AUDITORIA DE SOFTWARE

TRABAJO COLABORATIVO III

PRESENTADO POR:
TOBIAS ARIZA HURTADO
HARVY ARLEY GIL BONILLA
CC: 1.033.715.711
JUAN CAMILO ESCOBAR:
CC: 1.032.401.506

PRESENTADO A:
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
INGENIERA DE SISTEMAS
MAYO DE 2016
BOGOTA D.C.

INTRODUCCIÓN
El Presente documento se realiza con el fin de aplicar los conocimientos previamente
adquiridos en el curso de Auditoria de Sistemas en esta fase se van a implementar
elementos propios para la realización de una auditoria, en el cual los estudiantes aplican los
estándares COBIT 4.1 previamente escogidos en el trabajo colaborativo II, en esta fase se
debe hacer énfasis en los controles para los posibles riesgos que puede sufrir la identidad,
buscando la identificación de los controles que se tienen a estos riesgos.
La característica principal que se busca en este trabajo es desarrollar los instrumentos
propuestos para el desarrollo del conocimiento, observando, verificando y conociendo las
herramientas que van a ser de nosotros excelentes ingenieros teniendo una base de auditoria
para el futuro.

OBJETIVO

Identificar los procesos COBIT que se están trabajando para realizar los respectivos
procesos de identificación de riesgos.

Utilizar las herramientas COBIT que nos ayudan a encontrar inconsistencias en
procesos de una compañía.

Identificar los controles que se pueden llevar a cabo para la mejora de los procesos
internos de una compañía.

DESARROLLO DE ACTIVIDADES
1. Listas de chequeo para verificar la existencia de controles diligenciada y
consolidada por cada proceso.
Listas de Chequeo Tobías Arias

https://drive.google.com/file/d/0B0-ztPN-alsmNnM5b0hTbkRQSDA/view?
usp=sharing

Listas de Harvy Arley Gil.

P01 Definir el plan estratégico de TI.

Hospital el Tunal E.S.E
Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P01 Definir el plan estratégico de TI
Pregunta
Si
¿Se cuenta con una planeación para el área de TI?
X
¿Existe un balance óptimo en la prestación de los servicios
técnicos del área?
X
¿Se posee un registro de fallas detectadas en la
X
infraestructura tecnológica del Hospital?
¿Se ha realizado un análisis presupuestal de la ampliación
de los recursos tecnológicos?
X
¿La capacidad actual de la infraestructura es suficiente apra
soportar todos los procesos del hospital?
¿Se ha identificado las aplicaciones que necesitan una
reserva a futuro para su sostenimiento?
¿Existe un plan de trabajo en el área de tecnología donde se
proyecte las actualizaciones futuras?

P03 Determinar la dirección Tecnológica.

No

X
X
X

Hospital el Tunal E.S.E
Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P03 Determinar la dirección Tecnológica
Pregunta
Si
No
¿Existe una estrategia establecida por la dirección
X
tecnológica en caso de un colapso?
¿Se ha hecho un reconocimiento de las nuevas
X
tecnologías que se van a implementar en la institución?
¿Hay planes de contingencia en cuanto a la
X
infraestructura?
¿Existe asesoramiento por parte de entes externos para
la implementación, prestación, mantenimiento de las
X
nuevas herramientas a implementar?
¿Se ha preparado a la identidad para las nuevas
regulaciones del gobierno?
¿Se ha previsto las nuevas normas que rigen el proceso
de actualización en el área de tecnología?

X
X

P04. Definir Procesos, Organización y Relaciones de TI.

Hospital el Tunal E.S.E
Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P04. Definir Procesos, Organización y Relaciones de TI
Pregunta
Si
No
¿A través del comité de tecnología se han identificado
posibles riesgos con la implementación de nuevas X
arquitecturas?
¿Hay un ente regulador fuera del líder de tecnología o el
X
comité en caso de ausencia?
¿La asignación de nuevos roles para cada integrante del
X
área de TI ya están definidas y comunicadas?
¿El personal de TI va a recibir la capacitación requerida
para cada una de las nuevas tecnologías que se van a X
implementar en la institución?

¿La nueva distribución de cargas en el área de TI van a
mejorar los tiempos de respuesta frente a los
inconvenientes que se puedan presentar?

X

P05 Administrar la inversión en TI.

Hospital el Tunal E.S.E
Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P05 Administrar la inversión en TI
Pregunta
Si
¿En momentos anteriores la inversión fue
suficientemente planeada con forme el crecimiento de la
institución?
¿La nueva proyección presupuestal tiene total
cubrimiento de las actualizaciones que requiere la
X
institución?
¿Los nuevos proveedores manejan, y están acreditados
con las nuevas normas tecnológicas y de calidad?
X
¿Se tiene una reserva presupuestal en caso que alguna
de las actualizaciones no esté disponible y se tenga que
X
contar con otra que difiere en costos con la primera?
¿Hay una comunicación asertiva entre las áreas de
presupuesto, contabilidad, TI he inventarios para la
X
implementación?

No
X

¿La adquisición de las nuevas tecnologías se va a
realizar por ciclos de acuerdo a la proyección
presupuestal?

X

P07 Administrar Recursos Humanos de TI.

Hospital el Tunal E.S.E
Lista de Chequeo
Dominio
Planear y Organizar
Proceso
P07 Administrar Recursos Humanos de TI
Pregunta
Si
No
¿Las capacitaciones para el personal de TI para las
X
nuevas plataformas va a interrumpir con sus funciones?
¿Todo el personal con las capacitaciones puede suplir
una ausencia de la persona encargada de cierto proceso?
X
¿Se va a trabajar por mejorar las habilidades del
personal del área de TI?
¿Cada integrante del grupo del área de TI cumple con
los estándares exigidos para las funciones que
desempeña?
¿Se va a tener en cuenta la calificación de los usuarios
para con el personal de TI según su función?
¿Se va a realizar una socialización con el grupo de
trabajo para identificar falencias en los nuevos
procesos?

