Sunteți pe pagina 1din 72

RESUTADOS FINALES DE LA AUDITORIA

FASE 5

PRESENTADO POR:
JEISSON ANDRES VANEGAS
YUDERLY ESNEIDER ALVAREZ
DIANA MARCELA LEON BORDA
EDWIN REINALDO MARTINEZ PERDOMO
JUAN DAVID MAJI BAGUA

GRUPO:
90168_36

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA


AUDITORIA DE SISTEMAS
2019
INTRODUCCION

En el campo de la auditoria de sistemas, es sumamente importante conocer


conceptos claves que ayudaran a sacar una auditoria adelante, tales
conceptos son: Vulnerabilidad, riesgo, amenaza, controles informáticos, y
percibir cómo interactúan entre ellos, por ejemplo, sin la ocurrencia de uno es
mayor la propagación de otro, con ese conocimiento se puede ayudar a las
organizaciones a mitigar sus riesgos y tener controladas las amenazas.

Un plan de auditoria a los sistemas informáticos de una empresa es


imprescindible para lograr la utilización más eficiente y segura de la
información que servirá para la adecuada toma de decisiones; con los planes
programados de auditoria se le permite a la compañía evaluar todo, desde la
informática, la organización de los centros de información, hasta el hardware
y software, brindando así sistemas confiables y con buenos niveles de
seguridad.

En el presente trabajo se pretende ejecutar un plan de auditoria para la


empresa Asmet Salud E.P.S, centrándose en aspectos como: evaluar la
infraestructura tecnológica de hardware y de soporte, la seguridad lógica, y
seguridad en bases de datos del sistema, para ello se evaluaran proceso
críticos del sistema y sus objetivos de control, los procesos que se evaluaran
serán: PO4 Definir los Procesos, Organización y Relaciones de TI, AI3 Adquirir
y Mantener Infraestructura Tecnológica, DS5 Garantizar la Seguridad de los
Sistemas, DS12 Administrar el ambiente físico, DS13 Administración de
Operaciones
OBJETIVOS
GENERAL.
Elaborar un plan de auditoria en sistemas que permita evaluar la infraestructura
tecnológica de soporte, la seguridad lógica, y seguridad en bases de datos del
sistema de información de la empresa Asmet Salud E.P.S.

ESPECIFICOS.
 Describir las vulnerabilidades, amenazas y riesgos informáticos de la
empresa Propuesta.
 Realizar ejecución de auditoria Asmet Salud E.P.S.
 Seleccionar ítems que serán evaluados y sus objetivos de control, verificando
que estén relacionados con el objetivo de la auditoria.
Descripción De La Empresa
Para Auditar

Descripción corporativa

Administra recursos del régimen subsidiado en salud, bajo un esquema de


aseguramiento, de conformidad con la ley 100 de 1993 y normas reglamentarias,
autorizada para entrar en operación desde el 01 de abril de 2018, compuesta por
los siguientes órganos sociales para su dirección, administración y representación;
Asamblea General de Accionistas, Junta Directiva y Gerencia General, con las
facultades y atribuciones conferidas por los estatutos y la ley.
Misión
Somos una aseguradora en salud que a través de un modelo de gestión integral del
riesgo, contribuimos al mejoramiento de las condiciones de salud de nuestros
afiliados.
Visión
Al 2023 seremos la mejor opción de aseguramiento social en salud, generando
confianza en el sector y sostenibilidad financiera.
Infraestructura

Planta física con cuatro niveles de los cuales el primero y segundo piso cuenta
con la infraestructura de la red, tercero auditorio no cuenta y cuarto en construcción
Descripción sistema
Oficina del ingeniero encargado de dar soporte técnico a los equipos de todas las
dependencias encargadas. Red estructurada conforme a diseño de las
instalaciones

La dirección regional de la empresa prestadora del servicio de salud tiene a


disposición más de 60 equipos, 5 impresoras multinacional marca hp en red.
Servidor de dominio privado e intranet.

Objetivos

Realizar plan de auditoria para el mejoramiento de la calidad de red de los sistemas


internos de la empresa reflejados en los servicios en cuanto a la atención y la gestión
de la información de los usuarios de la EPS.

 Conocer la instalación a nivel tecnológica del hardware que soportan los


sistemas de información en Asmet salud EPS, así como la seguridad física
interna a zonas restringidas por parte de los usuarios para analizar las
vulnerabilidades y amenazas
 Elaborar el plan de auditoría diseñando los formatos de fuentes de
recolección de información a consideración los recursos y personal
disponible para llevarla a cabo.
 Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos de
recolección de información que se han diseñado para encontrar los riesgos
existentes para los procesos de acuerdo a la normatividad y reglamentación.
 Elaborar los informes de resultados y el dictamen de la auditoría para los
procesos evaluados en el estándar para presentarlos en la empresa.
Alcance

revisar, analizar, verificar y reportar el funcionamiento del hardware de los


computadores y el sistema de información de la EPS Asmet salud a los funcionarios
del área informática, para mejorar la integridad, la confidencialidad y confiabilidad
de la información que se guarda en los ordenadores, se comprobara si la EPS tiene
vulnerabilidades con la seguridad informática y si están al tanto de ella, se
reportaran cuáles han sido los métodos de protección que usan para estos
inconvenientes, con la auditoria de sistemas se construirá un plan de estrategia
pasa salvaguardar la calidad del servicio.

Metodología
La presente auditoria se desarrolla con apoyo de varios instrumentos, tales como
entrevista directa, inspección de software y hardware, aplicación de pruebas
cumplimiento y de doble propósito con base en la lista de chequeo de los temas a
auditar. Una vez efectuada la verificación se emitirá un informe preliminar que será
discutido con los auditados del grupo a fin de obtener el informe final. El proceso
auditado formulará un plan de mejoramiento a partir de los resultados de la auditoria.

Por ende definiremos el equipo de trabajo que diseñara la auditoria nuestras


actividades, como estudiantes de la ingeniería de sistemas de la unad.

Para tener en cuenta en esta fase inicial se evaluará todos los aspectos referentes
con la auditoria todo lo que relaciona el sistema de información para su
funcionamiento, redes, software y hardware:

El inventario hardware de redes

 La obsolescencia del hardware y cableado estructurado: se solicitara al


departamento encargado, si existe inventario de los equipos

 El cumplimiento de la norma de cableado estructurado: como está


estructurado sistema, que equipo de enrutamiento, Swift, si existe mapa
de la red

 La seguridad en la red de datos: como es tratada la información dentro de


la organización
Del servicio de internet se evaluará:

 El contrato con la empresa que presta el servicio de internet: se


confirmara que tipo de servicio ha contratado de forma local y cuáles son
los beneficios

 La seguridad que brinda el operador para el servicio de internet.

 La seguridad de la red inalámbrica wifi: que cifrado se seguridad maneja


la empresa

 La monitorización de la red por parte del administrador: determinara los


protocolos que maneja la empresa

Plan de auditoria
Asmet salud tiene sus sedes a nivel nacional, en diferentes regiones donde
administra los recursos de la salud de su población, garantizando cobertura en la
prestación de los servicios de Plan obligatorio de salud (POS) y no POS , asignando
los recursos necesarios para ejecutar proyectos prevención y promoción (PYP).
En la ciudad de neiva ASMET SALUD esta conformada por 4 departamentos
1. Departamento de cuentas medicas
2. Departamento gestion documental
3. Departamento atencion al usuario
4. Departamento operaciones financieras y contabilizacion
5. Oficina de sistemas
6. Gerencia (local)
Por ende, es importante definir qué área es más importante para realizar la auditoria
Recursos humanos: Nombres y apellidos del grupo auditor
Personal(nombre) ACTIVIDADES Rol
JUAN DAVID MAJI BAGUA Documentar y analizar y TIEMPO DE
EDWIN REINALDO MARTINEZ procesar la información EJECUCION Y
PERDOMO referente a la auditoria, FINALIZACION DE LA
DIANA MARCELA LEON BORDA. cada uno debe mejorar AUDITORIA
JEISSON ANDRES VANEGAS la calidad del producto
YUDERLY ESNEIDER ALVAREZ final
Recursos físicos: La auditoría se llevará a cabo en el Área auditoría de cuentas
médicas, Atención al usuario de la empresa Asmet salud EPS.
Recursos tecnológicos: Todos aquellos medios que nos ayuda capturar la
información para la auditoria como por ejemplos el celular APP (cámara) Y APP
(grabadora), computador portátil, software para pruebas de auditoría sobre escaneo
y tráfico en la red.
Recursos económicos: Durante la ejecución se efectúa un presupuesto, de los
implementos utilizados para realizar la auditoria por ejemplo
Dispositivos (testteer cable utp- multímetro etc.)
Accesorias anexas
Documentación anexa
Presupuesto
En base a las necesidades del proyecto por ende se debe analizar bien si hay
variables
ÍTEM Cantidad subtotal

computador cpu –samsung core !5 400.000


disco duro 500 gb 1
4 de ram
targeta grafica incorporada (alquiler o
prestamo 4 meses)
Gastos generales: Cafetería, 1 320.000
imprevistos, transporte, etc.

Telephone Motorola G3 application 1 320.000


Grabadora de sonido digital
Medios de almacenamiento magnético 1 800.000
como: USB,DISK CD, Implementos de
gestión redes
Total $1.840.000
Cronograma
De acuerdo al periodo académico, se planificará las actividades para garantizar la
consolidación de la información, el equipo de trabajo, debe garantizar que las
actividades este acorde a las fechas planteadas
Marzo-abril y mayo que es lo que resta de periodo académico

Mes 1 Mes 2 Mes 3


Actividad
1 2 3 4 1 2 3 4 1 2 3 4

Realizar estudio inicial

Determinación de
Planificar la Áreas Críticas de
auditoría Auditoria
Visitar la empresa
para recolectar
información

Elaboración de
Programa de Auditoria

Evaluación de
Aplicar el Riesgos
modelo de
auditoria Ejecución de Pruebas
realizadas dentro de
la empresa y
Obtención de
Evidencias de los
métodos aplicados

Elaboración de
Construir los Informe
planes de
mejoramiento Sustentación de
Informe
Estándar de mejores prácticas COBIT 4.1

COBIT (Objetivos de Control para la información y Tecnologías relacionadas)


Dominio: Planificación y Organización
Dominio: Adquisición e implementación
Dominio: Servicios y soporte
Dominio: Monitoreo

DS13 Administración de Operaciones: Se requiere de una efectiva administración


protección de datos de salida sensitivos, monitoreo de infraestructura y
mantenimiento preventivo de hardware en la Institución. Para ello se aplicará el
siguiente objetivo de control:
Para la efectiva administración y protección de datos de salida asmet salud EPS
cuenta con sonicwall firewall que cuenta con las siguientes características:
Detecte riesgos ocultos
Una visibilidad superior sobre la actividad de riesgo, el tráfico sospechoso y las
amenazas avanzadas le ayuda a recuperar el control de su red.
Detenga las amenazas desconocidas
Las potentes tecnologías de protección next-gen como el Deep Learning y la
prevención de intrusiones le permiten mantener su empresa protegida.
Aísle los sistemas infectados
La respuesta automática ante amenazas identifica y aísla al instante los sistemas
comprometidos de su red y detiene la propagación de las amenazas.
Detecte riesgos ocultos
Una visibilidad superior sobre la actividad de riesgo, el tráfico sospechoso y las
amenazas avanzadas le ayuda a recuperar el control de su red.

