UNIVERSIDAD NACIONAL A BIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGIA E INGENIERIA

FASE 2 : PLANEACIÓN DE LA AUDITORIA

PRESENTADO POR: JUAN CARLOS RUIZ

SANTIAGO DE CALI 1 DE OCTUBRE DEL 2017

 INTRODUCCIÓN

Todas las empresas existentes poseen información que se ha convertido en uno de

sus activos más importantes y a la vez sensibles o confidenciales, ya que su
revelación, alteración, pérdida o destrucción de manera accidental o
malintencionada, puede producir daños significativos a la organización, reflejados
en pérdidas económicas, de prestigio y seguridad.

Hoy en día se dispone de más canales por los que se puede gestionar la
información, una de ellas son las telecomunicaciones, que pasaron de ser líneas
para la comunicación telefónica por voz, para convertirse en transmisores de
información legible en las computadoras, facilitando innovaciones como internet y
el correo electrónico, echo que paralelamente ha aumentado los problemas de
seguridad informática, que afectan tanto a pequeñas como grandes empresas.
Ejemplo de esto fue el ataque de ciberespías industriales a varias multinacionales
de gran tamaño como Google y otras 34 empresas, quienes sufrieron robo de
información a través de un “malware” (software malicioso”) y cuyo echo fue
bautizado como “Operación Aurora”; Adove sufrió un robo de sus cuentas bancarias
donde se vieron afectados más de 152 millones de usuarios; Sony sufrió tres días
de ciberataques donde los ciberdelincuentes se apropiaron de más de 177 millones
de usuarios de los servicios Play Station en todo el mundo, incluso de datos de
tarjetas de crédito, la televisión Fox News también no fue la excepción donde
resultaron afectados 360 mil usuarios, quienes veían como realizan pagos no
autorizados desde sus tarjetas de crédito y el último ciberataque registrado en el
2017 que afectó a más de 200.000 compañías y personas de 150 países, que
exigían un pago para no destruir archivos de los dispositivos, 26 fueron en
Colombia: Una institución oficial, ocho personas particulares y 17 empresas de
distintos sectores productivos,
Ya sean empresas grandes o pequeñas de cualquier sector de la economía,
necesitan tener el control de la información que manejan, aunque no es posible
anticiparse a todas las amenazas se debe tener procedimientos y planes que
protejan los recursos de la red, esto quiere decir, que si no se tiene una política de
seguridad de la información clara y definida, aumenta los riesgos a que personas
ajenas tengan acceso no autorizado a una red informática o a los equipos que en
ella se encuentran ocasionando graves problemas.

Los hospitales o centros de Salud tanto privados como públicos manejan una gran
cantidad de datos de información y datos debido a los diferentes servicios que
prestan: Urgencias, Hospitalización, Servicios Ambulatorios (Medicina General,
Odontología), Apoyo Diagnóstico, Programas de Fomento de la Salud, Servicio
Farmacéutico y Traslado Básico Asistencial, caso de la Empresa Social del Estado
Hospital San Roque ubicado en el Municipio de Pradera Valle

TABLA DE VULNERABILIDAD, AMENEZAS Y RIESGOS

Empresa: Institución Social del Estado, Hospital San Roque ubicado en el

Municipio de Pradera (Valle).

N° Vulnerabilidad Amenazas Riesgo Categoría

1 En la empresa no Difusión de software La pedida de información Seguridad
existe una política de dañino, virus los cuales y operación de los Logica
seguridad pueden generar sistemas informáticos de
informática definida. vulnerabilidad en la la empresa.
empresa.