X

X
X
X

Listas de Chequeo Juan Camilo Escobar.

LISTA DE CHEQUEO
FECHA: 6 de Mayo de 2016
REALIZADO POR: Juan Camilo Escobar
PROCESO EVALUADO: AI4 - Facilitar la Operación y el Uso
DESCRIPCIÓN CONTROLES EXISTENTES EN EL
SI

NO

PROCESO
¿El área de sistemas tiene implementada documentación para
toda la parte de software?
¿Los manuales existentes están actualizados?
¿La gerencia maneja la documentación actual?
¿Los usuarios manejan la documentación actual?
¿El personal de soporte maneja la documentación actual?
¿La documentación está estructurada?
¿La documentación tiene un sentido lógico?
¿La documentación lleva todos los procesos de la empresa?
¿La documentación tiene una estructura con nomenclatura?










2. Cuadro de hallazgos en cada uno de los procesos CobIT
evaluados.

Cuadro de hallazgos Tobiaz Arias.
Tabla Hallazgo 1
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 1

PROCESO
AUDITADO

Estado del hardware, software y
entorno físico de los equipos de
computo.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Adquirir e
Implementar
(AI)

PROCE
SO

THA_O1

PÁGINA
1

DE

1

Adquirir y mantener
infraestructura tecnológica (AI3)

DESCRIPCIÓN:

Los sistemas operativos no se encuentran actualizados.
No se cuenta con un sistema de seguridad en las áreas donde
hay equipos de cómputo.

Esto sucede porque no se cuenta con un cronograma para los
técnicos para que realicen sus actividades y en cuestión con la
seguridad por falta de recursos el proveedor que presta el servicio no
dispone de ello.
REF_PT:
CUESTIONARIOS- AI-C1
Anexo 1- Paginas 1
CONSECUENCIAS:
 Al no tener los sistemas operativos actualizados estos pueden
presentar fallas y se pueden contagiar de virus fisilmente, esto
conlleva a que está en riesgo la información que se encuentra en
este.
 Al no contar con sistemas de seguridad en las áreas “cámaras,
censores de movimiento, etc.” hay la opción de que si hay una
perdida no se pueda acudir a estas herramientas.

RIESGO:

Probabilidad de ocurrencia: ¿ 60

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Tener un cronograma de actividades para los técnicos para
ejercer este tipo de mantenimientos preventivos y correctivos
se sugiere que sea cada 6 meses.
Administrar mejor los recursos para contar con un buen
proveedor de seguridad que cumpla con las exigencias de la
entidad.

Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2

PROCESO
AUDITADO

Seguridad de la información.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O2

PÁGINA
1

DE

1

Garantizar la seguridad de los
sistemas (DS-5)

DESCRIPCIÓN:


No hay restricciones para conexión a red de usuarios externos.
Los equipos de cómputo no cuentan con servicio de antivirus.
No se genera cultura sobre el tema de seguridad de la
información.

Esto sucede porque las direcciones IP no son fijas sino se cuenta con
DHCP, por falta de recursos el hospital no cuenta con servicio de
antivirus y por ultimo no se cuenta con personal disponible para que
realice campañas de culturización sobre la importancia de la
seguridad de la información.
REF_PT:
CUESTIONARIOS- AI-C2
Anexo 1- Paginas 2

CONSECUENCIAS:
 Al tener acceso a la red cualquier usuario este puede que tenga
acceso a información privada de la entidad.
 Los equipos se pueden infectar de virus y este puede ocasionar
perdida de información.
 Al no tener conocimiento sobre que es la seguridad de la
información y tics básicos para hace practica de esta hay alto
nivel de que la información no esté bien custodiada y
salvaguardada.

RIESGO:

Probabilidad de ocurrencia: ¿ 35

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:


Se recomienda tener IP fijas para mejor control y monitoreo.
Implementar cuanto antes un sistema de antivirus así sea free
siempre en cuando este sea actualizado constantemente.
Empezar a crear publicidad ya sea vía electrónica hacer del
tema de seguridad de información, ejemplo: correos,
comunicaciones internas, fondos de escritorio, etc.

Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3

PROCESO
AUDITADO

Capacitación a los usuarios.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O3

PÁGINA
1

DE

1

Educar y entrenar a los
usuarios (DS-7)

DESCRIPCIÓN:

Los manuales que se requieren no están en un lugar accesible.
Los usuarios no reciben cursos de actualización.

Esto sucede porque los manuales que pueden llegar a ayudar en un
proceso no están a la mano o de fácil acceso además los usuarios no
cuentan con el tiempo para realizar actividades de actualización y la
entidad no las brinda..
REF_PT:
CUESTIONARIOS- AI-C3
Anexo 1- Paginas 3

CONSECUENCIAS:
 Puede generar un reproceso en las actividades diarias además
que no tengan en claro que es lo que van a solucionar.
 Al no recibir actualizaciones “cursos” puede esto generar
reproceso además que al usuario al no tener en claro que es la
piratería puede ocurrir una falta legal grave.

RIESGO:

Probabilidad de ocurrencia: ¿ 72

Impacto según relevancia del proceso: alto

RECOMENDACIONES:

Ubicar un sitio físico y uno en la red o en la nube donde se
encuentre un repositorio de todos los manuales que puedan ser
útiles.
Realizar campañas de capacitación para aclarar temas como de
legalidad y actualizaciones requeridas por los usuarios.

Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4

PROCESO
AUDITADO

Seguridad de la información.

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O4

PