Trab Auditoria

FACULTAD DE INGENIERA
ESCUELA DE INGENIERA DE SISTEMAS
AUDITORIA A LA BASE DE DATOS DE LOS LABORATORIOS ANGLOLAB S.A

INTEGRANTES DEL EQUIPO:
CULQUICONDOR MARTINEZ, BETSY MENDOZA SOLRZANO, ROVER SANTOS MORN, JHONNY ZAMORA ROJAS, PAUL
PROFESOR: ING. BALDEON BRAVO, PERCY LIMA PER
2013
CAPTULO I DATOS DE LA EMPRESA
AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO
1.1.
DATOS DE LA EMPRESA Nombre: ANGLOLAB S.A Rubro: Medicina - Salud Direccin: Alfredo Salazar 314 San Isidro Telfono: 614-8800
1.2.
VISIN Ser el mejor laboratorio en el pas, lder en tecnologa, reconocido por su calidad y excelencia en el servicio, satisfaciendo la demanda y necesidades de nuestros clientes, creando y fomentando una conciencia preventiva y, de esta manera, contribuir a la mejora de la salud de nuestra comunidad.
1.3.
MISIN Como empresa en el rubro de la salud estamos comprometidos en brindar una atencin de laboratorio con gran calidad, calidez y profesionalismo; contando para ello con tecnologa de punta que nos permite otorgar un servicio integral de laboratorio a todos nuestros clientes.
1.4.
OBJETIVOS El sistema de gestin de la calidad de Anglolab ha planteado los siguientes objetivos: Brindar atencin de laboratorio con una cultura de calidad y seguridad garantizando 0% de riesgos sobre los resultados. Contar con equipos tecnolgicos apropiados en estado operativo y certificados lo que garantiza una efectividad de xito en los exmenes solicitados Contar con stock suficiente de suministro de material de laboratorio proveniente de proveedores que nos brindan una atencin exclusiva. Emitir informes y resultados confiables y oportunos. Cumplir con las normas de bioseguridad vigentes.
1.5.
POLTICA El laboratorio clnico patolgico ha establecido una poltica de la calidad en beneficios de la comunidad a la que ofrece sus servicios de proveedor independiente de ensayos en el campo de la salud. El objetivo fundamental de esta poltica es conducir al laboratorio con un nivel de excelencia para brindar: 1. Seguridad y rapidez en los anlisis. 2. Una atencin clida, respetuosa y eficiente. 3. Incorporacin de nuevas tecnologas analticas. 4. Informacin bioqumica de utilidad. 5. Compromiso con las buenas prcticas profesionales y la calidad.
Con este fin, el directorio con el apoyo de todo su personal promueve e implanta un sistema de mejora continua de la gestin conforme a las normas de COLLEGUE OF AMERICAN PATHOLOGISS y asegura el cumplimiento de los requisitos legales aplicables y otros a los que adquiera en la seguridad de que el mismo permita mantener a lo largo del tiempo las condiciones operativas y humanas necesarias para el logro de sus objetivos. 1.6. SEDES LIMA Clnica Angloamericana Clnica Angloamericana Sede La Molina Instituto de Ginecologa y Reproduccin Clnica San Gabriel Clnica San Juan Bautista Clnica Tezza Cimedic Andromed
CUSCO Clnica La Cultura Clnica San Jos
LAMBAYEQUE
1.7.
Hospital Metropolitano Izaga Hospital Metropolitano Conquista
GIRO DE LA EMPRESA Otras Actividades relacionadas con la salud humana
1.8.
PRINCIPALES PRODUCTOS O SERVICIOS OFRECIDOS Realizamos exmenes de: Bacteriologa Banco de Sangre Bioqumica Inmunologa Gentica Hematologia Hematologia Especial Imunologia Microbiologia
CAPTULO II
2.1.
BENEFICIARIOS: Este trabajo permite realizar auditoria de base de datos; los destinatarios ms beneficiados sern profesionales de sistemas y auditoria que requieran una herramienta especifica que les brinde controlar y revisar la base de datos del sistema que se est implantando.
2.2.
ALCANCE: Con esta auditora se pretende llevar a cabo un anlisis de riesgos para el Sistema HIGEA de los Laboratorios ANGLOLAB S.A. Se auditaran los controles de la base de datos de la aplicacin del Sistema Higea, en el cual utilizaremos las buenas prcticas de la metodologa COBIT, llevando a cabo la revisin de los siguientes procesos: PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACION PO4 DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI PO7 ADMINISTRACION DE RECURSOS HUMANOS DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS DS12 ADMINISTRACION DEL AMBIENTE FISICO DS13 ADMINISTRACION DE OPERACIONES
Esta auditora de base de datos sirve como una gua para la introduccin al estudio de este tema, en el cual ser aplicada en el rea de sistema de los laboratorios clnicos Anglolab S.A. siendo una auditoria tipo externa, desarrollndose en normas, estandarizaciones y procedimientos que pautan las actividades relacionadas con la proteccin de base de datos. Podemos llevar a cabo que el tiempo de duracin es de 12 semanas con un presupuesta aproximado de S/ 27,616.00 nuevos soles que ha sido autorizado por el jefe de sistemas. Se ha propuesto que el Jefe de Sistemas, el Asistente del Jefe de Sistemas del rea de sistemas y el rea de R.R.H.H. que colaboren brindar la mayor informacin que se requiera. Las actividades de auditora se realizarn como mximo dos veces por semana, de 4:00 pm a 9:00 pm, por el tiempo que dure la auditoria. El costo de la auditoria no podr exceder de lo presupuestado, de ser as debe ser sustentado con documentos. 2.3. OBJETIVOS DE LA AUDITORIA 2.3.1. OBJETIVOS GENERALES
Realizar una evaluacin y diagnstico sobre la base de datos en el rea de sistemas de la empresa ANGLOLAB S.A.
2.3.2. OBJETIVOS ESPECFICOS
a) Identificar la estructura organizacional de la empresa (PO4.5) b) Verificar la Definicin de estructuras fsicas y lgicas de Base de Datos. c) Evaluar los estndares de diseo de la BD de desarrollo. d) Evaluar el contenido del diccionario de datos. (PO2.2) e) Evaluar los requisitos de los elementos del diccionario de datos. f) Verificar el uso de una metodologa para el diseo de la Base de Datos.
g) Evaluar el control de la integridad y seguridad de los datos. h) Evaluar los controles de los Procedimientos de respaldo y de recuperacin de datos. (DS5.6-H9) i) Evaluar la administracin de las sesiones de usuarios de la Base de Datos. (DS5.3-H6-H7) j) Evaluar el Monitoreo y el rendimiento del SGBD.
k) Evaluar la arquitectura de red con acceso a la Base de Datos. l) Verificar la satisfaccin del cliente con respecto a la base de datos. m) Verificar el funcionamiento de los servicios que brinda la Base de datos. n) Verificar la documentacin existente con respecto a todos los procesos de la Base de Datos. o) Evaluar el Soporte y mantenimiento de la Base de Datos. (DS5.9 - H18) p) Evaluar el manejo que se le da a los datos en la Base de Datos. q) Evaluar la competencia del personal y la capacitacin que se les brinda con respecto a nuevas herramientas. (PO7.7) r) Evaluar el anlisis de riesgo de la Base de Datos. (PO9.3-H1H13/PO4.8) s) Analizar la Evaluacin y Entrenamiento del Personal del rea de sistemas.(PO7.4 - H2 Y H3) t) Evaluar los planes de contingencia para prevenir los riesgos de prdida de informacin de la Base de Datos.(DS5.2- H4-H5-H17 DS4.9-H20) u) Analizar el Manual de Organizacin de Funciones del rea de sistemas segn la Gestin de La base de Datos.(PO4.11-H14) v) Se debe realizar capacitaciones constante y peridicamente en nuevos software para la Base de datos
CAPTULO III METODOLOGIA
10
3.1.
METODOLOGIA TRADICIONAL PARA AUDITORIA DE LA BASE DE DATOS
Esta metodologa ayudara al auditor para revisar el entorno con la ayuda de una lista de control o mejor llamada como Checklist, que costa de una serie de cuestiones a verificar. En el cual se colocara S si la respuesta es afirmativa, N si la respuesta es negativa o NA si no aplica.
3.2.
METODOLOGIA COBIT:
Los Objetivos de Control para la Informacin y la Tecnologa relacionada (COBIT) brindan buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas asegurarn la entrega del servicio y brindaran apoyo cuando las cosas no vayan bien. Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio. Organizando las actividades de TI en un modelo de procesos generalmente aceptado. Identificando los principales recursos de TI a ser utilizados. Definiendo los objetivos de control gerenciales a ser considerados.
En resumen, para proporcionar la informacin que la empresa necesita para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos agrupados de forma natural.
11
Primero, la direccin requiere objetivos de control que definan la ltima meta de implantar polticas, procedimientos, prcticas y estructuras organizacionales diseadas para brindar un nivel razonable para garantizar que: Se alcancen los objetivos del negocio. Se prevengan o se detecten y corrijan los eventos no deseados. En segundo lugar, en los complejos ambientes de hoy en da, la direccin busca continuamente informacin oportuna y condensada, para tomar decisiones difciles respecto a riesgos y controles, de manera rpida y exitosa. Qu se debe medir y cmo? Las empresas requieren una medicin objetiva de dnde se encuentran y dnde se requieren mejoras, y deben implantar una caja de herramientas gerenciales para monitorear esta mejora.
En esta imagen podemos observar algunas preguntas frecuentes y las herramientas gerenciales de informacin usadas para encontrar las respuestas donde requieren de indicadores, marcadores de puntuacin que utilizan las mediciones y los Benchmarking que requieren una escala de medicin.
12
Lo que podemos observar se define en: Benchmarking de la capacidad de los procesos de TI, expresada como modelos de madurez, derivados del Modelo de Madurez de la Capacidad del Instituto de Ingeniera de Software
Metas y mtricas de los procesos de TI para definir y medir sus resultados y su desempeo, basados en los principios de balanced business Scorecard de Robert Kaplan y David Norton
Metas de actividades para controlar
Los productos COBIT se han organizado en tres niveles diseados para dar soporte ha: Administracin y consejos ejecutivos Administracin del negocio y de TI Profesionales en Gobierno, aseguramiento, control y seguridad.
3.2.1.
COMO SATISFACE COBIT LA NECESIDAD
Como respuesta a las necesidades descritas en la seccin anterior, el marco de trabajo COBIT se cre con las caractersticas principales de ser orientado a negocios, orientado a procesos, basado en controles e impulsado por mediciones.
Orientado al negocio
La orientacin a negocios es el tema principal de COBIT. Est diseado para ser utilizado no solo por proveedores de servicios, usuarios y auditores de TI, sino tambin y principalmente, como gua integral para la gerencia y para los propietarios de los
13
procesos del negocio. El marco de trabajo COBIT se basa en el siguiente principio:
Proporcionar la informacin que la empresa requiere para lograr sus objetivos, la empresa necesita administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de informacin.
El marco de trabajo COBIT ofrece herramientas para garantizar la alineacin con los requerimientos del negocio.
3.2.2. DOMINIOS
3.2.2.1.
PLANEAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada
14
desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.
Este dominio cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio? La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
3.2.2.2.
ADQUIRIR E IMPLEMENTAR (AI)
Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la
implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.
Este dominio, por lo general, cubre los siguientes cuestionamientos de la gerencia: Los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
15
3.2.2.3.
ENTREGAR Y DAR SOPORTE (DS)
Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.
Por lo general aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
3.2.2.4.
MONITOREAR Y EVALUAR (ME)
Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Por lo general abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio?
16
Los recursos de TI son manejados por procesos de TI para lograr metas de TI que respondan a los requerimientos del negocio. Este es el principio bsico del marco de trabajo COBIT, como se ilustra en el cubo COBIT
En detalle, el marco de trabajo general COBIT, con el modelo de procesos de COBIT compuesto de cuatro dominios que contienen 34 procesos genricos, administrando los recursos de TI para proporcionar informacin al negocio de acuerdo con los requerimientos del negocio y de gobierno.
17
18
3.3.
OBJETIVOS DE CONTROL PARA LA AUDITORIA 3.3.1. DEFINIR LA ARQUITECTURA DE LA INFORMACION (PO2)
Control sobre el proceso TI de Definir la arquitectura de la informacin
Que satisface el requerimiento del negocio de TI para Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma transparente las aplicaciones dentro de los procesos del negocio
Enfocndose en El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacin de informacin que garantice la integridad y consistencia de todos los datos
Se logra con La asignacin de propiedad de datos La clasificacin de la informacin usando un esquema de clasificacin acordado
Y se mide con El porcentaje de elementos de datos redundantes / duplicados El porcentaje de aplicaciones que no cumplen con la metodologa de arquitectura de la informacin usada por la empresa. La frecuencia de actividades de validacin de datos
PO2.2 Diccionario de datos y reglas de sintaxis de datos Mantener un diccionario de datos empresarial que incluya las reglas de sintaxis de datos de la organizacin. El diccionario facilita compartir elementos de datos entre aplicaciones y los sistemas, fomentando un entendimiento comn de datos entre los usuarios de TI y del negocio, y previene la creacin de elementos de datos incompatibles.
19
3.3.2. DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI (PO4) Control sobre el proceso TI de Definir los procesos, organizacin y relaciones de TI
Que satisface el requerimiento del negocio de TI para Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establecen puntos de contactos definidos y competentes
Enfocndose en El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la de implementacin de procesos de TI con dueos, y en la integracin de roles y responsabilidades hacia los procesos de negocio y de decisin
Se logra con La definicin de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada. La definicin de los roles y responsabilidades
Y se mide con Responsabilidades del nivel directivo sobre TI Direccin de la gerencia y supervisin de TI Alineacin de TI con el negocio Participacin de TI en los procesos clave de decisin Flexibilidad organizacional Roles y responsabilidades claras Equilibrio entre supervisin y delegacin de autoridad Descripciones de puestos de trabajo Niveles de asignacin de personal y personal clave
20
Ubicacin organizacional de las funciones de seguridad, calidad y control interno Segregacin de funciones
PO4.5 Estructura organizacional Establecer una estructura organizacional de TI interna y externa que refleja las necesidades del negocio. Adems implementar un proceso
para revisar la estructura organizacional de TI de forma peridica para ajustar los requerimientos del personal y las estrategias internas para satisfacer los objetivos de negocios esperados y las circunstancias cambiantes.
PO4.8
Responsabilidad
sobre
el
riesgo,
la
seguridad
el
cumplimiento Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI a un nivel superior apropiado. Definir y asignar roles crticos para administrar los riesgos de TI, incluyendo la responsabilidad especfica de la seguridad de informacin, la seguridad fsica y el cumplimiento. Establecer responsabilidades sobre la administracin del riesgo y la seguridad a nivel de toda la organizacin para manejar los problemas a nivel de toda la empresa. Obtener orientacin de la alta direccin con respecto al apetito de riesgo de TI.
PO4.11 segregacin de funciones Implementar una divisin de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crtico.
21
3.3.3. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI (PO9)
Crear y dar mantenimiento a un marco de trabajo de administracin de riesgos. El marco de trabajo documenta un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales acordados. Cualquier impacto potencial sobre las metas de la organizacin, causado por algn evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigacin de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluacin debe ser entendible para los participantes y se debe expresar en trminos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.
Control sobre el proceso TI de Evaluar y administrar los riesgos de TI
Que satisface el requisito de negocio de TI para analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio.
Enfocndose en la elaboracin de un marco de trabajo de administracin de riesgos el cual est integrado en los marcos gerenciales de riesgo operacional, evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos residuales.
Se logra con La garanta de que la administracin de riesgos est incluida completamente en los procesos administrativos, tanto interna como externamente, y se aplica de forma consistente La realizacin de evaluaciones de riesgo Recomendar y comunicar planes de acciones para mitigar riesgos
Y se mide con Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos.
22
PO9.4 Evaluacin de riesgos TI Evaluar de forma recurrente la posibilidad e impacto de todos los riesgos identificados, usando mtodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categora y con base en el portafolio.
3.3.4. ADMINISTRACION DE RECURSOS HUMANOS (PO7)
Control sobre el proceso de TI de administracin de recursos humanos
Que satisface los requerimientos de negocio de Adquirir y mantener una fuerza de trabajo motivada y competente y maximizar las contribuciones del personal a los procesos de TI.
Se hace posible a travs de prcticas de administracin de personal, sensata, justa y transparente para reclutar, alinear, pensionar, compensar, entrenar, promover y despedir