2 Adquisición de Manipulación de la Falta de actualización del Software

software que no configuración sistema operativo de los
tiene soporte del Fallos en el sistema equipos de cómputo que
fabricante operativo tienen Windows XP, 7, 8
y 10
3 No existe proceso de Accesos no No existe directivas de Seguridad
revisión de autorizados contraseñas para las lógica
contraseñas cuentas de usuario
4 Falta de control de Suplantación de Se encuentran activas Seguridad
cuentas de usuario identidad cuentas de usuario de lógica
 personal que ya no
labora en la empresa.
5 No existen control de Robo informático o No existen políticas de Seguridad
acceso a los copia de información control de acceso para lógica
usuarios en la red confidencial (Historias los usuarios de la
local Clínicas) institución.
6 No existe un plan de Perdida de información No se realizan copias de Seguridad
generación de y continuidad del seguridad de manera lógica
Backup. servicio. periódica de la
información sensible en
medios externos.
7 No existen Filtración de usuarios No hay controles de Seguridad
restricciones a la red no permitidos a la red seguridad con lógica
local. local. contraseñas cifradas y
controles en la red.
8 No existe un plan de Daños en los equipos No hay planeación en los Seguridad
mantenimiento de cómputo y mantenimientos lógica
preventivo y continuidad en la respectivos para evitar
correctivo en la operación de la futuros daños.
institución empresa.
9 No existe un cargo el En caso de Fallas en el servicio Manejo y
cual sea el emergencia no hay control de
responsable del Área personal idóneo para personal
de informática en la resolver fallas
institución presentadas.
10 No existe un Control Utilización de los No existe control de Redes
y monitoreo en el recursos del sistema acceso a direcciones de
acceso a Internet para fines no previstos internet por parte del
administrador, lo que
hace insegura a la red de
datos
11 No existe control de Introducción de Alteración o pérdida de la Hardware
los dispositivos de información falsa información registrada en
almacenamiento base
(usb, cd, discos) de datos o equipos
12 Acceso no Entrada o Accesos no No se tiene Manejo y
autorizado a las autorizados implementado un sistema control de
áreas restringidas de identificación de personal
empleados, visitantes,
acompañantes y registro
de visitantes.
13 Ausencia de un No establecer políticas No existe un proceso de Manejo y
Sistema de Gestión y procedimientos de auditoría a la seguridad control de
de Seguridad de la seguridad de la informática y de la personal
Información información. información que
garantice el sistema de
 control adecuado para la
implementación de
políticas y
procedimientos en el
Sistema de Seguridad.
14 Fuga de información Mal uso del correo Uso indebido del correo Seguridad
institucional, ya que no de electrónico para el lógica
se utiliza solo para envío de información a
comunicación laboral. personal externo
15 Robo de información Falta de control de Falta de controles y Seguridad
acceso en internet restricciones para el lógica
acceso a internet.
16 No hay contingencia Bajas de voltaje y No hay recursos de UPS Equipos
de red eléctrica daños en los equipos o planta eléctrica para de
de cómputo y prever perdidas en el Protección
servidores de datos. servicio uy la continuidad Eléctrica
de la información,
multifuncionales de la
empresa
17 No se hace revisión Accesos No Al no contar con VPN, no Seguridad
de virus, troyanos y autorizados al sistema analiza el tráfico por VPN lógica
espías en la VPN a IPSec, L”TP, PPTP y SSL
través del uso de en busca de software
sistema de usuario malintencionado, correo
remoto (acceso no deseado, contenidos
remoto) inapropiados e
intusiones.
18 Falta de capacitación Fallas en la Falta de actualización y Software
del personal del área configuración de los configuración adecuada
informática. equipos del equipo por parte del
personal del área de
sistemas
 OBJECTIVOS

Objetivo General:
Se hace la auditoria para determinar si es necesario Implementar una Política de
Seguridad para la Red de la Empresa Social del Estado Hospital San Roque ubicado
en el Municipio de Pradera (Valle).

Objetivos Específicos

 Identificar la vulnerabilidad informática que amenaza la seguridad de la Red y

los recursos de información de la Empresa Social del Estado Hospital San
Roque ubicado en el Municipio de Pradera (Valle).

 Seleccionar la información vital para la Empresa Social del Estado Hospital

San Roque ubicado en el Municipio de Pradera (Valle) que se desea proteger.

 Diseñar una Política de Seguridad para la Red del Hospital San Roque ubicado
en el Municipio de Pradera (Valle).

 Analizar el estado actual de los recursos informáticos de la institución con su

respectiva documentación en Software y Hardware.

ASPECTOS A EVALUAR

INVENTARIO DE HARDWARE:
 CANT TIPO MARCA
1 CONTROL DE ACCESO LOGIT
9 COMPUTADR PORTATIL HP
2 MONITORES LED 24’’ DELL
2 SERVIDORES DE BASE HP
DE DATOS ORACLE
PROLIAT G9
1 1.1 DATA CENTER RED LINSYS
LAN / SWITCH
1 ROUTER MICRO TIC
20 PUNTOS RED LAN CABLEADO
ESTRUCTURADO UTP

- Controles de acceso de personal autorizado.

- Inventario de equipos actualizado, con la documentación adjunta del plan de
mantenimiento correctivo y preventivo.
- Actualización de Software (Sistema Operativo, Antivirus, aplicaciones
permitidas).
- Validación de los controles en la red local y verificación de acceso a internet
o software no permitido en la institución.
- Validación de la Hoja de vida de los funcionarios que intervienen en el área
de sistemas (formación y capacidades).
- Verificación del estado del hardware según documentación de visitas de los
mantenimientos de la contingencia de la rede eléctrica de la compañía como
(Planta eléctrica y UPS).
Cronograma de Actividades:

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4

Validación de la
Fase información
conocimiento
…….
Comparar lo que está
escrito con lo físico
Fase
Planeación de
la auditoría
Revisar

Fase
A hacer un informe
Ejecución
personal
auditoria
Hacer un informe grupal

Fase de
Entregar el informe final
resultados

Referencias Bibliográficas

Seguridad informática:
https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica