técnica a los
sistemas que presentan deficiencias (Software
de supervisión).
 Realizar encriptaciones para la protección de
los datos en la institución.
 Establecer usuarios que controlen el acceso a
los sistemas operativos en todos los terminales
de la institución.
 Establecer políticas y controlar la instalación
de programas o equipos personales en la red.
 Capacitación al personal para el uso de los
equipos de cómputo, a la vez del software que
se utiliza.

Pág. 73
10.4. AUDITORIA A LA ADMINISTRACION DE LA RED
A. OBJETIVOS.
OBJETIVO GENERAL.
Evaluar la administración de la red, verificando
si se cuenta con los recursos necesarios tanto
como herramientas, software, y personal para
realizar una adecuada administración de la red
informática de la institución. De esta manera que
se permita realizar las funciones de un
administrador de red que son tan amplias y
variadas como desconocidas en muchos ámbitos.
 Administración de usuarios.
 Mantenimiento del Hardware y software.
 Configuración de nodos y recursos de red.
 Configuración de servicios y aplicaciones de
internet.
 Supervisión y optimización
OBJETIVOS ESPECÍFICOS.
 Evaluar al personal encargado del soporte
técnico, si es suficiente y/o apto para
desempeñar tal función en la administración de
la red informática.
 Evaluar si se realizan todas las funciones de
administración de redes.
 Evaluar los procedimientos, configuración,
control y monitoreo de la red, para que se
cumpla todas las necesidades de los usuarios.
 Evaluar que se cuenta con las herramientas y
recursos necesarios ya sea materiales, humanos
para una adecuada administración de la red.

 Evaluar el sistema operativo y software con el
que se administra la red en la actualidad.
Pág. 74
 Revisión de las funciones del área de
informática.
 Revisión del personal.
 Capacitación del personal.
 Presupuesto.
 Personal insuficiente en el área de informática
para lograr una adecuada administración de la
red, existe un solo encargado del soporte quien
desempeña todas las funciones de administración
de la red, soporte de hardware y software,
soporte técnico en los eventos, programas
realizados por la institución (presupuesto
participativo), etc., quien no se abastece
teniendo en cuenta que por la falta de
capacitación del personal en el uso de hardware
y software se necesita un personal constante
para brindar apoyo a los mismos.
 No existe ninguna metodología en la
administración de la red.
 No se realizan de una manera eficaz las
funciones de la administración de redes debido
a las dificultades ya mencionadas.

 No se cuenta con todas las herramientas
necesarias para una adecuada administración de
la red, faltando como los dispositivos de
testeo que certifican la red verificando su
Pág. 75
estado y correcto funcionamiento.
 No se realiza una adecuada administración de
las fallas de la red, al no detectarse de
manera inmediata al no contar con un sistema de
alarmas (monitor de alarma).
 La corrección de las fallas es retardada debido
a que los mismos usuarios son los que informan
al administrador de la red de dichas fallas, o
a que no se cuenta con material disponible para
el reemplazo inmediato de recursos dañados (en
el caso de ser daño físico).
 No se realiza una administración de reportes
para la documentación de las fallas, cuando un
problema es detectado o reportado.
 No se realiza un mantenimiento de hardware y
software en forma periódica.
 La configuración de los nodos y apertura de un
nuevo punto de red se realiza previa solicitud
del área que lo requiera y en caso de no contar
con los materiales necesarios (cables, tarjeta
de red, etc.), la aprobación pasa a disposición
de la dirección zonal.
 No se realizan las configuraciones de servicios
y aplicaciones de internet.
 Presupuesto insuficiente para el área de
informática en el soporte técnico.

Pág. 76
D. CONCLUSIONES.
 La falta de personal de apoyo impide que el
encargado realice una adecuada administración
de red, al estar encargado de realizar diversas
funciones que se requieren de dicha área.
 La administración de la red no puede ser
eficiente siempre que no se cuenten con la
herramientas necesarias para la misma como son
las herramientas normadas de testeo, además de
no contar con el software adecuado para la
administración.
E. RECOMENDACIONES.
 Contratar un personal de soporte técnico para
el área de informática que pueda ayudar
cumplir con las funciones técnicas de dicha
área (soporte de hardware, software, soporte de
eventos, programas desarrollados) de esta
manera permitir que el encargado del área de
informática realice todas las operaciones de
administración de red.
 Establecer una metodología de administración
para la red de la institución que permita una
forma más adecuada y ordenada de la misma,
propuesta:
o Administración de usuarios.
o Mantenimiento del hardware y software.
o configuración de nodos y recursos de la red.
o Configuración de servicios y aplicaciones de
internet.
o Supervisión y optimización.