Y se mide con Reclutamiento y promocin Entrenamiento y requerimientos de calificaciones Desarrollo de conciencia Entrenamiento cruzado y rotacin de puestos Procedimientos para contratacin, veto y despidos Evaluacin objetiva y medible del desempeo Responsabilidades sobre los cambios tcnicos y de mercado Balance apropiado de recursos internos y externos Plan de sucesin para posiciones clave
PO7.2 Personal calificado El personal que se contrata para los distintos puestos de trabajo se debe realizar una definicin de requerimientos del puesto tambin se debe
23
tener en cuenta el proceso de verificacin de la calificacin de las personas.
PO7.4 Entrenamiento del personal Este entrenamiento consta de un proceso de induccin de nuevos empleados en la empresa tambin consta en llevar a cabo un programa de capacitacin de acuerdo a los requerimientos de cargo y de una proceso peridico de revisin del programa de capacitacin.
PO7.7 Evaluacin del desempeo del empleado Es necesario que las evaluaciones de desempeo se realicen peridicamente, comparando contra los objetivos individuales derivados de las metas organizacionales, estndares establecidos y
responsabilidades especficas del puesto. Los empleados deben recibir adiestramiento sobre su desempeo y conducta, segn sea necesario.
3.3.5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS (DS5)
Control sobre el proceso TI de Garantizar la seguridad de los sistemas
Satisface el requisito de negocio de TI para mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad.
Enfocndose en la definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las vulnerabilidades e incidentes de seguridad.
Se logra con El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administracin de identidades y autorizaciones de los usuarios de forma estandarizada.
24
Probando la seguridad de forma regular.
Y se mide con El nmero de incidentes que daan la reputacin con el pblico El nmero de sistemas donde no se cumplen los requerimientos de seguridad El nmero de de violaciones en la segregacin de tareas.
DS5.2 Plan de seguridad de TI Trasladar los requerimientos de informacin del negocio, la configuracin de TI, los planes de accin del riesgo de la informacin y la cultura sobre la seguridad en la informacin a un plan global de seguridad de TI. El plan se implementa en polticas y procedimientos de seguridad en conjunto con inversiones apropiadas en servicios, personal, software y hardware. Las polticas y procedimientos de seguridad se comunican a los interesados y a los usuarios.
DS5.3 Administracin de identidad Todos los usuarios (internos, externos y temporales) y su actividad en sistemas de TI (aplicacin de negocio, operacin del sistema, desarrollo y mantenimiento) deben ser identificables de manera nica. Los derechos de acceso del usuario a sistemas y datos deben estar alineados con necesidades de negocio definidas y documentadas y con requerimientos de trabajo. Los derechos de acceso del usuario son solicitados por la gerencia del usuario, aprobados por el responsable del sistema e implementado por la persona responsable de la seguridad. Las identidades del usuario y los derechos de acceso se mantienen en un repositorio central. Se implementan y se mantienen actualizadas medidas tcnicas y procedimientos rentables, para establecer la identificacin del usuario, realizar la autenticacin y habilitar los derechos de acceso.
25
DS5.4 Administracin de cuentas del usuario Garantizar que la solicitud, establecimiento, emisin, suspensin, modificacin y cierre de cuentas de usuario y de los privilegios relacionados, sean tomados en cuenta por la gerencia de cuentas de usuario. Debe incluirse un procedimiento que describa al responsable de los datos o del sistema como otorgar los privilegios de acceso. Estos procedimientos deben aplicar para todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia. Los derechos y obligaciones relacionados al acceso a los sistemas e informacin de la empresa son acordados contractualmente para todos los tipos de usuarios. La gerencia debe llevar a cabo una revisin regular de todas las cuentas y los privilegios asociados.
DS5.6 Definicin de incidente de seguridad Garantizar que las caractersticas de los posibles incidentes de seguridad sean definidas y comunicadas de forma clara, de manera que los problemas de seguridad sean atendidos de forma apropiada por medio del proceso de administracin de problemas o incidentes. Las caractersticas incluyen una descripcin de lo que se considera un incidente de seguridad y su nivel de impacto. Un nmero limitado de niveles de impacto se definen para cada incidente, se identifican las acciones especficas requeridas y las personas que necesitan ser notificadas.
DS5.9 Prevencin, deteccin y correccin de software malicioso Garantizar que se cuente con medidas de prevencin, deteccin y correccin (en especial contar con parches de seguridad y control de virus actualizados) a lo largo de toda la organizacin para proteger a los sistemas de informacin y a la tecnologa contra software malicioso (virus, gusanos, spyware, correo basura, software fraudulento desarrollado internamente, etc.).
26
3.3.6. ADMINISTRACION DEL AMBIENTE FISICO (DS12)
Control sobre el proceso de TI de Administracin de instalaciones (sitios donde se procesa informacin) Que satisface los requerimientos de negocio de: Proporcionar un ambiente fsico conveniente que proteja los equipos y al personal de TI contra peligros naturales o fallas humanas Se hace posible a travs de: La instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para garantizar su adecuado funcionamiento Y toma en consideracin: Acceso a instalaciones Identificacin del sitio (instalacin) Seguridad fsica Polticas de inspeccin y escalamiento Plan de continuidad de negocios y administracin de crisis Salud y seguridad del personal Polticas de mantenimiento preventivo Proteccin contra amenazas ambientales Monitoreo automatizado
DS12.3 Acceso fsico Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a locales, edificios y reas de acuerdo con las necesidades del negocio, incluyendo las emergencias. El acceso a locales, edificios y reas debe justificarse, autorizarse, registrarse y monitorearse. Esto aplica para todas las personas que accedan a las instalaciones, incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.
27
3.3.7. ADMINISTRACION DE OPERACIONES (DS13)
Control sobre el proceso TI de Administrar operaciones
Que satisface el requisito de negocio de TI para mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas.
Enfocndose en cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de salida sensitivos y monitoreo y mantenimiento de la infraestructura.
Se logra Operando el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones definidas Manteniendo la infraestructura de TI
Y se mide con Nmero de niveles de servicio afectados a causa de incidentes en la operacin. Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacin. Porcentaje de activos de hardware incluidos en los programas de mantenimiento.
DS13.1 Procedimientos e instrucciones de operacin Definir, implementar y mantener procedimientos estndar para
operaciones de TI y garantizar que el personal de operaciones est familiarizado con todas las entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas de operacin,
procedimientos de escalamiento, y reportes sobre las responsabilidades actuales) para garantizar la continuidad de las operaciones.
28
CAPTULO IV HERRAMIENTAS Y DESARROLLO DE LA AUDITORIA
29
4.1.
RECURSOS Y TIEMPO
En esta auditora se emplear los recursos que el rea de R.R H.H. nos brindara. Por otro lado utilizaremos el recurso humano en el cual est conformado por 5 auditores en el cual ya se ira describiendo cada uno de los cargos dentro del MOF interno.
En los recursos materiales se utilizaran pc, laptops, el lugar (empresa), impresora, papeles, archivadores, etc. El tiempo se mostrara de forma detallada en el cronograma hecho en el programa MS PROYECT.
CRONOGRAMA DE ACTIVIDADES Durante la planeacin de la auditoria se desarroll, un cronograma de actividades en el cual se observan los tiempos de inicio, ejecucin y fin del proyecto y de cada actividad correspondiente dentro del mismo, as mismo incluye un apartado en donde se indica el nombre de la persona que realizo la actividad y una grfica de Gantt que describe todo el proceso.
30
31
4.2.
MOF INTERNO
JEFE DE AUDITORIA Culquicondor Martinez, Betsy
AUDITOR SUPERVISOR Mendoza Solrzano, Rover
AUDITOR DE BASE DE DATOS 1 Zamora Rojas, Paul
AUDITOR DE BASE DE DATOS 2 Santos Moran,Jhonny
32
4.3.
MANUAL DE ORGANIZACIN Y FUNCIONES INTERNO
4.3.1. Finalidad
La finalidad de este manual es dar a conocer las funciones de cada uno de los auditores que realizaran dicho trabajo en los laboratorios clnicos ANGLOLAB S.A.
