UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA

CURSO AUDITORIA DE SISTEMAS

Cdigo 90168A_13
DESARROLLO PARTE B

Elaborado Por:
DIANA MARCELA FLORIAN
LUZ AMANDA MEDINA RINCN
JOSE ANDERSON RODRIGUEZ CHIQUIZA COD. 1.070.589.147

Abril de 2015

INTRODUCCIN

La incorporacin de las nuevas tecnologas de informacin en el mbito de los sistemas de

informacin sanitarios y, ms concretamente, en los hospitales, esto ha provocado la aparicin de
nuevas posibilidades de proceso de la informacin y de nuevos flujos de informacin entre las
distintas estructuras organizativas de un hospital. Sin embargo, esto ha provocado la aparicin de
nuevos riesgos y amenazas con respecto a la informacin y a los activos de TI. Por tanto, es
necesario considerar las particularidades de dichas tecnologas y del contexto hospitalario para
construir nuevos enfoques de auditora de sistemas de informacin sanitarios. Se presenta un
Modelo General basado en el marco formal de Auditora denominado COBIT 4.1, que consiste
en la adaptacin y aplicacin concreta del mismo en el caso de la implantacin de intranets y
otros servicios de Internet en hospitales.

Palabras Clave
Auditora de Sistemas Informticos Sanitarios, Tecnologas de la Informacin, COBIT, Auditora
Informtica en Internet Hospitalaria, Controles informticos en sistemas hospitalarios.

OBJETIVOS

Conocer e interpretar los conceptos y mtodos implementados en una auditoria

informtica y de sistemas.
Con el desarrollo y elaboracin de un programa de auditoria propuesto se busca conocer
las fases y pasos para la implementacin de una auditoria informtica y de sistemas.

PROGRAMA DE AUDITORIA
BASADO EN ESTANDAR COBIT 4.1 - SERVICIOS DE INTERNET EN EL ENTORNO
HOSPITALARIO

ANTECEDENTES
La implantacin de las TICs (tecnologas de la informacin y la comunicacin), y
particularmente la posibilidad de estar comunicados casi de forma instantnea ha llevado a que
las empresas, estn en constante bsqueda de un servicio que les permita acceder a la red o
mejor dicho a Internet, este servicio a tomado gran impulso e importancia en muchos campos, al
igual que en el rea de la Salud, se han creado sitios web vinculados a los sistemas de
informacin en gestin sanitaria y hospitalaria. Sin embargo, el proceso de incorporacin de
estas soluciones, no se ha realizado en trminos generales con criterios rigurosos de eficiencia y
eficacia, robustez, operatividad y seguridad de la informacin. La prestacin de estos servicios a
travs de la web, favorecen a muchos usuarios del servicio, lo anterior debido a que les permite
agendar citas mdicas, acceder a los diferentes horarios de atencin del centro hospitalario etc
estas son algunas razones por las cuales no es viable la eliminacin de este servicio web, pero
se pueden auditar para mejorar en calidad, nivel de servicio y seguridad informtica.

LOS SISTEMAS DE INFORMACIN HOSPITALARIOS

El hospital es una de las entidades de mayor dificultad por su caracterstica multidisciplinar. En
el hospital se renen profesionales con sus especialidades que realizan su tarea segn el Mtodo

Cientfico interaccionando con otros profesionales que estn en contacto con el cliente/paciente.
Todos ellos ofrecen servicios de Valor agregado a la Salud. Pero actualmente, este tipo de
organizaciones no puede funcionar dentro de unos lmites de rendimiento, operatividad y
calidad, sin que haya sistemas que permitan la adquisicin, almacenamiento, tratamiento y
salvaguardia de toda la informacin generada por la propia organizacin o introducida desde el
exterior. Estos son los Sistemas de Informacin Hospitalarios que son casos particulares de un
sistema de informacin sanitario, como a continuacin se observa su estructura.

Los Sistemas de Informacin Hospitalarios elaboran un producto segn va atravesando las

diferentes secciones de terminado.