 Adquisición de herramientas necesarias para la
administración los cuales deben de estar
normadas y que certifiquen la red es decir que
verifique el estado de las partes de la red y
Pág. 77
su correcto funcionamiento.
 Adquisición de software para la administración
de red, administración de rendimiento,
administración de fallas, administración de
seguridad que permitan realizar sus respectivas
funciones:
o Administración de rendimiento
 Monitoreo.
 Análisis de tráfico.
o Administración de fallas
 Monitor de alarmas.
 Localización de fallas.
 Pruebas de diagnóstico.
 Corrección de fallas.
 Administración de reportes.
o Administración de seguridad
 Prevención de ataques.
 Detección de intrusos.
 Respuesta a incidentes.
 Servicios de seguridad.
 Mecanismos de seguridad.
 Establecer procedimientos de adquisición
periódica de los materiales y actualización del
software necesario para la administración.

Pág. 78
10.5. AUDITORIA A LA SEGURIDAD INFORMATICA
A. OBJETIVOS
OBJETIVO GENERAL
Evaluar la existencia de políticas de seguridad,
planes de contingencia, normas de seguridad y
determinar de esta manera si la institución está
preparada para afrontar cualquier suceso que frene
el funcionamiento de las labores informáticas.
OBJETIVOS ESPECÍFICOS
 Hacer un estudio de los riesgos potenciales a
los que está sometida, la información, las
aplicaciones del área de informática, etc.
 Verificar si la institución cuenta con
políticas de seguridad informática, planes de
contingencia ante cualquier percance que pueda
suceder.
 Verificar la existencia de normas de seguridad
que puedan describir el funcionamiento de los
dispositivos.
 Verificar si se realiza resguardo de
información mediante backups de paquetes y de
archivo de datos.
 Verificar el resguardo de los backups a que
dependencia es asignado y si permanecen en la
institución.
 Evaluar la función de los encargados de
soporte, aquellos que son responsables de
gestionar la seguridad informática.
B. ALCANCE DE LA AUDITORIA
 Organización y calificación del personal.
 Planes y procedimientos.
 Sistemas técnicos de detección.

Pág. 79
 Mantenimiento.
C. HALLAZGOS POTENCIALES
 Los hallazgos potenciales a los que eta
sometida, la información, las aplicaciones, en
las diversas áreas son:
 Al fuego, que pueden destruir los equipos y
los archivos.
 Al robo común, llevándose los equipos y
archivos.
 Al vandalismo, que dañen los equipos y
archivos.
 A fallas en los equipos, que dañen los
archivos.
 A equivocaciones que dañen los archivos y
otros.
 A la acción de virus que dañen los equipos y
archivos.
 A accesos no autorizados, filtrándose datos
no autorizados.
 No se cuenta con ninguna política de seguridad
informática, ni planes de contingencia que
permitan la actuación del personal en relación
con los recursos informáticos importantes de la
institución.
 No existen normas de seguridad que puedan
describir el funcionamiento de los dispositivos
ante cualquier duda del personal.
 Existe una adecuada calendarización para la
realización de los backups de paquetes archivo
de datos.
 Los backups solo son almacenados en las
computadoras más no en los CDs y/o discos

externos que pudieran servir ante cualquier
eventualidad o falla de equipos de cómputo.
 El encargado de soporte, no gestiona una buena
Pág. 80
seguridad informática.
 Inestabilidad.
D. CONCLUSIONES
 Como resultado de la auditoria de la seguridad
informática realizada a la Institución, se
puede manifestar que hemos cumplido con evaluar
cada uno de los objetivos contenidos en el
programa de auditoría.
 El área de informática presenta dificultades
para el cumplimiento de sus funciones debido a
que no se cuenta con el personal suficiente
para dicha área, impidiendo una adecuada
gestión de las medidas de seguridad.
E. RECOMENDACIONES
 Elaborar políticas de seguridad y/o planes de
contingencia que establezcan el canal formal de
la actuación del personal, relación con los
recursos y servicios informáticos importantes
de la organización.
 Tomar todas las precauciones para que las
políticas y/o planes de contingencia después de
desarrollarse logren implantarse en su
totalidad.
 Establecer normas de seguridad que describen el
modo de funcionamiento de los dispositivos de
seguridad y su administración. Por ejemplo
supongamos un dispositivo simple de bloqueo de
teclado. En las normas de seguridad se podría
indicar: todos los usuarios bloquearan su

