Beruflich Dokumente
Kultur Dokumente
UNIVERSIDAD DE NARIO
FACULTAD DE INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS
SAN JUAN DE PASTO
2012
1
AUDITORA INFORMTICA EN EL REA DE SISTEMAS E INDICADORES DE
FUNCIONAMIENTO DEL HARDWARE EN LA EMPRESA SOLIDARIA DE SALUD
EMSSANAR E.S.S. DEL DEPARTAMENTO DE NARIO
Director
ING. MANUEL BOLAOS GONZALES
UNIVERSIDAD DE NARIO
FACULTAD DE INGENIERA
PROGRAMA DE INGENIERA DE SISTEMAS
SAN JUAN DE PASTO
2012
2
NOTA DE RESPONSABILIDAD
Artculo 1ro del Acuerdo No. 324 de octubre 11 de 1966 emanado del Honorable Consejo
Directivo de la Universidad de Nario.
3
NOTA DE ACEPTACIN
____________________________________
____________________________________
____________________________________
____________________________________
Jurado
____________________________________
Jurado
4
AGRADECIMIENTOS
Con mucho cario a nuestros Padres por el esfuerzo y apoyo incondicional que nos
brindaron da a da, por compartir inolvidables momentos de nuestras vidas, gracias por
ayudarnos a cumplir nuestros sueos, por darnos la oportunidad de formarnos como
profesionales.
Al Ingeniero Harold Caicedo, Jefe del rea de Sistemas de Emssanar E.S.S Nario, por
darnos la oportunidad de aplicar y ampliar nuestros conocimientos en esta Empresa y por
la confianza, apoyo y colaboracin prestada durante el desarrollo de este trabajo.
A nuestros Maestros y Amigos, mil gracias porque de alguna manera forman parte de lo
que ahora somos, por las enseanzas, confianza, amistad, tiempo y apoyo sincero
dedicado durante la trayectoria de aprendizaje y conocimiento.
5
DEDICATORIA
A Dios por darme la bendicin y oportunidad de vivir y recorrer este camino, por darme la
fortaleza de seguir adelante en los momentos difciles.
A mis padres fuente de mi inspiracin, por su gran esfuerzo y dedicacin para culminar
mis estudios, en especial a mi Padre que repentinamente emprendi un viaje sin regreso
y a quien dedico este logro como smbolo de todo el agradecimiento a su amor,
confianza, motivacin, empeo y apoyo incondicional para seguir adelante, a mis
hermanos y en si a toda mi familia por sus consejos y palabra de aliento por formar parte
de m, por todo lo que me han brindado y por sus bendiciones.
6
RESUMEN
7
ABSTRACT
THE NEED TO EVALUATE THE PROCESSES OF THE SYSTEMS AREA FROM THE
ESS EMSSANAR HEALTH ENTITY EMERGES THROUGH THE STEADY SEARCH FOR
IMPROVEMENT, ENTREPRENEURSHIP AND BUSINESS GROWTH, HAVING AS THE
PRIMARY AIM TO CONTINUALLY IMPROVE THE QUALITY OF CARE AND
PROVISION OF THE HEALTH SERVICE ITSELF TO THE VERY USERS.
8
TABLA DE CONTENIDO
GLOSARIO 13
INTRODUCCION 17
1. MARCO TEORICO 23
1.1 ANTECEDENTES 23
1.2 ASPECTOS GENERALES DE LA AUDITORIA 24
1.2.1 Definicin de auditoria 26
1.2.2 Objetivo general de la auditoria 27
1.2.3 Funciones principales 27
1.2.4 Clasificacin de la auditoria 27
1.2.5 Tipos de auditoria 28
1.3 AUDITORIA INFORMATICA COMO OBJETO DE ESTUDIO 30
1.3.1 Objetivo fundamental de la auditoria informtica 30
1.3.2 Caractersticas de la auditoria informtica 32
1.3.3 Clasificacin de la auditoria informtica 32
1.3.4 Metodologa de auditora informtica 35
1.4 HERRAMIENTAS Y TECNICAS PARA LA AUDITORIA
INFORMATICA 40
1.4.1 Cuestionarios 40
1.4.2 Entrevistas 41
1.4.3 Checklist 41
1.4.4 Trazas y/o huellas 44
1.4.5 Observacin 44
1.4.6 Inventario 45
1.5 ESTANDARES DE AUDITORIA 45
1.5.1 El modelo COBIT para auditora y control de sistemas de informacin 47
1.5.2 Criterios de informacin de COBIT 48
1.5.3 Dominios del COBIT 52
1.6 MATRIZ DE PROBABILIDAD DE IMPACTO 67
1.7 DIAGRAMA DE PROCESOS 68
2. DESARROLLO DE LA AUDITORIA 71
2.1 METODOLOGIA 71
2.2 ARCHIVO PERMANENTE 72
2.2.1 Ambiente general de la empresa 72
2.2.2 Misin 77
2.2.3 Visin 77
2.2.4 Valores 77
2.2.5 Objetivo social 77
9
2.2.6 Servicios que ofrece 79
2.2.7 Organigrama general de la Emssanar 80
2.2.8 Manual de funciones rea de sistemas 85
2.3 ARCHIVO CORRIENTE 90
2.3.1 Diagrama de procesos del rea de sistemas 90
2.3.2 Programa de auditoria 97
2.3.2.1Dominio: planeacin y organizacin (PO) 97
2.3.2.2Dominio: adquisicin e implementacin (AI) 99
2.3.2.3Dominio: dar soporte y servicio (DS) 101
2.3.2.4Dominio: monitorear y evaluar (ME) 103
2.3.3 Procesos de recoleccin de informacin y planteamiento de
actividades 104
2.3.4 Anlisis y evaluacin de riesgos preliminares 111
2.3.5 Valoracin de riesgo 116
2.3.6 Tcnicas y herramientas utilizadas 117
2.3.7 Hallazgos 204
2.3.8 Informe general de la auditora 243
2.3.9 Informe ejecutivo de la auditoria 251
3. MANUAL DE USUARIO 262
4. CONCLUSIONES 266
6. RECOMENDACIONES 267
BIBLIOGRAFIA 268
BIBLIOWEB 269
10
LISTADO DE FIGURAS
11
LISTADO DE TABLAS
12
GLOSARIO
Autenticacin: Proceso que tiene por objetivo asegurar la identificacin de una persona o
sistema.
Backup: Accin de copiar archivos o datos de forma que estn disponibles en caso de
que un fallo produzca la perdida de los originales. Esta sencilla accin evita numerosos, y
a veces irremediables problemas si se realiza de forma habitual y peridica.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener
claros los objetivos de la auditora, sirve de evidencia del plan de auditora, asegura su
continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo. Este
tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para facilitar su
desarrollo.
COBIT: (Control Objetives for Information and related Technology) Objetivos de Control
para la informacin y tecnologa relacionadas. Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control
13
de tecnologa de informacin, aceptados para ser empleados por gerentes de empresas y
auditores.
14
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel
de riesgo asumido.
Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no
ser medido en trminos estrictamente financieros ej., prdida de reputacin, implicaciones
legales, etc.
15
ISACA: (Information Systems Audit and Control Association) Asociacin de Auditora y
Control de los Sistemas de Informacin. Publica COBIT y emite diversas acreditaciones
en el mbito de la seguridad de la informacin.
Objetivo: Declaracin del resultado o fin que se desea lograr mediante la implementacin
de procedimientos de control en una actividad de TI determinada.
Riesgo residual: Segn [ISO/IEC Gua 73:2002] El riesgo que permanece tras el
tratamiento del riesgo.
16
Seguridad de la informacin: Segn [ISO/IEC 27002:2005]: Preservacin de la
confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades
como autenticidad, responsabilidad, no repudio y fiabilidad pueden ser tambin
consideradas.
Usuario: Una persona o una entidad externa o interna que recibe los servicios
empresariales de TI.
17
INTRODUCCION
Una empresa debe estar en continua evaluacin para mirar sus falencias y tomar
acciones que mejoren la eficiencia y eficacia en sus procesos y as ubicarse dentro de un
medio competitivo, para ello se han creado diferentes mtodos encaminados a buscar
este objetivo. Uno de los principales es la auditora informtica, factor importante para el
buen desempeo de una empresa, ya que proporciona los controles necesarios para que
la informacin y los procesos sean confiables, entregando un diagnstico de cmo est la
empresa en una determinada rea y a la vez permita crear un plan de mejoramiento
mediante las recomendaciones dadas.
Emssanar es una Empresa Solidaria de Salud del Rgimen Subsidiado que integra a mas
de 1200.000 afiliados en el sur occidente colombiano; cuenta con una red de 370 IPS en
los departamentos de Nario, Putumayo, Cauca y Valle, integradas a travs de un
innovador Centro de Contactos que permite mejorar la atencin al usuario. Emssanar
siempre se ha preocupado por mantenerse en los primeros lugares en cuanto a
prestacin de servicios de salud se refiere, enfocando sus objetivos al mejoramiento de
todos los procesos, como lo es el rea de sistemas quien es la encargada de la
administracin de los sistemas operativos con el objetivo de garantizar la continuidad y el
funcionamiento de las maquinas y del software al mximo rendimiento.
18
funcionamiento dentro de los cuales se evaluara el cumplimiento de los niveles de
cobertura, de obsolescencia, de soporte Tecnolgico, de Riesgo y Tiempo fuera de
servicio, con el fin de identificar algunas vulnerabilidades a los que estn expuestos estos
procesos y que el objetivo es mejorar para obtener un funcionamiento del rea de
sistemas que permita solidificar procesos de calidad.
El presente documento est organizado as: en la primera parte se plantea el tema del
proyecto, el cual se encuentra dentro de una de las lneas de investigacin aprobadas por
el departamento de sistemas, seguido de la descripcin del problema, de los objetivos que
se pretende alcanzar, como tambin se tiene en cuenta los antecedentes tomados como
base para iniciar la recoleccin de informacin, la factibilidad del proyecto y la
metodologa a seguir y el desarrollo de la auditora como tal, donde se encuentra el
archivo permanente que contiene informacin del rea donde se va a realizar la auditoria,
seguido del archivo corriente que contiene las herramientas necesarias para la
recoleccin de informacin para la ejecucin de la auditoria, luego se describen los
hallazgos encontrados, seguido del informe general e informe ejecutivo donde se
describen los riesgos encontrados con sus respectivas recomendaciones, finalmente se
encontraron algunas sugerencias y recomendaciones que se hacen a la empresa
auditada con el fin de implementar un plan de mejoramiento que garantice fortalecer las
debilidades encontradas.
19
IDENTIFICACION DEL PROBLEMA
TEMA
MODALIDAD
LINEA DE INVESTIGACION
Con lo anterior y teniendo en cuenta que para lograr un buen desempeo debe existir en
la empresa una buena organizacin y estructuracin de la misma como tal y conociendo
el tiempo de funcionamiento que lleva la empresa y que hasta ahora no se ha llevado a
cabo una auditoria de este tipo se hace indispensable revisar el control, la administracin
y mantenimiento del hardware de los equipos de comunicacin, los servidores e
indicadores de funcionamiento que hacen parte del rea de sistemas de esta entidad.
En Emssanar E.S.S, se realizar una auditora que permita obtener un diagnstico como
resultado de la identificacin de riesgos y hallazgos, analizarlos para as hacer las
respectivas recomendaciones que permitirn a la empresa desarrollar un plan de
mejoramiento que conlleve a una buena toma de decisiones y as mismo a optimizar sus
procesos.
Formulacin del problema. Cmo evaluar la eficiencia y eficacia del hardware de las
comunicaciones, los servidores e indicadores de funcionamiento en el rea de sistemas
de Emssanar E.S.S?
Cmo identificar los posibles puntos crticos dentro de los procesos del hardware
del rea de sistemas en cuanto a comunicaciones, servidores, equipos de
cmputo e indicadores de funcionamiento de la empresa?
21
OBJETIVOS
Objetivo general. Evaluar la eficiencia y eficacia del hardware de las comunicaciones, los
servidores e indicadores de funcionamiento en el rea de sistemas de Emssanar E.S.S,
obteniendo un diagnostico que permita definir planes de mejoramiento en la empresa
Solidaria de Salud Emssanar E.S.S.
Objetivos especficos
Identificar cada uno de los 4 campos tomados como caso de estudio y proceder a
realizar la auditoria en cada uno de ellos.
JUSTIFICACIN
Este proyecto va encaminado a solventar estas necesidades y para ello se realizar una
auditora donde se obtendr un plan de mejoramiento que ayudara a la empresa a
22
identificar cules son los niveles de riesgo, puntos fuertes, puntos dbiles, oportunidades
y amenazas en los 4 campos tomados como caso de estudio (regional Nario, principal
Pasto, zonal Ipiales y municipal Crdoba); mediante la aplicacin del modelo COBIT en
los diferentes procesos de la auditora, la empresa podr asegurar la calidad en el rea de
sistemas obteniendo un diagnstico que permita generar un plan estratgico que asegure
el manejo y control de la informacin concernientes al hardware de las comunicaciones,
de servidores, de equipos de computo e indicadores de funcionamiento.
ALCANCE Y DELIMITACIN
Conociendo que Emssanar cubre los departamentos de Valle, Cauca, Putumayo y Nario,
la auditoria se realiz nicamente en el departamento de Nario, por lo tanto el trabajo se
aplic a 4 campos tomados como caso de estudio en la empresa, clasificados as:
23
1. MARCO TEORICO
1.1. ANTECEDENTES
El Modelo COBIT supone un enfoque distinto y actual del sistema por cuanto lo mira en
su mbito global, formado por procesos manuales y automatizados. El Modelo COBIT
supone un aporte de mximo inters para los auditores ya que incorpora aspectos de
gestin de la calidad total, reingeniera de empresas e integra los dos modelos de control:
los orientados a las tecnologas de informacin y los orientados a los objetivos
empresariales.
24
El COBIT es un modelo de evaluacin y monitoreo que enfatiza en el control de negocios
y la seguridad IT y que abarca controles especficos de IT desde una perspectiva de
negocios.
Uno de los avances ms importante de los ltimos aos es la tecnologa y con ello el
cambio drstico que el mundo ha tenido con el paso del tiempo, el competitivo campo
laboral ha adaptado de forma muy positiva el manejo de la tecnologa, teniendo como
resultado que la informacin de una empresa este bien organizada, de esta manera se
hace necesario tener un control de las herramientas como equipos de computo, equipos
de comunicacin, bases de datos, redes y sistemas de informacin, para saber as con
que herramientas se cuenta y que tan actualizados estn, lo anterior combinado con la
necesidad de obtener un plan estratgico y corporativo que le permita a la empresa
conocer las fortalezas y debilidades que genere a la parte administrativa seguridad,
confiabilidad, efectividad y eficacia de su entorno, a partir de esto se hace necesario que
se lleve a cabo una auditoria de acuerdo a las necesidades que existan en la empresa.
1
http://benmp82.galeon.com/funsis.htm
2
http://benmp82.galeon.com/funsis.htm
26
Existen diferentes tipos de auditora que se aplican de acuerdo a la necesidad, donde se
busca encontrar y evaluar diferentes procesos y evidencias. Generalmente es realizada
por una persona independiente y competente acerca de la informacin que se maneja en
una empresa de igual manera detecta los puntos exactos de control en las distintas
dependencias, permitiendo3:
Un auditor debe ser una persona capaz de observar cada movimiento y comportamiento
de los procesos, encaminado siempre al objetivo especifico, que es el de evaluar la
eficacia y eficiencia de cada proceso tomado como caso de estudio, para que por medio
del sealamiento de alternativas de accin, la empresa como tal tome decisiones que
permita corregir hallazgos en caso de que sean encontrados, mejorando las funciones de
cada proceso permitiendo as el cumplimiento de los objetivos propuestos por la empresa.
3
Arens, Alvin A. Auditoria un Enfoque Integral. 6 Edicin. Mjico: Prentice Hall, 1996.
27
Existen diferentes tipos de auditora, as como normas y procedimientos especficos para
la realizacin de auditoras contables, como tambin normas y procedimientos para la
realizacin de auditora en informtica como parte de una profesin, adems la auditoria
debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de
solucin.
Auditora externa
La auditora externa se caracteriza principalmente por quien la realiza, ya que debe ser un
profesional totalmente independiente de la empresa, el cual despus de examinar y
evaluar el rea de los sistemas de informacin genera una opinin veraz y creble de los
casos de estudio tomados, para luego presentarlos como resultados o hallazgos a la
empresa u organizacin.
4
. http://www.monografias.com/trabajos14/auditoria/auditoria.shtml
5
. http://www.hondutel.hn/portal_transparencia/pdf/auditoriainterna-2.pdf
28
Auditora interna
El que cada empresa realizara una auditora interna ayudara en gran medida al desarrollo
de la misma, ya que al detectar problemas o fallas en cualquier proceso, permite a la
direccin como tal conocer a fondo el objetivo de cada departamento y como deben
funcionar estos, permite a la misma empresa como tal elaborar planes estratgicos,
planes de contingencia, eliminar la redundancia de procesos, etc., permitindoles a travs
de la evaluacin, identificar los puntos dbiles de la misma para mejorarlos, ayudando a
proteger los inters para el desarrollo y crecimiento empresarial.
Auditora fiscal6
Auditora Financiera7
6
. http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml
7
. http://www.gerencie.com/auditoria-financiera.html
29
Auditoria operacional8
Auditoria administrativa9
Auditoria integral10
Auditoria informtica11
8
. http://www.definicion.org/auditoria-operacional
9
. http://www.gerencie.com/auditoria-financiera.html
10
. http://members.tripod.com/~Guillermo_Cuellar_M/integral.html
11
. http://www.mitecnologico.com/Main/ConceptosAuditoriaYAuditoriaInformatica
30
Auditar consiste principalmente en estudiar los mecanismos de control que estn
implantados en una empresa u organizacin, determinando si los mismos son adecuados
y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberan realizar para la consecucin de los mismos.
31
Los Controles Tcnicos Generales son importantes en las instalaciones de empresas
grandes, ya que se realizan para verificar la compatibilidad de funcionamiento
simultneo del sistema operativo y el software de base con todos los subsistemas
existentes, como tambin la compatibilidad del hardware y del software instalado. En una
empresa existen diferentes entornos de trabajo que conlleva a la contratacin de
productos de software bsico, as como software especial para algunos departamentos,
con el riesgo de abonar ms de una vez el mismo producto o desaprovechar el software
instalado, as mismo puede existir software desarrollado por personal de sistemas de la
misma empresa que hagan mal uso y que no se aprovechen todos los recursos de este,
sobre todo cuando los diversos equipos estn ubicados en Centros de Proceso de Datos
geogrficamente alejados. Lo negativo de esta situacin es que puede producir la
inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
trabajando independientemente, pero no ser posible la interconexin e intercomunicacin
de todos los centros de proceso de datos si no existen productos comunes y compatibles.
Los controles tcnicos especficos, menos evidentes, son tambin necesarios para lograr
la operatividad de los sistemas. Es decir por ms pequea que sea la aplicacin que se
deba ejecutar, esta debe funcionar al mximo, evitando as la inoperatividad, bien sea en
hardware como en software.
32
1.3.2 Caractersticas de la auditora informtica:12
Del mismo modo, los sistemas informticos han de protegerse de modo global y
particular: a ello se debe la existencia de la auditora de seguridad informtica en general,
o a la auditora de seguridad de alguna de sus reas, como pudieran ser desarrollo o
tcnica de sistemas.
Estos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una
auditora parcial. De otra manera: cuando se realiza una auditoria del rea de desarrollo
de proyectos de la informtica de una empresa, es porque en ese desarrollo existen,
adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o
alguna mezcla de ellas.
12
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
13
http://www.monografias.com/trabajos5/audi/audi.shtml
33
el criterio de integridad y control de calidad y as lleguen finalmente al usuario. Para
auditar explotacin hay que auditar las sesiones que la componen y sus interrelaciones.
Sistemas operativos: debe verificarse en primer lugar que los sistemas estn
actualizados con las ltimas versiones del fabricante, indagando las causas de las
omisiones si las hubiera. El anlisis de las versiones de los sistemas operativos
permite descubrir las posibles incompatibilidades entre otros productos de software
bsico adquiridos por la instalacin y determinadas versiones de aquellas.
