Академический Документы
Профессиональный Документы
Культура Документы
INTRODUCCIN
Este trabajo en el proceso final y la aceptacin de tcnicas que se abordaron
durante el primer semestre del ao 2015, logrando seguir mtodo para poder
establecer y documentar un informe de auditora, esta guiada por el tutor
encargado del curo de auditoria de sistemas de la universidad nacional abierta
y a distancia UNAD, y desarrollada por los estudiantes que anteriormente en la
portada se relacionan.
Siempre optando la metodologa terica y practica con un ejemplo el cual se
interviene un centro hospitalario y se encuentran diferentes riesgos y se aplican
controles para prevenir cualquier inconveniente que afecte el activo informtico
de la empresa o entidad de servicio prestadora de salud.
Los estudiantes plasman en este documento todo los objetivos logrados,
demostrando as una evidencia que se alcanz los objetivos y se entendi el
tema sobre las auditorias informticas, y el control interno dentro de una
organizacin el cual surge por la necesidad de evaluar y satisfacer la eficiencia,
eficacia, razonabilidad, oportunidad y confiabilidad en la proteccin y seguridad
de los bienes de la organizacin, de la misma manera permite llevar control del
desarrollo de sus operaciones, actividades y resultados financieros que se
esperaban obtener en el desempeo de las funciones y operaciones de toda la
empresa.
PROBLEMA
Es la implantacin de una red IP en una organizacin hospitalaria para dar
servicios generales de informacin a las distintas unidades clnicas de dicho
hospital.
Estos servicios deben tener distintos niveles de privilegio en funcin del tipo de
informacin que proporcionan o recogen. Por ejemplo, los datos privados de los
pacientes y el personal de plantilla deben tener las mximas restricciones.
Los datos que describen la organizacin, estructura, servicios proporcionados y
puntos de contacto, deben ofrecerse pblicamente y, por tanto, su nivel de
restriccin de acceso debe ser el mnimo.
El problema se decide solucionar dando un informe de parte de la auditoria de
sistemas impartido por los entes o ingenieros capacitados los cuales
determinan controles para los riesgos encontrados.
OBJETIVOS
JUSTIFICACIN
MARCO TERICO
PROCESO
CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO
Efectividad
Eficiencia
Integridad
Efectividad
Disponibilidad
Confiabilidad
Eficiencia
Continuidad de TI.
Procedimientos de respaldo
de procesamiento alternativo
para Departamentos usuarios.
Recursos
Crticos
de
Tecnologa de Informacin.
Sitio y Hardware de Respaldo.
Almacenamiento de respaldo
en el sitio alterno (Off-site).
Procedimiento de afinamiento
del Plan de Continuidad.
PROCESO
DS5.- Garantizar la seguridad de los
sistemas.
OBJETIVO DE CONTROL
DETALLADO
Autorizacin
de
transacciones.
No negacin o no
rechazo.
Sendero Seguro.
Proteccin
de
las
funciones de seguridad.
Administracin de Llaves
Criptogrficas.
Prevencin, Deteccin y
Correccin de Software
Malicioso.
Arquitectura de Firewalls
y conexin a redes
pblicas.
Proteccin de Valores
Electrnicos.
Procedimientos
de
Preparacin de Datos.
Procedimientos
de
Autorizacin
de
Documentos Fuente.
Recopilacin de Datos de
Documentos Fuente.
Manejo de errores de
documentos fuente.
Retencin
de
Documentos Fuente.
Procedimientos
de
Autorizacin de Entrada
de Datos.
Chequeos de Exactitud,
Suficiencia
y
Autorizacin.
Manejo de Errores en la
Entrada de Datos.
CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO
Confidenciali Disponibilidad
dad
Cumplimiento
Integridad
Confiabilidad
Integridad
Confiabilidad
PROCESO
DS11.- Administracin de
datos
DS12.-Administracin
instalaciones.
de
PROCESO
PO3. - Determinacin de la
Integridad
de
Procesamiento de Datos.
Validacin y Edicin de
Procesamiento de Datos.
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO
Sistema de Administracin
de la Librera de Medios
Responsabilidades de la
Administracin
de
la
Librera de Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento
de
Respaldos
Archivo
Proteccin de Mensajes
Sensitivos
Autenticacin e Integridad
Integridad
de
Transacciones Electrnicas
Integridad Continua de
Datos Almacenados
Seguridad Fsica
Discrecin
sobre
las
Instalaciones de Tecnologa
de Informacin
Escolta de Visitantes
Salud y Seguridad del
Personal
Proteccin contra Factores
Ambientales
Suministro Ininterrumpido
de Energa
Integridad
Confiabilidad
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE INFORMACION
PRIMARIO
SECUNDARIO
Identificacin
Integridad
Disponibilidad
tecnologa Eficiencia
Efectividad
direccin tecnolgica
AI5.Instalacin
aceptacin
de
sistemas.
y
los
Ds3.-Administracin
desempeo y capacidad
de
PROCESO
actual y emergente
Confiabilidad
Capacidad de adecuacin
y evolucin
de
la
infraestructura actual
Monitoreo y evaluacin de
los
desarrollos
tecnolgicos.
Capacitacin personal.