teclado cada vez que dejen sin atención su
Pág. 81
sistema.
 El encargado de soporte es el responsable de
gestionar la seguridad informática en la
institución , debe considerar las siguientes
medidas:
o Distribuir las reglas de seguridad.
o Establecer incentivos para la seguridad.
 El coste de la seguridad debe considerarse como
un coste más entre todos los que son necesarios
para desempeñar la actividad que es el objeto
de la existencia de la entidad, sea esta la
obtención de un beneficio o la prestación de un
servicio público.
 El coste de la seguridad, como el coste de la
calidad, son los costes de funciones
imprescindibles para desarrollar la actividad
adecuadamente.
 Debe de entenderse como un grado de garantía de
que dichos servicios van a seguir llegando a
los usuarios en cualquier circunstancia.
 Identificar la información que es confidencial.
 Política de destrucción de desechos
informáticos.

Pág. 82
CAPITULO V

Pág. 83
XI. CAPITULO V
11.1. ACTIVIDADES REALIZADAS EN EL PERIODO DE
PRÁCTICAS
En mi condición practicante en el área de
informática del Centro de Salud Tamburco realice
las siguientes actividades:
 Soporte y mantenimiento de computadoras de las
diferentes áreas.
 Configuración de impresoras para uso en red.
 Instalación de sistemas operativos (Windows XP,
Windows 7).
 Soporte técnico.
 Instalación de programas
o Microsoft Office.
o Winzip.
o Winrar.
o ESET NOD32.
o Solid Convert.
o Internet Explorer.
 Asesoría técnica en la utilización de programas
de oficina: Microsoft Word, Excel, Access,
Internet.
 Cableado de red para algunas áreas.
 Configuración de PCs conectadas a la red.
 Actualización de antivirus.
 Asistencia en la instalación del cañón multimedia
solicitado por la gerencia de la institución.
 Asistencia en la elaboración e impresión de
cuadros estadísticos.

Pág. 84
ANEXOS
ANEXO 01 INVENTARIO GENERAL 2014
ANEXO 02 ENCUESTAS
ANEXO 03 IMÁGENES DEL CABLEADO ESTRUCTURADO, DISPOSITIVOS,
PC´S Y INSTALACIONES DEL CENTRO DE SALUD PUEBLO
JOVEN.
.

Pág. 85
ANEXO 01 INVENTARIO GENERAL 2014
INVENTARIO GENERAL 2012
CONTROL PATRIMONIAL
GERENCIA
NUMERO DE
MAQUINAS
TIPO PROCESADOR
DISCO
DURO
MEMORIA
RAM
ESTAD
O
01 PC CORE 2 DUO INTEL COREO 2 DUO 3.00 GHZ 320 GB 2 GB BUENO
01 LAPTOP
CORE I3
TOSHIBA INTEL COREO 2 DUO 2.20 GHZ 500 GB 4 GB BUENO
RECURSOS HUMANOS
01 PC CORE DUO INTEL COREO DUO 2.40 GHZ 160 GB 1 GB BUENO
FARMACIA
LABORATORIO
01 PC PENTIUM IV PENTIUM IV 1.7 GHZ 40 GB 512 GB
PESIM
O
ESTADISTICA E INFORMATICA
SANEAMIENTO AMBIENTAL
PESIM
O
MEDICINA
ODONTOLOGIA
OBTETRICIA
ENFERMERIA
ADULTO MAYOR
PESIM
O
ADMISION
PESIM
Or
UNIDAD DE SEGUROS