El auditor de comunicaciones deber inquirir sobre los ndices de utilizacin de las lneas
contratadas con informacin abundante sobre tiempos de desuso. Deber proveerse de la
topologa de la red de comunicaciones, actualizada, ya que la desactualizacin de esta
documentacin significara una grave debilidad. La inexistencia de datos sobre la cuantas
lneas existen, cmo son y donde estn instaladas, supondra que se bordea la
Inoperatividad Informtica. Sin embargo, las debilidades ms frecuentes o importantes se
encuentran en las disfunciones organizativas. La contratacin e instalacin de lneas va
asociada a la instalacin de los puestos de trabajo correspondientes (Pantallas,
Servidores de redes locales, computadoras con tarjetas de comunicaciones, impresoras,
etc.). Todas estas actividades deben estar muy coordinadas y de ser posible,
dependientes de una sola organizacin.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems
del disparo de los costes, podr producirse la insatisfaccin del usuario. Finalmente, la
auditora deber comprobar la seguridad de los programas en el sentido de garantizar que
los ejecutados por la maquina sean exactamente los previstos y no otros.
14
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
35
Auditora de la seguridad informtica: la computadora es un instrumento que estructura
gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de
esta. Tambin pueden ocurrir robos, fraudes o sabotajes, virus, etc, que provoquen la
destruccin total o parcial de la actividad computacional. Esta informacin puede ser de
suma importancia, y el no tenerla en el momento preciso puede provocar retrasos
sumamente costosos.
Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien
que, al conectarse en red con otras computadoras, no exista la posibilidad de transmisin
del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo
de mquina para usos ajenos de la organizacin, la copia de programas para fines de
comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a
bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad
en la informtica abarca los conceptos de seguridad fsica y seguridad lgica.
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy
preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a
auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes
expresar las excepciones de alcance de la auditora, es decir cuales materias, funciones u
organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben
figurar al comienzo del informe final.
15
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm#p2-1-1
36
Estudio inicial del entorno auditable.
Entorno operacional: el auditor informtico debe tener una referencia del entorno en el
que va a desenvolverse y se obtiene determinando lo siguiente:
Recursos materiales: los recursos materiales del auditor son de dos tipos:
Elaboracin del plan y de los programas de trabajo: una vez asignados los recursos,
el responsable de la auditora y sus colaboradores establecen un plan de trabajo y as, se
procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros
criterios, los siguientes:
38
Una vez elaborado el plan, se procede a la programacin de actividades, esta ha de ser lo
suficientemente flexible como para permitir modificaciones a lo largo del proyecto.
Tcnicas de Trabajo:
Herramientas:
As como pueden existir tantas copias del informe final como solicite el cliente, la auditora
no har copias de la citada carta de introduccin. La carta de introduccin poseer los
siguientes atributos:
39
Tendr como mximo 4 folios
Incluir fecha, naturaleza, objetivos y alcance
Cuantificar la importancia de las reas analizadas.
Proporcionar una conclusin general, concretando las reas de gran debilidad.
Presentar las debilidades en orden de importancia y gravedad.
Estructura del informe final: el informe comienza con la fecha de comienzo de la auditora
y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la jefatura,
responsabilidad y puesto de trabajo que ostente. Siguiendo los siguientes pasos:
40
Flujo del hecho o debilidad:
Hecho encontrado.
Consecuencias del hecho: las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
Repercusin del hecho: se redactar las influencias directas que el hecho pueda tener
sobre otros aspectos informticos u otros mbitos de la empresa.
Conclusin del hecho: no deben redactarse conclusiones ms que en los casos en que la
exposicin haya sido muy extensa o compleja.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis
determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento
de ambos tipos de informacin es una de las bases fundamentales de la auditora.
16
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
41
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido
por otro medios la informacin que aquellos pre-impresos hubiesen proporcionado.
1.4.3 Checklist. El auditor profesional y experto es aqul que reelabora muchas veces
sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita
saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y
sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas
preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversar y har preguntas "normales", que en realidad servirn para la
cumplimentacin sistemtica de sus cuestionarios, de sus checklists.
Hay opiniones que descalifican el uso de las checklists, ya que consideran que leerle una
pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar checklists, es una evidente falta de profesionalismo. El
profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
42
Segn la claridad de las preguntas y el talante del auditor, el auditado responder desde
posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente
informtico de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos
del auditor, precisamente a travs de las preguntas que ste le formula. Esta percepcin
configura el principio de autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de auditora informtica guardan sus checklists, pero
de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse
que la funcin auditora se ejerce sobre bases de autoridad, prestigio y tica.
Algunas de las preguntas de las checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes
a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De
este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor
deber analizar los matices de las respuestas y reelaborar preguntas complementarias
cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado
no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar
las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar
cuestionarios en su presencia.
1: Muy deficiente.
2: Deficiente.
3: Mejorable.
4: Aceptable.
5: Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin
que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve
un pequeo guin. La cumplimentacin de la checklist no debe realizarse en presencia
del auditado. Ejm:
43
Existe personal especfico de vigilancia externa al edificio?
Rta/ No, solamente un guarda por la noche que atiende adems otra
instalacin adyacente.
<Puntuacin: 1>
Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los
aledaos del centro de clculo?
Rta/ Si, pero sube a las otras 4 plantas cuando se le necesita.
<Puntuacin: 2>
Hay salida de emergencia adems de la habilitada para la entrada y salida de
mquinas?
Rta/ Si, pero existen cajas apiladas en dicha puerta. Algunas veces las
quitan.
<Puntuacin: 3>
El personal de comunicaciones, Puede entrar directamente en la Sala de
Computadoras?
Rta/ No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su
gente ms que por causa muy justificada, y avisando casi siempre al jefe
de explotacin.
<Puntuacin: 4>
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25
Deficiente.
Existe Normativa de que el usuario final compruebe los resultados finales de los
programas?
<Puntuacin: 1>
Conoce el personal de desarrollo la existencia de la anterior normativa?
<Puntuacin: 1>
Se aplica dicha norma en todos los casos?
<Puntuacin: 0>
Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo
o copia de bases de datos reales?
<Puntuacin: 0>
Las checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene
criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la
44
evaluacin que en la checklist binaria. Sin embargo, la bondad del mtodo depende
excesivamente de la formacin y competencia del equipo auditor.
Las checklists binarias siguen una elaboracin inicial mucho ms ardua y compleja.
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una
vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el
inconveniente genrico del < Si o No> frente a la mayor riqueza del intervalo.
No existen checklists estndar para todas y cada una de las instalaciones informticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de
adaptacin correspondientes en las preguntas a realizar.
1.4.4 Trazas y/o huellas. Con frecuencia, el auditor informtico debe verificar que los
programas, tanto de los sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares
que, entre otras funciones, rastrean los caminos que siguen los datos a travs del
programa.
Por lo que se refiere al anlisis del sistema, los auditores informticos emplean productos
que comprueban los valores asignados por tcnica de sistemas a cada uno de los
parmetros variables de las Libreras ms importantes del mismo. Estos parmetros
variables deben estar dentro de un intervalo marcado por el fabricante. A modo de
ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de
determinados entornos o toman criterios especialmente restrictivos o permisivos en la
asignacin de unidades de servicio para segn cuales tipos carga. Estas actuaciones, en
principio tiles, pueden resultar contraproducentes si se traspasan los lmites.
Observacin directa
Observacin indirecta
Observacin oculta
Observacin participativa
Observacin no participativa
Introspeccin
Estrospeccin
Observacin histrica
Observacin controlada
45
Observacin natural
Inventario de software
Inventario de hardware
Inventario de documentos
- Inventario de documentos administrativos
Manuales de la organizacin
Manuales de procedimientos administrativos
Manuales de perfil de puestos
Otros manuales administrativos
- Inventario de documentos tcnicos para el sistema
Manuales e instructivos tcnico del hardware, perifricos y componentes
del sistema.
Manuales e instructivos de mantenimiento fsico del sistema (hardware),
entre otros.
17
www.adacsi.org.ar/files/es/content/146/Standards.doc
46
La direccin y otras partes interesadas en las expectativas de la profesin con
respecto al trabajo de sus profesionales.
La evaluacin de los requerimientos del negocio, los recursos y procesos IT, son puntos
bastante importantes para el buen funcionamiento de una compaa y para el
aseguramiento de su supervivencia en el mercado. COBIT es precisamente un modelo
para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a
todos los sectores de una organizacin, es decir, administradores IT, usuarios y por
supuesto, los auditores involucrados en el proceso.
Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin (Control
Objectives for Information Systems and related Technology). El modelo es el resultado de
18
http://www.channelplanet.com/index.php?idcategoria=13932
48
una investigacin con expertos de varios pases, desarrollado por ISACA (Information
Systems Audit and Control Association).
La estructura del modelo COBIT propone un marco de accin donde se evalan los
criterios de informacin, como por ejemplo la seguridad y calidad, se auditan los recursos
que comprenden la tecnologa de informacin, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluacin sobre los
procesos involucrados en la organizacin.
1.5.2. Criterios de informacin de COBIT. Para satisfacer los objetivos del negocio, la
informacin necesita adaptarse a ciertos criterios de control, los cuales son referidos en
COBIT como requerimientos de informacin del negocio. Con base en los requerimientos
ms amplios de calidad, fiduciarios y de seguridad, se definieron los siguientes siete
criterios de informacin:
La efectividad tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente
y utilizable.
La eficiencia consiste en que la informacin sea generada con el ptimo (ms
productivo y econmico) uso de los recursos.
La confidencialidad se refiere a la proteccin de informacin sensitiva contra
revelacin no autorizada.
La integridad est relacionada con la precisin y completitud de la informacin, as
como con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad se refiere a que la informacin est disponible cuando sea
requerida por los procesos del negocio en cualquier momento. Tambin concierne a la
proteccin de los recursos y las capacidades necesarias asociadas.
49
El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos
contractuales a los cuales est sujeto el proceso de negocios, es decir, criterios de
negocios impuestos externamente, as como polticas internas.
La confiabilidad se refiere a proporcionar la informacin apropiada para que la
gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de
gobierno.
Los productos COBIT se han organizado en tres niveles (Figura 1), diseados para dar
soporte a lo siguiente:
50
Marco de Referencia: explica cmo COBIT organiza los objetivos de gobierno y las
mejores prcticas de TI con base en dominios y procesos de TI, y los alinea a los
requerimientos del negocio.
Objetivos de control: brindan objetivos a la direccin basados en las mejores prcticas
genricas para todas los procesos de TI
Gua de implementacin de gobierno de TI: usando COBIT y Val TI 2 Edicin.
Proporciona un mapa de ruta para implementar gobierno TI utilizando los recursos
COBIT y Val TI.
Prcticas de Control de COBIT: gua para conseguir los objetivos de control para el
xito del gobierno de TI 2 Edicin: Proporciona una gua de por qu vale la pena
implementar controles y cmo implementarlos.
Gua de aseguramiento de TI: usando COBIT: proporciona una gua de cmo COBIT
puede utilizarse para soportar una variedad de actividades de aseguramiento junto
con los pasos de prueba sugeridos para todos los procesos de TI y objetivos de
control.
Planificacin y organizacin
Adquisicin e implantacin
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
Soporte y Servicios
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracin
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Monitoreo y evaluacin
Estos dominios agrupan objetivos de control de alto nivel (Figura 3), que cubren tanto los
aspectos de informacin, como de la tecnologa que la respalda. Estos dominios y
objetivos de control facilitan que la generacin y procesamiento de la informacin cumplan
con las caractersticas de efectividad, eficiencia, confidencialidad, integridad,
disponibilidad, cumplimiento y confiabilidad.
COBIT proporciona una lista completa de procesos que puede ser utilizada para verificar
que se completan las actividades y responsabilidades; sin embargo, no es necesario que
apliquen todas, y, aun ms, se pueden combinar como se necesite por cada empresa.
Procesos
53
PO1 Definicin de un plan estratgico
54
debiendo abarcar aspectos tales como arquitectura de sistemas, direccin
tecnolgica y estrategias de migracin.
El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin
durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.
Las contingencias (por ejemplo, redundancia, resistencia, capacidad de
adecuacin y evolucin de la infraestructura), con lo que se evaluar
sistemticamente el plan de infraestructura tecnolgica.
Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en
el plan de infraestructura tecnolgica.
Esto se realiza por medio de una organizacin conveniente en nmero y habilidades, con
tareas y responsabilidades definidas y comunicadas, teniendo en cuenta:
55
El control del gasto real, se deber tomar como base el sistema de contabilidad de la
organizacin, mismo que deber registrar, procesar y reportar rutinariamente los
costos asociados con las actividades de la funcin de servicios de informacin
La justificacin de costos y beneficios, deber establecerse un control gerencial que
garantice que la prestacin de servicios por parte de la funcin de servicios de
informacin se justifique en cuanto a costos. Los beneficios derivados de las
actividades de TI debern ser analizados en forma similar.
Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as
los requerimientos de negocio, a travs de tcnicas slidas para administracin de
personal, tomando en consideracin:
56
PO8 Asegurar el cumplimiento con los requerimientos externos
Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan
operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar
57
y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido
y se toma en consideracin:
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del
negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a
sistemas existentes.
58
Procesos
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario.
Para ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra
los requerimientos de los usuarios y toma en consideracin:
59
AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica
Para ello se realizar una evaluacin del desempeo del hardware y software, la provisin
de mantenimiento preventivo de hardware y la instalacin, seguridad y control del
software del sistema y toma en consideracin:
Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado.
60
Revisiones post implementacin con el objeto de reportar si el sistema proporciono los
beneficios esperados de la manera ms econmica.
En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca
desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, debern establecerse los
procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por
sistemas de aplicacin, frecuentemente clasificados como controles de aplicacin.
Procesos
Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los requerimientos.
Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos
y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las
polticas de la organizacin y toma en consideracin:
Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el
mejor uso de ella para alcanzar el desempeo deseado.
Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos
y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y
demanda de recursos y toma en consideracin:
Planificacin de severidad
Plan documentado
Procedimientos alternativos
Respaldo y recuperacin
Pruebas y entrenamiento sistemtico y singulares
Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas,
datos y programas est restringido a usuarios autorizados y toma en consideracin:
63
DS6 Educacin y entrenamiento de usuarios
Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y
estn conscientes de los riesgos y responsabilidades involucrados.
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en
consideracin:
Objetivo: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI.
Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean
registrados, calculados y asignados a los niveles de detalle requeridos y toma en
consideracin:
Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido
apropiadamente.
Para ello se realiza un bur de ayuda que proporcione soporte y asesora de primera lnea
y toma en consideracin:
64
DS9 Administracin de la configuracin
Para ello se realizan controles que identifiquen y registren todos los activos de TI as
como su localizacin fsica y un programa regular de verificacin que confirme su
existencia y toma en consideracin:
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean
investigadas para prevenir que vuelvan a suceder.
Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su
entrada, actualizacin, salida y almacenamiento.
Este proceso deber controlar los documentos fuentes (de donde se extraen los datos),
de manera que estn completos, sean precisos y se registren apropiadamente. Se
debern crear tambin procedimientos que validen los datos de entrada y corrijan o
detecten los datos errneos, como as tambin procedimientos de validacin para
transacciones errneas, de manera que stas no sean procesadas. Cabe destacar la
importancia de crear procedimientos para el almacenamiento, respaldo y recuperacin de
datos, teniendo un registro fsico (discos, disquetes, CD y cintas magnticas) de todas las
65
transacciones y datos manejados por la organizacin, albergados tanto dentro como fuera
de la empresa.
Objetivo: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a
cabo regularmente y de una manera ordenada.
Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs
del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,
integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.
Procesos
Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual
se logra definiendo por parte de la gerencia reportes e indicadores de desempeo
gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los
reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos
de xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de
los procesos de la organizacin. La gerencia deber tambin medir el grado de
satisfaccin del los clientes con respecto a los servicios de informacin proporcionados
para identificar deficiencias en los niveles de servicio y establecer objetivos de
mejoramiento, confeccionando informes que indiquen el avance de la organizacin hacia
los objetivos propuestos.
66
M2 Monitorear y evaluar el control interno
Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los
procesos de TI.
M4 Proporcionar gobierno de TI
Esta auditora deber respetar la tica y los estndares profesionales, seleccionando para
ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades
y conocimientos que aseguren tareas efectivas y eficientes de auditora.
67
Un control se define como "las normas, estndares, procedimientos, usos y costumbres y
las estructuras organizativas, diseadas para proporcionar garanta razonable de que los
objetivos empresariales se alcanzaran y que los eventos no deseados se prevern o se
detectaran, y corregirn".
Un objetivo de control se define como "la declaracin del resultado deseado o propuesto
que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier
actividad de TI".
Para cada uno de estos 34 procesos, tiene un enlace a las metas de negocio y TI que
soporta. Informacin de cmo se pueden medir las metas, tambin se proporcionan
cules son sus actividades clave y entregables principales, y quin es el responsable de
ellas.
Es una forma usual de establecer o clasificar si un riesgo es bajo, medio o alto, a travs
de la combinacin de dos dimensiones de un riesgo: su probabilidad de que suceda y el
impacto que esta genere en los objetivos de la empresa si este llegara a ocurrir. La matriz
de probabilidad e impacto (Figura 4), es el punto clave en clasificar los riesgos,
obteniendo as:
Eje X: el impacto que el riesgo genera en los objetivos del proyecto, puede ser de impacto
bajo, medio o alto.
Eje Y: la probabilidad de ocurrencia del riesgo puede ser probabilidad de ocurrencia baja,
media y alta de que suceda.
68
Figura 4: Matriz de Probabilidad e Impacto
Donde:
19
http://es.wikipedia.org/wiki/Diagrama_de_flujo
69
Caractersticas:
Un diagrama de flujo siempre tiene un nico punto de inicio y un nico punto de trmino.
Las siguientes son acciones previas a la realizacin del diagrama de flujo:
Identificar las ideas principales a ser incluidas en el diagrama de flujo. Deben estar
presentes el dueo o responsable del proceso, los dueos o responsables del proceso
anterior y posterior y de otros procesos interrelacionados, otras partes interesadas.
Definir qu se espera obtener del diagrama de flujo.
Identificar quin lo emplear y cmo.
Establecer el nivel de detalle requerido.
Determinar los lmites del proceso a describir.
Simbologa y significado
Subproceso: rectngulo con doble lnea que determina los pasos o actividades que se
incluyen dentro del proceso.
Datos: figura que representa la entrada o salida de informacin que sea procesada o
registrada.
71
2. DESARROLLO DE LA AUDITORIA
2. 1 METODOLOGA
Las metodologas son necesarias para desarrollar cualquier tipo de proyecto de forma
ordenada eficaz, razn por la que la metodologa utilizada para la realizacin de la
auditoria de sistemas dentro de Emssanar E.S.S es de tipo cuantitativo/subjetivo, basados
en un modelo matemtico numrico, arrojando como resultado una lista de riesgos
obtenidos del anlisis de cada uno de los procesos a auditar teniendo en cuenta su
importancia e impacto dentro del rea de sistemas de ah su calificacin y
recomendaciones realizadas.
Este primer paso se realiz con el fin de familiarizarse con el rea de sistemas de la
entidad Emssanar E.S.S, se hace un estudio previo de los procesos a auditar obteniendo
as las herramientas necesarias para una adecuada planeacin de la auditoria, tambin
en esta etapa se definen que elementos se utilizaron para elaborar la auditoria.
Se realizaron varias visitas a la sede principal Emssanar E.S.S con el fin de conocer y
observar los diferentes procesos, para identificarlos y auditarlos, a travs de entrevistas
abiertas se dio inicio a la recoleccin de informacin, dando el siguiente paso que fueron
la aplicacin de cuestionarios cuantificables con los funcionarios de los diferentes
departamentos, como tambin la visita a las diferentes sedes que tiene Emssanar, as:
72
Determinacin de los recursos necesarios con los que se realiz la auditoria.
Se elabor el plan de trabajo.
Etapa en la cual se realiz el informe final que contiene todos los procesos evaluados con
la descripcin del comportamiento que estos tienen dentro de la empresa o los hallazgos
encontrados con sus respectivas recomendaciones que permitan mitigarlos al mximo.
Se incluye en este punto informacin permanente que sirve de consulta gua para la
evaluacin de polticas y procedimientos de la empresa, en este caso de Emssanar ESS.
Emssanar es una Empresa Promotora de Salud del Rgimen Subsidiado que integra a
mas de 1.200.000 mil afiliados en el sur occidente colombiano; cuenta con una red de 270
IPS en los departamentos de Nario, Putumayo, Cauca y Valle, integradas a travs de un
innovador Centro de Contactos que permite mejorar la atencin al usuario.
20
http://www.emssanar.org.co/contenidos/COOEmssanarIPS/rendicion_de_cuentas/CODIGO_DE_
BUEN_GOBIERNO_Y_ETICA.pdf
74
ineficientes y costosas e incorporar al mercado a la poblacin sin capacidad de
comprala ley 100 de 1993, dio origen al concepto de Rgimen Subsidiado de
Aseguramiento en Salud y los subsidios a la demanda se convirtieron en UPC-S / POS-S
o plizas de aseguramiento.
Para ese entonces, el Ministerio de Salud defini una estrategia conocida como Familias
Sanas en Ambientes Sanos y el Programa denominado Empresas Solidarias de Salud,
dirigido a desarrollar la primera etapa conocida como gestin sanitaria, donde se plante
un modelo de atencin en salud para recuperar la convivencia pacfica, el respeto por la
diferencia, el trato personal e integral continuo de los individuos en el entorno familiar
fundamentado en el auto-cuidado.
Considerando a la familia como el primer asegurador de salud y proteccin social que
tendra la capacidad de resolver problemas de muy baja complejidad, donde la madre
actuaba como promotora de salud por naturaleza.
El adquirir servicios de salud con la financiacin del subsidio directo otorgado por el
Estado y la articulacin con el Sistema General de Seguridad Social en Salud, que inicia
la labor de administracin de los recursos con enfoque de riesgo.
El proceso de fortalecimiento y participacin, que como resultado qued la organizacin y
constitucin de las Empresas Solidarias de Salud, el cuidado del medio ambiente, donde
se conformaron los grupos extramurales de apoyo a las familias en su territorio y realidad;
bajo esta idea se desarrollaron diferentes experiencias en Colombia, donde comunidades
organizadas accedan a servicios de salud bsica, mediante un paquete financiado con
los aportes del Ministerio de Salud, los Departamentos, los Municipios y la poblacin
vinculada a dichos procesos.
75
desmotivacin para implementar el programa, encontrando diferentes obstculos para su
ejecucin y desarrollo empresarial.
Para el ao de 1995 se expide el Decreto 2357, que define unas condiciones para operar
en el Rgimen Subsidiado, nominando a todas las empresas operadoras en
Administradoras del Rgimen Subsidiado ARS; adems de condicionar y limitar el nmero
de afiliados en cinco mil al inicio de la operacin de una ESS e incrementarlos a diez mil
en el primer ao, veinticinco mil en el segundo ao y cincuenta mil al tercer ao; adems
de mantener un patrimonio de cien s.m.l.v por cada cinco mil afiliados, contratar una
pliza para enfermedades de alto costo y administrar los recursos a travs de una
Fiduciaria.
En 1998 se expide el Decreto 1804, que exige a las organizaciones que deseen continuar
en el Rgimen Subsidiado, tener: mnimo doscientos mil afiliados, un patrimonio de diez
mil s.m.l.v. contar con una plataforma tecnolgica ptima, una estructura administrativa y
financiera con un sistema de informacin y un sistema de garanta de la calidad que
ofrezca acceso real para cumplir con el aseguramiento en salud de los afiliados al
Rgimen Subsidiado.
76
En la bsqueda de contar con un circuito econmico solidario, que integre realmente a
todos aquellos participantes de la organizacin, incluidos los trabajadores, se transforman
la IPS Ltda. Y la SF Ltda. En Cooperativas donde, se da cabida a los trabajadores como
asociados de la organizacin con el fin de adelantar acciones entorno a la
Responsabilidad Social Empresarial.
La salud es una de las cosas ms importantes en la vida de las personas, pues gracias a
esta es posible realizar en la vida todas aquellas actividades que hacen parte del diario
vivir y las cuales permiten tener una vida plena, por lo tanto para mantener una buena
salud que permita que las condiciones de vida estn en optimas condiciones, lo ms
adecuado es recurrir a las entidades que prestan los servicios de salud y que dan cabida
a mantener un nivel adecuado de salud previniendo o tratando las diferentes
enfermedades y atendiendo casos de accidentes, as las EPS son uno de los mayores
sustentos que tienen a disposicin la sociedad para contar con una buena salud.
Las EPS juegan un papel de vital importancia dentro de la sociedad, EPS hace referencia
a las entidades prestadoras de salud, las cuales pueden ser tanto empresas como
instituciones de naturaleza privada o pblica, las cuales brindan una completa proteccin
en salud, al permitir a sus usuarios el acceso a diferentes medios de atencin, por medio
de citas medicas de carcter preventivo, tratamientos y terapias, a partir de lo cual se
dictan recetas medicas y se brindan medicamentos, tambin se atienden casos de
urgencias, citas odontolgicas y muchos otros medios de prestacin de servicios de salud,
de tal forma son muchas las maneras de brindar los servicios que se derivan de la
definicin de EPS.
En razn a las condiciones propias que caben dentro de la definicin de EPS, se puede
decir que las EPS pueden contar en ciertas ocasiones con una infraestructura propia y en
muchos otros casos les pertenecen a terceros, adems las EPS pueden contar con una
nica sede, pero dentro de la definicin de EPS tambin es posible que la entidad se
encuentre distribuida en una gran red con una sede principal y diferentes puntos de
21
http://www.articulo.org/articulo/9219/definicion_de_eps.html
http://www.articulo.org/1/admin
77
atencin distribuidos en puntos estratgicos de una ciudad o de un territorio, lo que
permite una mayor cobertura para la prestacin de los servicios de salud y mejores
condiciones para los diferentes usuarios, vale la pena resaltar que estas se encuentran
vigiladas o sujetas a controles, para que cumplan con ciertas condiciones de calidad, as
de esta funcin de vigilancia sobre las EPS se encuentran las superintendencias
encargadas de la salud, las cuales son una manera de manifestacin del gobierno.
Entre las principales ventajas que se pueden ubicar en la definicin de EPS, se destacan:
Los usuarios de las EPS, tiene a su disposicin una gran alternativa de servicios y
planes de atencin en salud, los cuales adems deben ser de la ms alta calidad y
competencia, lo cual en la definicin de EPS favorece a la bsqueda de mejorar cada da
en la prestacin de servicios.
De la definicin de EPS, se desprende la idea de planes de educacin en salud,
buscando ante toda la prevencin de las enfermedades con citas mdicas, campaas de
vacunacin, evitando posibles complicaciones y avance de las enfermedades.
Mayor cobertura, como atencin de enfermedades preexistentes, salud mental, dental,
atencin en nutricin y diettica, amplia atencin de casos de embarazo y periodo de
lactancia, entre muchos otros medios de prestaciones en salud.
2.2.5 Objetivo social22. EMSSANAR ESS tendr como objeto el promover el desarrollo
humano integral de sus asociados y de manera especial el organizar y garantizar la
prestacin integral de los servicios de salud especialmente los definidos en los regmenes
de salud contributivo y subsidiado del sistema general de seguridad social, cuando las
condiciones legales, administrativas, tcnicas y financieras lo permitan y con los criterios
de calidad de acuerdo con los principios contenidos en la Constitucin Nacional, La Ley
100 de 1993, La Ley 1122 de 2007, los Decretos Reglamentarios y las normas que los
modifiquen, complementen o adicionen.
22
PORTAFOLIO_ESS.pdf
78
El objeto social lo desarrollar con base en una eficiente administracin de los recursos
que el Estado en sus diferentes niveles destine para tal fin, los aportes de los asociados y
otros que la asociacin pueda captar.
Los alcances y lmites de los servicios de salud sern los que establezcan las normas
legales vigentes que regulan el Sistema General de Seguridad Social en Salud y los que
se establezcan por la Asociacin y sus rganos de direccin.
79
8. Asegurar los riesgos derivados de la atencin de enfermedades de alto costo,
calificadas por el Consejo Nacional de Seguridad Social, de acuerdo con las
condiciones sealadas en las normas vigentes.
11. Informar a los rganos de direccin, administracin, inspeccin y vigilancia del Estado
y dems autoridades correspondientes las irregularidades que se presenten en la
operacin del Sistema General de Seguridad Social en Salud, en especial aquellos
aspectos relacionados con los procesos de identificacin, focalizacin, afiliacin y
carnetizacin de los afiliados a los Planes de Beneficios, independientemente de las
acciones internas que se adelanten para establecer las responsabilidades personales
o institucionales y para la adopcin de los correctivos correspondientes.
2.2.6 Servicios que ofrece23. Emssanar como grupo empresarial, es una organizacin
comunitaria que hace parte del sector de la economa solidaria, se encuentra al servicio
de la comunidad y contribuye a la construccin de la regin sur occidental colombiana a
travs del desarrollo empresarial y la redistribucin social. Conformada por diferentes
servicios como son:
Emssanar EPS-S: Empresa Promotora de Salud del rgimen subsidiado que integra
ms de un milln de afiliados en el sur occidente colombiano, cuenta con una red de
270 IPS en los departamentos de Nario, Putumayo, Cauca y Valle, integradas a
travs de un innovador centro de contactos que permite mejorar la atencin al
usuario.
CooEmssanar IPS: presta servicios de salud bajo el enfoque de mejoramiento
continuo y con nfasis en el paciente y su familia, garantizando la calidad en la
atencin caracterizada por la accesibilidad, oportunidad, seguridad, pertinencia y
continuidad, mediante un modelo de salud preventivo y seguro. La poltica de calidad y
seguridad define que el paciente recibir cuidados en salud sin ser lesionado durante
el proceso de atencin de las personas que prestan los servicios.
CooEmssanar SF: presta servicios dedicados al suministro de medicamentos,
material mdico-quirrgico, productos cosmticos y de uso personal, en el sur
occidente colombiano, garantizando su calidad son responsabilidad, actitud de servicio
23
PORTAFOLIO_ESS.pdf
80
y liderazgo, mediante un talento humano calificado y acreditado, generando confianza
en nuestros clientes.
Fundacin Emssanar: creada como organizacin solidaria de desarrollo, tiene
diferentes lneas de accin: acompaamiento socio empresarial, educacin,
investigacin y comercializacin social de alimentos; en cuyo marco se han ejecutado
proyectos que posibilitan la proyeccin de la organizacin en la atencin a poblacin
pobre y vulnerable de los departamentos de Nario, Putumayo, Cauca y Valle.
Fundacin de servicios educativos de Emssanar (CETEM): entidad sin nimo de
lucro que busca contribuir al mejoramiento de las condiciones y calidad de vida de la
poblacin beneficiaria con programas, planes y proyectos de formacin, capacitacin y
educacin.
81
Organigrama gerencial EPS-S Nario-Putumayo: aprobacin: segn resolucin de
gerencia general 009 De 2.009 (Figura 7).
82
Organigrama gerencia administrativa y financiera: segn resolucin de gerencia
general 0011 de 2.009 (Figura 8).
Organigrama zonal sur: el municipio de Ipiales, tomado como central de los municipios
aledaos, trabaja como zonal de 11 municipios ubicados al sur de Nario (Figura 9), as:
rea de sistemas
Estadstico regional
87
Responder por la seguridad de documentos a su cargo y adoptar mecanismos para su
conservacin, buen uso y evitar prdida de los mismos.
Guardar reserva de la informacin confidencial de la empresa.
Cumplimiento del los diferentes reglamentos, normas y manuales de la empresa.
Participar en los programas de desarrollo humano organizados por la Empresa.
Ingeniero de desarrollo
88
En seguridad y Riesgo:
89
Conocer y operar correctamente los equipos necesarios para cumplimiento de los
procesos del rea.
Mantener en buen estado los equipos confiados a su responsabilidad.
Responder por las herramientas para el mantenimiento preventivo y correctivo de los
equipos de cmputo.
90
Conocer y operar correctamente los equipos necesarios para cumplimiento de los
procesos del rea.
Mantener en buen estado los equipos confiados a su responsabilidad.
Emssanar E.S.S es una entidad que trabaja da a da por ser una de las entidades de
salud que brinde sus servicios de mayor y mejor calidad, as mismo es importante que
esta entidad adelante un sistema de gestin de calidad en pro del desarrollo competitivo a
nivel empresarial.
91
Figura 11: Diagrama general del proceso de soporte y mantenimiento.
92
Diagrama de general del proceso solicitud de nuevo hardware
93
Figura 12: Diagrama general del proceso de solicitud de nuevo hardware.
94
El objetivo del proceso de nivel de obsolescencia es propender por el ptimo
funcionamiento de la infraestructura tecnolgica y de comunicaciones para garantizar la
disponibilidad del sistema de informacin.
97
2.3.2 Programa de auditora. Es importante sealar y detallar el trabajo a realizarse, los
procedimientos a emplearse en la auditoria informtica en el rea de sistemas e
98
indicadores de funcionamiento del hardware en la empresa solidaria de salud Emssanar
E.S.S del departamento de Nario, as, esta auditora se ejecutara mediante la aplicacin
de la metodologa COBIT (objetivos de control para la informacin y tecnologas afines),
dentro del cual existen 4 dominios, de los cuales se aplicaran los siguientes:
PO4 Definir los procesos, organizacin y relaciones de TI: Dentro del rea de
sistemas debe estar claro y definido el personal de la tecnologa de la informacin, los
roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de servicios
que satisfagan los objetivos de la empresa.
99
PO9 Evaluar y administrar los riesgos de TI: Encargado de identificar, analizar y
comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de la
empresa, con el objetivo de asegurar el logro de los objetivos de TI.
Para llevar a cabo la estrategia TI, se debe identificar las soluciones, desarrollarlas y
adquirirlas, as como implementarlas e integrarlas en la empresa, esto para garantizar que
las soluciones satisfaga los objetivos de la empresa. De este dominio se aplicaran las
siguientes actividades:
100
AI3.2 Proteccin y disponibilidad del recurso de infraestructura: para proteger los
recursos tecnolgicos, la empresa debe implementar medidas de control interno,
seguridad y adaptabilidad durante la configuracin, integracin y mantenimiento de la
infraestructura como es en este caso el hardware de los equipos de comunicacin y
de los servidores, que garanticen la disponibilidad e integridad de los recursos
tecnolgicos. Se debe monitorear y evaluar el uso y las responsabilidades de la
utilizacin que se d a estos componentes de infraestructura.
AI3.3 Mantenimiento de la infraestructura: la empresa debe desarrollar una estrategia
de actualizacin y un plan de mantenimiento de la infraestructura, garantizar el control
de los cambios de infraestructura tecnolgica, incluir una revisin peridica contra las
necesidades de la empresa, riesgos, identificar vulnerabilidades.
AI3.4 Ambiente de prueba de factibilidad: evaluar la efectividad y eficacia de la
infraestructura, sobre todo en los procesos de adquisicin, funcionalidad,
configuracin de hardware, pruebas de desempeo, estructura de Red.
AI5 Adquirir recursos de TI: La empresa debe proveer recursos TI que as lo requiera de
manera oportuna y rentable, incluyendo, personas, hardware y servicios, teniendo en
cuenta la definicin de procesos definidos de adquisicin, seleccin de nuevos
proveedores y estndares de adquisicin de hardware.
AI6 Administrar cambios: Para realizar algn cambio bien sea de hardware de
comunicaciones o de servidores, relacionados con la infraestructura , debe existir un
proceso que administre formalmente y controladamente dichos cambios, cada cambio
debe seguir un proceso de recepcin, evaluacin, prioridad y autorizacin previo a la
implantacin, sin obviar la constatacin o revisin despus del cambio, esto con el fin de
reducir riesgos que impacten negativamente la estabilidad o integridad del ambiente del
buen funcionamiento de las comunicaciones y servidores.
101
AI6.3 Cambios de emergencia: la empresa debe tener establecido un proceso para
definir, plantear, evaluar y autorizar los cambios de emergencia que no sigan el
proceso de cambio establecido. La documentacin y pruebas se realizan,
posiblemente, despus de la implantacin del cambio de emergencia.
AI6.4 Seguimiento y reporte del estatus de cambio: Se debe hacer un seguimiento a
travs de un reporte de las solicitudes de cambio, de solucin y autorizacin.
AI6.5 Cierre y documentacin del cambio: Establecer un proceso de revisin para
garantizar la implantacin completa de los cambios.
102
DS4.6 Entrenamiento del plan de continuidad de TI: la empresa debe asegurarse que
todos las partes involucradas reciban sesiones de entrenamiento (Capacitaciones) de
forma regular respecto a los procesos y sus roles y responsabilidades en caso de
incidente o desastre. Verificar e incrementar el entrenamiento de acuerdo con los
resultados de las pruebas de contingencia.
DS12.1 Seleccin y diseo del centro de datos: el rea de sistemas debe definir y
seleccionar los centros de datos fsicos para el equipo de TI para soportar la estrategia
de tecnologa ligada a la estrategia empresarial. Esta seleccin y diseo del esquema
de un centro de datos debe tomar en cuenta el riesgo asociado con desastres
naturales y causados por el hombre. Tambin debe considerar las leyes y
regulaciones correspondientes, tales como regulaciones de seguridad y de salud en el
trabajo.
DS12.2 Medidas de seguridad fsica: evaluar las medidas de seguridad fsicas
alineadas con los requerimientos de la empresa. Las medidas deben incluir zonas de
seguridad, la ubicacin de equipo crtico y de las reas de envo y recepcin de
equipos. En particular, mantenga un perfil bajo respecto a la presencia de operaciones
crticas de TI. Deben establecerse las responsabilidades sobre el monitoreo y los
procedimientos de reporte y de resolucin de incidentes de seguridad fsica.
DS12.3 Acceso fsico: la empresa debe definir e implementar procedimientos para
otorgar, limitar y revocar el acceso a locales, edificios y reas de emergencias. El
acceso a locales, edificios y reas debe justificarse, autorizarse, registrarse y
monitorearse. Esto aplica para todas las personas que accedan a las instalaciones,
incluyendo personal, clientes, proveedores, visitantes o cualquier tercera persona.
DS12.4 Proteccin contra factores ambientales: disear e implementar medidas de
proteccin contra factores ambientales. Deben instalarse dispositivos y equipo
especializado para monitorear y controlar el ambiente.
103
DS12.5 Administracin de instalaciones fsicas: se debe administrar las instalaciones,
incluyendo el equipo de comunicaciones y de suministro de energa, de acuerdo con
las leyes y los reglamentos, los requerimientos tcnicos y de la empresa, las
especificaciones del proveedor y los lineamientos de seguridad y salud.
104
ME2 Monitorear y evaluar el control interno: monitorear de forma continua, comparar y
mejorar el ambiente del rea de sistemas de Emssanar, que se aplicara los siguientes:
ME2.6 Control interno para terceros: evaluar el estado de los controles internos de
los proveedores de servicios externos. Confirmar que los proveedores de servicios
externos cumplen con los requerimientos legales y regulatorios y obligaciones
contractuales.
Los cuadros de definicin contienen el logo de la empresa a Auditar y los campos como
la referencia, la entidad auditada, el objeto de estudios, entre otros, definidos en el
siguiente formato (Figura 15), as:
105
Figura 15: Cuadro de definicin de fuentes de conocimiento
Identificacin del
Nombre de rea a la cual cuadro de
se aplicara la auditoria. definicin
Repositorio De Pruebas De
Espacio que permite Ejecucin: Se describe las acciones
identificar las herramientas a realizar para la ejecucin de la
necesarias para obtener la REPOSITORIO DE PRUEBAS DE
auditoria, como las revisiones,
informacin, puede ser a ANALISIS: Espacio en el que
verificaciones, pruebas y obtencin
travs de entrevistas, describe el anlisis de cada
de inconsistencias, etc
manuales, poltica, archivos proceso y de la informacin
fsicos o magnticos, reportes, obtenida
contratos, etc.
106
Cuestionario cuantitativo: permite definir preguntas tomando como base el cuadro de
definicin de fuente de conocimiento. El cuestionario presenta tres opciones de respuesta
(SI, NO, NA (No Aplica)), permitiendo as calificar el proceso entre 1 a 5, teniendo en
cuenta el nivel de importancia de la pregunta, bajo criterio de los auditores, la sumatoria
del puntaje de las preguntas da el total de la encuesta, se califica las columnas del SI, las
del NO y las NA, sumando el puntaje de las preguntas. La fuente permite identificar los
responsables bien sea una determinada persona o cualquier medio del cual se tom la
informacin para calificar.
Riesgo alto: se debe establecer soluciones inmediatas para reducir el riesgo sin afectar
los objetivos del caso de estudio.
107
Figura 16 Cuestionario cuantitativo
La sumatoria de los SI + NO
+ NA.
108
Entrevistas preguntas abiertas y preguntas cerradas: tcnica utilizada para la
recoleccin de informacin amplia que permita aclarar dudas que dejan los cuestionarios.
Los formatos utilizados para hacer las entrevistas estn ajustados al personal del rea de
Sistemas, al personal tcnico y en general a todo el personal involucrado en el personal
del rea de tecnologas de la informacin y comunicacin.
109
REF
ENTREVISTA
SiemprecercadeUsted!
ENTIDAD PAGINA
AUDITADA Empresa Solidaria de Salud Emssanar ESS 1 DE 3
REA Sistemas SISTEMA Riesgos de la parte fsica del
AUDITADA establecimiento.
OBJETIVO Evaluar en qu condiciones se encuentra la parte fsica del
ENTREVISTA establecimiento donde se encuentran ubicado el hardware
(comunicaciones, servidores y equipos de computo).
ENTREVISTADO
CARGO
5. Qu acciones se llevan a cabo para mitigar los riesgos en cuanto a seguridad fsica?
_____________________________________________________________________
_________________________________________________________
Nombre: _______________________
Firma: __________________________
Fecha de aplicacin: _______________
110
REF
ENTREVISTA
SiemprecercadeUsted!
ENTREVISTADO
CARGO
111
2.3.4 Anlisis y evaluacin riesgos preliminares
112
Laboratorio clnico Emssanar (LAB)
Cresemillas
R1: La seguridad del cuarto de comunicaciones o Rack no sigue las normas de seguridad
establecidas en el estndar ANSI/TIA/EIA-569.
113
Atencin al usuario Emssanar Crdoba (Hay un solo equipo) (COR)
2.3.5 Valoracin de riesgo. Teniendo en cuenta los riesgos encontrados, se toman los
riesgos que para la empresa y segn el caso de estudio tienen mayor importancia, de
acuerdo a lo anterior se realiza la valoracin de los riesgos teniendo en cuenta la
probabilidad de ocurrencia y el impacto del riesgo dentro de lo que es Hardware de
Comunicaciones, Servidores, equipos de Computo e Indicadores de funcionamiento de
Emssanar ESS. En la siguiente tabla (Tabla 2) se unen los riesgos encontrados en las
diferentes sedes, de acuerdo al caso de estudio del proyecto, se valora los riesgos y se
clasifican dentro de los dominios del COBIT a los cuales corresponda segn previo
anlisis, quedando definidos los riesgos as:
114
Tabla 2: Listado de riesgos
116
(SIAU, IPI, COR)
PROBAB IMPACTO
N. RIESGO ILIDAD DOMI
RIE NIO
SG B M A B M A
O
R18 - En Emssanar ESS, no existen sistemas
de alarmas, ni cmaras de seguridad, ni X X (DS12)
deteccin de movimiento. (SP)
- En la sede Fundacin Emssanar no hay
seales de evacuacin. (FE)
- En las sedes Laboratorio Clnico
Emssanar y en la IPS Lorenzo no hay
seguridad de vigilancia. (LAB, LZ)
De acuerdo al resultado mostrados en la anterior grafica (Figura 17), se toman los riesgos
moderados (color amarillo) y riesgos altos (color rojo) como hallazgos encontrados
durante la auditoria, por ser los de mayor probabilidad de ocurrencia y mayor impacto, los
riesgos de color verde por ser de menor riesgo seran tomados como recomendaciones.
117
2.3.6 Tcnicas y herramientas utilizadas
De acuerdo al analisis del COBIT se aplican los procesos y de acuerdo al tipo de auditoria
que se esta aplicando en el area de sistemas de Emssanar, se describen los cuadros de
definicion, asi:
118
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO3-1
Siempre cerca de Usted !
119
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO3-1
Siempre cerca de Usted !
AUDITORES RESPONSABLES
LAURA YANETH NOGUERA Q.
EDY YANIRA SANCHEZ P.
120
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO4-1
Siempre cerca de Usted !
121
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO4-1
Siempre cerca de Usted !
AUDITORES RESPONSABLES
LAURA YANETH NOGUERA Q.
EDY YANIRA SANCHEZ P.
122
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO9-1
Siempre cerca de Usted !
123
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN PO9-1
Siempre cerca de Usted !
AUDITORES RESPONSABLES
LAURA YANETH NOGUERA Q.
EDY YANIRA SANCHEZ P.
124
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN AI3-1
Siempre cerca de Usted !
125
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN AI3-1
Siempre cerca de Usted !
126
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN AI5-1
Siempre cerca de Usted !
.
129
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN DS8-1
Siempre cerca de Usted !
130
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN DS8-1
Siempre cerca de Usted !
AUDITORES RESPONSABLES
LAURA YANETH NOGUERA Q.
EDY YANIRA SANCHEZ P.
131
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN DS12-1
Siempre cerca de Usted !
132
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN DS12-1
Siempre cerca de Usted !
133
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN DS12-1
Siempre cerca de Usted !
134
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN ME1_1
Siempre cerca de Usted !
135
CUADRO DE DEFINICIN DE FUENTES DE CONOCIMIENTO, PRUEBAS REF
DE ANLISIS Y PRUEBAS DE AUDITORIA
PLAN ME2_1
Siempre cerca de Usted !
AUDITORES RESPONSABLES
LAURA YANETH NOGUERA Q.
EDY YANIRA SANCHEZ P.
136
Cuestionarios y entrevistas aplicados en la auditoria
PO3 Determinar la
direccin tecnolgica
La informacin que se busca obtener con la aplicacin del cuestionario est relacionada
con datos del hardware de comunicaciones, servidores y equipos de cmputo.
137
REF
CUESTIONARIO CUANTITATIVO
PLAN P03_2_SP
Sie m p r e c e r c a d e U ste d !
PAGINA
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S. 1 DE 2
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores, y
Equipos de Cmputo.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Planeacin y Organizacin PROCESO Determinar la Direccin
(PO) Tecnolgica (PO3)
PREGUNTA SI NO NA FUENTE
1. Existe un plan de infraestructura tecnolgica?
2. El plan de infraestructura tecnolgica contempla:
Procesos de adquisicin de recursos tecnolgicos?
Procesos de aprobacin de adquisicin de recursos tecnolgicos?
Estrategias de contingencia?
3. Se lleva un control y una actualizacin del plan de infraestructura?
4. Existe un inventario actualizado del hardware de comunicaciones?
5. Existe un inventario actualizado del hardware de servidores?
6. Existe un inventario actualizado del hardware de equipos de cmputo?
7. Existe un plan de rotacin?
8. El proceso de rotacin ayuda a dar un manejo apropiado a los equipos de cmputo
existentes?
9. Existen planes de contingencia en caso de que el hardware no funcione?
10. Esos planes de contingencia estn documentados?
11. Existe hardware adicional para reemplazar equipos que presenten fallas?
12. Existen hojas de vida de los servidores?
13. Existen hojas de vida de los equipos de cmputo?
13.
14. Existe una persona encargada de vigilar el buen funcionamiento del hardware?
14. TOTAL
TOTAL CUESTIONARIO
139
CUESTIONARIO CUANTITATIVO REF
143
REF
ENTREVISTA
ENT PO4_SP
S i e m p r e c e r c a d e U st e d !
ENTIDAD PAGINA
Empresa Solidaria De Salud EMSSANAR E.S.S. 2 DE 2
AUDITADA
REA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones
AUDITADA y servidores
PREGUNTA SI NO OBSEVACION
Existe una descripcin de los procesos que deben
desempear los diferentes usuarios?
Estn claramente definidas las funciones
(mantenimiento preventivo, correctivo, manejo de los
equipos de la red, servicios de red, etc.) que debe
cumplir el personal encargado del funcionamiento del
hardware?
7. 7. Existe un manual de funciones para el personal encargado
del funcionamiento del hardware de los equipos de cmputo?
8. 8. El manual de funciones para los usuarios que interactan con
el hardware de los equipos de computo, cumple con los
siguientes requisitos:
Existe una identificacin clara de los diferentes cargos
o roles que los funcionarios pueden desempear?
Estn claramente definidas las funciones
(mantenimiento preventivo, correctivo, manejo de los
equipos, servicios, etc.) que debe cumplir el personal
encargado del funcionamiento del hardware?
9. 9. Existen planes de contingencia para reemplazar a algunos
funcionarios en caso de ausencia?
10. 10. El plan de contingencia para reemplazar a empleados
cumple con los siguientes requisitos:
Procedimientos para la contratacin de personal de
reemplazo?
Est documentado?
11. 11. Existen personas claves en la operacin, administracin y
funcionamiento del hardware?
12. 12. Existe personal indispensable que opere o administre el
hardware?
13. 13. Existen polticas y procedimientos para realizar la
contratacin de personal nuevo?
144
REF
CUESTIONARIO CUANTITATIVO
PLAN PO9_2_SP
Si e m p r e c e r c a d e U ste d !
145
REF
CUESTIONARIO CUANTITATIVO
PLAN PO9_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S. PAGINA
2 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Servidores, Comunicaciones y Equipos de
Cmputo.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Planeacin y Organizacin PROCESO Evaluacin de riesgos de TI (PO9)
(PO)
PREGUNTA SI NO NA FUENTE
El establecimiento de los objetivos que se pretende alcanzar con la aplicacin de la gestin de
los riegos?
La identificacin y clasificacin de los riesgos a los que se encuentra expuesto el hardware de
las comunicaciones?
La determinacin de la probabilidad de ocurrencia de los riesgos que amenazan el
funcionamiento del hardware de las comunicaciones?
La determinacin de la probabilidad de ocurrencia de los riesgos que amenazan la seguridad
del hardware de las comunicaciones?
La determinacin del impacto que causara la ocurrencia de los riesgos?
La identificacin de controles que mitiguen los riesgos?
La toma de decisiones frente a los riesgos?(Cuales riesgos son aceptables y cuales riesgos
deben mitigarse)
La elaboracin del Plan de Seguridad Informtica?(que acciones de deben llevar a cabo para
mitigar los riesgos)
La ejecucin del Plan de Seguridad Informtica?
5. En Emssanar ESS existen procedimientos o metodologas para el anlisis y gestin de riesgos
del hardware de los equipos de cmputo?
6. Estas polticas, procedimientos o metodologas contemplan:
El establecimiento de los objetivos que se pretende alcanzar con la aplicacin de la gestin de
los riegos?
146
REF
CUESTIONARIO CUANTITATIVO
PLAN PO9_2_SP
Si e m p r e c e r c a d e U ste d !
S i e m p r e c e r c a d e U st e d !
ENT_PO9_SP
ENTIDAD PAGINA
Empresa Solidaria De Salud EMSSANAR E.S.S. 1 DE 3
AUDITADA
REA Sistemas OBJETO DE Hardware de Comunicaciones y
AUDITAD ESTUDIO servidores
A
ENTREVISTADO Ing. Diego Bastidas
CARGO Auxiliar De Soporte Y Mantenimiento
PREGUNTA SI NO OBSERVACION
1. En Emssanar ESS existen procedimientos o metodologas
para el anlisis y gestin de riesgos del hardware de los
servidores?
2. Estas polticas, procedimientos o metodologas
contemplan:
El establecimiento de los objetivos que se pretende
alcanzar con la aplicacin de la gestin de los riegos?
La identificacin y clasificacin de los riesgos a los que se
encuentra expuesto el hardware de los servidores?
La determinacin de la probabilidad de ocurrencia de los
riesgos que amenazan el funcionamiento del hardware de
los servidores?
La determinacin de la probabilidad de ocurrencia de los
riesgos que amenazan la seguridad del hardware de los
servidores?
La determinacin del impacto que causara la ocurrencia
de los riesgos?
La identificacin de controles que mitiguen los riesgos?
La toma de decisiones frente a los riesgos?(Cuales
riesgos son aceptables y cuales riesgos deben mitigarse)
La elaboracin del Plan de Seguridad Informtica?(que
acciones de deben llevar a cabo para mitigar los riesgos)
La ejecucin del Plan de Seguridad Informtica?
3. En Emssanar ESS existen procedimientos o metodologas
para el anlisis y gestin de riesgos del hardware de las
comunicaciones?
4. Estas polticas, procedimientos o metodologas
contemplan:
El establecimiento de los objetivos que se pretende
alcanzar con la aplicacin de la gestin de los riegos?
La identificacin y clasificacin de los riesgos a los que se
encuentra expuesto el hardware de las comunicaciones?
La determinacin de la probabilidad de ocurrencia de los
riesgos que amenazan el funcionamiento del hardware de
las comunicaciones?
148
REF
ENTREVISTA
S i e m p r e c e r c a d e U st e d !
ENT_PO9_SP
ENTIDAD PAGINA
Empresa Solidaria De Salud EMSSANAR E.S.S. 2 DE 3
AUDITADA
REA Sistemas OBJETO DE Hardware de Comunicaciones y
AUDITAD ESTUDIO servidores
A
ENTREVISTADO Ing. Diego Bastidas
CARGO Auxiliar De Soporte Y Mantenimiento
PREGUNTA SI NO OBSERVACION
5. Estas polticas, procedimientos o metodologas contemplan:
El establecimiento de los objetivos que se pretende
alcanzar con la aplicacin de la gestin de los riegos?
6. Estas polticas, procedimientos o metodologas contemplan:
El establecimiento de los objetivos que se pretende
alcanzar con la aplicacin de la gestin de los riegos?
La identificacin y clasificacin de los riesgos a los que
se encuentra expuesto el hardware de las
comunicaciones?
La determinacin de la probabilidad de ocurrencia de
los riesgos que amenazan el funcionamiento del
hardware de las comunicaciones?
La determinacin de la probabilidad de ocurrencia de
los riesgos que amenazan la seguridad del hardware
de las comunicaciones?
La determinacin del impacto que causara la
ocurrencia de los riesgos?
La identificacin de controles que mitiguen los riesgos?
S i e m p r e c e r c a d e U st e d !
ENT_PO9_SP
ENTIDAD PAGINA
Empresa Solidaria De Salud EMSSANAR E.S.S. 3 DE 3
AUDITADA
REA Sistemas OBJETO DE Hardware de Comunicaciones y
AUDITAD ESTUDIO servidores
A
ENTREVISTADO Ing. Diego Bastidas
CARGO Auxiliar De Soporte Y Mantenimiento
PREGUNTA SI NO OBSERVACION
150
REF
ENTREVISTA
Sie m p r e c e r c a d e U ste d ! ENT PO9_CC
1. En qu consiste su cargo?
__________________________________________________________________
__________________________________________________________________
4. Considera que las caractersticas del hardware del equipo son suficientes para el
desempeo de su trabajo?
__________________________________________________________________
__________________________________________________________________
151
REF
ENTREVISTA
Sie m p r e c e r c a d e U ste d ! ENT PO9_CC
11. Considera usted que el mantenimiento que se le hace a los equipos es oportuno?
__________________________________________________________________
_________________________________________________________________
152
Dominio: adquisicin e implementacin (AI)
La informacin que se busca obtener con la aplicacin del cuestionario est relacionada
con datos del mantenimiento del hardware de comunicaciones, servidores y equipos de
cmputo, solicitudes de nuevo hardware.
153
REF
CUESTIONARIO
CUANTITATIVO PLAN AI3_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD PAGINA
AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S.
1 DE 5
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Adquisicin e Implementacin (AI) PROCESO Adquirir y Mantener Infraestructura Tecnolgica (AI3)
PREGUNTA SI NO NA FUENTE
1. Existe personal capacitado para el manejo, adquisicin y mantenimiento de la infraestructura
Tecnolgica?
2. Existe un procedimiento o polticas para la adquisicin del hardware (comunicaciones y
servidores)?
3. Estas polticas o procedimientos contiene:
La solicitud de nuevas adquisiciones de hardware (equipos de comunicacin) y sus
La
especificaciones.
solicitud de nuevas adquisiciones de hardware (servidores) y sus especificaciones.
El anlisis y evaluacin de las solicitudes.
La aprobacin de la adquisicin de hardware.
La recepcin y anlisis de cotizaciones a diferentes proveedores del hardware.
Eleccin de la mejor propuesta de los proveedores (calidad, costo y garanta) para la compra del
hardware.
4. Los funcionarios del rea de sistemas son conocedores de estas polticas?
5. Existe documentacin de la informacin anterior?
6. Existe un plan de mantenimiento de la infraestructura tecnolgica?
7. El plan de mantenimiento de infraestructura tecnolgica contiene:
Mantenimiento preventivo del hardware de comunicaciones.
Mantenimiento preventivo del hardware de servidores
Mantenimiento correctivo del hardware de comunicaciones.
154
REF
CUESTIONARIO
CUANTITATIVO PLAN AI3_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD PAGINA
AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S.
2 DE 5
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Adquisicin e Implementacin (AI) PROCESO Adquirir y Mantener Infraestructura Tecnolgica (AI3)
PREGUNTA SI NO NA FUENTE
Mantenimiento correctivo del hardware de servidores.
8. En cuanto al mantenimiento preventivo del hardware se realiza
Revisin de la Instalacin de los equipos de comunicaciones
Revisin de la Instalacin de los servidores
La revisin peridica del estado de los equipos de comunicaciones.
La revisin peridica del estado de los equipos de los servidores.
Limpieza fsica (utilizando sopladoras, cremas, productos qumicos especializados, etc.) de los
equipos de computo
Limpieza fsica (utilizando sopladoras, cremas, productos qumicos especializados, etc.) de los
servidores.
9. En cuanto al mantenimiento correctivo se realiza:
Pruebas de funcionamiento de cada uno de los dispositivos (CPU, RAM, board, tarjeta de red,
tarjeta de video, etc.) que conforman un servidor.
Reemplazo del dispositivo defectuoso
Reparacin del dispositivo defectuoso
Pruebas de funcionamiento de la terminal una vez realizados el mantenimiento.
Pruebas de funcionamiento de cada uno de los dispositivos de comunicacin (Mdems, Hubs,
Repetidores, bridges, Routers, Gateways, etc)
10. Existe el manual de funciones para el personal encargado de realizar el mantenimiento
preventivo y correctivo de los equipos de cmputo?
155
REF
CUESTIONARIO
CUANTITATIVO PLAN AI3_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD PAGINA
AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S.
3 DE 5
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Adquisicin e Implementacin (AI) PROCESO Adquirir y Mantener Infraestructura Tecnolgica (AI3)
PREGUNTA SI NO NA FUENTE
11. Existe el manual de funciones para el personal encargado de realizar el mantenimiento
preventivo y correctivo de los equipos de comunicaciones?
12. Existe el manual de funciones para el personal encargado de realizar el mantenimiento
preventivo y correctivo de los servidores?
13. El manual de funciones para el personal encargado de realizar estas funciones, tiene en
cuenta:
Descripcin del cargo y perfil del funcionario encargado de realizar el mantenimiento
preventivo y correctivo de los equipos de comunicaciones y servidores?
Descripcin detallada de los procedimientos a seguir dependiendo del caso a revisar (dao de
disco duro, dao de CPU, dao de monitor, etc.)
14. Dentro del personal de mantenimiento existe una persona preparada/especialista en
reparaciones elctricas (redes elctricas, etc.)?
15. Dentro del personal de mantenimiento existe un especialista en reparacin de equipos de
comunicacin?
16. Dentro del personal de mantenimiento existe un especialista en reparacin de
servidores?
17. Dentro del personal de mantenimiento existe un especialista en redes?
18. El personal encargado de realizar el procedimiento de mantenimiento preventivo y correctivo de
los equipos de comunicacin, tiene la capacidad y la experiencia para hacerlo?
19. El personal encargado de realizar el procedimiento de mantenimiento preventivo y correctivo de
los servidores, tiene la capacidad y la experiencia para hacerlo?
156
REF
CUESTIONARIO
CUANTITATIVO PLAN AI3_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD PAGINA
AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S.
4 DE 5
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Adquisicin e Implementacin (AI) PROCESO Adquirir y Mantener Infraestructura Tecnolgica (AI3)
PREGUNTA SI NO NA FUENTE
20. Existe en Emssanar un inventario detallado de los elementos de hardware que soportan el
normal funcionamiento de la red de comunicaciones?
21. Existe en Emssanar un inventario detallado de los elementos de hardware que soportan el
normal funcionamiento de los servidores?
22. Peridicamente se lleva a cabo un control de la actualizacin del inventario:
Trimestral
Semestral
Anual
23. Para los equipos de computo (servidor, terminales) este inventario tiene en cuenta:
Caractersticas del procesador (nombre de referencia, modelo, familia, velocidad, etc.)
Caractersticas de la memoria RAM (capacidad instalada, capacidad mxima, tipo de
memoria, etc.) de la placa madre (modelo, nombre del fabricante, etc.)
Caractersticas
Caractersticas del disco duro (modelo, capacidad almacenamiento, etc.)
Caractersticas del disco duro (modelo, capacidad almacenamiento, etc.)
Caractersticas generales (modelo, referencia, marca, etc.) de perifricos (teclado, monitor,
Mouse, etc.)
Licencia (en caso de necesitarse) del Sistema Operativo instalado
157
REF
CUESTIONARIO
CUANTITATIVO PLAN AI3_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD PAGINA
AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S.
5 DE 5
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Adquisicin e Implementacin (AI) PROCESO Adquirir y Mantener Infraestructura Tecnolgica (AI3)
PREGUNTA SI NO NA FUENTE
Relacin del hardware instalado
24. Cuando se presenta un dao o cada de la red en una terminal de trabajo o del servidor, existe
un procedimiento a seguir?
25. Este procedimiento contempla:
Realizacin por parte del funcionario responsable del equipo, de una solicitud por escrito para
la revisin del equipo.
Entrega (mediante acta o documento) por parte del funcionario del equipo daado al personal
de mantenimiento.
Recepcin (mediante acta o documento) por parte de personal de mantenimiento del equipo a
revisar.
Revisin y solucin de acuerdo a las polticas y procedimientos estipulados para estos fines.
Entrega por parte del personal de mantenimiento y recepcin por parte del funcionario
que reporto el dao, del equipo de computo ya reparado.
El procedimiento de entrega y recepcin de soluciones est documentada.
26. Este proceso es conocido por los funcionarios del rea de sistemas?
TOTAL
TOTAL CUESTIONARIO
158
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO CUANTOSOBSERVACION
1. Existe personal encargado de administrar la
Red?
2. Quien opera y/o administra la Red es:
Ingeniero de sistemas
Tcnico en sistemas
Tecnlogo en sistemas
Otro (cual)
3. E xiste un manual de funciones del manejo
de Red (Servicios de red, mantenimiento,
manejo de la red, soporte de hardware,
4. Existe
etc.)? diagrama de Red?
5. La gestin de Red es manejada por:
rea de Sistemas
Contratacin de un servicio tercerizado.
6. Dentro de la gestin de red, se tiene en
cuenta:
La planificacin, organizacin, operacin,
mantenimiento y control de los elementos
Garantizar
que formanun la
nivel
red.de servicio de acuerdo a
Permitir la capacidad de intercambio y
un costo.
procesamiento de informacin de gestin a
fin de ayudar a la administracin de la red
a realizar sus actividades con eficiencia.
7. La gestin de red est documentada?
8. El adecuado empleo de las tecnologas de
gestin de red, permite:
Mejorar la eficiencia la disponibilidad y el
desempeo de las redes.
Aumentar la relacin calidad/costo en el
diseo y operacin de redes, sea
disminuir los costos de funcionamiento de
una red y/o aumentar la calidad de servicio.
Aumentar la satisfaccin de los usuarios.
Reducir la necesidad de recursos humanos
en la operacin de la red.
159
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d !
ENTIDAD Empresa solidaria de Salud Emssanar ESS Nario PAGINA
AUDITADA 2 DE 8
REA Sistemas. OBJETO DE ESTUDIO Hardware de Comunicaciones,
AUDITADA servidores y equipos de cmputo.
PREGUNTA SI NO CUANTOSOBSERVACION
9. Para tener mayor eficiencia en la operacin de
la Red, se tiene en cuenta:
Recursos humanos (honestidad, creatividad,
capacidad de respuesta rpida, motivacin,
relaciones humanas).
Desarrollo tecnolgico (diseo de la red,
operacin, optimizacin, expansin,
instalacin y vida til de la misma)
Mtodos de trabajo (seguridad,
configuracin, fallos, etc).
Herramientas (plataforma de gestin)
10. El cumplimiento de los objetivos planificados
para el rea de comunicaciones se controla
mediante:
Un servidor utilizado por el rea de
sistemas para monitorear las actividades de
las distintas reas.
Informes de avance peridicos elevados a
las autoridades del rea de sistemas.
Reportes de carcter informal.
Supervisin no documentada.
11. El rea de sistemas dispone de polticas,
procedimientos y estndares documentados
aprobados formalmente para las tareas:
Desarrollo y mantenimiento de la red.
Administracin de la seguridad.
Tratamiento de contingencias.
Administracin de copias de backups.
Otros
12. Cuntas lneas telefnicas hay en Emssanar?
13. La incorporacin de comunicaciones en el
rea de sistemas en Emssanar es realizada
por:
PREGUNTA SI NO CUANTOSOBSERVACION
Desarrollos realizados por un grupo externo.
Contratado y supervisado por el rea de
sistemas.
Desarrollos realizados por Ingenieros de
sistemas, tcnicos contratados por las reas
usuarias.
Provisin de sistemas o de equipos de
comunicacin por parte de otros organismos
del Estado.
Otros (Cuales)
14. La plataforma tecnolgica del rea de
sistemas cuenta con:
Mainframe.
Servidores de tecnologa Intel con sistemas
operativos tipo Novell, Windows NT, Linux,
Servidores
Unix, etc. de tecnologa RISC -S.O Unix.
Servidores de tecnologa CISC con sistemas
operativos Unix.
Servidores de tecnologa CISC Y RISC
(tecnologa hibrida) de acuerdo al tipo
Otros servidores
procesador (AS/400, VAX, etc.).
del equipo.
15. En caso de cada de un servidor, se toman
medidas de emergencia?
16. Las medidas de emergencia tiene en cuenta:
Contar con servidores de respaldo.
Hardware disponible para dar soporte a
fallos (memoria, disco duro, etc)
Actualizacin de tecnologa para servidores.
Otros (cuales).
17. Cuntos servidores hay?
18. Los Tipos de Servicios montados en
servidores que maneja Emssanar son:
Servidor web REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d ! 161
ENTIDAD Empresa solidaria de Salud Emssanar ESS Nario PAGINA
AUDITADA 4 DE 8
REA Sistemas. 3
OBJETO DE ESTUDIO Hardware de Comunicaciones,
AUDITADA servidores y equipos de cmputo.
PREGUNTA SI NO CUANTOSOBSERVACION
Servidor de correo
Servidor de Base de Datos
Servidor de archivos (almacena varios
archivos y distribuye a otros clientes en red).
Servidor de impresiones (controla una o ms
impresoras y acepta trabajos de impresin
de otros clientes de la red)
Servidor de fax
Servidor de la telefona
Servidor Proxy
Servidor del acceso remoto (RAS)
Servidor de reserva
Otros (cuales)
19. Los servidores se conectan a la red
mediante una interfaz que puede ser una red
verdadera o mediante conexin va lnea
telefnica o digital?
20. Existe documentacin del hardware de los
servidores?
21. Existen Hojas de vida de los servidores?
Telefona
Base de datos
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d ! 162
ENTIDAD Empresa solidaria de Salud Emssanar ESS Nario PAGINA
AUDITADA 5 DE 8
REA Sistemas. 3
OBJETO DE ESTUDIO Hardware de Comunicaciones,
AUDITADA servidores y equipos de cmputo.
ENTREVISTADO Diego Bastidas
CARGO Auxiliar De Soporte Tcnico Y Mantenimiento
PREGUNTA SI NO CUANTOSOBSERVACION
Sitio Web
Correo electrnico
Firewall
Intranet
24. El sitio Web de Emssanar es utilizado para:
Difusin de informacin y/o servicios de
carcter pblico.
25. Recepcin de informacin.
Emisin de documentacin.
Otro (cual)
26. En cuanto a Comunicaciones, existe un
inventario de equipos de telecomunicaciones?
27. Tipo de Red:
Red de rea Local (LAN)
Red de rea metropolitana (MAN)
28. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
29. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
30. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
31. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
32. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
33. En cuanto a servicios, Emssanar dispone de:
Telefona
Base de datos
34. En cuanto a servicios, Emssanar dispone de:
Telefona
163
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO CUANTOSOBSERVACION
Base de datos
Red de rea Amplia (WAN)
35. Componentes de la red:
Servidores.
Estaciones de trabajo.
Sistema de cableado.
Recursos y perifricos compartidos
(dispositivos de almacenamiento ligado al
servidor como impresoras, discos pticos
36. Topologa
etc). de la Red:
Topologa en Bus
Topologa anillo
Topologa estrella
37. Dispositivos de la Red:
Swicthes
Mdems
Hubs
Repetidores
Bridges
Routers
Gateways
38. Las redes de acceso disponibles en Emssanar:
Telefona fija
Banda ancha
Telefona mvil
Redes de televisin
Canal dedicado
Modem
Redes privadas virtuales VPNs
MPLS
39. Segn el tipo de tecnologa, Emssanar EPS
posee:
Lneas convencionales RTB (telefnica bas)
164
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO CUANTOSOBSERVACION
Lneas digitales por ADSL (Lnea de
Abonado Digital Asimtrica)
Lneas RDSI (Red digital de serv. integrados)
40. Quien monitorea la red es:
Personal capacitado de la empresa
Proveedor de la red
41. Existe documentacin de lo anterior?
42. Existen polticas o procedimientos para el
mantenimiento de los servicios de la Red?
43. Las polticas o procedimientos contienen:
Intervalos de tiempo fuera de servicio
Uso adecuado de internet
Tener habilitado servicios que se necesiten.
Reglamento de uso de herramientas
44. Estas
informticas.
polticas o procedimientos estn
documentadas?
45. Existe un manual de red de comunicaciones
y servicios?
46. Se tiene seguros sobre todos los equipos de
comunicaciones?
47. Se tiene seguros sobre todos los equipos de
servidores y equipos de cmputo?
48. Con que empresa o compaa? (plizas de
seguro) normas para el manejo de las
49. Existen
comunicaciones?
50. En cuanto a las normas, existen:
Normas de control de calidad
Normas ISO. (Cual).
51. Existen polticas propias de la empresa para
el manejo de las comunicaciones?
52. Estas Normas y polticas se aplican y se
cumplen?proveedores de red?
53. Existen
54. En cuanto a proveedores de red, estn:
Telmex
Telefnica
165
REF
ENTREVISTA
ENT_AI3_SP_2
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO CUANTOSOBSERVACION
Comcel
Movistar
Otro (cual).
55. Existen polticas en cuanto a contratacin de
proveedores de red?
56. Estas polticas, contienen:
Trminos cumplimiento o incumplimiento de
contratacin por parte y parte.
Soporte y mantenimiento.
Garantas
Otros (cuales)
57. Estas polticas estn documentadas?
166
REF
ENTREVISTA
S ie m p r e c e r c a d e U ste d ! ENT_AI3_SP_1
ENTIDAD PAGINA
AUDITADA Empresa solidaria de Salud Emssanar ESS Nario 1 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de
OBJETIVO DE LA Evaluar la forma de comunicacin, el uso y Comunicaciones
mantenimiento de los
ENTREVISTA equipos de comunicaciones, de las diferentes sedes interconectadas.
4. En esta sede hay alguna persona encargada del manejo y control de la red de
comunicaciones?
________________________________________________________________
________________________________________________________________
167
REF
ENTREVISTA
S ie m p r e c e r c a d e U ste d ! ENT_AI3_SP_1
ENTIDAD PAGINA
AUDITADA Empresa solidaria de Salud Emssanar ESS Nario 2 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de
OBJETIVO DE LA Evaluar la forma de comunicacin, el uso y Comunicaciones
mantenimiento de los
ENTREVISTA equipos de comunicaciones, de las diferentes sedes interconectadas.
11. Recibe solucin inmediata de soporte tcnico por parte de los proveedores?
________________________________________________________________
________________________________________________________________
19. Qu tipo de conexin a la red tiene, Canal dedicado, banda ancha, enlace u otro?
Cul?______________________________________________________________
_________________________________________________________________
20. En cuanto a los cuartos de Comunicacin hay uno por cada piso?
_________________________________________________________________
_________________________________________________________________
24. Tiene alguna recomendacin para mejorar la comunicacin con esta sede?
_________________________________________________________________
_________________________________________________________________
169
REF
CUESTIONARIO
PLAN AI5_2_SP
S i e m p r e c e r c a d e U st e d !
CUANTITATIVO
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S. PAGINA
1 DE 2
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo.
PREGUNTA SI NO NA FUENTE
1. Existen polticas o procedimientos estndares relacionados con la adquisicin de nuevos
recursos TI (hardware)?
2. Las polticas o procedimientos contienen lo siguiente:
Polticas de adquisicin de recursos de TI (Hardware de comunicaciones y servidores).
Polticas de seleccin de nuevos proveedores.
Estndares de adquisicin de hardware (Comunicaciones y servidores).
3. Existen un procedimiento general para la adquisicin de hardware en cuanto a:
Documentacin de nuevas adquisiciones
Estndares de la nueva infraestructura adquirida.
Normas de instalacin fsica de la Red
4. Existe en la empresa un procedimiento establecido para modificar y concluir contratos para
todos los proveedores?
5. Se evala los contratos con proveedores en cuanto a la adquisicin de recursos de hardware
de comunicaciones?
6. Se evala los contratos con proveedores en cuanto a la adquisicin de recursos de hardware
de los servidores?
7. El proceso de seleccin de proveedores tiene en cuenta:
Listado de proveedores acreditados para hacer la adquisicin
La seleccin de proveedores se ajusta a los requerimientos de Emssanar.
Impacto ambiental.
170
REF
CUESTIONARIO
PLAN AI5_2_SP
S i e m p r e c e r c a d e U st e d !
CUANTITATIVO
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S. PAGINA
2 DE 2
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de Computo.
PREGUNTA SI NO NA FUENTE
Por parte de los proveedores, ofrecen servicios de asesora tcnica y/o capacitacin.
171
REF
ENTREVISTA
ENT_AI5_SP_1
Si e m p r e c e r c a d e U ste d !
ENTIDAD Empresa solidaria de Salud Emssanar ESS PAGINA
AUDITADA Nario 1 DE 2
REA Sistemas OBJETO DE Hardware de Comunicaciones y
AUDITADA ESTUDIO servidores (Proveedores)
ENTREVISTAD Harold Caicedo
O
CARGO Jefe de Sistemas
172
REF
ENTREVISTA
ENT_AI5_SP_1
Si e m p r e c e r c a d e U ste d !
PREGUNTA SI NO CUANTOSOBSERVACION
Se establecen contratos de mantenimiento de
soporte de Red.
9. Se realiza revisin detallada y continua de
contratos con los proveedores?
10. Existe documentacin de los contratos con
proveedores?
11. Existen en el departamento de Sistemas, un
inventario detallado de los elementos de
hardware y software que soportan el normal
funcionamiento de las comunicaciones?
12. Para los equipos de computo (servidor,
terminales) este inventario tiene en cuenta:
Caractersticas de la memoria RAM
(capacidad instalada, capacidad mxima,
tipo de memoria, etc.)
Caractersticas del procesador (nombre de
referencia, modelo, familia, velocidad, etc.)
Caractersticas de la placa madre (modelo,
nombre del fabricante, etc.)
Caractersticas del disco duro (modelo,
capacidad almacenamiento, etc.)
Caractersticas generales (modelo,
referencia, marca, etc.) de los
perifricos (teclado, monitor, Mouse, etc.)
Licencia (en caso de necesitarse) del Sistema
Operativo instalado.
Licencia (en caso de necesitarse) del software
instalado.
Caractersticas del disco duro (modelo,
capacidad almacenamiento, etc.)
13. . Existe documentacin del inventario de
Hardware?
173
CUESTIONARIO CUANTITATIVO REF
PLAN AI6_2_SP
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO NA FUENTE
1. Existe algn procedimiento definido para realizar cambios en la infraestructura
tecnolgica?
2. Los procedimientos para el control de cambios tiene en cuenta los siguientes puntos:
Solicitud formal de cambios
Anlisis, estudio y aprobacin o reprobacin de la solicitud de cambios
Priorizacin de solicitudes de cambios
3. Existe un reporte de solicitudes de cambio?
4. El reporte de las solicitudes tiene en cuenta:
Control de las solicitudes de cambios.
Seguimiento de los cambios.
Aprobacin de los cambios.
Listado de prioridades de las solicitudes aceptadas
Solucin de los cambios
Fijacin de Fecha de solucin a los cambios aprobados
Cumplimiento de los cambios previstos.
5. Existe un proceso de revisin para garantizar la implantacin completa de los cambios?
Existe un responsable de cada cambio.
174
CUESTIONARIO CUANTITATIVO REF
PLAN AI6_2_SP
Si e m p r e c e r c a d e U st e d !
PREGUNTA SI NO NA FUENTE
TOTAL
TOTAL CUESTIONARIO
175
Entrega de servicio y soporte (DS)
176
CUESTIONARIO CUANTITATIVO REF
PLAN DS4-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
1. Existen polticas y estrategias para garantizar la continuidad de los servicios de TI para las
comunicaciones en Emssanar EPS?
2. En el POA se encuentran contempladas las polticas de continuidad de los servicios TI?
3. Las polticas de continuidad del los servicios, est conformado por:
Roles y responsabilidades del personal de aseguramiento de la continuidad de los servicios de
TI.
Polticas y lineamientos necesarios para guiar las acciones de prevencin de desastres y para
asegurar que se cuenta con los planes necesarios para enfrentar y recuperarse de un desastre,
con el menor impacto posible.
Definicin del esquema de anlisis de riesgo.
Reglas y polticas para documentar y distribuir los planes.
Definicin de polticas para la aprobacin de los correspondientes planes
4. Las polticas de continuidad de los servicios de TI, contemplan una estrategia de continuidad
alineada con la estrategia de continuidad de la Empresa?
5. Las polticas de continuidad de los servicios de TI, contemplan la identificacin de los procesos
crticos y el anlisis del impacto?
6. Las polticas de los servicios de TI, contemplan la existencia de un Plan de continuidad o
POA?
7. El Plan de Continuidad o POA contiene:
Gua de cmo utilizar el Plan?
177
CUESTIONARIO CUANTITATIVO REF
PLAN DS4-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
Identificacin de tiempo fuera de servicio del hardware de comunicaciones?
Identificacin de tiempo fuera de servicio de los servidores?
Identificacin crtica de personas afectadas y de los responsables por cada funcin del Plan
Existe un plan de accin
8. Existe control, actualizacin y mantenimientos del plan de continuidad o Plan Operativo Anual
POA? una persona encargada del control y la actualizacin del plan de continuidad o POA?
9. Existe
10. Las polticas de continuidad de los servicios de TI, contemplan la identificacin de estrategias
de continuidad?
11. Las polticas de continuidad de los servicios de TI, contemplan la realizacin de pruebas y la
actualizacin del Plan de Continuidad?
12. En las pruebas realizadas se incluyen:
Verificacin de la totalidad y precisin del Plan
Evaluacin del desempeo del personal involucrado
Identificar la capacidad de recuperar registros e informacin importante?