• DS13.5 Mantenimiento Preventivo del Hardware: Evaluar los procedimientos


para garantizar el mantenimiento oportuno de la infraestructura para reducir la
frecuencia y el impacto de las fallas o de la disminución del desempeño.
Teniendo en cuenta que el calor y el polvo favorecen favorecen el desgaste de los
circuitos se expone a condiciones de trabajo muy difíciles, por ello hay que
conservarlos ventilados, frescos y protegidos del cambio brusco del voltaje. Asmet
Salud EPS cuenta con personal idóneo y capacitado para el soporte y
mantenimiento del hardware de la empresa. El personal técnico realiza el
mantenimiento cada 6 meses para garantizar el correcto desempeño de los equipos.
Funciones:
Supervisar y controlar las actividades del Sistema de Comunicaciones de Asmet
Salud.
Conducir la implantación y asistencia técnica de los equipos de cómputo de
comunicaciones y de equipos de comunicaciones.
Administrar y mantener la operatividad de la Red de Área Local de Asmet Salud.
Supervisar y/o ejecutar el mantenimiento preventivo y correctivo de los equipos de
comunicaciones, de manera eficiente y oportuna.
Supervisar y/o ejecutar el mantenimiento preventivo y correctivo del cableado físico
de voz y datos, en la medida de ser atendidos por el equipo técnico del Área.
Operar los equipos de comunicaciones y las redes de área local (LAN) a cargo del
centro de recursos informáticos.
En cuanto al hardware: los procesos de actualización, mantenimiento y adquisición
de servidores, terminales, dispositivos de red.
Los procesos de actualización están programados dependiendo el requerimiento
del equipo, versión del software, sistema operativo, licencias.
En cuanto a la adquisición de servidores, equipos, impresoras, terminales,
dispositivos de red Asmet Salud EPS compra todos los dispositivos a Micro
eléctricos quien cuenta con lo último en tecnología.
En cuanto a la operatividad del sistema: se evaluó los usuarios que manejan la
información, la administración del sistema y el monitoreo del sistema.
En cuanto los usuarios que manejan la información esta capacitado para el manejo
de la seguridad de la información, capacitación en medidas preventivas que buscan
mantener la confidencialidad, la disponibilidad e integridad de datos de la misma.

PO4 Definir los Procesos, Organización y Relaciones de TI: Dentro del área de
sistemas debe estar claro y definido el personal de la tecnología de la información,
los roles, las funciones y responsabilidades, permitiendo el buen funcionamiento de
servicios que satisfagan los objetivos de la Institución.

• PO4.6 Establecimiento de roles y responsabilidades: Evaluar el


cumplimiento de los roles y las responsabilidades definidas para el personal de
TI, en el área de sistemas (administradores de redes, administradores de
servidores, supervisor de los indicadores de cumplimiento).
Nuestras Tecnologías de la información poseen los siguientes recursos:
1. Los tangibles que están representados por los diferentes componentes de la
infraestructura física de TI.
2. Los recursos humanos asociados a TI que incluye el conocimiento de las
herramientas técnicas y de gestión de las Tecnologías de la información.
3. Los intangibles asociados a TI, que están representados por los activos de
conocimiento, orientación al cliente y sinergias presentes en cada
organización.

Se asegura que las TI estén previstas en todos los procesos de negocio. En la


organización Asmet Salud, donde se atienden las mejores prácticas, las TI
contribuyen de manera importante a resolver los problemas de negocio, reingeniería
de procesos, desarrollo estratégico y la entrega de e-business.
Facilitar dialogo amplio, el establecimiento de la comprensión, la confianza y la
cooperación entre los usuarios de negocios y especialistas en TI.

Liderazgo
Integrar los esfuerzos en TI con el propósito del negocio y las actividades.
Desarrollar mecanismos de organización, las estructuras, procesos y personal, para
manejar con éxito las interdependencias, y asegurarse de que las Tecnologías de
la información generen valor.

Arquitectura de la Planificación
Crear un plan coherente de plataforma técnica de tecnologías que responda a las
necesidades actuales y futuras del sector salud. El principal reto es anticipar las
tendencias tecnológicas para que la organización sea siempre capaz de operar
desde una plataforma eficaz y eficiente.

• PO4.7 Responsabilidad de Aseguramiento de Calidad de TI: Asignar la


responsabilidad para el desempeño de la función de aseguramiento de calidad
(QA) y proporcionar al grupo de QA sistemas de QA, los controles y la
experiencia para comunicarlos. Asegurar que la ubicación organizacional, las
responsabilidades y el tamaño del grupo de QA satisfacen los requerimientos de
la dependencia.
Asmet Salud tiene como objetivo principal activo es el Capital Humano (servicios
profesionales, consultoras, algunas ingenierías, empresas especializadas en
recursos humanos, etc): aquí es fundamental una correcta gestión de las
competencias que permita localizar rápidamente los mejores recursos para
incorporarlos a los nuevos proyectos y servicios de salud. También la creación de
Redes de Expertosse muestra vital para poder ofrecer un correcto soporte a los
clientes y grupos de trabajos internos. La gestión de las Lecciones Aprendidas, las
Buenas Prácticas y el establecimiento de mecanismos para facilitar la transferencia
de conocimiento entre los diferentes sectores donde opera la Asmet Salud son
también aspectos críticos.
Asmet Salud tiene como objetivo principal es la innovación, principalmente,
tecnológica: nuestra organización tiene un gran conocimiento de las tendencias
tecnológicas (Vigilancia Tecnológica) y de la evolución del mercado (Análisis de la
Competencia). Conocer las necesidades de nuestros usuario. es otro aspecto
fundamental cuando se plantea la definición de un modelo de gestión del
conocimiento en este sector Salud aunque con ciertas salvedades.
• PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento:
Establecer la propiedad y la responsabilidad de los riesgos relacionados con TI
a un nivel superior apropiado. Definir y asignar roles críticos para administrar los
riesgos de TI, incluyendo la responsabilidad específica de la seguridad de la
información, la seguridad física y el cumplimiento. Establecer responsabilidad
sobre la administración del riesgo y la seguridad a nivel de toda la dependencia
para manejar los problemas a nivel de toda la Universidad. Puede ser necesario
asignar responsabilidades adicionales de administración de la seguridad a nivel
de sistema específico para manejar problemas relacionados con seguridad.
Obtener orientación de la alta dirección con respecto al apetito de riesgo de TI y
la aprobación de cualquier riesgo residual de TI.

Nivel directivo
Aplicar los lineamientos del SGSI al interior del área correspondiente, transmitiendo
los objetivos de la seguridad de la información para cada uno de los roles que
aplique.
Como parte de las responsabilidades de seguridad de la información para el nivel
directivo se encuentran:
1. Liderazgo y apoyo continúo para la aplicación del SGSI al interior del área
correspondiente
2. Alineación de los objetivos del área para que su cumplimiento este apoyado
por el SGSI.
3. Asignar y verificar el cumplimiento de las funciones y responsabilidades de
seguridad de la información para los roles definidos en el área correspondiente.
4. Proveer los recursos necesarios para la implementación del SGSI al interior
del área correspondiente.
5. Apoyar la capacitación y entrenamiento requerido para que los funcionarios
del área correspondiente cumplan con el SGSI.
6. Aplicar el proceso disciplinario ante los incidentes de seguridad de la
información originado por un funcionario del área correspondiente.
7. Definición, actualización y mantenimiento de los activos de información y
asociados.
8. Análisis de riesgos de seguridad de la información con base en lo establecido
en el SGSI.
9. Definición del plan de tratamiento de los riesgos de seguridad de la
información.
10. Ejecución del plan de tratamiento de los riesgos de seguridad de la
información.
11. Definición, actualización y difusión de las políticas, procedimientos y formatos
del SGSI.
12. Definición y generación de las métricas de seguridad de la información
establecidas en el SGSI.

Comité Operativo de Seguridad de la Información


Este comité lo integran los funcionarios delegados de cada dependencia, área o
grupo de la Unidad y será coordinado por el Oficial de Seguridad de la Información.
Entre sus funciones se encuentran las siguientes:
1. Validar la documentación propia del SGSI con cada dueño de proceso.
2. Fomentar dentro de su dependencia la práctica de directrices de seguridad
de información.
3. Apoyar la identificación y actualización de activos y riesgos de seguridad de
información.
4. Apoyar la identificación e implementación de controles para la mitigación de
riesgos de seguridad de información.
• PO4.9 Propiedad de Datos y de Sistemas: Proporcionar a la dependencia los
procedimientos y herramientas que le permitan enfrentar sus responsabilidades
de propiedad sobre los datos y los sistemas de información. Los encargados
toman decisiones sobre la clasificación de la información y de los sistemas y
sobre cómo protegerlos de acuerdo a esta clasificación.
Asmet Salud EPS decide incorporar controles de seguridad basados en la norma
ISO 27001, para proteger la información contra violaciones de autenticidad, accesos
no autorizados y perdida de integridad,
Asmet Salud EPS controla los niveles de acceso del personal solo a información
autorizada, mediante el uso de restricciones y contraseñas, para evitar su pérdida,
alteración, destrucción o uso indebido.
ASMET Salud EPS, establece diferentes lineamientos los cuales se adoptan como
una acción permanente con el fin de cumplir con la Ley Estatutaria 1581 de 2012 y
su decreto único reglamentario 1074 de 2015, que permite garantizar la legalidad
en el tratamiento de los datos personales de los titulares de quienes se tiene
Responsabilidad, así como la aplicación de los principios para su tratamiento.
La información relacionada con operaciones sospechosas, intentadas, deberá
remitirse de forma inmediata al oficial de Cumplimiento SARLAFT de ASMET
SALUD EPS, para ser reportadas a la UIAF. Esta información, así como de aquéllas
operaciones que estén siendo objeto de investigación por parte de ASMET SALUD
EPS, solo podrán ser reveladas cuando exista solicitud expresa de la autoridad
competente.

• PO4.10 Supervisión: Implementar prácticas adecuadas de supervisión dentro


de la función de TI para garantizar que los roles y las responsabilidades se
ejerzan de forma apropiada, para evaluar si todo el personal cuenta con la
suficiente autoridad y recursos para ejecutar sus roles y responsabilidades y
para revisar en general los indicadores clave de desempeño.
1. Se tiene definida una estrategia de seguridad para el manejo de la información, y
la misma está alineada con los objetivos de la organización e incluye una política
que define los parámetros para su manejo.
2. La organización ha realizado estudios sobre los niveles de seguridad que tiene
para la información, así como ha tomado acciones correctivas sobre las debilidades
identificadas.
3. Se desarrollan campañas de concientización sobre el uso adecuado de la
información y las medidas de seguridad que deben tener los funcionarios tales
como, Asegurar los equipos portátiles, Mantener los escritorios sin documentos,
Bloquear y/o cerrar las cesiones de trabajo en los equipos cuando no se utilicen,
etc.
4. Se tienen definidos los parámetros que clasifican los niveles de acceso a la
información de Asmet Salud, de acuerdo al contenido de la misma, tales como
información sensible, privada y/o pública
5. Se realiza un seguimiento periódico, que permite validar los funcionarios que
acceden a la información sensible.
6. La información de los empleados, clientes y proveedores, se encuentra
adecuadamente custodiada, su acceso es restringido, así como se tiene un registro
de los funcionarios responsables de la administración y acceso a dicha información.
7. Los funcionarios han suscrito declaraciones de confidencialidad previamente
avalados por el Área Jurídica, con relación a la información a la cual tienen acceso.
8. Los contratos laborales de los empleados, cuentan con cláusulas sobre la cesión
de los derechos de propiedad intelectual a Asmet Salud sobre toda creación o
desarrollo realizado como resultado de su trabajo.
9. Se cuenta con registros de los usuarios asignados de acuerdo al perfil asignado,
validando periódicamente que no se tienen problemas de segregación de funciones
o accesos inadecuados de acuerdo a sus funciones.
10. Asmet Salud cuenta con copias de seguridad en centros externos a la
organización.