Pág. 86
ANEXO 02 ENCUESTAS
 Generalidades
1. ¿Se tiene definida una política de seguridad global en
la institución?
SI ( ) NO ( )
2. ¿Existen controles que detecten posibles fallos en la
seguridad?
SI ( ) NO ( )
3. ¿Se ha definido el nivel de acceso de los usuarios
(los accesos a recursos permitidos)?
SI ( ) NO ( )
4. ¿Existen controles que detecten posibles fallos en la
seguridad?
SI ( ) NO ( )
5. ¿Existe departamento de auditoría interna en la
institución?
SI ( ) NO ( )
6. ¿Existen estándares de funcionamiento y procesos que
involucren la actividad del área de Informática y sus
relaciones con los departamentos usuarios por otro?
SI ( ) NO ( )
7. ¿Existen estándares de funcionamiento y procedimientos
y descripciones de puestos de trabajo adecuados y
actualizados?
SI ( ) NO ( )

ITEM 1: Seguridad de cumplimiento de normas y estándares
1. ¿Se han formulado políticas respecto a seguridad,
privacidad y protección de las facilidades de
procesamiento ante eventos como: incendio, vandalismo,
Pág. 87
robo y uso indebido, intentos de violación?
SI ( ) NO ( )
2. ¿Todas las actividades del Centro de Computo están
normadas mediante manuales, instructivos, normas,
reglamentos, etc.?
SI ( ) NO ( )
3. ¿Se ha dividido la responsabilidad para tener un mejor
control de la seguridad?
SI ( ) NO ( )
4. ¿Existe una clara definición de funciones entre los
puestos clave?
SI ( ) NO ( )
5. ¿Se vigilan la moral y comportamiento del personal de
la dirección de informática con el fin de evitar un
posible fraude?
SI ( ) NO ( )
6. ¿Evalúan el desempeño del encargado del área de
informática?
SI ( ) NO ( )
ITEM 2: Seguridad del área de informática y seguridad física
1. ¿Se cuentan con mecanismos de seguridad física para el
centro de informática?
SI ( ) NO ( )

2. ¿Existe personal de seguridad en la organización
Pág. 88
durante las 24 horas?
SI ( ) NO ( )
En caso de existir:
El personal de seguridad es:
( ) Vigilante (Contratado por medio de empresas
que venden ese servicio)
( ) Personal Interno (contratado por la
organización)
( ) Otro
( ) No existe
¿Se investiga a los vigilantes cuando son contratados
directamente?
SI ( ) NO ( )
3. ¿Existe control en el acceso a la instalación del
departamento de informática?
( ) Por identificación personal
( ) Por tarjeta magnética
( ) Por claves verbales
( ) Otras
4. ¿Se registra el acceso al departamento de cómputo de
personas ajenas a la dirección de informática?
( ) Vigilante
( ) Recepcionista
( ) Personal encargado de la seguridad
( ) Nadie
5. ¿Cuál es la periodicidad con la que se hace la
limpieza de polvo y otro en el centro de informática?
Diaria: ( ) Veces por día
Semanal ( ) Veces por semana

Pág. 89
Mensual ( ) Veces por mes
Otra:
6. ¿Se cuentan con mecanismos de protección respecto a la
prohibición del personal en cuanto a consumo de
alimentos y bebidas en el interior del departamento de
cómputo para evitar daños al equipo?
SI ( ) NO ( )
7. Se ha tomado medidas para minimizar la posibilidad de
fuego:
( ) Evitando artículos inflamables en las áreas
( ) Prohibiendo fumar a los operadores en el
interior
( ) Vigilando y manteniendo el sistema eléctrico
( ) No se ha previsto
8. ¿EL inmueble de la oficina de informática se encuentra
a salvo de cualquier emergencia?
( ) Fuego
( ) Inundación (Agua)
( ) Terremoto
( ) Sabotaje
( ) Ninguno
9. ¿Se cuenta con sistemas de regulación de temperatura?
( ) Aire acondicionado
( ) Ventilador
( ) Sistema de calefacción
( ) Otro:............................
10. ¿Existe corta fuegos (firewall) en su hardware?
SI ( ) NO ( )

Practicas pre profesionales auditoria de redes

Practicas pre profesionales auditoria de redes

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (20)

Similar a Practicas pre profesionales auditoria de redes

Similar a Practicas pre profesionales auditoria de redes (20)

Último

Último (8)

Practicas pre profesionales auditoria de redes