Академический Документы
Профессиональный Документы
Культура Документы
Elaborado Por:
DIANA MARCELA FLORIAN
LUZ AMANDA MEDINA RINCN
JOSE ANDERSON RODRIGUEZ CHIQUIZA COD. 1.070.589.147
Abril de 2015
INTRODUCCIN
Palabras Clave
Auditora de Sistemas Informticos Sanitarios, Tecnologas de la Informacin, COBIT, Auditora
Informtica en Internet Hospitalaria, Controles informticos en sistemas hospitalarios.
OBJETIVOS
informtica y de sistemas.
Con el desarrollo y elaboracin de un programa de auditoria propuesto se busca conocer
las fases y pasos para la implementacin de una auditoria informtica y de sistemas.
PROGRAMA DE AUDITORIA
BASADO EN ESTANDAR COBIT 4.1 - SERVICIOS DE INTERNET EN EL ENTORNO
HOSPITALARIO
ANTECEDENTES
La implantacin de las TICs (tecnologas de la informacin y la comunicacin), y
particularmente la posibilidad de estar comunicados casi de forma instantnea ha llevado a que
las empresas, estn en constante bsqueda de un servicio que les permita acceder a la red o
mejor dicho a Internet, este servicio a tomado gran impulso e importancia en muchos campos, al
igual que en el rea de la Salud, se han creado sitios web vinculados a los sistemas de
informacin en gestin sanitaria y hospitalaria. Sin embargo, el proceso de incorporacin de
estas soluciones, no se ha realizado en trminos generales con criterios rigurosos de eficiencia y
eficacia, robustez, operatividad y seguridad de la informacin. La prestacin de estos servicios a
travs de la web, favorecen a muchos usuarios del servicio, lo anterior debido a que les permite
agendar citas mdicas, acceder a los diferentes horarios de atencin del centro hospitalario etc
estas son algunas razones por las cuales no es viable la eliminacin de este servicio web, pero
se pueden auditar para mejorar en calidad, nivel de servicio y seguridad informtica.
Cientfico interaccionando con otros profesionales que estn en contacto con el cliente/paciente.
Todos ellos ofrecen servicios de Valor agregado a la Salud. Pero actualmente, este tipo de
organizaciones no puede funcionar dentro de unos lmites de rendimiento, operatividad y
calidad, sin que haya sistemas que permitan la adquisicin, almacenamiento, tratamiento y
salvaguardia de toda la informacin generada por la propia organizacin o introducida desde el
exterior. Estos son los Sistemas de Informacin Hospitalarios que son casos particulares de un
sistema de informacin sanitario, como a continuacin se observa su estructura.
Sin embargo, con la incorporacin de las nuevas tecnologas a las organizaciones sanitarias, y en
particular a los hospitales, surgen nuevas posibilidades para el tratamiento y el flujo de la
informacin. Las tecnologas de Internet, World Wide Web (WWW), E-Mail, File Transfer
Protocol (FTP), redes de rea Local (LAN), redes de rea Ancha (WAM), tecnologa de fibra
ptica (OPF), etc., facilitan la instalacin de redes internas basadas en el protocolo IP (Internet
Protocol) que se denominan Intranets y adems se contempla la conexin de stas con el
exterior, es decir, con Internet, como se muestra en este diagrama.
Estas tecnologas han abierto nuevas posibilidades de interaccin entre las distintas unidades de
organizacion y entre los usuarios y la organizacin hospitalaria. Por ejemplo, como es el caso del
Hospital de la regin de Cundinamarca , una exploracin radiolgica genera un conjunto de
placas radiogrficas que no se pasan a soporte fsico sino que se almacenan digitalmente,
directamente desde el instrumento de exploracin. Cuando se produce una actuacin clnica que
necesita dichas "placas", se recuperan de la base de datos y se muestran en un monitor. Por otra
parte, los usuarios pueden acceder a la Web del hospital para comprobar, por ejemplo, el da y la
hora de la prxima cita, o la lista de citas y visitas ya realizadas, contactar con uno de los
facultativos, etc.
OBJETIVOS Y ALCANCES Nota: (El alcance define el entorno y los lmites donde va a
desarrollarse la auditoria)
Se est dando el caso de que los servicios centrales de informtica en los hospitales no pueden
resolver todas las necesidades de informacin de sus unidades orgnicas y regiones. As, parte de
estas necesidades se han resuelto con la instalacin y puesta en marcha de intranets con salida a
Internet. Esto hace que el hospital se adscriba a redes afines oficiales o privadas.
Sin embargo, se plantean al mismo tiempo un conjunto de problemas de seguridad y gestin de
los nuevos flujos de informacin y elementos constitutivos de la red que, en algunas ocasiones,
superan la capacidad tcnica del personal de informtica. Y en la mayora de ocasiones, superan
la carga de trabajo de dicho personal
Estos y la mayora de los problemas suelen ser ocasionados por la falta de planificacin previa a
la incorporacin de nuevas tecnologas de la informacin. Los factores que posiblemente
determinan los problemas son:
Servicios: Se han definido con precisin los servicios que van a prestar las redes IP y
los que NO van a prestar? Se ha hecho una encuesta para detectar las necesidades de los
distintas regiones y servicios mdicos? Existen o se han definido indicadores de
rendimiento, satisfaccin de uso, operatividad, etc.?
Como se puede ver, no es suficiente la aplicacin de la metodologa que estn empleando, sino
que es preciso aplicar procedimientos de auditora especficos del entorno y de las tecnologas
implicadas. Por ejemplo, Internet y los servicios que presta se ven todos los das atacados por
hackers y crackers, que buscan los "hoyos de seguridad" que presentan estas tecnologas.
Tambin est muy presente el problema del ataque por virus a travs de los servicios de correo
electrnico. Pero tambin un mantenimiento lento o defectuoso de la intranet y de sus contenidos
puede hacer que esta caiga en desuso por falta de inters. Y la inversin econmica realizada se
pierde sin remedio.
OBJETIVO
OBJETIVO GENERAL
Evaluar el uso de los recursos tcnicos, materiales y humanos que actualmente tiene el hospital,
en funcin del acceso a la red de internet, ya sea que esta se encuentre implementada por red
almbrica o inalmbrica en la institucin, de la mima manera el uso de los recursos fsicos es
decir el aprovechamiento de equipos, conexiones, operatividad del servicio y validacin de las
normas existente y su coherencia con la implementacin en la organizacin.
OBJETIVO ESPECFICO
Presentar una propuesta de un programa para la auditora de servicios de Internet en sistemas de
informacin hospitalaria, teniendo en cuenta los factores y riesgos especficos de este ambiente,
que est inclinado en un marco metodolgico formal denominado COBIT.
METODOLOGA
Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y
caracterizado los elementos y los riesgos asociados. Mediante un anlisis de riesgos, se han
obtenido las posibles soluciones de control y objetivos de auditora. Todo ello se ha realizado
aplicando el marco metodolgico de auditora denominado COBIT (Control Objectives for
Information and related Technology) de laInformation Systems Audit and Control
Asociation (ISACA), que est ampliamente aceptado por la comunidad internacional de
auditores de sistemas de informacin como una norma estndar.
COBIT est diseado como un estndar aplicable y aceptable en general para la buena prctica
de la auditora de las tecnologas de la Informacin en todo el mundo. El producto COBIT utiliza
los Objetivos de Control de ISACA, mejorados con estndares especficos de tipo tcnico,
profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han
desarrollado para su aplicacin en el amplio espectro de sistemas de informacin en la empresa.
Revisin crtica de las diferentes actividades y tareas bajo los dominios de control y
posibilitando la especificacin de indicadores de prestaciones importantes (normas,
reglas, etc.)
El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su
clasificacin y funcionamiento. La teora subyacente para la clasificacin elegida, en lnea con
las experiencias de Re-Ingeniera, es que hay, en esencia tres niveles de esfuerzos en TI cuando
se considera la gestin de los recursos de TI:
ACTIVIDADES: las actividades, junto con las tareas estn en el nivel inferior. Las
actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran
discretas en el tiempo.
Planificacin y Organizacin
Conduce la estrategia y las tcticas y
corresponde a la identificacin de la forma
en que la informacin tecnolgica puede
contribuir mejor a alcanzar los objetivos de
gestin.
Distribucin y Soporte
Corresponde con la distribucin normal de
los servicios requeridos, que van desde las
tradicionales operaciones sobre seguridad y
continuidad hasta la formacin.
Adquisicin e Implementacin
Monitorizacin
Para llevar a cabo la estrategia es necesario Todos los procesos de TI deben evaluarse
identificar, desarrollar y adquirir soluciones regularmente en el tiempo para comprobar
de TI apropiadas, as como implementarlas su calidad.
e integrarlas en los procesos de gestin.
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos
de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,
perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele
ser habitual clasificarlos en facturables y no facturables.
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.
a.
Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las
ejecuciones de los procesos del cliente para verificarlos.
b.
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de
control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cual habr de convenir el, tiempo de mquina, espacio de disco, impresoras ocupadas,
etc.
Recursos humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado dependen de la materia auditable.
Es igualmente sealarle que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
Presupuesto
N
Recurso
Auditor (30
hombre)
Auditores auxiliares (2
personas
Programador analista
Especialista en redes
Electricista
2
3
4
5
Valor
hora
horas $ 7.000
Valor total
$ 6.000
$ 7000
$ 15.000
20.000
Total
Materiales
1
2
3
Computadoras
$
$
$
Valor Total
Cronograma de actividades
N
1
2
3
4
ACTIVIDAD O TAREA
Realizacin
de
visita
preliminar
Elaboracin de plan de
Auditoria
Elaboracin de cuestionario
de control interno
Visita para contestar el
cuestionario
de
control
interno
Anlisis del cuestionario y
elaboracin de planilla de
decisiones preliminares
Ejecucin de actividades
presentadas en el programa
DIA
1
DIA
2
DIA
3
DIA
4
DIA
5
DIA
6
DIA
7
DIA
8
DIA
9
DIA
10
7
8
10
de auditoria
Revisin de sistemas de
redes
Revisin de funcionalidad de
los
sistemas
por
el
programador
Revisin de funcionalidad
del sistema elctrico por el
electricista
Presentacin del informe de
auditoria
CONCLUSIONES
REFERENCIAS BIBLIOGRAFICAS