El concepto tradicional de sistema de informacin soportado por un sistema informtico, est

establecido en la existencia de un departamento o seccin de informtica que se responsabiliza
del desarrollo, explotacin y mantenimiento de equipos informticos centralizados y las
aplicaciones informticas instaladas. Adicionalmente, y segn las atribuciones definidas en el
contexto oficial, estos departamentos tambin pueden efectuar adquisiciones de material
inventariable (la adquisicin del material fungible suele estar asociado a las atribuciones
normales). Este enfoque hace que los distintos sistemas de informacin que componen la funcin
de informacin de un hospital estn jerarquizados y sean estancos unos de otros, a modo y
semejanza de la propia estructura del hospital como se muestra en la piramide.

Sin embargo, con la incorporacin de las nuevas tecnologas a las organizaciones sanitarias, y en
particular a los hospitales, surgen nuevas posibilidades para el tratamiento y el flujo de la
informacin. Las tecnologas de Internet, World Wide Web (WWW), E-Mail, File Transfer
Protocol (FTP), redes de rea Local (LAN), redes de rea Ancha (WAM), tecnologa de fibra
ptica (OPF), etc., facilitan la instalacin de redes internas basadas en el protocolo IP (Internet
Protocol) que se denominan Intranets y adems se contempla la conexin de stas con el
exterior, es decir, con Internet, como se muestra en este diagrama.

Estas tecnologas han abierto nuevas posibilidades de interaccin entre las distintas unidades de
organizacion y entre los usuarios y la organizacin hospitalaria. Por ejemplo, como es el caso del
Hospital de la regin de Cundinamarca , una exploracin radiolgica genera un conjunto de
placas radiogrficas que no se pasan a soporte fsico sino que se almacenan digitalmente,
directamente desde el instrumento de exploracin. Cuando se produce una actuacin clnica que
necesita dichas "placas", se recuperan de la base de datos y se muestran en un monitor. Por otra
parte, los usuarios pueden acceder a la Web del hospital para comprobar, por ejemplo, el da y la
hora de la prxima cita, o la lista de citas y visitas ya realizadas, contactar con uno de los
facultativos, etc.

OBJETIVOS Y ALCANCES Nota: (El alcance define el entorno y los lmites donde va a
desarrollarse la auditoria)

Se est dando el caso de que los servicios centrales de informtica en los hospitales no pueden
resolver todas las necesidades de informacin de sus unidades orgnicas y regiones. As, parte de
estas necesidades se han resuelto con la instalacin y puesta en marcha de intranets con salida a
Internet. Esto hace que el hospital se adscriba a redes afines oficiales o privadas.
Sin embargo, se plantean al mismo tiempo un conjunto de problemas de seguridad y gestin de
los nuevos flujos de informacin y elementos constitutivos de la red que, en algunas ocasiones,
superan la capacidad tcnica del personal de informtica. Y en la mayora de ocasiones, superan
la carga de trabajo de dicho personal

Estos y la mayora de los problemas suelen ser ocasionados por la falta de planificacin previa a
la incorporacin de nuevas tecnologas de la informacin. Los factores que posiblemente
determinan los problemas son:

Planificacin: Existe un Plan Director de Sistemas de Informacin? Existe un Plan

Estratgico de Sistemas Informticos? Existe un Plan Estratgico del hospital al cual se
supediten los otros dos?

Organizacin: Se han definido puestos y perfiles para la gestin y el mantenimiento de

las redes IP? Por ejemplo, webmaster, administrador de seguridad, etc.

Seguridad: Existen normas de uso y seguridad de las redes IP y de su contenido y se

aplican stas? Existe un Plan de Contingencia? Existen medidas de seguridad dentro de
un sistema de control interno?

Adquisicin: Se han definido las responsabilidades de adquisicin (prospeccin del

mercado, toma de decisiones, capacidad negociadora con proveedores)?

