Documente Academic
Documente Profesional
Documente Cultură
FASE 5
PRESENTADO POR:
JEISSON ANDRES VANEGAS
YUDERLY ESNEIDER ALVAREZ
DIANA MARCELA LEON BORDA
EDWIN REINALDO MARTINEZ PERDOMO
JUAN DAVID MAJI BAGUA
GRUPO:
90168_36
TUTOR
FRANCISCO NICOLAS SOLARTE
ESPECIFICOS.
Describir las vulnerabilidades, amenazas y riesgos informáticos de la
empresa Propuesta.
Realizar ejecución de auditoria Asmet Salud E.P.S.
Seleccionar ítems que serán evaluados y sus objetivos de control, verificando
que estén relacionados con el objetivo de la auditoria.
Descripción De La Empresa
Para Auditar
Descripción corporativa
Planta física con cuatro niveles de los cuales el primero y segundo piso cuenta
con la infraestructura de la red, tercero auditorio no cuenta y cuarto en construcción
Descripción sistema
Oficina del ingeniero encargado de dar soporte técnico a los equipos de todas las
dependencias encargadas. Red estructurada conforme a diseño de las
instalaciones
Objetivos
Metodología
La presente auditoria se desarrolla con apoyo de varios instrumentos, tales como
entrevista directa, inspección de software y hardware, aplicación de pruebas
cumplimiento y de doble propósito con base en la lista de chequeo de los temas a
auditar. Una vez efectuada la verificación se emitirá un informe preliminar que será
discutido con los auditados del grupo a fin de obtener el informe final. El proceso
auditado formulará un plan de mejoramiento a partir de los resultados de la auditoria.
Para tener en cuenta en esta fase inicial se evaluará todos los aspectos referentes
con la auditoria todo lo que relaciona el sistema de información para su
funcionamiento, redes, software y hardware:
Plan de auditoria
Asmet salud tiene sus sedes a nivel nacional, en diferentes regiones donde
administra los recursos de la salud de su población, garantizando cobertura en la
prestación de los servicios de Plan obligatorio de salud (POS) y no POS , asignando
los recursos necesarios para ejecutar proyectos prevención y promoción (PYP).
En la ciudad de neiva ASMET SALUD esta conformada por 4 departamentos
1. Departamento de cuentas medicas
2. Departamento gestion documental
3. Departamento atencion al usuario
4. Departamento operaciones financieras y contabilizacion
5. Oficina de sistemas
6. Gerencia (local)
Por ende, es importante definir qué área es más importante para realizar la auditoria
Recursos humanos: Nombres y apellidos del grupo auditor
Personal(nombre) ACTIVIDADES Rol
JUAN DAVID MAJI BAGUA Documentar y analizar y TIEMPO DE
EDWIN REINALDO MARTINEZ procesar la información EJECUCION Y
PERDOMO referente a la auditoria, FINALIZACION DE LA
DIANA MARCELA LEON BORDA. cada uno debe mejorar AUDITORIA
JEISSON ANDRES VANEGAS la calidad del producto
YUDERLY ESNEIDER ALVAREZ final
Recursos físicos: La auditoría se llevará a cabo en el Área auditoría de cuentas
médicas, Atención al usuario de la empresa Asmet salud EPS.
Recursos tecnológicos: Todos aquellos medios que nos ayuda capturar la
información para la auditoria como por ejemplos el celular APP (cámara) Y APP
(grabadora), computador portátil, software para pruebas de auditoría sobre escaneo
y tráfico en la red.
Recursos económicos: Durante la ejecución se efectúa un presupuesto, de los
implementos utilizados para realizar la auditoria por ejemplo
Dispositivos (testteer cable utp- multímetro etc.)
Accesorias anexas
Documentación anexa
Presupuesto
En base a las necesidades del proyecto por ende se debe analizar bien si hay
variables
ÍTEM Cantidad subtotal
Determinación de
Planificar la Áreas Críticas de
auditoría Auditoria
Visitar la empresa
para recolectar
información
Elaboración de
Programa de Auditoria
Evaluación de
Aplicar el Riesgos
modelo de
auditoria Ejecución de Pruebas
realizadas dentro de
la empresa y
Obtención de
Evidencias de los
métodos aplicados
Elaboración de
Construir los Informe
planes de
mejoramiento Sustentación de
Informe
Estándar de mejores prácticas COBIT 4.1
PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Institución.
Liderazgo
Integrar los esfuerzos en TI con el propósito del negocio y las actividades.
Desarrollar mecanismos de organización, las estructuras, procesos y personal, para
manejar con éxito las interdependencias, y asegurarse de que las Tecnologías de
la información generen valor.
Arquitectura de la Planificación
Crear un plan coherente de plataforma técnica de tecnologías que responda a las
necesidades actuales y futuras del sector salud. El principal reto es anticipar las
tendencias tecnológicas para que la organización sea siempre capaz de operar
desde una plataforma eficaz y eficiente.
Nivel directivo
Aplicar los lineamientos del SGSI al interior del área correspondiente, transmitiendo
los objetivos de la seguridad de la información para cada uno de los roles que
aplique.