13. Las estrategias y polticas de continuidad de los servicios de TI, estn documentadas?
14. Las estrategias y polticas de continuidad de los servicios de TI, son conocidas por los
usuarios? TOTALES
TOTAL CUESTIONARIO
PLAN DS8-2-SP
Siempre cerca de Usted !
180
CUESTIONARIO CUANTITATIVO REF
PLAN DS8-2-E.IPS
Siempre cerca de Usted !
REGUNTA SI NO NA FUENTE
1. Existe una mesa de servicios donde usted pueda reportar problemas tcnicos de la red de
comunicaciones o de los equipos de cmputo?
2. Considera usted que el tiempo que se tarda la mesa de ayuda en dar solucin a los problemas
tcnicos es el adecuado?
3. Considera usted que la solucin que se da a los problemas tcnicos es eficiente?
4. Considera usted que se da prioridad a los problemas tcnicos dependiendo del caso?
5. El tiempo de atencin a llamadas para reportar problemas tcnicos es:
Tiempo de respuesta inmediata
Tiempo de respuesta a mediano plazo
Tiempo de respuesta a largo plazo.
6. La mesa de ayuda atiende, analiza y da solucin oportuna a todos los incidentes reportados,
requerimientos de servicio y solicitudes de informacin?
7. El servicio y la atencin de la mesa de ayuda es:
Bueno
Regular
Deficiente
TOTALES
TOTAL ENCUESTA
181
CUESTIONARIO CUANTITATIVO REF
PLAN DS12-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
Acceso a las instalaciones
1. Existen polticas y procedimientos de seguridad para el acceso y salida de las instalaciones
de Emssanar EPS en el rea de sistemas?
2. Dentro de las polticas de seguridad para controlar la entrada y salida a las instalaciones de
Emssanar, se tiene en cuenta:
Que todos los individuos que entran a las instalaciones, se identifique, sean autenticados y
autorizados.
Realizacin de requisas a las personas que ingresan y que salen de las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.) que ingresan a las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.) que salen de las instalaciones.
Para los visitantes que ingresan por el parqueadero de vehculos y motocicletas, se realiza la
identificacin, autenticacin y autorizacin para el ingreso.
Se realizan requisas de los usuarios de los vehculos que ingresan y salen de las instalaciones.
3. Existen controles para restringir el acceso fsico de las personas al rea de sistemas?
4. Existen controles para restringir el acceso fsico de otros (pblico en general) a el rea de
sistemas?
5. Las condiciones fsicas donde se encuentran los equipos de cmputo cumplen con los
requerimientos de seguridad establecidos?
6. Las instalaciones del centro de computo, cumplen con los requerimientos en cuanto a:
Espacio y movilidad. Posibilidades de movilidad de los equipos, suelo fijo, posibilidad de las
personas, etc.
182
CUESTIONARIO CUANTITATIVO REF
PLAN DS12-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
Condiciones fsicas
Caractersticas de las salas altura, anchura, posicin de las columnas.
Iluminacin. El sistema de iluminacin debe ser apropiado para evitar reflejos en las pantallas,
falta de luz en determinados puntos, y se evitar la incidencia directa del sol sobre los equipos.
Tratamiento acstico. Los equipos ruidosos como las impresoras con impacto, deben estar en
zonas donde tanto el ruido como la vibracin se encuentren amortiguados.
Equipos de aire acondicionado deben estar en zona segura.
Sistemas de ventilacin. Las instalaciones del centro de cmputo deben contar con adecuados
sistemas de ventilacin y disipadores de calor, para evitar daos en los equipos por
recalentamiento.
Seguridad fsica. Las instalaciones del centro de computo cuentan con sistema contra incendios
Los materiales del centro de computo son incombustibles (pintura de las paredes, suelo, techo,
mesas, estanteras, etc.).
Los materiales del centro de computo son incombustibles.
Existen protecciones contra inundaciones y otros peligros fsicos que puedan afectar a la
instalacin.
Suministro elctrico. El suministro elctrico a un Centro de Cmputo, y en particular la
alimentacin de los equipos, debe hacerse con unas condiciones especiales, como la utilizacin
de una lnea independiente del resto de la instalacin para evitar interferencias, con elementos
de proteccin y seguridad especficos y en muchos casos con sistemas de alimentacin
ininterrumpida (equipos electrgenos, instalacin de bateras, etc.).
183
CUESTIONARIO CUANTITATIVO REF
PLAN DS12-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
7. El lugar donde actualmente se encuentran instalados los equipos de computo claves
(servidores, routers, switches, etc.) que soportan el funcionamiento de la red de comunicaciones,
cumple con los requerimientos de:
Espacio y movilidad
Iluminacin
Tratamiento acstico
Sistemas de ventilacin
Seguridad fsica
Suministro elctrico
Polo a tierra
Tablero elctrico independiente
8. Existen controles y/o procedimientos para restringir el acceso fsico a las instalaciones donde
se encuentran ubicados los servidores y dems equipos claves que soportan el funcionamiento
de estos?
9. Los controles y/o procedimientos para restringir el acceso, tienen en cuenta:
Permitir solamente el acceso al personal de Tecnologas de la Informacin autorizado.
Existen elementos fsicos (puertas, cerraduras, etc.) para evitar y controlar el acceso no
autorizado.
Estos elementos fsicos se encuentran en buen estado y funcionando
10. Existen plizas de seguros para los elementos de Tecnologas de la Informacin?
184
CUESTIONARIO CUANTITATIVO REF
PLAN DS12-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
1. Existen extintores de incendios ubicados en sitios estratgicos y de fcil acceso dentro de las
instalaciones del departamento de sistemas?
2. Existen dispositivos detectores de humo, detectores de calor y supresores de incendios dentro
de las instalaciones del departamento de sistemas?
Plan de Contingencia
3. Existen planes de contingencia?
4. Existen planes de evacuacin de las instalaciones de Emssanar, en caso de presentarse una
erupcin volcnica?
5. Estos planes estn documentados?
6. Estos planes son de conocimiento del personal que labora en las instalaciones del
departamento de sistemas y de Emssanar?
7. Existen seales que indiquen la ruta de evacuacin de las instalaciones del departamento de
sistemas?
8. Existen planos de las instalaciones y la distribucin de los equipos de cmputo?
9. Existen sistemas de alarma y deteccin de movimiento en las instalaciones del departamento
de sistemas?
10. Los sistemas de alarma y deteccin de movimiento estn actualmente funcionando?
11. Existen sistemas de UPS que soportan el funcionamiento del servidor en caso de presentarse
alteraciones en el fluido elctrico?
185
CUESTIONARIO CUANTITATIVO REF
PLAN DS12-2-SP
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
11. Los Sistemas de UPS, cuentan con medidas que garanticen su seguridad?
12. Existen plantas elctricas, que garanticen la continuidad de los servicios?
13. En caso de no tener fluido elctrico por un largo periodo, se toman medidas del caso?
14. En cuanto a las medidas que se toman, esta:
Plantas elctricas
15. Existen cmaras de seguridad y vigilancia en las instalaciones de Emssanar?
16. Existen planos de la infraestructura fsica y del cableado estructurado?
17. El cableado de la red de datos est integrado a la estructura del edificio?
18. El cableado que no est integrado a la estructura del edificio, cuenta con medidas de proteccin
o aislamientos (canaletas)?
19. Las canaletas del cableado es de:
Metlico
Plstico
Empotrado
20. Existe documentacin de todo lo anterior?
TOTALES
TOTAL ENCUESTA
PREGUNTA SI NO OBSERVACION
Acceso a las instalaciones
1. Existen polticas y procedimientos de seguridad para
el acceso y salida de las instalaciones de Emssanar EPS en
el rea de sistemas?
2. Dentro de las polticas de seguridad para controlar la entrada
y salida a las instalaciones de Emssanar, se tiene en cuenta:
Que todos los individuos que entran a las instalaciones,
se identifique, sean autenticados y autorizados.
Realizacin de requisas a las personas que ingresan y
que salen de las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.)
que ingresan a las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.)
que salen de las instalaciones.
Para los visitantes que ingresan por el parqueadero de
vehculos y motocicletas, se realiza la identificacin,
autenticacin y autorizacin para el ingreso.
Se realizan requisas de los usuarios de los vehculos que
ingresan y salen de las instalaciones.
3. Existen controles para restringir el acceso fsico de las
personas al rea de sistemas?
4. Existen controles para restringir el acceso fsico de otros
(pblico en general) a el rea de sistemas?
5. Las condiciones fsicas donde se encuentran los equipos de
cmputo cumplen con los requerimientos de seguridad
establecidos?
6. Las instalaciones del centro de computo, cumplen con los
requerimientos en cuanto a:
Espacio y movilidad. Posibilidades de movilidad de los
equipos, suelo fijo, posibilidad de las personas, etc.
Caractersticas de las salas altura, anchura, posicin de
las columnas.
187
REF
ENTREVISTA
Siempre cerca de Usted ! ENT_DS12_SP_1
PREGUNTA SI NO OBSERVACION
Iluminacin. El sistema de iluminacin debe ser
apropiado para evitar reflejos en las pantallas, falta de
luz en determinados puntos, y se evitar la incidencia
directa del sol sobre los equipos.
Tratamiento acstico. Los equipos ruidosos como las
impresoras con impacto, deben estar en zonas donde
tanto el ruido como la vibracin se encuentren
amortiguados.
Equipos de aire acondicionado deben estar en zona
segura.
Sistemas de ventilacin. Las instalaciones del centro de
cmputo deben contar con adecuados sistemas de
ventilacin y disipadores de calor, para evitar daos en
los equipos por recalentamiento.
Seguridad fsica. Las instalaciones del centro de computo
cuentan con sistema contra incendios
Los materiales del centro de computo son incombustibles
(pintura de las paredes, suelo, techo, mesas,
estanteras).
Existen protecciones contra inundaciones y otros peligros
fsicos que puedan afectar a la instalacin.
Suministro elctrico. El suministro elctrico a un Centro
de Cmputo, y en particular la alimentacin de los
equipos, debe hacerse con unas condiciones especiales,
como la utilizacin de una lnea independiente del resto
de la instalacin para evitar interferencias, con
elementos de proteccin y seguridad especficos y en
muchos casos con sistemas de alimentacin
ininterrumpida (equipos electrgenos, instalacin de
7. bateras,
El lugaretc.).
donde actualmente se encuentran instalados
los equipos de computo claves (servidores, routers, switches,
etc.) que soportan el funcionamiento de la red de
comunicaciones, cumple con los requerimientos de:
Espacio y movilidad
Iluminacin
Tratamiento acstico
Sistemas de ventilacin
188
REF
ENTREVISTA
Siempre cerca de Usted ! ENT_DS12_SP_1
PREGUNTA SI NO OBSERVACION
Seguridad fsica
Suministro elctrico
Polo a tierra
Tablero elctrico independiente
8. Existen controles y/o procedimientos para restringir el
acceso fsico a las instalaciones donde se encuentran
ubicados los servidores y dems equipos claves que
soportan el funcionamiento de estos?
9. Los controles y/o procedimientos para restringir el acceso,
tienen en cuenta:
Permitir solamente el acceso al personal de Tecnologas
de la Informacin autorizado.
Existen elementos fsicos (puertas, cerraduras, etc.)
para evitar y controlar el acceso no autorizado.
Estos elementos fsicos se encuentran en buen estado y
funcionando
10. Existen plizas de seguros para los elementos de
Tecnologas de la Informacin?
11. Existen extintores de incendios ubicados en sitios
estratgicos y de fcil acceso dentro de las instalaciones del
departamento de sistemas?
12. Existen dispositivos detectores de humo, detectores de
calor y supresores de incendios dentro de las instalaciones
del departamento de sistemas?
Plan de Contingencia
13. Existen planes de contingencia?
14. Existen planes de evacuacin de las instalaciones de
Emssanar, en caso de presentarse una erupcin volcnica?
15. Estos planes estn documentados?
16. Estos planes son de conocimiento del personal que labora
en las instalaciones del departamento de sistemas y de
Emssanar?
17. Existen seales que indiquen la ruta de evacuacin de las
instalaciones del departamento de sistemas?
189
REF
ENTREVISTA
Siempre cerca de Usted ! ENT_DS12_SP_1
PREGUNTA SI NO OBSERVACION
18. Existen planos de las instalaciones y la distribucin de los
equipos de cmputo?
19. Existen sistemas de alarma y deteccin de movimiento en
las instalaciones del departamento de sistemas?
20. Los sistemas de alarma y deteccin de movimiento estn
actualmente funcionando?
21. Existen sistemas de UPS que soportan el funcionamiento
del servidor en caso de presentarse alteraciones en el fluido
elctrico?
22. Los Sistemas de UPS, cuentan con medidas que garanticen
su seguridad?
23. Existen plantas elctricas, que garanticen la continuidad de
los servicios?
24. En caso de no tener fluido elctrico por un largo periodo, se
toman medidas del caso?
25. En cuanto a las medidas que se toman, esta:
Plantas elctricas
Otras
26. Existen cmaras de seguridad y vigilancia en las
27. instalaciones
Existen planosde de
Emssanar?
la infraestructura fsica y del cableado
estructurado?
28. El cableado de la red de datos est integrado a la
estructura
29. El del edificio?
cableado que no est integrado a la estructura del
edificio, cuenta con medidas de proteccin o aislamientos
(canaletas)?
30. Las canaletas del cableado es de:
Metlico
Plstico
Empotrado
31. Existe documentacin de todo lo anterior?
190
REF
CUESTIONARIO CUANTITATIVO
PLAN DS12-2-E.IPS
Siempre cerca de Usted !
191
REF
CUESTIONARIO CUANTITATIVO
PLAN DS12-2-E.IPS
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
Acceso a las instalaciones
5. Existen medidas de seguridad para entrar y salir de las instalaciones de esta sede?
6. En cuanto a las medidas de seguridad para controlar la entrada y salida de las instalaciones de la
sede, se tiene en cuenta:
Que todos los individuos que entran a las instalaciones, se identifique, sean autenticados y
autorizados.
Realizacin de requisas a las personas que ingresan y que salen de las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.) que ingresan a las instalaciones.
Registro de los equipos de computo (porttiles, PC, etc.) que salen de las instalaciones.
La identificacin, autenticacin y autorizacin para el ingreso de visitantes que ingresan por el
parqueadero. (vehculos y motocicletas).
7. Las condiciones fsicas donde se encuentran los equipos de cmputo cumplen con los
requerimientos de seguridad establecidos?
8. Las instalaciones del centro de computo, cumplen con los requerimientos en cuanto a:
Espacio y movilidad. Posibilidades de movilidad de los equipos, suelo fijo, posibilidad de las
personas.
Caractersticas de las salas altura, anchura, posicin de las columnas
El sistema de iluminacin debe ser apropiado para evitar reflejos en las pantallas, falta de luz en
determinados puntos, y se evitar la incidencia directa del sol sobre los equipos.
Tratamiento acstico. (Los equipos ruidosos como las impresoras con impacto)
192
REF
CUESTIONARIO CUANTITATIVO
PLAN DS12-2-E.IPS
Siempre cerca de Usted !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S. PAGINA
2 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de comunicaciones, servidores y equipos de computo
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE COBIT
SOPORTE
DOMINIO Entrega de servicios y soporte (DS) PROCESO Administracin del Ambiente Fsico (DS12)
PREGUNTA SI NO NA FUENTE
Condiciones fsicas
Equipos de aire acondicionado.
Sistemas de ventilacin. Las instalaciones del centro de cmputo deben contar con adecuados
sistemas de ventilacin y disipadores de calor, para evitar daos en los equipos por
recalentamiento.
Seguridad fsica. Las instalaciones del centro de computo cuentan con sistema contra incendios
Los materiales de las instalaciones donde se encuentran los equipos de computo son
incombustibles (pintura de las paredes, suelo, techo, mesas, estanteras, etc.).
Existen protecciones contra inundaciones y otros peligros fsicos que puedan afectar a la
instalacin.
El suministro elctrico de las instalaciones y en particular la alimentacin de los equipos, cuenta
con condiciones especiales, como la utilizacin de una lnea independiente del resto de la
instalacin con el fin de evitar interferencias.
9. Dentro de las medidas de seguridad se tiene en cuenta:
Permitir solamente el acceso a personal autorizado
Existen elementos fsicos (puertas, cerraduras, etc) para evitar y controlar el acceso no
autorizado.
Estos elementos fsicos se encuentran en buen estado y funcionando.
10. Existen extintores de incendio ubicados en sitios estratgicos y de fcil acceso dentro de las
instalaciones del departamento o rea de sistemas?
11. Existen dispositivos detectores de humo, detectores de calor y supresores de incendios dentro
de las instalaciones del departamento de sistemas?
193
REF
CUESTIONARIO CUANTITATIVO
PLAN DS12-2-E.IPS
Siempre cerca de Usted !
PREGUNTA SI NO NA FUENTE
12. Se han realizado simulacros de evacuacin de las instalaciones de la sede, en caso de presentarse
una erupcin volcnica?
13. Existen seales que indiquen la ruta de evacuacin de las instalaciones de la sede?
14. Existen sistemas de alarma y deteccin de movimiento en las instalaciones de la sede?
15. Los sistemas de alarma y deteccin de movimiento estn actualmente funcionando?
16. Existen sistemas de UPS que soportan el funcionamiento del los equipos de computo en caso
de presentarse alteraciones en el fluido elctrico?
17. Existen plantas elctricas, que garanticen la continuidad de los servicios?
18. Existen cmaras de seguridad y vigilancia en las instalaciones de esta sede?
TOTALES
TOTAL ENCUESTA
194
REF
ENTREVISTA
ENT_DS12_E.IPS_1
SiemprecercadeUsted!
PREGUNTA SI NO CUANTOSOBSERVACION
1. La instalacin elctrica distribuye la energa
elctrica a los equipos conectados de una
manera segura y eficiente?
2 . La instalacin elctrica es flexible, es decir es
susceptible de ampliarse, disminuirse o
modificarse con facilidad, y segn posibles
3 . necesidades futuras?
La instalacin elctrica es Segura, o sea
garantiza la seguridad de las personas y
propiedades durante su operacin comn?
4 . Existe personal encargado del mantenimiento
de la Red Elctrica?
5. La instalacin y suministro de energa es la
adecuada?
6. La instalacin y suministro de energa cuenta
con polo a tierra?
7. El polo a tierra cumple con las disposiciones del
proveedor de equipos de cmputo?
8. El cableado se encuentra debidamente
9. instalado?
Los cables de encuentran debidamente
identificados (positivo, negativo, polo a tierra)?
10. Los contactos de equipo de cmputo estn
debidamente identificados?
11. En los contactos, est identificado el
positivo, negativo y polo a tierra?
12. Se cuenta con los planos de instalacin
elctrica actualizados?
13. Se tiene conectado a los contactos de equipos
de cmputo otro equipo elctrico?
14. Se tiene instalacin elctrica de equipos de
cmputo independiente de otras instalaciones
15. elctricas?
Se tiene reguladores para los equipos de
16. cmputo?
Se verifica la regulacin de las cargas mximas
y mnimas?
En caso positivo, Con que periodicidad?
195
REF
ENTREVISTA
ENT_DS12_E.IPS_1
SiemprecercadeUsted!
SI NO CUANTOSOBSERVACION
17. PREGUNTA
Se tiene equipo ininterrumpible (UPS)? ES
En caso positivo, Dura el tiempo suficiente
para respaldar los archivos o para continuar el
proceso?
Se Prueba su funcionamiento?
18. En caso de presentarse perdida de energa por
un periodo prolongado, se tiene generadores de
corriente ininterrumpida?
19. En caso positivo, que tipo:
Plantas de luz de emergencia?
Otras, cules?
19. Se tiene Switche de apagado en caso de
emergencia en lugar visible?
20. Los cables estn dentro de paneles y canales
elctricos?
21. Existen tableros de distribucin elctrica?
22. Se evala continuamente la instalacin
23. elctrica?
Existe documentacin de la evaluacin
realizada?
196
Dominio: monitorear y evaluar (ME)
197
CUESTIONARIO CUANTITATIVO REF
PLAN ME1_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S PAGINA
1 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de
Computo e Indicadores de funcionamiento.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Monitorear y Evaluar (ME) PROCESO Monitorear y Evaluar Desempeo de TI (ME1)
SI NO NA FUENTE
PREGUNTA
1. Existen indicadores de funcionamiento en el rea de sistemas de Emssanar EPS?
2. Existe un documento de los indicadores en los niveles de:
Cobertura
Obsolescencia
Soporte tecnolgico
Tiempo fuera de servicio
3. Existen polticas que defina el cumplimiento de los indicadores?
4. Existe una metodologa de evaluacin de los indicadores en cuanto a:
Al funcionamiento del nivel de cobertura.
Al funcionamiento del nivel de Soporte Tecnolgico.
Al funcionamiento del nivel de tiempo fuera de servicio.
Al funcionamiento del nivel de Obsolescencia.
5. Existe un mtodo de control de monitoreo, de seguimiento en cuanto a la evaluacin de los
indicadores de funcionamiento respecto a:
Evolucin histrica de los indicadores
El enfoque de los indicadores
El alcance de los indicadores
La metodologa de los indicadores
198
CUESTIONARIO CUANTITATIVO REF
PLAN ME1_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S PAGINA
2 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de
Computo e Indicadores de funcionamiento.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Monitorear y Evaluar (ME) PROCESO Monitorear y Evaluar Desempeo de TI (ME1)
PREGUNTA SI NO NA FUENTE
El Proceso de los indicadores
Medicin de los indicadores
6. Hay balance de objetivos de desempeo de los indicadores con los de la empresa como tal?
7. La evaluacin del desempeo de los indicadores se realiza de forma:
Bimestral
Trimestral
Semestral
Anual
8. Existe un reporte de desempeo al consejo de direccin?
9. Se toman medidas correctivas en caso del incumplimiento de los indicadores?
10. Se asignan responsabilidades para la correccin?
11. Se rastrea los resultados de las acciones comprometidas?
12.
12. Existe documentacin de este proceso?
13. En cuanto al nivel de cobertura, hasta el presente ao se ha cumplido con los objetivos?
14. En cuanto al nivel de obsolescencia:
Se certifica la destruccin o baja de los equipos defectuosos
Se lleva un registro de los elementos (equipos de cmputo) dados de baja.
Se verifica la dada de baja de los equipos.
199
CUESTIONARIO CUANTITATIVO REF
PLAN ME1_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S PAGINA
3 DE 3
REA AUDITADA Sistemas OBJETO DE ESTUDIO Hardware de Comunicaciones, Servidores y Equipos de
Computo e Indicadores de funcionamiento.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTE COBIT
DOMINIO Monitorear y Evaluar (ME) PROCESO Monitorear y Evaluar Desempeo de TI (ME1)
SI NO NA FUENTE
PREGUNTA
Se tiene un responsable de este proceso
TOTAL
TOTAL CUESTIONARIO
200
REF
ENTREVISTA
S ie m p r e c e r c a d e U ste d ! ENT_ME1_SP_1
5. Cules son sus funciones dentro del manejo y control de los indicadores?
_____________________________________________________________________
_____________________________________________________________________
ENTIDAD PAGINA
AUDITADA Empresa Solidaria De Salud EMSSANAR E.S.S 2 DE 3
REA Sistemas OBJETO DE Indicadores de funcionamiento
AUDITADA ESTUDIO
OBJETIVO DE Evaluar el desempeo de TI en cuanto a los indicadores de
LA funcionamiento en los diferentes niveles existentes en Emssanar,
ENTREVISTA verificar el cumplimiento con los objetivos de cada uno.
12. Cmo se evalan los indicadores, y como se verifica que sean efectivos?
_____________________________________________________________________
_____________________________________________________________________
13. Cules son los principales motivos para el incumplimiento de las metas de los
indicadores?
_____________________________________________________________________
_________________________________________________________________
202
REF
ENTREVISTA
S ie m p r e c e r c a d e U ste d ! ENT_ME1_SP_1
203
REF
CUESTIONARIO
CUANTITATIVO PLAN ME2_2_SP
Si e m p r e c e r c a d e U ste d !
ENTIDAD AUDITADA EMPRESA SOLIDARIA DE SALUD EMSSANAR E.S.S PAGINA
1 DE 1
REA AUDITADA OBJETO DE
Sistemas Hardware de comunicaciones de servidores y equipos de
ESTUDIO cmputo.
RESPONSABLES Laura Yaneth Noguera Quenguan y Edy Yanira Snchez Perenguez
MATERIAL DE SOPORTECOBIT
DOMINIO Monitorear y Evaluar (ME) PROCESO Monitorear y Evaluar el Control Interno (ME2)
PREGUNTA SI NO NA FUENTE
1. Existen polticas o procedimiento relacionados con los procesos de monitoreo de las
actividades encaminadas a brindar seguridad fsica de los recursos Tecnolgicos como
hardware de servidores?
2. Existen polticas o procedimiento relacionados con los procesos de monitoreo de las
actividades encaminadas a brindar seguridad fsica de los recursos Tecnolgicos como
hardware de comunicaciones?
3. Existen polticas o procedimiento relacionados con los procesos de monitoreo de las
actividades encaminadas a brindar seguridad fsica de los recursos Tecnolgicos como
hardware de los equipos de computo?
4. Se monitorea de forma continua, compara y mejora el ambiente de control de TI, en
cuanto a:
Infraestructura de red.
Los servidores
5. Los equipos de Cmputo.
4. Se define quien va a realizar el monitoreo?
5. Se toman acciones correctivas de acuerdo al resultado de la evaluacin del monitoreo de
las actividades de TI?
6. Existe documentacin de este proceso?
Despus de obtener los resultados de las diferentes tcnicas aplicadas, se definen los
riesgos encontrados, despus de un anlisis de acuerdo a cada caso de estudio.
205
REF
HALLAZGOS
PLAN PO3_3_1
Siem p r e cer c a d e Usted !
RECOMENDACIONES
En la empresa debe existir un documento de plan de contingencia que permita dar
solucin inmediata en caso de presentarse algn fallo en el hardware.
El documento del plan de contingencia debe contener:
- Objetivos claros para restaurar los servicio de forma rpida, eficiente y con el
menor costo y prdidas posibles.
- Pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea
en parte, la capacidad funcional del los servicios.
- Estrategias para la recuperacin de desastres.
- En cuanto a los diferentes niveles de daos, tambin se hace necesario
presuponer el dao total, con la finalidad de tener un Plan de Contingencias lo
ms completo y global posible.
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
206
REF
HALLAZGOS
PLAN PO3_3_1
Siem p r e cer c a d e Usted !
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Bajo
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
207
PO4 Definir los procesos, organizacin y relaciones de TI: en este proceso no se
encontraron hallazgos.
208
REF
HALLAZGOS
PLAN PO9_3_1
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR PAGINA
AUDITADA E.S.S - Nario 1 DE 3
AREA AUDITADA Sistemas OBJETO DE Riesgos del hardware de
ESTUDIO comunicaciones, servidores y
equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos (PO9)
Organizacin (PO)
RECOMENDACIONES
En Emssanar ESS debe existir un procedimiento que permita realizar el anlisis y
la gestin de riesgos para el funcionamiento del hardware de las comunicaciones,
los equipos de computo y los servidores estos procedimientos deben contener:
209
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
ENTIDAD Empresa Solidaria De Salud YANETH NOGUERAPAGINA
EMSSANAR
LAURA Q.
AUDITADA E.S.S - Nario 2 DE 3
AREA AUDITADA Sistemas OBJETO DE Riesgos del hardware de
ESTUDIO comunicaciones, servidores y
equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos (PO9)
Organizacin (PO)
REF
HALLAZGOS
PLAN PO9_3_1
Siempre cerca de Usted !
RECOMENDACIONES
Es importante que Emssanar ESS cuente con una herramienta que garantice la
correcta evaluacin de los riesgos a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio de procedimientos de
control se pueda evaluar el desempeo del control informtico.
REF
HALLAZGOS
PLAN PO9_3_1
Siempre cerca de Usted !
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Alto
211
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
REF
LAURA YANETH NOGUERA Q.
HALLAZGOS
PLAN_PO9_3_2
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 1 DE 2
AREA AUDITADA Sistemas OBJETO DE Riesgos del hardware de
ESTUDIO comunicaciones, servidores y
equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos (PO9)
Organizacin (PO)
RECOMENDACIONES
En Las sedes Fundacin Emssanar y en la IPS Lorenzo continuamente se debe
revisar el cronograma de mantenimiento o funcionamiento de la red, sobre todo en
estas sedes, ya que el uso de internet es necesario para la implementacin de
diferentes proyectos y actividades que se desarrollan y as mismo no afectar el buen
funcionamiento de estas.
Se debe dar acceso a internet bajo restricciones que no afecte por completo los
servicios que estas sedes necesitan utilizar para cumplir con sus funciones como
tal.
Se debe hacer un estudio ms detallado de las sedes para priorizar que mdulos o
que funcionarios deben tener acceso a trabajar con mayor ancho de banda de a
cuerdo a la funcin que desempeen.
212
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN_PO9_3_2
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 2 DE 2
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones,
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos (PO9)
Organizacin (PO)
PROBABILIDAD IMPACTO
Probabilidad Medio Impacto Medio
213
ENTIDAD Empresa Solidaria De Salud EMSSANAR
AUDITORES RESPONSABLES PAGINA
AUDITADA E.S.S Nario EDY YANIRA SANCHEZ P. 1 DE 2
AREA AUDITADA Sistemas OBJETO DE Equipos
LAURA YANETH de Computo.
NOGUERA Q.
ESTUDIO
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos
organizacin (PO) (PO9)
REF
HALLAZGOS
PLAN PO9_3_3
Siempre cerca de Usted !
HALLAZGO En las sedes Fundacin Emssanar y en Cresemillas en la dependencia de
Centro de Contactos existe deficiencia en cuanto al mantenimiento fsico
de los equipos y actualizaciones de programas de Antivirus. (FE, CC).
RECOMENDACIONES
Concientizacin al personal que maneja los equipos de cmputo en cuanto al
cuidado y limpieza de estos, puesto que tambin es responsabilidad de los
mismos en el manejo de su herramienta de trabajo.
214
AUDITORES RESPONSABLES
ENTIDAD Empresa Solidaria De Salud YANIRA SANCHEZ P. PAGINA
EDY EMSSANAR
AUDITADA E.S.S Nario LAURA YANETH NOGUERA2 Q. DE 2
AREA AUDITADA Sistemas OBJETO DE Equipos de Computo.
ESTUDIO
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Planeacin y PROCESO Evaluacin de riesgos
organizacin (PO) (PO9)
REF
HALLAZGOS
PLAN PO9_3_3
Siempre cerca de Usted !
PROBABILIDAD IMPACTO
Probabilidad Medio Impacto Medio
215
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
216
REF
HALLAZGOS
PLAN AI3_3_1
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 1 DE 2
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Adquisicin PROCESO Adquirir y Mantener
Implementacin(AI) Infraestructura tecnolgica
(AI3)
RECOMENDACIONES
Se recomienda que Emssanar ESS levante planos de red de cableado
estructurado, para voz datos, corriente normal y regulada, es muy importante
proveerse de planos de todos los pisos de todas las sedes interconectadas, en
los que se detallen:
217
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN AI3_3_1
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 2 DE 2
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Adquisicin PROCESO Adquirir y Mantener
Implementacin(AI) Infraestructura tecnolgica
(AI3)
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Alto
218
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN AI3_3_2
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 1 DE 2
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones,
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Adquisicin e PROCESO Adquisicin y Mantenimiento
implementacin (AI) de la Infraestructura
Tecnolgica (AI3)
RECOMENDACIONES
El rea de sistemas debe contar con un documento de gestin de red, el cual permita:
Pautas de Seguridad
Gestin de rendimiento
Planificacin
219
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN AI3_3_2
Siempre cerca de Usted !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 2 DE 2
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones,
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Adquisicin e PROCESO Adquisicin y Mantenimiento
implementacin (AI) de la Infraestructura
Tecnolgica (AI3)
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Alto
220
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
AI5 Adquirir recursos de TI: en este proceso no se encontraron hallazgos.
De este dominio DS dar soporte y servicio se seleccionaron los procesos DS4 garantizar
la continuidad del servicio, DS8 administrar la mesa de servicio y los incidentes, DS12
administracin del ambiente fsico. Para ser evaluados cada uno de los procesos estn
agrupados donde se identifican los riesgos encontrados.
221
REF
HALLAZGOS
PLAN DS12_3_1
S i e m p r e c e r c a d e U st e d !
RECOMENDACIONES
222
Es importante que el espacio donde se encuentran ubicados los servidores y equipos de
computo cuente con las siguientes caractersticas :
Debe ser un sitio apropiado en cuanto a la altura mnima libre recomendada del
cielo raso es de 2.6 metros, debe contar con un espacio adecuado donde se pueda
circular fcilmente.
REF
HALLAZGOS
PLAN DS12_3_1
S i e m p r e c e r c a d e U st e d !
PROBABILIDAD IMPACTO
Probabilidad Medio Impacto Medio
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
REF
LAURA YANETH NOGUERA Q.
HALLAZGOS
PLAN DS12_3_2
S i e m p r e c e r c a d e U st e d !
HALLAZGO En la sede EPS Emssanar Zonal Ipiales hay ubicacin inadecuada de los
equipos de comunicacin (Modem, Servidor, Patch panel).
RECOMENDACIONES
224
En la sede EPS Emssanar Zonal Ipiales los equipos activos (switche, router, etc)
deben acogerse a la norma ANSI/TIA/EIA-569-A (Normas de recorridos y espacios
de Telecomunicaciones en edificios Comerciales).
Los equipos activos y cableados deben ser ubicados en una estructura abierta,
basada en un rack o cerrada denominada gabinete.
Las condiciones fsicas donde se encuentran los equipos activos deben cumplir con
los requerimientos como:
IMPACTO Los equipos activos (switches, router, etc) as como los cables
quedan expuestos completamente al polvo y humedad, provocando
daos y/o prdidas de equipos.
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Medio
225
EVIDENCIAS IMG_DS12_0001 - IMG_DS12_0002 - IMG_DS12_0003
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q. REF
HALLAZGOS
PLAN DS12_3_2
S i e m p r e c e r c a d e U st e d !
226
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q. REF
HALLAZGOS
PLAN DS12_3_3
S i e m p r e c e r c a d e U st e d !
ENTIDAD PAGINA
AUDITADA Empresa Solidaria De Salud EMSSANAR E.S.S 1 DE 3
Nario
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones
ESTUDIO servidores, y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de
Servicio (DS) Ambiente Fsico (DS12)
227
En Emssanar ESS, el diagrama de Red Elctrica no est actualizado, en
la Fundacin Emssanar no hay red elctrica segura, los computadores,
HALLAZGO se conectan directamente tampoco hay suficientes reguladores, en la
sede IPS Lorenzo la instalacin elctrica y suministro de energa no es
adecuada (No hay polo a tierra) y en la sede EPS Emssanar Zonal Ipiales
el tendido de cable no se acoge a las normas EIA/TIA-568 (Canaleta en
el piso, cables sueltos, canaletas abiertas).
RECOMENDACIONES
Las sedes Fundacin Emssanar, IPS Lorenzo y EPS Emssanar zonal Ipiales deben
cumplir con los requerimientos mnimos del cableado estructurado y de
telecomunicaciones, se recomienda hacer una instalacin independiente regulada
para la conexin de los equipos con base a la norma NTC2050, tambin que se
acoja a la norma EIA/TIA 568, as:
Debe hacer una revisin de las reas de trabajo de tal forma que estas estn
diseadas para cambios, modificaciones y adiciones fciles.
Debe contar con una infraestructura uniforme de cableado para reducir costos de
instalacin y mantenimiento.
REF
HALLAZGOS
PLAN DS12_3_3
S i e m p r e c e r c a d e U st e d !
ENTIDAD PAGINA
AUDITADA Empresa Solidaria De Salud EMSSANAR E.S.S 2 DE 3
Nario
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones
ESTUDIO servidores, y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de Ambiente
Servicio (DS) Fsico (DS12)
228
El no tener un diagrama de red elctrica actualizado no solo conlleva a
IMPACTO ignorar cambios que se pudieron haber realizado, tambin puede
ocasionar accidentes catastrficos pues impide ver donde puede estar
fallando la red y realizar su mantenimiento preventivo.
RECOMENDACIONES
Debe existir un plano de red que permita identificar cualquier problema que afecte
los procesos que se presenten en esta sede.
Verificar que toda la instalacin este a su vez conectada a la tierra del edificio,
debe existir un sistema de proteccin en caso de falla del fluido elctrico como es
el caso de UPS y puestas a Tierra.
REF
HALLAZGOS
PLAN DS12_3_3
S i e m p r e c e r c a d e U st e d !
ENTIDAD PAGINA
AUDITADA Empresa Solidaria De Salud EMSSANAR E.S.S 3 DE 3
Nario
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones
ESTUDIO servidores, y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de Ambiente
Servicio (DS) Fsico (DS12)
229
Al presentarse en la sede problemas de infraestructura de red, canaletas
IMPACTO abiertas, cables sueltos, red elctrica tendida en el piso, se podra
generar accidentes a quienes laboran en los puestos de trabajo. Se
corren riesgos importantes, incluso la electrocucin, ya que los
problemas elctricos generan problemas intermitentes difciles de
diagnosticar, provocando deterioros importantes en los dispositivos de
red incluso generando daos y mal funcionamiento frecuente en los
equipos de computo y comunicacin.
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Alto
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN DS12_3_3
S i e m p r e c e r c a d e U st e d !
230
REF
HALLAZGOS
PLAN DS12_3_3
S i e m p r e c e r c a d e U st e d !
231
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN DS12_3_4
S i e m p r e c e r c a d e U st e d !
232
HALLAZGO En las sedeEmpresa Solidaria
Cresemillas De Salud EMSSANAR
la seguridad PAGINA o
del cuarto de comunicaciones
ENTIDAD AUDITADA E.S.S Nario
Rack no sigue las normas de seguridad establecidas en el estndar 1 DE 2
AREA AUDITADA ANSI/TIA/EIA-569. Sistemas OBJETO DE Hardware de comunicaciones,
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de
Servicio (DS) Ambiente Fsico (DS12).
REF
HALLAZGOS
RECOMENDACIONES PLAN DS12_3_4
S i e m p r e c e r c a d e U st e d !
Se recomienda definir un espacio adecuado para el lugar donde est instalado el
cuarto de comunicaciones que se ajuste a las normas de seguridad.
Se recomienda rea exclusiva para el equipo de comunicaciones en este caso para
el armario de comunicaciones donde segn el estndar ANSI/TIA/EIA-569 se debe
tener en cuenta:
Libre de HVAC (Humedad, Ventilacin, Aire Acondicionado y Calefaccin).
Seguridad para personas no autorizadas, se debe mantener el cuarto de
telecomunicaciones con llave en todo momento. Se debe asignar llaves
nicamente al personal encargado o autorizado que est en la sede durante las
horas de operacin.
Se debe mantener el cuarto de telecomunicaciones limpio y ordenado.
Buena iluminacin, se recomienda tener luces de emergencia por si al foco se
daa.
Se recomiendan no tener cables sueltos dentro del armario, utilizar amarres o
cintillas tipo Velcro.
Se debe evitar polvo y la electricidad esttica utilizando piso de concreto, terrazo,
loza o similar (no utilizar alfombra). De ser posible, aplicar tratamiento especial a
las paredes pisos y cielos para minimizar el polvo y la electricidad esttica.
Se debe evitar el uso de cielos falsos en los cuartos de telecomunicaciones.
Teniendo en cuenta que el espacio donde est ubicado el Rack es extremadamente
grande, acondicionar parte del espacio para ubicar el rack teniendo en cuenta las
medidas adecuadas y que se ajuste a la norma para proteger los recursos que
forman parte de los equipos de comunicacin.
233
Empresa Solidaria De Salud EMSSANAR PAGINA
ENTIDAD E.S.S Nario 2 DE 2
AUDITADA
AREA AUDITADA Sistemas OBJETO DE Hardware de comunicaciones,
ESTUDIO servidores y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de Ambiente
Servicio (DS) Fsico (DS12).
RECOMENDACIONES
Realizar mantenimiento peridico a los cuartos de comunicacin.