Mantenimiento: Se han definido los procedimientos de mantenimiento? Existe un

stock de repuestos de elementos hardware? Se han firmado contratos de mantenimiento
con proveedores externos y bajo qu condiciones (servicio 24 horas, 12 horas, etc.)?

Servicios: Se han definido con precisin los servicios que van a prestar las redes IP y
los que NO van a prestar? Se ha hecho una encuesta para detectar las necesidades de los
distintas regiones y servicios mdicos? Existen o se han definido indicadores de
rendimiento, satisfaccin de uso, operatividad, etc.?

Como se puede ver, no es suficiente la aplicacin de la metodologa que estn empleando, sino
que es preciso aplicar procedimientos de auditora especficos del entorno y de las tecnologas
implicadas. Por ejemplo, Internet y los servicios que presta se ven todos los das atacados por
hackers y crackers, que buscan los "hoyos de seguridad" que presentan estas tecnologas.
Tambin est muy presente el problema del ataque por virus a travs de los servicios de correo
electrnico. Pero tambin un mantenimiento lento o defectuoso de la intranet y de sus contenidos
puede hacer que esta caiga en desuso por falta de inters. Y la inversin econmica realizada se
pierde sin remedio.
OBJETIVO
OBJETIVO GENERAL

Evaluar el uso de los recursos tcnicos, materiales y humanos que actualmente tiene el hospital,
en funcin del acceso a la red de internet, ya sea que esta se encuentre implementada por red
almbrica o inalmbrica en la institucin, de la mima manera el uso de los recursos fsicos es
decir el aprovechamiento de equipos, conexiones, operatividad del servicio y validacin de las
normas existente y su coherencia con la implementacin en la organizacin.
OBJETIVO ESPECFICO
Presentar una propuesta de un programa para la auditora de servicios de Internet en sistemas de
informacin hospitalaria, teniendo en cuenta los factores y riesgos especficos de este ambiente,
que est inclinado en un marco metodolgico formal denominado COBIT.

METODOLOGA
Se ha determinado el contexto del problema y el alcance del estudio. Se ha identificado y
caracterizado los elementos y los riesgos asociados. Mediante un anlisis de riesgos, se han
obtenido las posibles soluciones de control y objetivos de auditora. Todo ello se ha realizado
aplicando el marco metodolgico de auditora denominado COBIT (Control Objectives for
Information and related Technology) de laInformation Systems Audit and Control
Asociation (ISACA), que est ampliamente aceptado por la comunidad internacional de
auditores de sistemas de informacin como una norma estndar.

IMPLEMENTANDO EL ESTANDAR COBIT

COBIT est diseado como un estndar aplicable y aceptable en general para la buena prctica
de la auditora de las tecnologas de la Informacin en todo el mundo. El producto COBIT utiliza
los Objetivos de Control de ISACA, mejorados con estndares especficos de tipo tcnico,
profesional, normativo e industrial existentes y emergentes. Los objetivos de control se han
desarrollado para su aplicacin en el amplio espectro de sistemas de informacin en la empresa.

Estos objetivos de control tienen en cuenta lo siguiente:

Adecuacin a los estndares y normativas legislativas y de hecho existentes que se

aplican en el marco global, as como en los objetivos de control individuales.

Revisin crtica de las diferentes actividades y tareas bajo los dominios de control y
posibilitando la especificacin de indicadores de prestaciones importantes (normas,
reglas, etc.)

Establecimiento de unas directrices y fundamentos para proporcionar investigacin

consistente sobre los temas de auditora y control de TI.

El sistema consiste en objetivos de control de TI de alto nivel y una estructura global para su
clasificacin y funcionamiento. La teora subyacente para la clasificacin elegida, en lnea con
las experiencias de Re-Ingeniera, es que hay, en esencia tres niveles de esfuerzos en TI cuando
se considera la gestin de los recursos de TI:

ACTIVIDADES: las actividades, junto con las tareas estn en el nivel inferior. Las
actividades tienen el concepto de ciclo de vida mientras que las tareas se consideran
discretas en el tiempo.

PROCESOS: se definen en un nivel superior como series de actividades unidas con

puntos de control naturales.

DOMINIOS: correspondientes al nivel superior, son agrupaciones de procesos. COBIT

distingue cuatro dominios en lnea con el ciclo de gestin o el ciclo de vida aplicables a
los procesos de TI (vase la Figura 4):

Planificacin y Organizacin
Conduce la estrategia y las tcticas y
corresponde a la identificacin de la forma
en que la informacin tecnolgica puede
contribuir mejor a alcanzar los objetivos de
gestin.

Distribucin y Soporte
Corresponde con la distribucin normal de
los servicios requeridos, que van desde las
tradicionales operaciones sobre seguridad y
continuidad hasta la formacin.

Adquisicin e Implementacin
Monitorizacin
Para llevar a cabo la estrategia es necesario Todos los procesos de TI deben evaluarse
identificar, desarrollar y adquirir soluciones regularmente en el tiempo para comprobar
de TI apropiadas, as como implementarlas su calidad.
e integrarlas en los procesos de gestin.

Los puntos que se estn realizando en este documento:

Elaborar el plan de auditora determinando los objetivos y alcances de la auditoria, la

metodologa a seguir para el desarrollo de actividades de la auditoria, los recursos
necesarios para desarrollarla, el presupuesto y un cronograma de actividades (revisar el
plan de auditora del ejemplo en el blog). Como resultado deben entregar el memorando
de planeacin o plan de auditora.

Elaborar el programa de auditora relacionando los objetivos y alcances del plan de

auditora con los dominios, procesos y objetivos de control del estndar COBIT 4.1.
Como resultado de esta actividad se debe entregar los dominios, procesos y objetivos de
control seleccionados del estndar COBIT que sern evaluados.

Recursos necesarios para desarrollar la auditoria de sistemas

El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos
de la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,
perifricos de todo tipo, etc.

El inventario de software debe contener todos los productos lgicos del Sistema, desde el
software bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele
ser habitual clasificarlos en facturables y no facturables.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el
sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a.

Recursos materiales Software

Programas propios de la auditora: Son muy potentes y Flexibles. Habitualmente se aaden a las
ejecuciones de los procesos del cliente para verificarlos.

Monitores: Se utilizan en funcin del grado de desarrollo observado en la actividad de Tcnica

de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.

b.

Recursos materiales Hardware

Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de
control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cual habr de convenir el, tiempo de mquina, espacio de disco, impresoras ocupadas,
etc.
Recursos humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del
personal seleccionado dependen de la materia auditable.

Es igualmente sealarle que la auditora en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.

Presupuesto
N

Recurso

Auditor (30
hombre)
Auditores auxiliares (2
personas
Programador analista
Especialista en redes
Electricista

2
3
4
5

Valor
hora
horas $ 7.000

por Valor total

Valor total

$ 6.000
$ 7000
$ 15.000
20.000
Total

Materiales
1
2
3

Computadoras

$
$
$
Valor Total

Cronograma de actividades
N

1
2
3
4

ACTIVIDAD O TAREA
Realizacin
de
visita
preliminar
Elaboracin de plan de
Auditoria
Elaboracin de cuestionario
de control interno
Visita para contestar el
cuestionario
de
control
interno
Anlisis del cuestionario y
elaboracin de planilla de
decisiones preliminares
Ejecucin de actividades
presentadas en el programa

DIA
1

DIA
2

DIA
3

DIA
4

DIA
5

DIA
6

DIA
7

DIA
8

DIA
9

DIA
10

7
8

10

de auditoria
Revisin de sistemas de
redes
Revisin de funcionalidad de
los
sistemas
por
el
programador
Revisin de funcionalidad
del sistema elctrico por el
electricista
Presentacin del informe de
auditoria

CONCLUSIONES

REFERENCIAS BIBLIOGRAFICAS