4.3.2. ESTRUCTURA ORGNICA Direccin Jefe de Auditora Supervisin Auditor Supervisor I Operacin Auditor Base de Datos I Auditor de Base de Datos II
CUADRO DE ASIGNACIN DE PERSONAL Cargo Jefe de Auditora Auditor Supervisor Auditor de Base de Datos I Auditor de Base de Datos II Cantidad 1 1 1 1
4.4.
PERFIL Y FUNCIONES
Jefe de Auditoria El jefe de auditora tiene responsabilidades particulares que asumir, estas responsabilidades no deben ser ignoradas. Debe realizar las siguientes funciones:
33
Determina la cantidad de trabajo. Nombra a los otros miembros del equipo. La base de la seleccin debe ser siempre que el lder confe y pueda trabajar bien con los miembros del equipo, pero debe pensar tambin en la necesidad de conocimiento o cualificacin especial, desarrollo personal o necesidades de formacin. Debido a las molestias que las auditoras suponen, es recomendable que se escoja el nmero de miembros suficientes para completar el trabajo en no ms de tres das.
Fija una fecha con el candidato que asegure la disponibilidad de todas las partes. Obviamente, la notificacin de las auditoras externas debe hacerse siempre a los auditados.
Comunicar a los miembros del equipo todos los detalles de la logstica, objetivos de la auditora y mtodos. Asignar tareas a los miembros del equipo, preferiblemente en espacios de media jornada. Se asegura que los miembros del equipo estn
completamente preparados.
Auditor supervisor
Realiza la actividad de supervisar la ejecucin de la auditoria; es responsable de dirigir el trabajo de un equipo de auditoria, su objetivo es controlar tiempo, calidad y costo de la auditoria. El xito del supervisor en el desempeo de sus deberes determina el xito o el fracaso de los programas y los objetivos. Conforme a las condiciones actuales, el supervisor debe ser un profesional con la capacidad suficiente para vigilar y controlar el cumplimiento de Normas en el cual debe tener las siguientes caractersticas: Experiencia Capacidad de organizacin
34
Seriedad Profesionalismo Honestidad Criterio tcnico Ordenado
Auditor de Base de datos
El auditor de base de datos debe ser una persona con un alto grado de calificacin tcnica y estar integrado a las nuevas tecnologas, tambin debe contemplar conocimientos como: Desarrollo informtico Gestin de departamento de sistemas Anlisis de riesgo en un retorno informtico Sistemas operativos Gestin de base de datos Redes locales
4.5.
RESUMEN DE RECURSOS
35
4.6.
TIEMPO El tiempo que se necesitara para realizar la auditoria de calidad de software en los laboratorios ANGLOLAB S.A es de 12 semanas, desde el 10 de Abril del 2013 al 4 de julio.
4.7.
PLANEACION Durante la planeacin de la auditoria de base de datos se tomaron diversos aspectos en consideracin, ya que una mala planeacin de la auditoria podra causar retrasos, olvidos, y no se podra dar un seguimiento lgico y constante. La fase de planeacin consta de diversas partes en las cuales se detallan cada uno de los procedimientos y pasos a seguir dentro de la auditoria. Como primera instancia se reuni el equipo auditor para definir y delimitar la auditoria con esto se lograra solo enfocarse a la base de datos y no involucrar otras reas o procedimientos que no estuvieran justificados y adems que causaran el retrase de algunas actividades, en base a esto se desarroll una lista de puntos especficos donde se quedaran por escrito cada una de las tareas a realizar. Se realiz el cronograma de actividades elaborado el MS proyect, en el cual se detalla el inicio, ejecucin y fin de cada actividad. Una vez terminado el cronograma se asign las tareas y das correspondientes a cada integrante del equipo registrndose en el mismo. Se realiz un diagrama de bloques ordenando los siguientes puntos y que ms adelante se detallan: Entrevista Checklist Oficio de requerimientos Hallazgos Pruebas Anlisis de riesgos
36
ENTREVISTA
CHECKLIST
OFICIO DE REQUERIMIENTOS
HALLAZGOS
PRUEBAS
ANALISIS DE RIESGOS
1) ENTREVISTAS: En esta parte podemos obtener las entrevistas formales con el personal encargado tanto del sistema como del rea a la que pertenece, esto con el fin de tener una visin ms clara de nuestra auditoria para as obtener los permisos necesarios al acceso de la base de datos, realizar las pruebas pertinentes en el sistema y documentacin requerida para realizarla.
2) CHECKLIST: en esta etapa se llevara a cabo la auditoria ya que aplicndolo nos mostrara una visin ms detallada de cmo se encuentra el activo que se auditara.
3) OFICIO DE REQUERIMIENTOS: Este documento es realizado una vez terminado el checklist y el cronograma de actividades para poder tener bien claro los documentos, polticas, manuales y todo aquel escrito de forma fsica o lgica que nos permitiera la comprensin de la situacin actual y que al mismo tiempo nos diera la posibilidad de recomendar mejores prcticas para el buen funcionamiento del sistema. Este se compone por un ttulo, fechas de realizacin, persona y cargo a quien va dirigido y nos va a proponer dicha informacin, una breve descripcin de la
documentacin y por ltimo el nombre y firma de quien lo solicita. (ANEXO 1)
37
4) PRUEBAS: en esta actividad puede o no realizarse, segn se considere necesario, sin embargo , si se quiere realizar una auditoria ms profunda donde ningn punto quede sin verificar, las pruebas son necesarias ya que no sindican si lo que se encontr en el checklist realmente se est cumpliendo. Por lo tanto en esta actividad solo realizaremos dos pruebas (query) para poder comprobar los tipos de cuenta de solo la base de datos, roles y permisos de los usuarios que accedan a ella.
PRUEBA 1: podemos observar los usuarios que pueden ingresar al sistema.
PRUEBA 2: Podemos observar los perfiles de los usuarios en el cual son los permisos a que reas pueden ingresar.
38
Por ejemplo el supervisor tiene estos permisos:
Estos son los permisos que tiene el SUPERVISOR
39
Aqu podemos ver algunas pestaas de estos permisos.
5) HALLAZGOS: estos son los resultados de haber realizado correctamente un buen checklist, tener la informacin correcta, haber hecho las pruebas, pero lo ms importante es haber realizado un anlisis de riesgos que nos permitiera identificar claramente lo que debemos corregir.
6) ANALISIS
DE
RIESGOS:
es
la base de
nuestros hallazgos
recomendaciones, sin este paso no tendramos nada que evaluar y no se detectaran los problemas. 4.8. HALLAZGOS En esta fase podemos dar a conocer los errores, riesgos o alguna anomala que haya sido detectada, aqu se deber tener en cuenta todos los puntos que tuvieran un gran impacto o que interfieran con las actividades del sistema.
1) PRIMER HALLAZGO: (PO 9.4)
a. Observacin: Se ha identificado que debido a que el sistema es reciente, aun no se ha llevado a cabo el anlisis de riesgos y pueden existir posibles fallos, deteccin de amenazas y riesgos no contemplados en la BD perjudicando as la confiabilidad, integridad del sistema, seguridad de la informacin de los pacientes.
40
b. Causa: El sistema HIGEA ser llevado a produccin en Junio del 2013 y aun no se ha llevado a cabo un anlisis de riesgo para prevenir problemas o riesgos en momentos de produccin. c. Recomendacin: antes o despus de llevar a cabo la
implementacin del producto se debera realizar una auditora a corto plazo para obtener el anlisis de riesgos ya que se debe tener mayor importancia en prevenir el mal funcionamiento del Sistema HIGEA. 2) SEGUNDO HALLAZGO: (PO7.2)
a. Observacin: se identific que al contratar un personal, no cuentan con una lista de requerimientos para llevar a cabo el cargo que se le asignara, por lo tanto no cuenta con un proceso de calificacin de personas sin embargo, algunos del personal de trabajo no son calificados para trabajar en el cargo signado. b. Causa: Los laboratorios Anglolab reciben las renuncias del personal sin tener en cuenta que estos deben ser presentados con tiempo ya que al retirarse el personal no cuentan con otro para suplantar el puesto vaco, es decir que la bsqueda del personal nuevo es con mayor apuro sin tener en cuenta los requisitos que este debe tener. c. Recomendacin: El Proceso de Contratacin del Personal debe de reorganizarse, teniendo en cuenta los siguientes procesos para ello, el rea de recursos humanos debe de encargarse de la evaluaciones psicolgicas y psicotcnicas, luego el rea de sistemas debe de realizar las evaluaciones de conocimientos de acuerdo al perfil solicitado, finalmente se debe contratar al personal con todos los documentos formales segn ley.
41
3) TERCER HALLAZGO: (PO7.4)
a. Observacin: Se identific que el personal del rea de sistemas que ingresa a la empresa no cuenta con la capacitacin adecuada al empezar el trabajo ya que la capacitacin se realiza como inductivos es decir preguntando lo que no se entiende pero no cuentan con capacitaciones al personal de sistemas. Por otro lado tampoco cuentan con una revisin peridica para programar las
capacitaciones. b. Causa: Este hallazgo se debe que no existe tiempo para contratar a un personal por lo tanto tampoco no hay tiempo para realizar una capacitacin de todo el sistema. c. Recomendacin: Al aceptar un empleado se debe llevar a cabo una capacitacin del sistema que se est usando actualmente y si se llevara a cabo un desarrollo de un nuevo sistema se debe conocer los requerimientos y una visualizacin lgica de lo que se requiere implementar.
4) CUARTO HALLAZGO: (DS5.2)
a. Observacin: Se detect que el rea de sistemas no cuenta con un plan de contingencia de rplica para prevenir perdidas de
informacin durante el proceso de ejecucin. b. Causa: El sistema HIGEA ser implementado en Junio del 2013 puesto que no se tiene un plan de contingencia de rplica formalizado sin embargo con los sistemas anteriores tampoco tienen dicho plan para evitar la prdida de la informacin ante un evento crtico. c. Recomendacin: Reunirse con la gerencia para concretar e implementar un plan de contingencia de replica que asegure la continuidad de las operaciones y evitar la prdida de la informacin de los pacientes ante los riesgos.
42
5) QUINTO HALLAZGO: (DS5.2)
a. Observacin: Se identific que no se realiza un seguimiento de los log en la Base de Datos. b. Causa: No se tiene un control de quien accede al sistema en el cual corre el riesgo de que la informacin de los pacientes sean modificados o eliminados c. Recomendacin: Que se realice la capacitacin necesaria al personal que se encargara de verificar los ingresos al sistema para as evitar prdidas o modificaciones de informacin, tambin se debe realizar copias de seguridad por fechas.
6) SEXTO HALLAZGO: (DS5.3)
a. Observacin: los password de algunos usuarios no son seguros ya que para que recuerden sus claves al crear un usuario se le coloca el nombre del usuario o nmeros del 1 al 8. b. Causa: Los usuarios no cambian con periodicidad sus contraseas. c. Recomendacin: Configurar la polticas de seguridad de los usuarios en el gestor de base de datos para restringir su cuenta, siempre y cuando no actualizasen sus contraseas.
7) SETIMO HALLAZGO: (DS5.3)
a. Observacin: Se identific
que los procesos que realizan los
usuarios no son evaluados ni monitoreados por el administrador de base de datos. b. Causa: No existe un personal que verifique los accesos realizados por fechas puesto que no consideran como prioridad dicho control. c. Recomendacin: almacenar y modificar los registros de accesos por periodos definidos, se debe definir los privilegios requeridos y autorizados a asignar los usuarios.
43
8) OCTAVO HALLAZGO: (DS5.4)
a. Observacin: Se identific que no se est realizando la eliminacin o desactivacin de usuarios. b. Causa: No se elimina los usuarios por que no existen un monitoreo de las cuentas de los usuarios. c. Recomendaciones: Realizar constantemente monitoreos sobre la administracin de los usuarios para empezar a tomar decisiones para inhabilitarlos o eliminarlos
9) NOVENO HALLAZGO: (DS5.6)
a. Observacin: Se identific que no gestionan adecuadamente las incidencias de procesos en la seguridad. b. Causa: Las incidencias de seguridad son informadas cuando al usuario le sucede un problema estos no son detectadas con tiempo ocurren en el momento y cuenta con el riesgo que se detenga la continuidad de actividades. c. Recomendaciones: Dar a conocer a los usuarios los posibles y constantes problemas que pueden suceder en cualquier instante para que as puedan tener conciencia y pero solucionar el problema al instante sin tener que detener las actividades esperando a que llegue alguien a revisar estas actividades.
10) DECIMO HALLAZGO: (DS5.9)
a. Observacin: El Gestor de la base de datos y el sistema operativo de la base de datos no es actualizado. b. Causa: El Gestor de la base de datos y el sistema operativo no son actualizados ya que se est esperando a los mensajes de actualizacin para empezar con ello sin embargo no lo realizan cada cierto tiempo una actualizacin de estas.
44
c. Recomendacin: Realizar una autorizacin para la compra de software adicional y actualizaciones
11) ONCEAVO HALLAZGO: (PO2.2) a. Observacin: se identific que el rea de sistemas en el cual se encuentra el sistema HIGEA no cuenta con un diccionario de datos que incluya las reglas de sintaxis de datos de la organizacin. b. Causa: El sistema se implementara en junio del 2013 en el cual an no se ha implementado un diccionario de datos. c. Recomendacin: Realizar una reunin con la alta gerencia y el jefe de sistemas para realizar un diccionario de control del sistema HIGEA.
12) DOCEAVO HALLAZGO: (PO4.5)
a. Observacin: se identific que los laboratorios Anglolab S.A. no cuentan con una estructura organizacional. b. Causa: No se ha propuesto una estructura organizacional por lo tanto no se puede identificar los cargos de los empleados con sus requerimientos y los distintos objetivos de los negocios esperados. c. Recomendacin: Proponer a la gerencia la realizacin de una estructura organizacional
13) TRECEAVO: (PO4.8)
a. Observacin: se identific que no se cuenta con un trabajador que se encarga directamente de los anlisis de riesgos. b. Causa: en el rea de sistemas no se est asignando responsables especficos que se encarguen de realizar los anlisis de riesgo. c. Recomendacin: Se recomienda asignar dicha tarea a un grupo especfico del rea de sistemas.
45
14) CATORCEAVO: (PO4.11) a. Observacin: Se identific que las responsabilidades y los roles no estn siendo derivadas a otros personal para evitar la carga de trabajo de una solo personal. b. Causa: No existe una segregacin de funciones ya que no todo el personal est capacitado para efectuar distintos procesos crticos. c. Recomendacin: El jefe de sistemas debe derivar los cargos a su personal para no llegar a una sobrecarga de trabajo.
15) QUINCEAVO: (PO7.2) a. Observacin: Se identific que el personal no est siendo capacitado adecuadamente para el uso de nuevas herramientas. b. Causa: No se realiza capacitaciones constante en el rea de sistemas para el uso de nuevas herramientas Tecnolgicas c. Recomendacin: Realizar capacitaciones peridicas para las nuevas herramientas tecnolgicas.
16) DIECISEISAVO: (PO7.7) a. Observacin: Se identific que no se est realizando un seguimiento al desempeo del empleado. b. Causa: No se realiza el seguimiento al empleado ya que el rea se encuentra en demasiada carga de trabajo. c. Recomendacin: los empleados se les debe realizar evaluaciones y revisiones peridicas para verificar el desempeo en su cargo y la conducta segn sea necesario. 17) DIECISIETEAVO: (DS5.2)
a. Observacin: Se identific que no se realiza copias de seguridad a la base de datos mensualmente. b. Causa: No se ha tomado en cuenta la configuracin del gestor de base datos con respecto a las copias de seguridad.
46
c. Recomendacin:
Se
recomienda
realizar
las
gestiones
correspondientes para la configuracin de las copias de seguridad de la base de datos. 18) DIECIOCHO: (DS5.9) a. Observacin: No se cuenta con un Software actualizado y
licenciado de deteccin y correccin de programas maliciosos que pueden daar al gestor de la Base de Datos. b. Causa: Mala administracin de Aplicaciones por parte del personal de soporte tcnico. c. Recomendacin: Se debe adquirir un software licenciado para evitar posibles riesgos. 19) DIECINUEVE: (DS12.3) a. Observacin: se identific que no cuenta con un control de personal al ingreso de la empresa (Edificio, Oficina y DataCenter) b. Causa: No se est realizando un monitoreo de los ingresos al rea sin embargo no existe un control de especfico para el ingreso al data center. c. Recomendacin: se debe realizar un monitoreo de ingresos del personal a las oficinas y estos ingresos se debe justificar o registrar.
20) VEINTEAVO HALLAZGO: (DS13.1) a. Observacin: se identific que los laboratorios Anglolab S.A. no cuentan con un rea externa de almacenamiento de respaldos en sus servicios. b. Causa: EL jefe de sistemas no cuenta con un respaldo externo a la de los laboratorios, cada vez que ocurren un desperfecto de gran magnitud, generando prdidas y retardos en la informacin. c. Recomendacin: Solicitar los servicios de un outsourcing para dicha implementacin.
47
CAPITULO V FUNDAMENTACION TERICA
48
5.1.
AUDITORIA
La Auditora es una funcin de direccin cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de la empresa y el mantenimiento de la eficacia de sus sistemas de gestin.
Segn Piattini es la actividad consistente en la emisin de una opinin profesional sobre si el objetivo sometido a anlisis presenta
adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.
Por lo tanto, la auditora de sistemas consiste en obtener apoyos de terceras personas para realizar la validacin en los sistemas y procedimientos de uso en una empresa, con el propsito de determinar si su diseo, procedimientos y aplicaciones son correctos. Tambin la auditora es un examen crtico y sistemtico que se realiza una persona o grupo de personas independientes del sistema hacer auditado.
5.1.1. CARACTERISTICAS DE UN AUDITOR
El trabajo del auditor consiste en obtener una informacin precisa y completa sobre unas actividades especficas. Para hacerlo, tiene que trabajar desplazado de su lugar habitual de trabajo. Tiene que comunicarse con gente y concentrarse en actividades que pueden ser extraas para l, y realizar juicios precisos sobre ello.
Un buen auditor debe caracterizarse por ser entre, otras cosas, diplomtico, paciente, buen comunicador, buen juez, disciplinado, imparcial, trabajador, con mente abierta, honesto, analtico, curioso, interesado, con carcter resistente, profesional y entrenado.
49
5.2.
AUDITORIA DE BASE DE DATOS Podemos definir esta auditoria como el proceso que permite medir, asegurar, monitorear y registrar los accesos a la informacin almacenadas en las bases de datos en el cual tambin tiene la capacidad de acceder a los datos, cuando se accedieron a los datos, desde que dispositivo o tipo de aplicacin, desde que ubicacin en la red se puede ingresar a su servidor, cual fue la sentencia que se ejecut, etc.
5.2.1. OBJETIVO DE LA AUDITORIA DE BD Mitigar los riesgos asociados con el manejo inadecuado de los datos. Apoyar el cumplimiento regulatorio. Satisfacer los requerimientos de los auditores. Evitar acciones criminales. Evitar multas por incumplimiento.
La importancia de la auditora del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditora de las aplicaciones que utiliza esta tecnologa.
5.3.
AUDITORIA Y SU MARCO LEGAL
5.3.1. LEY DE PROTECCIN DE DATOS PERSONALES El Congreso de la Repblica ha promulgado la ley N 29733 denominada Ley de proteccin de datos personales. Esta ley establece en el artculo 9 las condiciones de seguridad y confidencialidad que deben cumplir cualquier tipo de registracin de datos.
50
Artculo 9. Principio de seguridad El titular del banco de datos personales y el encargado de su tratamiento deben adoptar las medidas tcnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la categora de datos personales de que se trate. (Congreso de la Repblica)
El artculo 32 nos da a conocer que el rgano se encargara del cumplimiento de esta ley.
Artculo 32. rgano competente y rgimen jurdico El Ministerio de Justicia, a travs de la Direccin Nacional de Justicia, es la Autoridad Nacional de Proteccin de Datos Personales. Para el adecuado desempeo de sus funciones, puede crear oficinas en todo el pas. La Autoridad Nacional de Proteccin de Datos Personales se rige por lo dispuesto en esta Ley, en su reglamento y en los artculos pertinentes del Reglamento de Organizacin y Funciones del Ministerio de Justicia. (Congreso de la Repblica)
5.3.2. SANCIONES PREVISTAS POR LA LEY
En el artculo 37 y 38 incluyen el procedimiento patrocinador y las infracciones al que no cumpla con esta Ley.
Artculo 37. Procedimiento sancionador El procedimiento sancionador se inicia de oficio, por la Autoridad Nacional de Proteccin de Datos Personales o por denuncia de parte, ante la presunta comisin de actos contrarios a lo dispuesto en la presente Ley o en su reglamento, sin perjuicio del procedimiento seguido en el marco de lo dispuesto en el artculo 24. Las resoluciones de la Autoridad Nacional de Proteccin de Datos Personales agotan la va administrativa. Contra las resoluciones de la Autoridad Nacional de Proteccin de Datos Personales procede la accin contencioso-administrativa. (Congreso de la Repblica)
51
Artculo 38. Infracciones Constituye infraccin sancionable toda accin u omisin que contravenga o incumpla alguna de las disposiciones contenidas en esta Ley o en su reglamento. Las infracciones se califican como leves, graves y muy graves. 1. Son infracciones leves: a. Dar tratamiento a datos personales sin recabar el
consentimiento de sus titulares, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley. b. No atender, impedir u obstaculizar el ejercicio de los derechos del titular de datos personales reconocidos en el ttulo III, cuando legalmente proceda. c. Obstruir el ejercicio de la funcin fiscalizadora de la Autoridad Nacional de Proteccin de Datos Personales. () 2. Son infracciones graves: a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus dems disposiciones o las de su Reglamento. b. Incumplir la obligacin de confidencialidad establecida en el artculo 17. c. No atender, impedir u obstaculizar, en forma sistemtica, el ejercicio de los derechos del titular de datos personales reconocidos en el ttulo III, cuando legalmente proceda. () 3. Son infracciones muy graves: a. Dar tratamiento a los datos personales contraviniendo los principios establecidos en la presente Ley o incumpliendo sus dems disposiciones o las de su Reglamento, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. b. Crear, modificar, cancelar o mantener bancos de datos personales sin cumplir con lo establecido por la presente Ley o su reglamento. c. Suministrar documentos o informacin falsa o incompleta a la Autoridad Nacional de Proteccin de Datos Personales.() (Congreso de la Repblica)
52
CAPITULO VI DESARROLLO
53
6.1.
INTRODUCCIN:
Sabiendo el concepto de la auditoria de base de datos, empezaremos con el desarrollo de la auditoria de base de datos de los Laboratorios clnicos Anglolab S.A.
6.2.
DESCRIPCIN DEL PRODUCTO DESARROLLADO
HIGEA es un sistema diseado para gestionar las rdenes de los pacientes al realizar un anlisis clnico o un examen y los resultados de los exmenes por paciente, tambin interviene en la gestin de facturacin de exmenes, pagos; es decir administra las tarifas de cada uno de los exmenes y realiza los pagos de las rdenes que se requiere. Todo ello es un marco de mltiples gestores de base de datos.
Esta desarrollado en Visual .NET y SQL Server 2012. Posee mecanismos de seguridad Permite el ingreso de rdenes en un menor tiempo y esfuerzo. Es fcil de usar.
Este sistema cuenta con 5 mdulos:
Tarifario Facturacin Gestin de rdenes de laboratorio Seguridad Configuracin del sistema
54
Donde cada uno de ellos se despliega de esta forma:
55
6.3.
FUNCIONAMIENTO DE PRODUCTO HIGEA es un sistema que genera rdenes de laboratorio, pacientes, facturacin, tarifas, administracin de contraseas y seguridad y gestin de muestras de exmenes de laboratorios. Este sistema cuenta con un nico servidor de BD en cual este es conectado con el sistema de Tharsys en el cual este ltimo realiza la toma de muestra e ingresos de resultados, estos son enviados al SQL Hexalis y recin visualizados en HIGEA.
6.4.
COMPONENETES DEL PROYECTO EN SQL EL INGRESO AL SQL SE REALIZA DE DOS FORMAS: o Por el cliente SQL:
56
o Por la conexin remota:
57
58
DIAGRAMAS
o Diagrama de exmenes:
CondicionPreanalitica CondPreProcedimiento
CodCondPreanalitica DesCondPreanalitica EstCondPreanalitica CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodCondPreanalitica CodProcedimiento CodCondPre CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
Cliente
CodCliente NomCliente DesAbrCliente DesRUCCliente DesViaCliente DesNroCliente DesInterCliente DesDptoCliente DesMzCliente DesLtCliente DesPoblacCliente DesDirecCliente DesRefeCliente NroFijoCliente NroFaxCliente NroCelCliente DesEmailCliente DesWebCliente EstCliente CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CoTipoVia CoTipoZona CodPais
Seccion
CodSeccion DesSeccion
Procedimiento
CodProcedimiento CodAnglolab CodTharsys DesProcedimiento EstProcedimiento CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodSeccion FlgTipoProcedimiento DesInfMedProcedimi... DecTiempoProcProce...
EstSeccion CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodArea
MuestraProcedimiento
CodMuestraProc CodMuestra CodProcedimiento CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
ExamenEquivalencia
CodCliente CodProcedimiento CodEquivalencia CodEquivalenciaClien... CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
ProcedimientoTarifa Area
CodArea DesArea EstArea CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodProcTarifa DecPrecioProcTarifa DecPrecioBaseProcTarifa Porcentaje Unidad Factor CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
Muestra
CodMuestra DesMuestra EstMuestra CodEnvase CodBarrMuestra CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
59
o
PlanTarifario
CodPlanTarifa DesPlanTarifa DecCopago DecDeducible CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodCiaSeguro CodTarifa CodCliente CodMoneda FlgFijoVariable DescMaxPlan EquivalenciaxCliente FlgTipoPlan
Diagrama del plan de empresa:
PlanEmpresa
CodPlanEmpresa CodEmpresa CodPlanTarifa CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli
EmpresaContratante
CodEmpresa DesEmpresa EstEmpresa NroIdEmpres CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli
60
Diagrama seguridad del perfil:

AccionxOpccion
CodAccionOpcion CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli
PerfilAccionOpcion
CodPerfilAccionOpcion CodUsuCre
FlgEli DesPCTrn CodAccion
PerfilxUsuario
CodPerfilUsuario CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodPerfil
FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodAccionOpcion CodPerfil
Accion
CodAccion DesAccion EstAccion ImgIconoAccion CodUsuCre FecCre CodUsuMod
Perfil
CodPerfil DesPerfil
FecMod CodUsuEli FecEli FlgEli
Usuario
CodUsuario DesUsuario DesPassUsuario DesPassAntUsuario DesNomUsuario DesApePatUsuario DesApeMatUsuario DesCorreoUsuario FlgDescuento DesCantMaxDescuento EstUsuario CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli
EstPerfil CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn
61
Diagrama de tarifa:
ProcedimientoTarifa Tarifa
CodTarifa DesTarifa EstTarifa DesObsTarifa FlgTarifaBase CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn xlsTarifa CodProcTarifa DecPrecioProcTarifa DecPrecioBaseProcTarifa Porcentaje Unidad Factor CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodProcedimiento
PlanTarifario
CodPlanTarifa DesPlanTarifa DecCopago DecDeducible CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodCiaSeguro CodTarifa CodCliente CodMoneda FlgFijoVariable DescMaxPlan EquivalenciaxCliente FlgTipoPlan EstPlanTarifa
Procedimiento
CodProcedimiento CodAnglolab CodTharsys DesProcedimiento EstProcedimiento CodUsuCre FecCre CodUsuMod FecMod CodUsuEli FecEli FlgEli DesPCTrn CodSeccion FlgTipoProcedimiento DesInfMedProcedimi... DecTiempoProcProce...
62
Tablas
63
Procedimientos almacenados
64
65

Trab Auditoria

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Trab Auditoria

Hochgeladen von

Copyright:

Verfügbare Formate

FACULTAD DE INGENIERA

ESCUELA DE INGENIERA DE SISTEMAS

AUDITORIA A LA BASE DE DATOS DE LOS LABORATORIOS ANGLOLAB S.A

CAPTULO I DATOS DE LA EMPRESA

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

CUSCO Clnica La Cultura Clnica San Jos

Hospital Metropolitano Izaga Hospital Metropolitano Conquista

GIRO DE LA EMPRESA Otras Actividades relacionadas con la salud humana

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

2.3.2. OBJETIVOS ESPECFICOS

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

CAPTULO III METODOLOGIA

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

METODOLOGIA TRADICIONAL PARA AUDITORIA DE LA BASE DE DATOS

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

Metas de actividades para controlar

COMO SATISFACE COBIT LA NECESIDAD

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

procesos del negocio. El marco de trabajo COBIT se basa en el siguiente principio:

PLANEAR Y ORGANIZAR (PO)

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

ADQUIRIR E IMPLEMENTAR (AI)

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

ENTREGAR Y DAR SOPORTE (DS)

MONITOREAR Y EVALUAR (ME)

Por lo general abarca las siguientes preguntas de la gerencia:

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

OBJETIVOS DE CONTROL PARA LA AUDITORIA 3.3.1. DEFINIR LA ARQUITECTURA DE LA INFORMACION (PO2)

Control sobre el proceso TI de Definir la arquitectura de la informacin

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

3.3.3. EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI (PO9)

Control sobre el proceso TI de Evaluar y administrar los riesgos de TI

Y se mide con Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos.

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

3.3.4. ADMINISTRACION DE RECURSOS HUMANOS (PO7)

Control sobre el proceso de TI de administracin de recursos humanos

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

tener en cuenta el proceso de verificacin de la calificacin de las personas.

3.3.5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS (DS5)

Control sobre el proceso TI de Garantizar la seguridad de los sistemas

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

Probando la seguridad de forma regular.

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

3.3.6. ADMINISTRACION DEL AMBIENTE FISICO (DS12)

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

3.3.7. ADMINISTRACION DE OPERACIONES (DS13)

Control sobre el proceso TI de Administrar operaciones

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

CAPTULO IV HERRAMIENTAS Y DESARROLLO DE LA AUDITORIA

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO

AUDITORIA DE SISTEMAS UNIVERSIDAD CESAR VALLEJO