PROBABILIDAD IMPACTO
Probabilidad Alto Impacto Medio
EVIDENCIAS IMG_DS12_0009
IMG_DS12_0010
IMG_DS12_0011
IMG_DS12_0012
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN DS12_3_4
S i e m p r e c e r c a d e U st e d !
234
REF
HALLAZGOS
PLAN DS12_3_4
S i e m p r e c e r c a d e U st e d !
235
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q. REF
HALLAZGOS
PLAN DS12_3_5
S i e m p r e c e r c a d e U st e d !
236
237
HALLAZGO
RECOMENDACIONESEn la sede CooEmssanar
Empresa Solidaria DeIPS la red
Salud elctrica no es segura
EMSSANAR por falta de
PAGINA
UPS y reguladores y en la sede Laboratorio Clnico Emssanar no2 hay
ENTIDAD
La sede CooEmssanar E.S.S IPS
Nario
y Laboratorio Clnico Emssanar deben1 cumplir DE con los
AUDITADA generadores de corriente si se fuese la energa.
requerimientos mnimos del cableado estructurado y de telecomunicaciones, segn
AREA Sistemas OBJETO DE Hardware de Comunicaciones (Red
la norma EAI/TIA 568, as: ESTUDIO
AUDITADA Elctrica)
RESPONSABLES
- Debe contar con Laura
una Yaneth Noguerauniforme
infraestructura Q. y Edyde Yanira Snchez
cableado para P.
reducir costos de
MATERIAL DE COBIT
instalacin y mantenimiento.
SOPORTE
DOMINIO
- Debe existir unDar Soporte
plano PROCESO
de redy que permita identificarAdministracin de Ambiente
cualquier problema que afecte
Servicio (DS)
los procesos que se presente en esta sede. Fsico (DS12).
- Debe haber suficientes reguladores o ups que soporte el nmero que equipos de
trabajo.
- En las dos sedes por la funcin que desempea y los equipos que estas sedes
utilizan para prestar el servicio a usuarios, deben contar con la seguridad de que
en dado caso en que llegase a irse la energa puedan contar con un suministro
como generador de corriente ininterrumpida que les permita terminar dicha accin
que se est ejecutando y no cancelarse repentinamente.
- Seleccionar una empresa para la compra de este equipo que ofrezca la
instalacin, mantenimiento y reparacin. Esto es importante ya que se planea
tener una fuente de energa que est listo para salir en cualquier emergencia. El
equipo tiene que ser probado por lo menos trimestralmente.
REF
HALLAZGOS
PLAN DS12_3_5
S i e m p r e c e r c a d e U st e d !
PROBABILIDAD IMPACTO
Probabilidad Bajo Impacto Alto
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN DS12_3_6
S i e m p r e c e r c a d e U st e d !
RECOMENDACIONES
Emssanar ESS debe contar con un sistema de proteccin contra incendios de todo
el edificio, con el fin de salvar vidas humanas, minimizar las prdidas econmicas
producidas por el fuego, conseguir que las actividades del edificio puedan
reanudarse en el menor tiempo posible, entre otras.
Es importante que el espacio donde se encuentran ubicados los servidores cuente
con paredes lo suficientemente rgidas para soportar los equipos, utilizando pintura
resistente al fuego, lavable, mate y de color claro.
REF
HALLAZGOS
PLAN DS12_3_6
S i e m p r e c e r c a d e U st e d !
RECOMENDACIONES
240
Cada tres meses, la propia empresa o una contratada de mantenimiento debe hacer
una inspeccin ocular de la conservacin del extintor (partes mecnicas, precintos,
inscripciones), as como comprobar su correcta accesibilidad y sealizacin, as
mismo instalar los extintores en lugares visibles y accesibles, prximos a puntos con
riesgo de incendio y a las salidas de evacuacin. Se instalarn, preferiblemente,
sobre soportes fijados verticales, como mximo, a 1,70 metros del suelo.
Capacitar a todo el personal del centro de trabajo sobre los conocimientos bsicos
del fuego y en el manejo de los extintores.
REF
HALLAZGOS
PLAN DS12_3_6
S i e m p r e c e r c a d e U st e d !
241
Empresa Solidaria De Salud EMSSANAR PAGINA
PROBABILIDAD
ENTIDAD IMPACTO
E.S.S Nario 3 DE 3
AUDITADA
Probabilidad Medio Impacto Alto
AREA Sistemas OBJETO DE Hardware de comunicaciones,
AUDITADA ESTUDIO servidores y equipos de computo
RESPONSABLES Laura Yaneth Noguera Q. y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de Ambiente
Servicio (DS) Fsico (DS12).
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
REF
HALLAZGOS
PLAN DS12_3_7
S i e m p r e c e r c a d e U st e d !
242
RECOMENDACIONES
ENTIDAD AUDITADA
En Emssanar Empresa
ESS, Solidaria
no existenDe Salud de alarmas, ni PAGINA
EMSSANAR
sistemas cmaras de
HALLAZGO
La seguridad en un cuarto
seguridad, E.S.S
ni decomunicaciones
Nario
deteccin es primordial
de movimiento, debido
en la sede a 1los riesgos
Fundacin DE 2 que
Emssanar
se pueden
AREA presentar
AUDITADA
no como
hay seales robos
Sistemas
de o atentados
OBJETO
evacuacin, contra
DElas
en losLaboratorio
Hardware
sedes recursos
de decomunicaciones,
TI; cmaras
Clnico de
y en IPS
seguridad es uno denolos
Lorenzo hayaparatos msdepopulares
ESTUDIO
seguridad que se puede
vigilancia.servidores, utilizar,deuna
y equipos cmara
cmputo.
no puede parar a nadie
RESPONSABLES de robar,
Laura Yanethpero si ofrece
Noguera Q. y tranquilidad y seguridad,
Edy Yanira Snchez P. lo mismo
que un sistema de alarma, colocado en un sitio estratgico, puede detectar fcilmente
MATERIAL DE COBIT
la presencia de extraos lo cual evitara que los equipos estn en riesgo o peor aun la
SOPORTE
perdida de informacin.
DOMINIO Dar Soporte y PROCESO Administracin de
Las instalaciones de Servicio
la Fundacin
(DS) Emssanar dentro Ambiente de los objetivos deber
Fsico (DS12).
proporcionar unas orientaciones bsicas para facilitar el proceso de la sealizacin
relativa a las situaciones y actuaciones de emergencia, esto con el fin de garantizar la
seguridad y salud de los trabajadores. Esta sealizacin abarcara tanto la
sealizacin de la localizacin de los medios de proteccin contra incendios como la
sealizacin de evacuacin, salvamento y socorro en sus diferentes tipos y
modalidades.
Todas las sedes deben acogerse a la normativa y normas tcnicas relacionadas con
prevencin de riesgos laborales, disposiciones mnimas en materia de sealizacin
de seguridad y salud en el trabajo, disposiciones mnimas de seguridad y salud en los
lugares de trabajo, etc.
La sede IPS Lorenzo por ser una de las sedes que prestan atencin al usuario y
como tal atiende un gran nmero de usuarios se debe implementar medidas de
seguridad para el acceso a la entidad, debe existir una persona encargada de la
seguridad de la sede.
En las sedes Laboratorio Clnico Emssanar y en IPS Lorenzo se debe establecer
medidas de seguridad que permitan garantizar seguridad tanto del personal como
de los recursos TI de la sede y se debe tener en cuenta lo siguiente:
- Control de la entrada y salida de las instalaciones de estas sedes (Identificacin
de todo individuo que ingresa).
REF
HALLAZGOS
PLAN DS12_3_7
S i e m p r e c e r c a d e U st e d !
RECOMENDACIONES
- Realizar requisas a las personas que ingresan y salen de las instalaciones.
- Registro de equipos de cmputo, porttiles que ingresan y que
salen de las sedes.
243
El que no haya cmaras de seguridad, alarmas, ni detectores de
IMPACTO movimiento, impide evitar robos o ataques contra los activos de la
empresa.
El que no haya sealizacin de evacuacin en caso de presentarse
una emergencia genera diferentes tipos de problemas a la cual la
empresa queda expuesta por hacer caso omiso a esta recomendacin.
En caso de presentarse, la sede queda expuesta a una investigacin
exhaustiva permitiendo identificar situaciones de riesgo desconocidas o
poco favorables o quiz innecesarias.
Un vigilante de seguridad es la persona encargada de proteger la
integridad fsica de las personas y los bienes materiales de la empresa
donde labora, razn por la cual si no lo hay en un de estas sedes, se
presenta inseguridad tanto del personal como de los bienes que en ella
existen, causando inestabilidad laboral y material, en este caso en
Laboratorio y en IPS Lorenzo.
El ingreso de personas mal intencionadas genera inestabilidad e
inseguridad a los usuarios (pacientes).
PROBABILIDAD IMPACTO
Probabilidad Medio Impacto Alto
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
244
2.3.8 Informe general de la auditora
Objetivos
Objetivos especficos
Limitaciones
Por lo dems la auditora se realiz de forma adecuada segn el rea auditada, donde se
aplicaron diferentes entrevistas y cuestionarios contando con total colaboracin del jefe de
Sistemas y personal del rea de sistemas de Emssanar E.S.S.
245
DOMINIO COBIT - PLANIFICACION Y ORGANIZACIN (PO)
Hallazgo
Recomendaciones
- Objetivos claros para restaurar los servicio de forma rpida, eficiente y con el
menor costo y prdidas posibles.
- Pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en
parte, la capacidad funcional del los servicios.
- Estrategias para la recuperacin de desastres.
Hallazgos
Recomendaciones
Es importante que Emssanar ESS cuente con una herramienta que garantice la
correcta evaluacin de los riesgos a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio de procedimientos de
control se pueda evaluar el desempeo del control informtico.
Se debe hacer un estudio ms detallado de las sedes y del personal para priorizar que
mdulos o que funcionarios deben tener acceso a trabajar con mayor velocidad de
internet, de a cuerdo a la funcin que desempeen.
247
DOMINIO COBIT - ADQUISICIN E IMPLEMENTACIN (AI)
Recomendaciones
El rea de sistemas debe contar con un documento de gestin de red, que permita
identificar objetivos encaminados a la monitorizacin del trfico y la calidad de
servicio, pautas que permitan prevenir, diagnosticar y resolver problemas de la red,
identificacin de los usuarios de la red y el software, dar Soporte a los usuarios,
248
gestin de los fallos producidos en la red, gestin de rendimiento, planificacin, etc.
Hallazgos
Recomendaciones
En la sede EPS Emssanar Zonal Ipiales los equipos activos (switche, router, etc)
deben acogerse a la norma ANSI/TIA/EIA-569-A (Normas de recorridos y espacios
de Telecomunicaciones en edificios Comerciales).
250
Emssanar E.S.S debe tener un diagrama de red
elctrica actualizado donde se identifiquen los cambios que se han realizado
ltimamente o si no se han realizado cambios, que se deje observaciones de ello, un
diagrama actualizado facilita realizar mantenimiento oportuno, permite vigilar variables
de riesgo y elaborar informes de desempeo.
Es importante que el espacio donde se encuentran ubicados los servidores cuente con
paredes lo suficientemente rgidas para soportar los equipos, utilizando pintura
resistente al fuego, lavable, mate y de color claro.
Capacitar a todo el personal del centro de trabajo sobre los conocimientos bsicos del
fuego y en el manejo de los extintores.
Todas las sedes deben acogerse a la normativa y normas tcnicas relacionadas con
prevencin de riesgos laborales, disposiciones mnimas en materia de sealizacin
de seguridad y salud en el trabajo, disposiciones mnimas de seguridad y salud en los
lugares de trabajo, etc.
252
253
2.3.9 Informe ejecutivo de la auditoria
254
San Juan de Pasto, 24 de mayo del 2012
Ingeniero
HAROLD CAICEDO
Ingeniero de Sistemas
Jefe de Sistemas Emssanar E.S.S Regional Nario
Ciudad
Cordial saludo,
HARDWARE DE COMUNICACIONES
HARDWARE DE SERVIDORES
ASEGURAMIENTO ELECTRICO
INDICADORES DE FUNCIONAMIENTO
263
identifico que en el proceso continuamente se evala los avances de los
objetivos de cada plan propuesto.
Nivel tiempo fuera de servicio: Numero de horas fuera de servicio
(servidores, servicios esenciales y canal). El objetivo de este indicador es que
a travs del control y mantenimiento continuo se mejore la prestacin de
servicio de interconexin y as reducir al mximo el tiempo fuera de servicio.
Segn estadstica realizada anualmente se identifica que el objetivo propuesto
se cumple.
PLAN DE MEJORAMIENTO
Atentamente,
264
3. MANUAL DE USUARIO
Para el hallazgo del Dominio: Dar soporte y servicio (DS), en el proceso administracin
de ambiente fsico (DS12) tenemos el siguiente ejemplo:
HALLAZGOS REF
PLAN DS12_3_7
S ie m p r e c e r c a d e U ste d !
ENTIDAD Empresa Solidaria De Salud EMSSANAR E.S.S PAGINA
AUDITADA Nario 1 DE 3
AREA AUDITADA Sistemas OBJETO DE Riesgos del hardware de servidores,
ESTUDIO comunicaciones y equipos de cmputo.
RESPONSABLES Laura Yaneth Noguera Q y Edy Yanira Snchez P.
MATERIAL DE COBIT
SOPORTE
DOMINIO Dar Soporte y PROCESO Administracin de
Servicio (DS) Ambiente Fsico (DS12).
RECOMENDACIONES
La seguridad en un cuarto de comunicaciones es primordial debido a los riesgos que se
pueden presentar como robos o atentados contra los recursos de TI; cmaras de
seguridad es uno de los aparatos ms populares que se puede utilizar, una cmara no
puede parar a nadie de robar, pero si ofrece tranquilidad y seguridad, lo mismo que un
sistema de alarma, colocado en un sitio estratgico, puede detectar fcilmente la
presencia de extraos lo cual evitara que los equipos estn en riesgo o peor aun la
perdida de informacin.
265
El que no haya cmaras de seguridad, alarmas, ni detectores de
IMPACTO movimiento, impide evitar robos o ataques contra los activos de la
empresa.
PROBABILIDAD IMPACTO
Probabilidad Medio Impacto Alto
AUDITORES RESPONSABLES
EDY YANIRA SANCHEZ P.
LAURA YANETH NOGUERA Q.
Entrevistas ejm: ANEXO 41_ENT DS12_SP_1, las dos penltimas letras significan
el nombre de la sede en la cual se encontr el hallazgo, en este caso el hallazgo
pertenece a la Sede Principal de Pasto y el numero seguido indica la cantidad de
entrevistas del dominio que en este caso es al DS12 realizadas en esta sede.
266
Cuestionarios ejm: ANEXO 26_DS12_FE, donde las dos ltimas letras hacen
referencia a que el hallazgo fue encontrado en la sede Fundacin Emssanar.
Donde se encuentran todas las pruebas que verifica toda la informacin recolectada en el
proceso de la auditoria.
Para poder acceder a estas pruebas se debe seguir los siguientes pasos definidos as:
Ir a la carpeta ANEXOS
Dentro de la carpeta Anexos entrar a la carpeta de ENTREVISTAS
(ANEXOS\ENTREVISTAS\ANEXO 41_ENT DS12_SP_1), donde estn
numerados todas las entrevistas aplicadas en la auditoria, cabe aclarar
que estas entrevistas residen tambin en el archivo corriente en fsico
firmadas por las personas entrevistadas como prueba veraz de todos los
hallazgos encontrados.
267
como ejemplo: ANEXO 25_DS12_LAB, donde nos vamos a encontrar con
diferentes tipos de pruebas que pueden ser videos, audio y/o fotografas o
entrevistas en fsico como lo muestra la figura 18, para llegar a esta informacin se
debe:
Ir a la carpeta ANEXOS
Dentro de la carpeta Anexos entrar a la carpeta de CUESTIONARIOS
(ANEXOS\CUESTIONARIOS\ ANEXO25), donde estn numerados todos
los cuestionarios aplicados en la auditoria.
Para el ANEXO25, en el campo llamado fuente se registran los nombres
de las evidencias que prueban la respuesta de los S o No y si estos
existen, para este caso encontramos como prueba una entrevista en audio
con su respectiva ruta de ubicacin as AUDIO\PR29_Aux At
Usu_Laboratorio.
Si tomamos la evidencia ANEXO 29_DS12_LZ, lo mismo que el paso
anterior, entramos a ANEXOS\CUESTIONARIOS y all est el ANEXO 29,
en el cual nos vamos a encontrar tambin con pruebas como fotografas,
que para llegar a ellas seguimos la ruta de acceso
PRUEBAS\IMG\IMG_DS12_0021.
268
269
4. CONCLUSIONES
Tambin, en Emssanar ESS hace falta realizar una revisin detallada de la red
elctrica, pues en muchas sedes se manifest que hay inseguridad en la red
elctrica y se verifico mediante revisin visual, esta situacin est afectando la
seguridad de las personas y de los equipos pues se pueden provocar graves
accidentes como incendios causados por sobrecarga elctrica o descuido de
cables sueltos o tendidos por el piso.
270
5. RECOMENDACIONES
Realizar diferentes auditorias con el fin de evaluar todos los procesos que se
desarrolla dentro de Emssanar E.S.S con el fin de mejorar en todos los campos y
as ser una empresa que brinde en su totalidad un mejor servicio bajo los
parmetro de calidad establecidos.
Visitar peridicamente las sedes o establecer medidas que permitan hacer una
evaluacin continua de las necesidades que se presenten en ellas, con el fin de
solventar fallas en los diferentes procesos o actividades de los usuarios, as mismo
cuando se reciba reportes de fallas de parte de las sedes establecer un periodo de
tiempo para dar solucin, esto con el fin de no alargar mucho tiempo en resolver el
problema.
Realizar planes de mejoramiento que ayuden a mejorar los procesos con el fin de
mitigar los riesgos encontrados mediante el establecimiento de medidas
preventivas y correctivas que permitan tener definido medidas a tomar en caso de
presentarse en la empresa.
271
BIBLIOGRAFIA
Arens, Alvin A. Auditoria un Enfoque Integral. 6 Edicin. Mxico: Prentice Hall, 1996.
PIATTINI Mario, DEL PESO Emilio, Auditora en informtica: un enfoque prctico, 2 Ed.,
Alfaomega/RA-MA, Mxico D.F., 2001.
TESIS
272
BIBLIOWEB
http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml (Consultado,
Agosto 2011)
http://www.mitecnologico.com/Main/ConceptosAuditoriaYAuditoriaInformatica
(Consultado, Agosto 2011)
http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm#p2-1-1
(Consultado, Septiembre 2011)
273
http://www.emssanar.org.co/contenidos/COOEmssanarIPS/rendicion_de_cuentas/CODIG
O_DE_BUEN_GOBIERNO_Y_ETICA.pdf (Consultado, Junio 2011).
274
ANEXOS
275
ANEXO 11. Cuadro de definicin de fuentes del conocimiento, pruebas de anlisis y
pruebas de auditora - ME2. Monitorear y evaluar el control interno - PLAN ME2-1
ANEXO 18. Cuestionario Cuantitativo - DS4. Garantizar la continuidad del servicio - PLAN
DS4_2_SP
ANEXO 23. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_SP
276
ANEXO 24. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_E.IPS
ANEXO 25. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_LAB
ANEXO 26. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_FE
ANEXO 27. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_SIAU
ANEXO 28. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_CC
ANEXO 29. Cuestionario Cuantitativo - DS12. Administracin del Ambiente Fsico - PLAN
DS12_2_LZ
ENTREVISTAS_PLANEACION Y ORGANIZACIN
277
ANEXO 38. Entrevista - AI3. Adquirir y Mantener Infraestructura Tecnolgica- ENT
AI3_SP_2
ANEXO 40. Entrevista - DS8. Administrar la mesa de servicios y los incidentes - ENT
DS8_E.IPS
ANEXO 41. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_SP_1
ANEXO 42. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_SP_2
ANEXO 43. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_E.IPS
ANEXO 44. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_LAB
ANEXO 45. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_FE
ANEXO 46. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_CC
ANEXO 47. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_SIAU
ANEXO 48. Entrevista - DS12. Administracin del Ambiente Fsico - ENT DS12_LZ
278
279