Como parte de las responsabilidades de seguridad de la información para el nivel
directivo se encuentran:
1. Liderazgo y apoyo continúo para la aplicación del SGSI al interior del área
correspondiente
2. Alineación de los objetivos del área para que su cumplimiento este apoyado
por el SGSI.
3. Asignar y verificar el cumplimiento de las funciones y responsabilidades de
seguridad de la información para los roles definidos en el área correspondiente.
4. Proveer los recursos necesarios para la implementación del SGSI al interior
del área correspondiente.
5. Apoyar la capacitación y entrenamiento requerido para que los funcionarios
del área correspondiente cumplan con el SGSI.
6. Aplicar el proceso disciplinario ante los incidentes de seguridad de la
información originado por un funcionario del área correspondiente.
7. Definición, actualización y mantenimiento de los activos de información y
asociados.
8. Análisis de riesgos de seguridad de la información con base en lo establecido
en el SGSI.
9. Definición del plan de tratamiento de los riesgos de seguridad de la
información.
10. Ejecución del plan de tratamiento de los riesgos de seguridad de la
información.
11. Definición, actualización y difusión de las políticas, procedimientos y formatos
del SGSI.
12. Definición y generación de las métricas de seguridad de la información
establecidas en el SGSI.
FUNCIONES:
Conducir, normar y evaluar las actividades del Centro de Recursos Informáticos de
la Institución.
Formular los estudios de factibilidad, así como la elaboración de los Términos de
Referencia en todo lo referente a Tecnologías de la Información y de Comunicación
de Asmet Salud
Administrar eficientemente el uso de los servidores, equipos de procesamiento de
datos y Software Base de la Institución. Conducir, normar y asegurar la seguridad y
protección de los recursos informáticos, a nivel físico y a nivel lógico.
Asegurar la adecuada provisión de soporte y asesoramiento a las áreas
administrativas y académicas en actividades propias de operación de las
Tecnologías de Información y Comunicación (TIC).
Objetivos Específicos.
• Definir las fechas para la realización de los mantenimientos preventivos a los
servicios tecnológicos de Asmet Salud.
• Designar las actividades de soporte al personal competente de la Oficina de
Tecnologías y Sistemas de Información.
• Implementar las recomendaciones del Marco de Referencia de Arquitectura
Empresarial de TI del estado, para garantizar la calidad de los servicios
tecnológicos de la Entidad.
• Medir los niveles de desempeño de los servicios tecnológicos, garantizando un
óptimo funcionamiento en todas las áreas tecnológicas.
De acuerdo con las actividades a realizar dentro del plan de mantenimiento de
infraestructura, el alcance de este documento corresponde a:
a. La definición del cronograma de mantenimientos preventivos para los servicios
tecnológicos de la Entidad.
b. Asignación de responsabilidades al equipo de TI del MEN, para que se
proporcione el soporte técnico, mantenimiento preventivo y correctivo de los
recursos tecnológicos como hardware y software.
FORMATO DE ENTREVISTA
Asmet salud E.P.S
Rta: No,
¿El personal del Área TI, sabe que hacer en caso de que ocurra una
emergencia?
Rta: Se han realizado diferentes reuniones para tomar la medidas
necesarias en caso de una emergencia.
Rta: Cada dos meses la empresa contratada realiza soporte técnico a los
equipos de la empresa.
eventos
6 Se monitorean los riesgos relacionados con el área de TI x
la información
8 Se realiza monitoreo a los usuarios y al modo de uso de x
los equipos
9 Se hace supervisión para el buen funcionamiento de los x
equipos
10 La empresa destina recursos para planes de monitoreo x
Informática
CUESTIONARIO DE CONTROL
Pregunta Si No Observaciones
¿La estructura organizacional de TI es flexible y 5
adaptable a las necesidades de la empresa
Asmet Salud E.P.S?
¿Se han implementado procesos para revisar la 3
estructura organizacional del área de TI?
¿Existe documentación relacionada con las 3
funciones del personal del Área TI?
¿Existe algún procedimiento ante la ocurrencia 6
de eventos relacionados con los sistemas?
¿Hay personal responsable de mantener la 2
seguridad de la información?
¿Hay personal encargado de mantener la 2
seguridad física de los equipos e infraestructura
de sistemas?
¿Se hace monitoreo a los usuarios y al modo de 3
uso de los equipos?
¿Existen y se implantan procesos de mejora en 5
el área de TI?
¿Se hacen reuniones o comités para tratar 2
temas relacionados con el área de TI?
Totales 12 19
PORCENTAJE DE RIESGO
RIESGO:
RIESGOS INICIALES
PROBABILIDAD IMPACTO
Insignificante Menor (2) Moderado Mayor (4) Catastrófico
(1) (3) (5)
Raro (1)
Improbable (2) R6 R5
AUDITOR RESPONSABLE:
RTA: No existe una bitácora como tal, se envía un correo al usuario con
los servicios que se le prestaron durante el mantenimiento
Pregunta Si No Observaciones
¿Existe un plan para adquirir la infraestructura 6
tecnológica?
Totales 7 24
PORCENTAJE DE RIESGO
RIESGO:
RIESGOS INICIALES
1. El personal no cuenta con programas de capacitación y formación
en seguridad informática y de la información.
2. Perdida de la trazabilidad e historia en los registros de la
empresa
3. Equipo sin funcionamiento por un determinado tiempo.
4. Descarga apertura o instalación de programas o documentos
infectados.
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1)
Improbable (2)
Probable (4)
R4, R5,
Casi Seguro (5) R6 R8
R7
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA
Rta: No.
Rta: Si
Rta: Se le asigna los primeros meses a una persona con experiencia para
que le enseñe.
13. ¿Los programas que se manejan en Asmet Salud EPS son licenciados?
Rta: Si todos los programas son licenciados. Office, Dinámica, índigo, SQL
server etc.
14. ¿Cada cuánto expira las contraseñas de seguridad?
Lista de chequeo
Auditor Responsable
Observacio
Pregunta Si No
nes
¿El personal de TI tiene actualizados
5
programas, y sistemas operativos?
¿Actualmente se está monitoreando la
3
seguridad del sistema y corrección de errores?
¿Se lleva acabo el debido proceso para los
2
permisos de usuarios?
¿Existen controles para el manejo de la
5
información?
¿Todos los usuarios de encuentran en una lista
2
o repositorio para su respectiva administración?
¿Se están respondiendo a tiempo los
Algunas
respectivos tiket que colocan los usuarios del 4
Veces
sistema?
¿las contraseñas utilizadas tienen algún tipo de Alfa
5
nivel de seguridad? Numérica
Las solicitudes de acceso por los usuarios
solicitando acceso, ¿están siendo aprobados por 4
el administrador del sistema?
Los derechos de acceso del usuarios solicitados
y aprobados, ¿están siendo evaluados e
5
implementados por el administrador del
sistema?
¿Tienen algún tipo de restricción para los
usuarios que manejan el sistema, en cuanto el 3
manejo de la información?
¿Se capacita al personal en cuanto el adecuado
4
manejo de los equipos de cómputo etc.?
Totales 29 13
PORCENTAJE DE RIESGO
RIESGO:
RIESGOS INICIALES
10. Las solicitudes de acceso por los usuarios solicitando acceso, ¿están
siendo aprobados por el administrador del sistema 4
11. Los derechos de acceso del usuarios solicitados y aprobados, ¿están
siendo evaluados e implementados por el administrador del sistema
5
12. Tienen algún tipo de restricción para los usuarios que manejan el
sistema, en cuanto el manejo de la información 3
13. Se capacita al personal en cuanto el adecuado manejo de los
equipos de cómputo etc. 4
ANALISIS Y EVALUACION DE RIESGO
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1)
Improbable (2)
R4, R6,
Posible (3) R1
R12
AUDITOR RESPONSABLE:
Rta: Si lo tenemos
18. ¿La empresa cuenta con los medios adecuados para extinción de fuego
dentro del centro? Rta: Si la empresa cuenta con los respectivos
mecanismos de seguridad anti fuego.
Lista de chequeo
CUESTIONARIO DE CONTROL
Pregunta Si No Observaciones
¿La empresa Asmet Salud cuneta con los
respectivos procedimientos formales respecto
5
al ingreso de personas que no pertenece a las
instalaciones?
¿Los riesgos a los que podría padecer la
infraestructura física de la misma institución se
3
está llevando en un marco de referencia para
la respectiva evaluación de riesgos?
¿la empresa cuenta con los respectivos
elementos contra incendios para mitigar en 5
caso de tal percance?
¿las normas de control interno existen en la
empresa para garantizar la protección del 4
personal y las instalaciones?
¿Es constante la actualización de los diversos
riesgos que podrían afectar a la infraestructura 2
física del Ente?
¿los métodos cualitativos y cuantitativos se
utilizan para medir el impacto y probabilidad
de los riegos que pueden afectar la 2
infraestructura física?
IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)
Raro (1)
Improbable (2) R3
AUDITOR RESPONSABLE:
Pregunta Si No Observaciones
¿Se cuenta con un inventario de equipos 5 ninguna
de cómputo?
¿Existe un inventario contiene los
siguientes ítems? 3 ninguna
Número del computador y ficha técnica
de hardware
PORCENTAJE DE RIESGO
RIESGO:
Porcentaje de riesgo parcial 40%
Porcentaje de riesgo 60%
impacto según relevancia del proceso DS13 Riesgo
medio
AUDITORIA ASMET SALUD E.P.S
IMPACTO
PROBABILIDAD
Insignificante = 1
Raro = 1 Menor = 2
Improbable = 2 Moderado = 3
Posible = 3 Mayor = 4
Probable = 4 Catastrófico = 5
Casi Seguro = 5
DS13 ADMINISTRACIÓN DE OPERACIONES
RIESGOS
R6 Software obsoleto. 2 2
IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)
Raro (1)
https://drive.google.com/drive/folders/1MQwjksVXywW2_yjBKrVEcqR8Be4oKSSG
CONCLUSIONES