Actualizacin Sistema
Pruebas de Desempeo
Revisin
post
implementacin
Identificacin de Cambios
Control de solicitudes de
cambio
Evaluacin de Impacto
Cambios de Emergencia
Autorizacin de Cambios
Distribucin de Software
Control de disponibilidad y
desempeo del servicio
Monitoreo y reporte de los
recursos
Implementacin
de
mecanismos de tolerancia
de fallas
Control prioridad de tareas
Plan de continuidad del T.I
Aplicacin
Plan
de
continuidad del T.I.
Reduccin
de
requerimientos
de
Continuidad de T.I
Pruebas del plan de
continuidad del T.I
Aplicacin del plan de
continuidad del T.I
Respaldo y recuperacin.
Sitio y Hardware de
Respaldo.
Procedimiento
de
afinamiento del Plan de
Continuidad.
OBJETIVO
DE
CONTROL
Eficiencia
Efectividad
Disponibilidad
Efectividad
Eficiencia
Confiabilidad
Eficiencia
Efectividad
Confiabilidad
Efectividad
Eficiencia
CRITERIOS DE INFORMACIN
DETALLADO
DS5.Garantizar
la
seguridad de los sistemas.
DS11.- Administracin de
datos
DS12.-Administracin
instalaciones.
de
PRIMARIO
Autenticacin
e Integridad
identificacin
Confiabilidad
Perfiles seguros.
Confidencialid
Administracin de Llaves ad
Criptogrficas.
Manejo,
reporte
y
seguimiento de incidentes.
Prevencin y deteccin de
virus.
Medidas
de
control
preventivas, detectives y
correctivas.
Arquitectura de Firewalls y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Controles generales y de Confidencialid
aplicacin
sobre
las ad
operaciones de T.I.
Cumplimiento
Diseo
formatos
de Integridad
entrada de datos.
Recopilacin de Datos de
Documentos Fuente.
Control de entrada de
datos
Integridad
de
Procesamiento de Datos.
Procesos de validacin y
correccin de datos.
Procedimientos
de
respaldo
(Back-up)
y
recuperacin
Almacenamiento
de
respaldos
Autenticacin e Integridad
Integridad
de
Transacciones Electrnicas
Integridad Continua de
Datos Almacenados
Proporcionar un ambiente
fsico conveniente
Controles
fsicos
y
ambientales
Manejo de informacin
privilegiada.
Seguridad ante visitantes
SECUNDARIO
Disponibilidad
Confiabilidad
DS13. - Administracin de
la operacin
Modelo de Madurez
Estado actual:
1 Inicial se reconoce que el tema del Proceso de TI existe y que debe
ser resuelto. Existen enfoques aplicados individualmente o por caso. El
enfoque de la gerencia solamente existe una comunicacin espordica
e inconsistente sobre los temas enfoques para resolverlos. La gerencia
solo cuenta con una indicacin aproximada de cmo TI contribuye al
desempeo del negocio. La gerencia solo responde de forma reactiva a
los incidentes que hayan causado prdidas o vergenza a la
organizacin.
Proceso
Nivel de Madurez
de
desempeo
capacidad
DS4.- Asegurar el servicio continuo
DS12.-Administracin de instalaciones.
Cordial saludo.
Se ha realizado una auditoria al Sistema de informacin Hospitalarios para
verificar los mdulos que estn implementados y que procesos an no estn
integrados a los mdulos.
Los objetivos fueron enfocados a:
Practicar auditoria a Los diferentes mdulos de software que manejan los sistemas de
informacin, a procesos que an no se encuentran sistematizados y a la construccin
de software por parte de los ingenieros que pertenecen a la entidad. Conceptuando
sobre las metodologas y mtodos empleados en la construccin de software y
liberacin del mismo para produccin.
Recomendaciones:
Con respecto al diseo de la base de datos y el diccionario de datos se
recomienda: Elaborar y actualizar los manuales de sistemas y de
usuario. Asignar personal suficiente que realice la documentacin del
software. Establecer como poltica la documentacin del sistema de
informacin. Iniciar el levantamiento de la informacin para elaborar el
diccionario de datos del sistema de informacin y su actualizacin.
Implementar procedimientos para copias de seguridad y restauracin de
copias de seguridad. Implementar un procedimiento para revisin de las
bitcoras de acceso a los mdulos, base de datos y sistema operativo.
Definir polticas y procedimientos que informen a la coordinacin de
sistemas la rotacin, contratacin y despido del personal de nmina o
contrato para actualizar los permisos y retiro de usuarios. Reestructurar
el formato de solicitud de requerimientos. Para mejorar en la ingeniera
de requerimientos del sistema a desarrollar se
recomienda la
capacitacin de los desarrolladores en este tema, o en su defecto hacer
una revisin bibliogrfica de normas y estndares.
Con respecto a la identificacin de personal clave de TI y personal de
apoyo se recomienda: Implementar un proceso de capacitacin en la
coordinacin de sistemas para minimizar la dependencia del personal
clave en cada uno de los mdulos. Realizar rotacin del personal,
asignar roles, responsables en la coordinacin de sistemas y
documentarlo. Intercambio de roles y responsabilidades de los mdulos
peridicamente.
Con respecto a verificar la existencia de procesos para la construccin
de proyectos de software se recomienda: Definir la metodologa y ciclos
de vida para desarrollo de proyectos de software. Implementar un
https://prezi.com/gbop-fczyreg/auditoria-de-sistemas/
Conclusiones.
Recomendaciones.
Referencias bibliogrficas.
https://prezi.com/gbop-fczyreg/auditoria-de-sistemas/
http://auditordesistemas.blogspot.com/2012/02/resultados-de-laauditoria.html.