AI3 Adquirir y Mantener Infraestructura Tecnológica: Las Dependencias deben


contar con procesos para adquirir, Implementar y actualizar la infraestructura
tecnológica. Esto requiere de un enfoque planeado para adquirir, mantener y
proteger la infraestructura de acuerdo con las estrategias tecnológicas convenidas
y la disposición del ambiente de desarrollo y pruebas. Esto garantiza que exista un
soporte tecnológico en la Universidad.

• AI3.1 Plan de Adquisición de Infraestructura Tecnológica: Generar un plan


para adquirir, Implementar y mantener la infraestructura tecnológica que
satisfaga los requerimientos establecidos funcionales y técnicos que esté de
acuerdo con la dirección tecnológica de la dependencia. El plan debe considerar
extensiones futuras para adiciones de capacidad, costos de transición, riesgos
tecnológicos y vida útil de la inversión para actualizaciones de tecnología.
Evaluar los costos de complejidad y la viabilidad del software al añadir nueva
capacidad técnica.
Objetivos específicos:
 Informar el estado actual del Centro de Recursos Informáticos y
Audiovisuales.
 Realizar el diagnóstico de la infraestructura física y tecnológica que tiene
en la actualidad Asmet Salud.
 Presentar una solución acorde a los requerimientos y necesidades
encontradas en el diagnóstico inicial.
 Formular el Plan de Inversiones para fortalecer los servicios y recursos
de información, redes de comunicación, topología y la estructura
organizacional del Centro De Recursos Informáticos Y Audiovisuales de
Asmet Salud

FUNCIONES:
Conducir, normar y evaluar las actividades del Centro de Recursos Informáticos de
la Institución.
Formular los estudios de factibilidad, así como la elaboración de los Términos de
Referencia en todo lo referente a Tecnologías de la Información y de Comunicación
de Asmet Salud
Administrar eficientemente el uso de los servidores, equipos de procesamiento de
datos y Software Base de la Institución. Conducir, normar y asegurar la seguridad y
protección de los recursos informáticos, a nivel físico y a nivel lógico.
Asegurar la adecuada provisión de soporte y asesoramiento a las áreas
administrativas y académicas en actividades propias de operación de las
Tecnologías de Información y Comunicación (TIC).

• AI3.2 Protección y Disponibilidad del Recurso de Infraestructura:


Implementar medidas de control interno, seguridad y auditabilidad durante la
configuración, integración y mantenimiento del hardware y del software de la
infraestructura para proteger los recursos y garantizar su disponibilidad e
integridad. Se deben definir y comprender claramente las responsabilidades al
utilizar componentes de infraestructura sensitivos por todos aquellos que
desarrollan e integran los componentes de infraestructura. Se debe monitorear
y evaluar su uso.

Realizar la implantación y mantenimiento de Software Base correspondiente a


Sistemas Operativos, Servidores de Correo, Servidores de Comunicaciones,
Software de Administración en Tecnología de Información y Comunicación (TIC).
Administrar los controles de acceso, perfiles de usuario, seguridad y protección de
los sistemas de información, equipos e instalaciones del Centro de Recursos
Informáticos de la Institución.
Efectuar el control e inventario físico de los equipos (servidores) y mantenerlo
actualizado permanentemente.
Supervisar y/o ejecutar el mantenimiento preventivo y correctivo de los Servidores,
de manera eficiente y oportuna.
Sacar copias de seguridad de los servidores diariamente y mantener al día la
bitácora de los backups realizados.
Administrar los archivos magnéticos, programas de ordenadores, manuales y
materiales con respecto al Hardware base y Software Base instalado.
Administrar y operar los servidores del Centro de Recursos Informáticos de la
Institución.
Administrar y operar el software de administración de Tecnología de Información y
Comunicación (TIC).
Participar en proyectos que conlleven a mejorar la infraestructura tecnológica de la
Institución.
• AI3.3 Mantenimiento de la Infraestructura: Desarrollar una estrategia y un
plan de mantenimiento de la infraestructura y garantizar que se controlan los
cambios, de acuerdo con el procedimiento de administración de cambios de la
dependencia. Incluir una revisión periódica contra las necesidades,
administración de parches y estrategias de actualización, riesgos, evaluación de
vulnerabilidades y requerimientos de seguridad.

Objetivos Específicos.
• Definir las fechas para la realización de los mantenimientos preventivos a los
servicios tecnológicos de Asmet Salud.
• Designar las actividades de soporte al personal competente de la Oficina de
Tecnologías y Sistemas de Información.
• Implementar las recomendaciones del Marco de Referencia de Arquitectura
Empresarial de TI del estado, para garantizar la calidad de los servicios
tecnológicos de la Entidad.
• Medir los niveles de desempeño de los servicios tecnológicos, garantizando un
óptimo funcionamiento en todas las áreas tecnológicas.
De acuerdo con las actividades a realizar dentro del plan de mantenimiento de
infraestructura, el alcance de este documento corresponde a:
a. La definición del cronograma de mantenimientos preventivos para los servicios
tecnológicos de la Entidad.
b. Asignación de responsabilidades al equipo de TI del MEN, para que se
proporcione el soporte técnico, mantenimiento preventivo y correctivo de los
recursos tecnológicos como hardware y software.

ACTIVIDADES DE LOS RESPONSABLES.


Teniendo en cuenta las necesidades de los servicios tecnológicos del Ministerio de
Educación Nacional, las siguientes corresponden a las actividades a ejecutar por
parte del equipo de TI:
1. Verificar que el software este dentro del inventario, propiedad de la entidad.
2. Revisar el estado actual del equipo de cómputo, y en caso de ser necesario
gestionar la garantía con el proveedor correspondiente.
3. Iniciar el proceso de limpieza de cada uno de los equipos informáticos, e
impresoras.
4. Revisar el estado actual del antivirus, comprobar si esta con la respectiva
licencia y firmas actualizadas.
5. Desinstalar todo el software que no disponga de correspondiente licencia
6. Revisar demás equipos de cómputo, hardware y sus periféricos, y si hay que
cambiar algo debe ser debidamente justificado, y reportado, para la
sustitución o cambio de partes.
7. Se debe reportar los mantenimientos en el aplicativo de Service Desk
correspondiente, por parte del técnico, y dar el reporte al coordinador de
infraestructura.

DS5 Garantizar la seguridad de los sistemas: Garantizar la protección de la


información e infraestructura de TI con el fin de minimizar el impacto causado por
violaciones o debilidades de seguridad de la TI. Los objetivos de control que se
evaluarán son los siguientes:
• DS5.2 Plan de Seguridad de TI: Trasladar los requerimientos de la
dependencia, riesgos y cumplimiento dentro de un plan de seguridad de TI
completo, teniendo en consideración la infraestructura de TI y la cultura de
seguridad. Asegurar que el plan esta implementado en las políticas y
procedimientos de seguridad junto con las inversiones apropiadas en los
servicios, personal, software y hardware. Comunicar las políticas y
procedimientos de seguridad a los interesados y a los usuarios.
Identificar que tan importantes son las operaciones y/o datos para la entidad;
donde se determine qué tan confidencial es la información, el proceso, la
operación o función a migrar. La entidad puede realizar una autoevaluación a
través de preguntas sencillas donde identifique el valor de los activos en
términos de confidencialidad, disponibilidad, integridad y su riesgo asociado al
llevar los datos a la nube parcial o totalmente.
Por ejemplo: Que impacto tendría en la entidad si:
1. El activo estuviera expuesto públicamente
2. Un funcionario del tercero o proveedor accediera al activo
3. Un proceso fuera modificado por un externo
4. Un proceso o alguna de sus funciones entregaran resultados erróneos
5. Si la información o datos fueran modificados de manera inesperada
6. Si se presentaran fallas de disponibilidad

• DS5.3 Administración de Identidad: Asegurar que todos los usuarios (internos,


externos y temporales) y su actividad en sistemas de TI (Entorno de TI,
operación de sistemas, desarrollo y mantenimiento) deben ser identificables de
manera única. Permitir que el usuario se identifique a través de mecanismos de
autenticación. Confirmar que los permisos de acceso del usuario al sistema y los
datos están en línea con las necesidades del módulo definidas y documentadas
y que los requerimientos de trabajo están adjuntos a las identidades del usuario.
Asegurar que los derechos de acceso del usuario se solicitan por la gerencia del
usuario, aprobados por el responsable del sistema e implementado por la
persona responsable de la seguridad. Las identidades del usuario y los derechos
de acceso se mantienen en un repositorio central. Se despliegan técnicas
efectivas en coste y procedimientos rentables, y se mantienen actualizados para
establecer la identificación del usuario, realizar la autenticación y habilitar los
derechos de acceso.
En la administración de identidad:
Se crea un rol a cada funcionario con preguntas de seguridad y datos personales
Cada rol tiene permisos diferentes permisos asignados, dependiendo su labor
en Asmet Salud
Funciones, Actores y controles:
Hay tres funciones que se pueden hacer con los datos:
1. Acceder: Ver/acceder al dato, incluyendo crearlo, copiarlo, transferir el
archivo, separarlo, y otros intercambios de información.
2. Tratar: Realizar una transacción con el dato: actualizarlo, usarlo en una
transacción de la entidad, etc.
3. Almacenar: Guardar el dato (archivarlo, base de datos, etc.).
Actor: (persona, aplicación, o sistema/proceso) realizan funciones en donde se
ubica la información.
Controles: Un control restringe una lista de posibles acciones a las acciones
permitidas.

• DS5.4 Administración de Cuentas del Usuario: Garantizar que la solicitud,


establecimiento, emisión, suspensión, modificación y cierre de cuentas de
usuario y de los privilegios relacionados, sean tomados en cuenta por un
conjunto de procedimientos. Debe incluirse un procedimiento de aprobación que
describa al responsable de los datos o del sistema otorgando los privilegios de
acceso. Estos procedimientos deben aplicarse a todos los usuarios, incluyendo
administradores (usuarios privilegiados), usuarios externos e internos, para
casos normales y de emergencia. Los derechos y obligaciones relativos al
acceso a los sistemas e información del módulo deben acordarse
contractualmente para todos los tipos de usuarios. Realizar revisiones regulares
de la gestión de todas las cuentas y los privilegios asociados.
Autorizaciones: Definir qué tipos de funcionario/usuarios tienen permisos para
acceder a qué tipos de información.
Propiedad: Quién es el responsable final de la información
Custodia: Quién es el responsable de la gestión de la información, a petición del
propietario.

• DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad: Garantizar que la


implementación de la seguridad en TI sea probada y monitoreada de forma pro-
activa. La seguridad en TI debe ser re-acreditada periódicamente para garantizar
que se mantiene el nivel seguridad aprobado. Una función de ingreso al sistema
(logging) y de monitoreo permite la detección oportuna de actividades inusuales
o anormales que pueden requerir atención.
Pasos de vigilancia y monitoreo de la seguridad:
1. Cifrado Cliente/Aplicación: Los datos son cifrados en el extremo o en el
servidor antes de enviarse por la red o ya están almacenados en un formato de
cifrado adecuado. Esto incluye el cifrado en cliente local (basado en agente), por
ejemplo para archivos almacenados, o el cifrado integrado en aplicaciones.

• DS5.6 Definición de Incidente de Seguridad: Implementar procedimientos


para atender casos de incidentes, mediante el uso de una plataforma
centralizada con suficiente experiencia y equipada con instalaciones de
comunicación rápidas y seguras. Igualmente establecer las responsabilidades y
procedimientos para el manejo de incidentes
1) Monitorizar la existencia de grandes movimientos internos de datos con
herramientas de monitorización de actividad de bases de datos (DAM - Database
Activity Monitoring) y de monitorización de actividad en archivos (FAM - File
Activity Monitoring).
2) Monitorizar la migración de datos a Cloud con filtros URL y herramientas Data
Loss Prevention.

• DS5.7 Protección de la Tecnología de Seguridad: Garantizar que la


tecnología relacionada con la seguridad sea resistente al sabotaje y no revele
documentación de seguridad innecesaria.
Contar con un buen antivirus es una categoría de software de seguridad que
protege un equipo de virus, normalmente a través de la detección en tiempo real
y también mediante análisis del sistema, que pone en cuarentena y elimina los
virus. El antivirus debe ser parte de una estrategia de seguridad estándar de
múltiples niveles.
Normas de seguridad:
Conjunto de principios que describe los servicios de seguridad que debe
proporcionar un sistema para ajustarse a las necesidades de sus usuarios, los
elementos de sistemas para ajustarse a las necesidades de los usuarios, los
elementos de sistemas para implementar estos servicios y los niveles de
rendimiento y seguridad que se necesitan
Posibles ataques:
Ataques multi-etapas
Un ataque en múltiples etapas es una infección que normalmente implica un ataque
inicial, seguido por la instalación de una parte adicional de códigos maliciosos. Un
ejemplo es un troyano que descarga e instala adware.
Ataques Web
Un ataque Web es un ataque que se comete contra una aplicación cliente y se
origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios
maliciosos que han sido creados para atacar intencionalmente a los usuarios de
ésta.
Autenticación
Garantía de que una parte de una transacción informática no es falsa. La
autenticación normalmente lleva consigo el uso de una contraseña, un certificado,
un número de identificación personal u otra información que se pueda utilizar para
validar la identidad en una red de equipos.
Bot
Un bot es una computadora individual infectada con malware, la cual forma parte de
una red de bots (botnet).

CUADRO DE DEFINICION DE FUENTES DE


CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA Asmet salud E.P.S

PROCESO AUDITADO Estructura organizacional y procesos de TI


RESPONSABLE Diana Marcela Leon Borda
MATERIAL DE COBIT
SOPORTE
DOMINIO Planificación y Organización
PROCESO P04. Definir los Procesos, Organización y
relaciones de TI

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO
DE ANALISIS DE EJECUCION
Entrevista a los Usar adecuadamente Solicitud de la
Ingenieros y aprovechar los Documentación, relacionadas
quienes son los recursos informáticos; con la estructura
encargados del mediante el Organizacional; de igual
área informática desarrollo, forma Manuales de
en la oficina de implantación y funciones, del personal
supervisión del responsables del Área TI.
Sistemas de la correcto
E.P.S Asmet funcionamiento en el
Salud. Área de TI, del mismo
modo la seguridad y
protección de la
información.

FORMATO DE ENTREVISTA
Asmet salud E.P.S

Fecha 05 de Abril de 2019


Conocer y verificar la estructura organizacional y
OBJETIVO
funcional del Área TI de la empresa tales como:
AUDITORÍA
establecimiento de funciones y responsabilidades,
sobre el riesgo, la seguridad y el cumplimiento,
prácticas de supervisión, y conocer el personal clave
en el Área TI.
PROCESO AUDITADO Estructura organizacional y procesos de TI

RESPONSABLE Diana Marcela Leon Borda

MATERIAL DE COBIT DOMINIO Planificación y Organización


SOPORTE
PROCESO P04. Definir los Procesos, Organización y relaciones de TI
AUDITOR RESPONSABLE:

DIANA MARCELA LEON BORDA


PREGUNTAS ENTREVISTA
¿Existe una clara definición de funciones en el Área Informática?

Rta: No,

¿El personal del Área TI, sabe que hacer en caso de que ocurra una
emergencia?
Rta: Se han realizado diferentes reuniones para tomar la medidas
necesarias en caso de una emergencia.

¿La empresa destina recursos para planes de monitoreo y supervisión en


el área de sistemas?

Rta: En el presupuesto de la empresa se realiza la destinación para esta


área.

¿Se registra el acceso al departamento de cómputo a personas


ajenas a la dirección de informática?

Rta: Para el personal no autorizado se realiza el debido ingreso en un


formato.

¿Se vigilan la moral y comportamiento del personal de la dirección de


informática con el fin de mantener una buena imagen y evitar un
posible fraude?

Rta: Periódicamente se realizan conferencias, con el personal.


¿Se realiza frecuentemente el proceso de soporte Técnico a los equipos de
cómputo?

Rta: Cada dos meses la empresa contratada realiza soporte técnico a los
equipos de la empresa.

Diana Marcela Leon Borda Jorge Luis Becerra Valenzuela


Firma del entrevistador Firma del Entrevistado
Lista de chequeo

Fecha: 05 de Abril de 2019


proceso Estructura organizacional y procesos de TI
Realizado por: Diana Marcela Leon Borda

Núm. Aspectos por validar o chequear SI NO

1 Hay una estructura organizacional del Área TI x

2 Existen manuales de función del personal de TI X

3 Existen planes de contingencia ante eventos o fallas x

4 El personal de TI tiene roles y funciones definidas x

5 Existe algún procedimiento ante la ocurrencia de x

eventos
6 Se monitorean los riesgos relacionados con el área de TI x

7 Hay personal responsable de mantener la seguridad de x

la información
8 Se realiza monitoreo a los usuarios y al modo de uso de x

los equipos
9 Se hace supervisión para el buen funcionamiento de los x

equipos
10 La empresa destina recursos para planes de monitoreo x

11 Existe personal de vigilancia en la Empresa x

12 Se han adoptado medidas de seguridad en el Área x

Informática
CUESTIONARIO DE CONTROL

Fecha 05 de Abril de 2019


Dominio Planificación y Organización
Proceso Auditado P04. Definir los Procesos, Organización y relaciones
de TI

Pregunta Si No Observaciones
¿La estructura organizacional de TI es flexible y 5
adaptable a las necesidades de la empresa
Asmet Salud E.P.S?
¿Se han implementado procesos para revisar la 3
estructura organizacional del área de TI?
¿Existe documentación relacionada con las 3
funciones del personal del Área TI?
¿Existe algún procedimiento ante la ocurrencia 6
de eventos relacionados con los sistemas?
¿Hay personal responsable de mantener la 2
seguridad de la información?
¿Hay personal encargado de mantener la 2
seguridad física de los equipos e infraestructura
de sistemas?
¿Se hace monitoreo a los usuarios y al modo de 3
uso de los equipos?
¿Existen y se implantan procesos de mejora en 5
el área de TI?
¿Se hacen reuniones o comités para tratar 2
temas relacionados con el área de TI?
Totales 12 19
PORCENTAJE DE RIESGO

Según el puntaje dado en el cuestionario de control se pretende


establecer el porcentaje de riesgos en el proceso DS5 Garantizar la
seguridad de los sistemas.

*Porcentaje de riesgo parcial = (12 * 100) / 31 = 38,70%

*Porcentaje de riesgo = 100% - 38,70 % = 61,3%

De acuerdo con la categorización de niveles de riesgo que dicta que:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

Porcentaje de riesgo según el proceso PO4: Definir los Procesos,


Organización y relaciones de TI es Medio

RIESGO:

Porcentaje de riesgo parcial 38,70%


Porcentaje de riesgo 61,3%
impacto según relevancia del proceso PO4  Riesgo medio

PO4 DEFINIR LOS PROCESOS, ORGANIZACIÓN Y RELACIONES DE


TI

En este proceso se analizarán los riesgos relacionados con la


infraestructura organizacional del área de tecnologías de información, los
roles de las personas que hacen parte de dicha área, involucramiento de
la gerencia en funciones de TI, inducciones de programas o aplicativos,
alcance de los usuarios en sus funciones y responsabilidad en procesos
de TI.

RIESGOS INICIALES

1. Se retrasen operaciones de ingresos de registros lo que ocasiona no


tener información confiable y oportuna
2. destrucción de las edificaciones y sus activos
3. Descarga apertura o instalación de programas o documentos
infectados.
4. Perder trazabilidad e historia en los registros de la empresa
5. Retraso en las actividades a desarrollar
6. El personal no cuenta con programas de capacitación y formación en
seguridad informática y de la información.
7. Acceso a información confidencial.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS

8. No existen una estructura organizacional de TI es flexible y


adaptable a las necesidades de la empresa Asmet Salud E.P.S
9. No se han implementado procesos para revisar la estructura
organizacional del área de TI.
10. No Existe algún procedimiento ante la ocurrencia de eventos
relacionados con los sistemas
11. No Existen y se implantan procesos de mejora en el área de TI
ANALISIS Y EVALUACION DE RIESGOS

N° Descripción Impacto Probabilidad


R1 Se retrasen operaciones de ingresos de 3 4
registros lo que ocasiona no tener información
confiable y oportuna
R2 destrucción de las edificaciones y sus activos 5 2
R3 Descarga apertura o instalación de programas 4 4
o documentos infectados.
R4 Perder trazabilidad e historia en los registros 3 3
de la empresa
R5 Retraso en las actividades a desarrollar 2 5
R6 El personal no cuenta con programas de
capacitación y formación en seguridad 2 4
informática y de la información.
R7 Acceso a información confidencial. 4 3
R8 No existen una estructura organizacional de
5 4
TI es flexible y adaptable a las necesidades
de la empresa Asmet Salud E.P.S
R9 No se han implementado procesos para
3 4
revisar la estructura organizacional del área
de TI
R10 No Existe algún procedimiento ante la
5 5
ocurrencia de eventos relacionados con los
sistemas
R11 No Existen y se implantan procesos de
5 4
mejora en el área de TI
MATRIZ DE RIESGOS RESULTANTE

EVALUACIÓN Y MEDIDAS DE RESPUESTA

PROBABILIDAD IMPACTO
Insignificante Menor (2) Moderado Mayor (4) Catastrófico
(1) (3) (5)

Raro (1)

Improbable (2) R6 R5

Posible (3) R1, R9

Probable (4) R4, R7 R3

Casi Seguro (5) R2 R8, R11 R10


CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA Asmet salud E.P.S

PROCESO AUDITADO Adquirir y Mantener Infraestructura Tecnológica


RESPONSABLE Yuderly Esneider Álvarez campos
MATERIAL DE COBIT
SOPORTE
DOMINIO Adquirir e Implementar
PROCESO AI3 Adquirir y Mantener Infraestructura
Tecnológica

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO
DE ANALISIS DE EJECUCION

Entrevista a los Se establecieron solicitud de documentación,


Ingenieros Normas en la actas de comité y reuniones
encargados del empresa E.P.S del área de sistemas de la
área informática Asmet salud para empresa, procedimientos de
de la empresa mantener una pasos a seguir antes
E.P.S Asmet organización en el eventos en el área de
Salud. área de TI. sistemas, manuales de
funciones o definición de
roles y responsabilidades
del personal de TI.

AUDITOR RESPONSABLE:

YUDERLY ESNEIDER ALVAREZ CAMPOS


EMPRESA AUDITADA
Asmet salud E.P.S

Fecha 05 de Abril de 2019


Conocer aspectos claves del Mantenimiento de la
OBJETIVO
Infraestructura
AUDITORÍA
PROCESO AUDITADO Adquisición y mantenimiento de la infraestructura

RESPONSABLE Yuderly Esneider Álvarez Campos

MATERIAL DE COBIT DOMINIO Adquirir e implementar


SOPORTE
PROCESO AI3 Adquirir y mantener infraestructura tecnológica
ENTREVISTADO Ing. German torres castro
CARGO Coordinador del área
PREGUNTAS ENTREVISTA
1. ¿Cada cuánto se le realiza el mantenimiento preventivo al hardware y
software?

Rta: Se realiza mantenimiento preventivo al hardware, al software se le


realiza mantenimiento por lo menos una vez cada mes.

2. ¿Registra todo lo realizado en el mantenimiento en su respectiva


bitácora?

RTA: No existe una bitácora como tal, se envía un correo al usuario con
los servicios que se le prestaron durante el mantenimiento

3. ¿Con que frecuencia se capacita el personal encargado de realizar el


mantenimiento de los dispositivos tecnológicos?

Rta: Cada 3 meses.

4. ¿Existe un control de los requerimientos y solicitudes de que se realizan


al área?
Rta: No Existe

5. ¿Cuáles son las medidas que se emplean para el control interno y


seguridad de la infraestructura tecnológica?

RTA: Se tienen restricciones para algunos usuarios y se modificó el host


de los equipos para que no puedan acceder a cierto tipo de páginas.
6. ¿Cree usted que la infraestructura tecnológica responde a todas las
necesidades de la empresa?

Rta: No, la empresa tiene equipos de más de 10 años funcionando en


áreas críticas y eso hace que la incidencia de errores y fallas sea
frecuente.

Yuderly Esneider Álvarez Campos Ing. German torres castro


Firma del entrevistador Firma del Entrevistado
Lista de chequeo

Fecha: 05 de Abril de 2019


proceso Adquisición y mantenimiento de la infraestructura
Realizado por: Yuderly Esneider Álvarez Campos

Núm. Aspectos por validar o chequear SI NO

1 ¿La empresa anualmente hace el mantenimiento ? X


2 ¿Se realiza el mantenimiento de los equipos x
tecnológicos?
3 ¿Se cuenta con una bitácora, en la que se registren X
todos los procesos de mantenimiento programados y
realizados?
4 ¿Existen políticas definidas (formatos) para la X
adquisición de nuevos equipos?
5 ¿Se realizan informes técnicos en el que se evidencie la X
relación costo beneficio al momento de adquirir tanto
dispositivos como plataformas tecnológicas?
6 ¿Existe un comité de compras que analice y garantice la X
adquisición e instalación de los dispositivos
tecnológicos?
7 ¿Existe personal idóneo para realizar el mantenimiento x
tanto preventivo como correctivo al hardware y
software?
CUESTIONARIO DE CONTROL

Fecha 05 de Abril de 2019


Dominio Adquirir e implementar
Proceso Auditado AI3 Adquirir y mantener infraestructura tecnológica

Pregunta Si No Observaciones
¿Existe un plan para adquirir la infraestructura 6
tecnológica?

¿Se consulta al área de compras para la 5


adquisición de infraestructura tecnológica?
¿Se implementan medidas de control interno, 3
seguridad durante el mantenimiento de
software y hardware?
¿Se realiza el respectivo monitoreo a los 5
diferentes recursos de infraestructura?
¿La información obtenida de este monitoreo se 5
registra en una bitácora o formato?

¿Se ejecuta un plan de mantenimiento de la 3


infraestructura tecnológica?
¿La infraestructura tecnológica de los equipos 4
soporta la instalación de diferentes sistemas
operativos?

Totales 7 24
PORCENTAJE DE RIESGO

De acuerdo con los puntajes dados en el cuestionario de control se


pretende establecer el porcentaje de riesgo en el proceso AI3 Adquirir y
mantener infraestructura tecnológica.

*Porcentaje de riesgo parcial = (7 * 100) / 48 = 14,58%


*Porcentaje de riesgo = 100% - 14,58% = 85,42%

De acuerdo con la categorización de niveles de riesgo que dicta que:

1% - 30% = Riesgo Bajo


31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto

El impacto según relevancia del proceso AI3 es Medio.

A continuación, se presenta un cuadro resumen de dicho análisis:

RIESGO:

Porcentaje de riesgo parcial 14,58%


Porcentaje de riesgo 85,42%
impacto según relevancia del proceso PO4 
Riesgo medio

AI3 ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLOGICA

En este proceso se analizarán los riesgos relacionados con la


infraestructura tecnológica, verificando que exista un soporte tecnológico
en cuanto a planes de mantenimiento, políticas para adquisición de
nuevos equipos, monitoreo a recursos de informática y obsolescencia de
equipos frente a nuevas tecnologías.

RIESGOS INICIALES
1. El personal no cuenta con programas de capacitación y formación
en seguridad informática y de la información.
2. Perdida de la trazabilidad e historia en los registros de la
empresa
3. Equipo sin funcionamiento por un determinado tiempo.
4. Descarga apertura o instalación de programas o documentos
infectados.

RIESGOS CON LA APLICACIÓN DE INSTRUMENTOS


5. No Existe un plan para adquirir la infraestructura tecnológica.
6. No Se consulta al área de compras para la adquisición de
infraestructura tecnológica.
7. No Se realiza el respectivo monitoreo a los diferentes recursos de
infraestructura.
8. La información obtenida de este monitoreo No se registra en una
bitácora o formato.
9. No Se ejecuta un plan de mantenimiento de la infraestructura
tecnológica.
ANALISIS Y EVALUACION DE RIESGOS

N° Descripción Impacto Probabilidad

R1 El personal no cuenta con programas de 3 5


capacitación y formación en seguridad
informática y de la información.
R2 Perdida de la trazabilidad e historia en los 3 3
registros de la empresa
R3 Equipos tecnológicos sin funcionamiento 3 3
por un determinado tiempo
R4 Descarga apertura o instalación de 5 4
programas o documentos infectados.
R5 No Existe un plan para adquirir la 5 4
infraestructura tecnológica.
R6 No Se consulta al área de compras para la 5 3
adquisición de infraestructura tecnológica.
R7 No Se realiza el respectivo monitoreo a los 5 4
diferentes recursos de infraestructura.
R8 La información obtenida de este monitoreo 5 5
No se registra en una bitácora o formato.
R9 No Se ejecuta un plan de mantenimiento 3 4
de la infraestructura tecnológica
RESULTADOS MATRIZ DE RIESGOS

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2)

Posible (3) R2, R3 R9 R1

Probable (4)

R4, R5,
Casi Seguro (5) R6 R8
R7
CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

ENTIDAD AUDITADA Asmet salud E.P.S

PROCESO AUDITADO Administración e integridad de los sistemas.


RESPONSABLE Jeisson Andrés Vanegas Medina
MATERIAL DE COBIT
SOPORTE
DOMINIO Entregar y Dar Soporte
PROCESO DS5 Garantizar la Seguridad de los Sistemas

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO
DE ANALISIS DE EJECUCION
 Validar que los  Se realizan pruebas de
Entrevista a los procesos de seguridad
Ingenieros administración de  Se verifican pruebas con los
Leonardo Andrés seguridad, usuarios del dominio
López y Arnulfo administración de  Se verifica el correcto
Molina Romero cuentas de usuarios, funcionamiento del sistema
quienes son los medidas de  Se aplican las respectivas
encargados del seguridad física, pruebas al sistema
área informática. mantenimiento  Se verifica las copias de
preventivo del seguridad del sistema
Hardware se  Se le asigna al personal de
encuentren soporte los errores o tiket
documentadas. registrados que salen en el
 Verificar que los día a día.
permisos de acceso  Se mira el estado del equipo
asignados a los de cómputo, tecnológico y
usuarios de ser necesario de cambia
correspondan a su por otro más actualizado.
perfil de usuario.
 Verificar la existencia
de los registros de
monitoreo de
seguridad y pruebas
periódicas.
 Verificar los backups
a la base de datos.
FORMATO DE ENTREVISTA
Asmet salud E.P.S

Fecha 05 de Abril de 2019


Mejorar los procesos en cuanto a la seguridad
OBJETIVO
informática y de infraestructura en Asmet Salud EPS
AUDITORÍA
PROCESO AUDITADO Administración e integridad de los sistemas.

RESPONSABLE Jeisson Andrés Vanegas Medina

MATERIAL DE COBIT DOMINIO Entregar y Dar Soporte


SOPORTE
PROCESO DS5 Garantizar la Seguridad de los Sistemas
ENTREVISTADO Ing. Arnulfo Molina Romero
CARGO Coordinador TIC
PREGUNTAS ENTREVISTA
1. ¿Cada cuando se realizan las revisiones de las cuentas y sus respectivos
privilegios?

Rta: Cada 6 meses

2. ¿Cuentan con un plan de mantenimiento preventivo para los equipos


tecnológicos?

Rta: Si, cada 6 meses

3. ¿Cómo se está realizando y registrando el monitoreo de seguridad?

Rta: No.

4. ¿Qué mecanismos de autenticación tiene implementado la empresa


Asmet Salud EPS?

Rta: ID de usuario y contraseña


5. ¿Cuentan con un inventario de equipos informáticos existentes, marca,
modelo, serial?

Rta: Si y se actualizan conforme lleguen equipos nuevos

6. ¿Conoce las vulnerabilidades y amenazas de seguridad, a las que está


expuesto el sistema de información?

Rta: Si

7. ¿El personal encargado del mantenimiento a los equipos tecnológico es


personal capacitado?

Rta: Son practicantes del Sena

8. ¿Existen buenas prácticas en cuanto el manejo de la información?

Rta: Si, se actualiza la información en tiempo real, Copias de seguridad etc.

9. ¿Actualmente cuentan con algún software de seguridad fuera del


antivirus?

Rta: sonicwall firewall

10. ¿Existen medidas preventivas o restricciones en cuanto a la


navegación?

Rta: Tienen restricción a ciertas páginas Web

11. ¿El sistema colapsa o se cae a menudo?

Rta: Muy pocas veces

12. ¿El personal recibe capacitación o inducción en cuanto el manejo del


sistema?

Rta: Se le asigna los primeros meses a una persona con experiencia para
que le enseñe.

13. ¿Los programas que se manejan en Asmet Salud EPS son licenciados?

Rta: Si todos los programas son licenciados. Office, Dinámica, índigo, SQL
server etc.
14. ¿Cada cuánto expira las contraseñas de seguridad?

Rta: Cada mes.

Jeisson Andrés Vanegas Medina José Antonio Salgado


Firma del entrevistador Firma del Entrevistado

Lista de chequeo

FECHA: 05 de Abril de 2019


PROCESO Garantizar la Seguridad de los Sistemas
REALIZADO POR: Jeisson Andrés Vanegas Medina

Aspectos por validar o chequear Conforme

DS5.3 Administración de Identidad SI NO

1 Todos los usuarios se encentran en una lista X


donde miran tipos de permiso etc.
2 El sistema cuenta con un proceso de X
validación para los usuarios internos que
ingresan al sistema.
3 Se les da capacitación a los usuarios para el X
debido manejo del sistema.
DS5.4 Administración de Cuentas del Usuario SI NO
1 Se revisa el sistema periódicamente para X
notar o encontrar anomalías en cuanto a los
permisos de usuario.
2 Verificar las solicitudes de suspensión, X
modificación y cierre de cuentas de usuario
que estén registrada en los tiket.
3 Cuentan con un procedimiento en la X
suspensión, modificación y cierre de cuentas
de usuario.
4 Se verifica el perfil de los usuarios para así X
mismo otorgarle los permisos
correspondientes.
5 Se solicitan los documentos correspondientes X
para la creación del usuario
DS5.5 Pruebas, Vigilancia y Monitoreo de la SI NO
Seguridad
1 Se realizan pruebas de seguridad al sistema X
para corregir errores o posibles ataques
cibernéticos.
2 Los usuarios pueden ingresar o extraer X
información del sistema
3 Los sistemas mantienen actualizados X
DS5.10 Seguridad de la Red SI NO
1 Existen restricciones de dominio o permisos X
de red en cuanto a la navegación en la web.
2 Se cuanta con algún software de seguridad, X
cortafuego o firewall del sistema
3 Los usuarios pueden realizar cualquier tipo X
descargas de diferentes sitios web

Auditor Responsable

Jeisson Andrés Venegas


Medina
CUESTIONARIO DE CONTROL

Fecha 05 de Abril de 2019


Dominio Entregar y Dar Soporte
Proceso Auditado DS5 Garantizar la Seguridad de los Sistemas

Observacio
Pregunta Si No
nes
¿El personal de TI tiene actualizados
5
programas, y sistemas operativos?
¿Actualmente se está monitoreando la
3
seguridad del sistema y corrección de errores?
¿Se lleva acabo el debido proceso para los
2
permisos de usuarios?
¿Existen controles para el manejo de la
5
información?
¿Todos los usuarios de encuentran en una lista
2
o repositorio para su respectiva administración?
¿Se están respondiendo a tiempo los
Algunas
respectivos tiket que colocan los usuarios del 4
Veces
sistema?
¿las contraseñas utilizadas tienen algún tipo de Alfa
5
nivel de seguridad? Numérica
Las solicitudes de acceso por los usuarios
solicitando acceso, ¿están siendo aprobados por 4
el administrador del sistema?
Los derechos de acceso del usuarios solicitados
y aprobados, ¿están siendo evaluados e
5
implementados por el administrador del
sistema?
¿Tienen algún tipo de restricción para los
usuarios que manejan el sistema, en cuanto el 3
manejo de la información?
¿Se capacita al personal en cuanto el adecuado
4
manejo de los equipos de cómputo etc.?
Totales 29 13
PORCENTAJE DE RIESGO

Según el puntaje dado en el cuestionario de control se pretende


establecer el porcentaje de riesgos en el proceso DS5 Garantizar la
seguridad de los sistemas.

*Porcentaje de riesgo parcial = (29 * 100) / 42 = 69,04%

*Porcentaje de riesgo = 100% - 69,04% = 30,96%

De acuerdo con la categorización de niveles de riesgo que dicta que:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

Porcentaje de riesgo según el proceso DS5 es Medio

RIESGO:

Porcentaje de riesgo parcial 69,04%


Porcentaje de riesgo 30,96%
impacto según relevancia del proceso DS5  Riesgo medio

DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS.

En este proceso se analizarán los riesgos relacionados con la seguridad


lógica, como temas de acceso y credenciales de usuarios, procedimientos
para creación de cuentas y privilegios de acceso de cada una, también se
abordan los riesgos relacionados con el monitoreo de cuentas y la
seguridad con la información que se envía y recibe vía internet.

RIESGOS INICIALES

1. Instalación de aplicaciones y acceso a sitios web no autorizados.


(Virus informático.
2. Perdida de integralidad, Alteración de la información.
3. Perdida de información, modificación o eliminación de cuentas de
usuario.
4. Eliminación de registros o mal ingreso de los mismos, lo que haría
no tener una información confiable.
5. Instalación de virus en el sistema, multas y problemas legales por
no tener software legalizado.
6. El personal no cuenta con programas de capacitación y formación
en seguridad informática y de la información.
7. Eliminar información importante y perdida de la confidencialidad.
8. Acceso a la red de la organización.
9. Perdida de confidencialidad e integralidad de la información.

RIESGOS CON LA APLICACIÓN

10. Las solicitudes de acceso por los usuarios solicitando acceso, ¿están
siendo aprobados por el administrador del sistema 4
11. Los derechos de acceso del usuarios solicitados y aprobados, ¿están
siendo evaluados e implementados por el administrador del sistema
5
12. Tienen algún tipo de restricción para los usuarios que manejan el
sistema, en cuanto el manejo de la información 3
13. Se capacita al personal en cuanto el adecuado manejo de los
equipos de cómputo etc. 4
ANALISIS Y EVALUACION DE RIESGO

N° Descripción Impacto Probabilidad

R1 Instalación de aplicaciones y acceso a 3 5


sitios web no autorizados. (Virus
informático)
R2 Perdida de integralidad, Alteración de la 4 3
información
R3 Perdida de información, modificación o 4 4
eliminación de cuentas de usuario.
R4 Eliminación de registros o mal ingreso de 3 4
los mismos, lo que haría no tener una
información confiable.
R5 Instalación de virus en el sistema, multas 4 5
y problemas legales por no tener software
legalizado.
R6 El personal no cuenta con programas de 3 4
capacitación y formación en seguridad
informática y de la información.
R7 Eliminar información importante y perdida 4 3
de la confidencialidad.
R8 Acceso a la red de la organización. 4 3
R9 Perdida de confidencialidad e integralidad 4 4
de la información.
R10 Las solicitudes de acceso por los usuarios 4 5
solicitando acceso, ¿están siendo
aprobados por el administrador del
sistema.
R11 Los derechos de acceso del usuarios 5 4
solicitados y aprobados, ¿están siendo
evaluados e implementados por el
administrador del sistema.
R12 Tienen algún tipo de restricción para los 3 4
usuarios que manejan el sistema, en
cuanto el manejo de la información
R13 Se capacita al personal en cuanto el 4 5
adecuado manejo de los equipos de
cómputo etc.

RESULTADO MATRIZ DE RIESGO

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2)

R4, R6,
Posible (3) R1
R12

R2, R7, R5, R10,


Probable (4) R3, R9
R8 R13

Casi Seguro (5) R11


CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA Asmet salud E.P.S

PROCESO AUDITADO Administrar el Ambiente Físico


RESPONSABLE Juan David Maji
MATERIAL DE COBIT
SOPORTE
DOMINIO Entregar y Dar Soporte
PROCESO DS12 Administrar el Ambiente Físico

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO
DE ANALISIS DE EJECUCION

Entrevista a los - verificar se existen - evaluación de los


Ingenieros del documentos respecto resultados de la eficacia y
departamento de a los manuales de eficacia de los controles
TI quienes son riesgos, sistema de actuales.
los encargados control interno, -verificar el manejo de los
del área manuales de controles frente a los
informática. convivencia. riesgos y vulnerabilidades
-Riesgos y localizadas.
vulnerabilidades
detectados frente a
la solución.

AUDITOR RESPONSABLE:

JUAN DAVID MAJI


FORMATO DE ENTREVISTA
Asmet salud E.P.S

Fecha 05 de Abril de 2019


Evaluar la seguridad física de los activos de Asmet
OBJETIVO
Salud, especialmente en el de TI
AUDITORÍA
PROCESO AUDITADO Administrar el Ambiente Físico.

RESPONSABLE Juan David Maji

MATERIAL DE COBIT DOMINIO Entregar y Dar Soporte


SOPORTE
PROCESO DS12 Administrar el Ambiente Físico
ENTREVISTADO Ing. Jaime Abrahán Romero Carvajal
CARGO Coordinador de Operaciones
REGUNTAS ENTREVISTA
1. ¿Asmet salud cuanta con sistemas de emergencia cómo detectores de
humo, alarmas y otros tipos de sensores?
Rta: Si hay luces de emergencias y alarmas las cuales se deben activar
manualmente por los brigadistas o por el personal que haya sido capacitado.
2. ¿La empresa cuanta con lugares de restricción para algunas personas o
tiene algún sistema de seguridad para impedir dicho paso?
Rta: Si, en la bodega de cargue y descargue de gas y el acceso al sistema
eléctrico.
3. ¿Cuenta con un área de circulación fluida y amplio acceso dentro de las
instalaciones?
Rta: Por lo general sí, pero en horarios picos se llenan los espacios de
circulación.
4. ¿los mecanismos de seguridad se le han detectado debilidades?
Rta: Las personas están seguras ya que los mecanismos de seguridad
cuentan con las respectivas normas de seguridad.
5. ¿La zona en donde la empresa está establecida cuanta con la seguridad
necesaria ante algún fenómeno natural?
Rta: Si la empresa está situada en una zona libre de riesgos de
inundaciones, pero no cuenta con un suministro de agua cerca por si al
algún incendio forestal.
6. ¿Se tiene un registro de acceso de las personas que ingresan a las
instalaciones?

Rta: Si en la entrada se lleva un bitácora de control de visitas para los


funcionarios, visitantes y vehículos de empresas trasportadoras.

7. ¿Asmet salud cuanta con sistemas de emergencia cómo detectores de


humo, alarmas y otros tipos de sensores?
Rta: Si hay luces de emergencias y alarmas las cuales se deben activar
manualmente por los brigadistas o por el personal que haya sido capacitado.
8. ¿La empresa cuanta con lugares de restricción para algunas personas o
tiene algún sistema de seguridad para impedir dicho paso?
Rta: Si, en la bodega de cargue y descargue de gas y el acceso al sistema
eléctrico.
9. ¿Cuenta con un área de circulación fluida y amplio acceso dentro de las
instalaciones?
Rta: Por lo general sí, pero en horarios picos se llenan los espacios de
circulación.

10. ¿los mecanismos de seguridad se le han detectado debilidades?

Rta: Las personas están seguras ya que los mecanismos de seguridad


cuentan con las respectivas normas de seguridad.
11. ¿La zona en donde la empresa está establecida cuanta con la seguridad
necesaria ante algún fenómeno natural?
Rta: Si la empresa está situada en una zona libre de riesgos de
inundaciones, pero no cuenta con un suministro de agua cerca por si al
algún incendio forestal.
12. ¿Se tiene un registro de acceso de las personas que ingresan a las
instalaciones?

Rta: Si en la entrada se lleva un bitácora de control de visitas para los


funcionarios, visitantes y vehículos de empresas trasportadoras.

13. ¿Asmet salud cuanta con sistemas de emergencia cómo detectores de


humo, alarmas y otros tipos de sensores?
Rta: Si hay luces de emergencias y alarmas las cuales se deben activar
manualmente por los brigadistas o por el personal que haya sido capacitado.
14. ¿La empresa cuanta con lugares de restricción para algunas personas o
tiene algún sistema de seguridad para impedir dicho paso?
Rta: Si, en la bodega de cargue y descargue de gas y el acceso al sistema
eléctrico.
15. ¿Al fallar los controles ambientales se tiene un plan de contingencia?

Rta: Si lo tenemos

16. ¿Con cuanta frecuencia se revisan y calibran los controles ambientales?

Rta: De manera frecuente (mes a mes) ya que, al trabajar con material


reciclado, los controles de CVC son altos.

17. ¿cuentan con un sistema de seguridad para que dentro de las


instalaciones puedan evitar la sustracción de equipos electrónicos?

Rta: En las instalaciones se tienen cámaras de seguridad y en portería se


les hace una revisión a las personas que entran y salen por el empleado de
seguridad.

18. ¿La empresa cuenta con los medios adecuados para extinción de fuego
dentro del centro? Rta: Si la empresa cuenta con los respectivos
mecanismos de seguridad anti fuego.

Juan David Maji Jaime Abrahán Romero Carvajal


Firma del entrevistador Firma del Entrevistado

Lista de chequeo

Fecha: 05 de Abril de 2019


proceso
DS12 Administrar el Ambiente Físico
Realizado por: Juan David Maji

N° Aspectos por validar o chequear Conforme


Objetivo de DS12.1 Selección y Diseño del Centro de Datos SI NO
control
1 ¿el área de sistemas donde se encuentran las oficinas y X
cubículos son actas para su correcto funcionamiento?
Objetivo de DS12.2 Medidas de Seguridad Física SI NO
control
2 para establecer la probabilidad e impacto de los riesgos que X
pueden afectar la infraestructura (área de sistema) se debe
utilizar métodos cualitativos o cuantitativos ¿la empresa ha
utilizado estos métodos?
Objetivo de DS12.3 Acceso Físico SI NO
control
3 ¿La empresa posee o tiene lugares de acceso restringido a X
diversas áreas de la empresa?
Objetivo de DS12.4 Protección Contra Factores Ambientales SI NO
control
4 ¿al suceder un percance ambiental existe en la empresa un plan X
de acción para mitigar los riegos?

Objetivo de DS12.5 Administración de Instalaciones Físicas SI NO


control
5 Existe un manual donde esplique los tipos de seguridad que X
maneja la empresa

CUESTIONARIO DE CONTROL

Fecha 05 de Abril de 2019


Dominio Entregar y Dar Soporte
Proceso Auditado DS12 Administrar el Ambiente Físico

Pregunta Si No Observaciones
¿La empresa Asmet Salud cuneta con los
respectivos procedimientos formales respecto
5
al ingreso de personas que no pertenece a las
instalaciones?
¿Los riesgos a los que podría padecer la
infraestructura física de la misma institución se
3
está llevando en un marco de referencia para
la respectiva evaluación de riesgos?
¿la empresa cuenta con los respectivos
elementos contra incendios para mitigar en 5
caso de tal percance?
¿las normas de control interno existen en la
empresa para garantizar la protección del 4
personal y las instalaciones?
¿Es constante la actualización de los diversos
riesgos que podrían afectar a la infraestructura 2
física del Ente?
¿los métodos cualitativos y cuantitativos se
utilizan para medir el impacto y probabilidad
de los riegos que pueden afectar la 2
infraestructura física?

¿en la institución se incentiva y promueve la


4
seguridad?
¿ante la contratación de terceros la
organización cuenta con políticas y 2
procedimientos para dichos contratos?
¿el mantenimiento de la infraestructura física
cuenta con un plan de acción de 2
mantenimiento?
¿ante un posible suceso terrorista o natural la
institución cuenta con un respectivo plan de 2
seguridad?
¿se puede decir que la empresa es segura por
5
llevar los respectivos controles existentes?
Totales 12 24

Porcentaje de riesgo en el proceso DS12 Administrar el Ambiente Físico

*Porcentaje de riesgo parcial = (12 * 100) / 36 = 33,33%

*Porcentaje de riesgo = 100% - 33,33% = 66,67%

De acuerdo con la categorización de niveles de riesgo que dicta que:

1% - 30% = Riesgo Bajo


31% - 70% = Riesgo Medio
71% - 100% = Riesgo Alto
El impacto según relevancia del proceso DS12 es Medio.
cuadro resumen del análisis:
RIESGO:
Porcentaje de riesgo parcial 33,33%
Porcentaje de riesgo 66,67%
impacto según relevancia del proceso DS12  Riesgo medio

Administrar el ambiente físico.

En este punto se analizarán los riesgos relacionados con el ambiente


físico, los más importante es la protección tanto del personal como de los
equipos electrónicos de cualquier peligro natural, otro punto que se
analizara son los puestos de trabajo que tienen dicha identidad verificando
si cumplen con las respectivas normas de identidad y si en el personal
existe una cultura que promueva e incentive la seguridad propia y de la
E.p.s Asmet Salud.
Riesgos iniciales.
1) Material propenso a incendios
2) Acceso no autorizado a las diferentes áreas
3) Personas poco cuidadosas
4) En Asmet Salud hay muchos puntos ciegos donde las cámaras
de seguridad no tienen acceso y posiblemente podría acceder
intrusos a la empresa.
5) Robo del servidor o manipulación del mismo
6) No hay una buena circulación de aire llevando una posible
amenaza de fuego.

Riesgos con la aplicación de instrumentos.


1) Instalaciones propensas a inundaciones o derrumbe.
2) Desorientación ante daños de la infraestructura en suceso
ambiental.
3) Falta de controles en la seguridad de la empresa.
4) Carencia plan de acción para el mantenimiento de la
infraestructura física.
5) Los instrumentos de detención de humo e incendio no cuentan
con la tecnología suficiente para detectar a tiempo incidente.
Análisis y evaluación de riesgo.

N° Descripción Impacto Probabilidad


R1 incendios por material propenso 5 3
R2 Acceso no autorizado a las diferentes 4 3
áreas
R3 Poco cuidado de los equipos electrónicos 2 3
R4 Las cámaras de seguridad tienen muchos
puntos ciegos dando oportunidad para que 3 4
los intrusos pacen desapercibidos.
R5 Manipulación y robo de los servidores. 5 3
R6 Amenaza de incendio por no haber una 3 3
fuente de aire constante.
R7 Las Instalaciones son propensas a 3 3
inundación o derrumbe
R8 Ante cualquier daño infraestructural se 4 1
puede presentar desorientación.
R9 La empresa le falta controles de seguridad. 4 5
R10 Poca importancia al ejecutar el plan de
acción para el mantenimiento de la 4 4
infraestructura.
R11 Falta de incentivos para la seguridad en la 3 5
institución.
R12 No hay como detectar de forma temprana
humo, incendio, inundaciones mediante 4 3
equipos tecnológicos para la prevención y
evacuación.
RESULTADOS MATRIZ DE RIESGO

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Moderado Catastrófico
Menor (2) Mayor (4)
(1) (3) (5)

Raro (1)

Improbable (2) R3

Posible (3) R6, R7 R4 R11

Probable (4) R8 R2, R12 R10 R9

Casi Seguro (5) R1, R5


CUADRO DE DEFINICION DE FUENTES DE
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

ENTIDAD AUDITADA Asmet salud E.P.S

PROCESO AUDITADO Mantenimiento de equipos


RESPONSABLE Edwin Reinaldo Martínez Perdomo
MATERIAL DE COBIT
SOPORTE
DOMINIO Entregar y Dar Soporte
PROCESO DS13 Administración de Operaciones

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES


CONOCIMIENTO
DE ANALISIS DE EJECUCION
La fuente  Analizar la disponibilidad  Analizar el
primaria es para de documentación de los comportamiento de los
la recolección de equipos. usuarios del sistema y
la información  Analizar la relación los entornos
mediante la funcional entre el personal tecnológicos de Asmet
Entrevista a los y los encargados del salud
Ingenieros (o mantenimiento tanto de  Analizar o Estudiar la
persona hardware y software de los infraestructura del
encargada) equipos. sistema de
 Analizar la capacidad información de Asmet
Quienes son los instalada de equipos salud EPS, un estudio
encargados del existentes, esto implica de la infraestructura
área informática. saber si cumple la física
necesidad para las
operaciones requeridas
frente a los
procedimientos, por ende,
diagnosticar si hacen falta.

AUDITOR RESPONSABLE:

Edwin Reinaldo Martínez


Perdomo
FORMATO DE ENTREVISTA
Asmet salud E.P.S

Fecha 05 de Abril de 2019


Identificar las posibles fallas que afecten el
OBJETIVO
funcionamiento del hardware, para definir políticas y
AUDITORÍA
procedimientos que aseguren el mantenimiento
preventivo del hardware ayudando a mantener la
integridad de los datos y reducir los retrasos de la
empresa Y posibles efectos en la calidad de la atención.
PROCESO AUDITADO Indicadores de funcionamiento del hardware y
software
RESPONSABLE Edwin Reinaldo Martínez Perdomo

MATERIAL DE COBIT DOMINIO Entregar y Dar Soporte


SOPORTE
PROCESO DS13 Administración de Operaciones
ENTREVISTADO Ing. Luis Adolfo Hurtado
CARGO Coordinador TIC
PREGUNTAS ENTREVISTA
1. ¿Existe un cronograma para el mantenimiento preventivo de los
equipos? Y ¿Qué se realiza en el mantenimiento preventivo?

Rta: No, se documenta cuando es necesario realizar un mantenimiento,


generalmente se revisa el funcionamiento

2. ¿verifican el estado de las UPS, cableado estructurado?

Rta: Cuando se presenta una falla se da diagnóstico del mismo

3. ¿el área encargada cuenta con la herramienta acorde, para realizar


mantenimientos?

Rta: Si, toda la adecuada.


4. ¿hay registros de los mantenimientos realizados?

Rta: Se documenta plantilla que se realizó o cambio

5. ¿Quién realiza el mantenimiento a los equipos de respaldo como la UPS?

Rta: Personal encargado, quien este a cargo en el momento

6. ¿se realiza mantenimiento preventivo a equipos (respaldo) (servidores)


cada cuanto se realiza?

Rta: Si, frecuentemente

7. ¿Existe protecciones en caso de corto circuito, alta tensión en la red


eléctrica en cuanto al sistema de polos a tierras?

Rta: Lo normal, que esté al alcance

8. ¿Existe documentación para cada uno de los equipos?

Rta: No Esta completa

9. ¿Se tiene algún plan de contingencia para cuando presente fallas un


equipo? ¿Cuál?

Rta: Se repara, se diagnostica

10. ¿Existe un guía orientado como manual para los mantenimientos


correctivos de los equipos?

Rta: No, se realiza una lista de chequeo

Edwin Reinaldo Martínez Perdomo Luis Adolfo Hurtado


Firma del entrevistador Firma del Entrevistado
Lista de chequeo

Fecha: 05 de Abril de 2019


proceso Estructura organizacional y procesos de TI
Realizado por: Edwin Reinaldo Martínez Perdomo

N° Aspectos por validar o chequear SI NO


1 Se realiza mantenimiento de forma cotidiana X
2 La pantalla de su computador asignado funciona X
correctamente.
3 El mouse funciona correctamente. X
4 Los dispositivo de entrada y salida (escáner, bometrico, X
datafono, cámara) funcionan perfectamente
5 El cableado eléctrico está señalizado y protegido X
(aislado)
6 Los equipos están conectados a UPS X
7 En cuanto a red eléctrica los tomacorrientes se X
encuentran plenamente identificados.
8 Los equipos de cómputo tienen todas sus X
partes.(estéticamente)
9 El software antivirus de protección esta actualizado X
correctamente
10 El software firmware está activado. X
11 El equipo se encuentra en buen estado de limpieza. X
12 El software causa conflictos para su uso cotidiano X
13 El área donde se encuentra el equipo se encuentra X
ventilada.
14 Está bloqueado los puertos USB X
15 El equipo de cómputo y/o impresora cuenta con la X
infraestructura
CUESTIONARIO DE CONTROL

Fecha 05 de Abril de 2019


Dominio Entregar y Dar Soporte
Proceso Auditado DS13 Administración de Operaciones

Pregunta Si No Observaciones
¿Se cuenta con un inventario de equipos 5 ninguna
de cómputo?
¿Existe un inventario contiene los
siguientes ítems? 3 ninguna
Número del computador y ficha técnica
de hardware

¿La hoja de vida del equipo tiene los


datos? 4 ninguna
Número del computador correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio o diagnostico
¿Se evidencia un registro de fallas 5 ninguna
detectadas en los equipos?
¿La temperatura a la que trabajan los 3 ninguna
equipos es la adecuada?
¿Al momento de presentar una falla en el
equipo, la atención que se presta es 3 ninguna
oportuna?
¿Se realizan pruebas de funcionamiento a
los equipos de respaldo como UPS y 2 ninguna
planta eléctrica?
¿Se realizan estas pruebas 2 ninguna
periódicamente?
¿Es calificado el personal que realiza las 3 ninguna
pruebas?
¿Existe proveedores para el 5 ninguna
mantenimiento de los equipos?
¿Se cuenta con planos eléctricos 3
actualizados?
¿Se lleva un procedimiento para la 5
adquisición de nuevos equipos?
¿La infraestructura tecnológica de los
equipos soporta la instalación de 5
diferentes sistemas operativos?
¿Existe políticas de backups de la 2
información?
Totales 20 30

PORCENTAJE DE RIESGO

De acuerdo con los puntajes dados en el cuestionario de control se


pretende establecer el porcentaje de riesgo en el proceso DS13
Administración de Operaciones.

*Porcentaje de riesgo parcial = (19 * 100) / 50= 40%

*Porcentaje de riesgo = 100% - 40.0% = 60%

De acuerdo con la categorización de niveles de riesgo que dicta que:

1% - 30% = Riesgo Bajo

31% - 70% = Riesgo Medio

71% - 100% = Riesgo Alto

El impacto según relevancia del proceso DS13 es Medio.

A continuación, se presenta un cuadro resumen de dicho análisis:

RIESGO:
Porcentaje de riesgo parcial 40%
Porcentaje de riesgo 60%
impacto según relevancia del proceso DS13  Riesgo
medio
AUDITORIA ASMET SALUD E.P.S

La auditoría que se planteó para Asmet salud abarca todos los


aspectos, para encontrar las amenazas, potenciar oportunidades
y mejorar mediante la normatividad planteada.

Matriz Para Medición De Probabilidad E Impacto De Riesgos

Mediante la matriz de impacto observamos las condiciones en las que


el suceso puede pasar y cual puede tener un efecto en las funciones
de los procesos internos de la empresa, se tiene en cuenta desde los
en escenarios de infraestructura y software, y las ejecuciones del
personal a cargo.

Frente al hecho de pueda tener una incidencia en la empresa, algún


suceso, esa probabilidad, revisamos algunas anotaciones
importantes en el historial de procedimientos, a su vez dependiendo
la antigüedad de la infraestructura.

Con las escalas de medición se construye la matriz de riesgos general


que se aplica para cualquiera de los procesos, teniendo en cuenta los
riesgos encontrados.

IMPACTO
PROBABILIDAD
Insignificante = 1
Raro = 1 Menor = 2
Improbable = 2 Moderado = 3
Posible = 3 Mayor = 4
Probable = 4 Catastrófico = 5
Casi Seguro = 5
DS13 ADMINISTRACIÓN DE OPERACIONES

En este proceso se examinarán los compromisos relacionados con la


administración de operaciones, que se cumplan con las actividades de
soporte y que se lleven de manera sistemática y documentada, que
exista un cronograma de actividades.

Si el personal es idóneo para las funciones de soporte de TI, si maneja


estándares que garanticen calidad y el uso eficiente de sus recursos.
Por ende, comprobar que existe un control y un seguimiento de las
tareas realizadas por cada integrante del personal de TI

Revisar si se están haciendo inventarios adecuados sobre los activos


que se tiene definido un plan de mantenimiento, para reducir riesgos o
fallas de los activos de TI.

RIESGOS

Dentro de la EPS Asmet salud se evidencia:

1. Demora en solucionar fallas de equipos por falta de identificación


de cableado. Poca documentación diseño.
2. Fallas en el suministro de energía. (a nivel interno y externos de
acuerdo las fallas posibles del entorno de la empresa)
3. Ausencia de ventilación para los dispositivos de computo (respecto
a infraestructura) ubicación
4. Daño de componentes significativos en los dispositivos por ausencia
de energía asistida como UPS o plantas.
5. Posible de daño de equipos por mala señalización de las fuentes de
energía (señalización de cajas 115v ,220v, alta tensión,).
6. Software obsoleto.
7. Fallas de equipos por falta de mantenimientos preventivos.
8. No se lleva control de los mantenimientos realizados.
9. el mantenimiento preventivo a los equipos de backups dispuestos
para este fin.
10. existe el formato donde evidencie todos los equipos
existentes, referentes a manuales y demás documentos que
puedan dar información sobre los equipos.
11. En cuanto a planes de contingencia al momento de falla de un
equipo.
12.No se tiene control de los mantenimientos correctivos de los
equipos.

N° Descripción Impacto Probabilidad


Demora en solucionar fallas de
R1 equipos por falta de identificación 2 5
de cableado. Poca documentación
diseño.

Fallas en el suministro de energía.


R2 (a nivel interno y externos de 4 4
acuerdo las fallas posibles del
entorno de la empresa)

Ausencia de ventilación para los


R3 dispositivos de computo (respecto a 3 3
infraestructura) ubicación

R4 Daño de componentes significativos 5 3


en los dispositivos por ausencia de
energía asistida como UPS o plantas.

Posible de daño de equipos por mala


R5 señalización de las fuentes de 3 3
energía (señalización de cajas 115v
,220v, alta tensión,).

R6 Software obsoleto. 2 2

Fallas de equipos por falta de


R7 mantenimientos preventivos. 4 5
R8 No se lleva control de los 3 3
mantenimientos realizados
El mantenimiento preventivo a los
R9 equipos de backups dispuestos para 4 4
este fin.

No existe el formato donde evidencie


R10 todos los equipos existentes, 3 2
referentes a manuales y demás
documentos que puedan dar
información sobre los equipos.

R11 En cuanto a planes de contingencia


al momento de falla de un equipo. 4 5

R12 No se tiene control de los


mantenimientos correctivos de los 4 3
equipos.

EVALUACIÓN Y MEDIDAS DE RESPUESTA

IMPACTO
PROBABILIDAD Insignificante Menor Moderado Mayor Catastrófico
(1) (2) (3) (4) (5)

Raro (1)

Improbable (2) R6 R10

Posible (3) R3, R2, R8 R12 R4

Probable (4) R2, R9

Casi Seguro (5) R1 R7, R11


Link del vide

https://drive.google.com/drive/folders/1MQwjksVXywW2_yjBKrVEcqR8Be4oKSSG
CONCLUSIONES

Con el desarrollo del siguiente trabajo fue posible entender y asimilar


los pasos necesarios para ejecutar una auditoria informática, partiendo
desde el objetivo general de la auditoría, el alcance de esta, los recursos
necesarios para ejecutar el ejercicio de auditoria y los procesos a
evaluar

Con la ejecución de la auditoria se encuentran los auditores y auditados


con una realidad inesperada, ya que se tiene la impresión de tener todo
bajo control, por ejemplo, en el caso de Asmet Salud E.P.S, enterarse
de que los riesgos encontrados pertenecían a zonas de riesgo alta y
extrema, hicieron entender que no se tenía en cuenta el área de TI
como un área importante de la empresa, cuando realmente es una de
las más importantes, ya que muchos funcionarios y puestos dependen
que equipos, red, internet, aplicativos y demás temas relacionados con
TI, funcionen de manera adecuada.
Bibliografía

 Salud, A. (s.f.). Asmet Salud. Obtenido de


https://www.asmetsalud.org.co/corporativo

 Salud, A. (s.f.). Ley de Transparencia. Obtenido de


https://www.asmetsalud.org.co/ley-de-transparencia

 web, S. (s.f.). Sonicwall. Obtenido de https://www.sophos.com/es-


Es/products/next-gen-
firewall.aspx?cmp=26341&utm_source=adwords&utm_medium=cpc&utm_cam
paign=LATAM-ES-Brand-XGFirewall-
Search&utm_content=search&utm_term=firewall%20de%20sophos&gclid=EAI
aIQobChMI37-arJKH4QIVzwOGCh3evAt2EAAYASAAEgJ

 Wikipedia. (s.f.). Obtenido de Seguridad de la información:


https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

 Castello, R. J. (2015). Auditoria informática. Auditoria en entornos informáticos.


(pp. 119-181). Recuperado dehttp://es.slideshare.net/zhhane/auditoria-de-
sistemas-46686981

 Gómez, V. Á. (2014). Auditoría de seguridad informática. (pp. 15 -


40).Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=1
4&docID=3229127&tm=1543339301803

 Derrien, Y. (2009). Técnicas de la auditoría informática. (pp. 29 -


123). Retrieved
from https://bibliotecavirtual.unad.edu.co:2538/lib/unadsp/reader.action?ppg=4
1&docID=3176647&tm=1543338969122

 Salud, A. (s.f.). Asmet Salud. Obtenido de


https://www.asmetsalud.org.co/corporativo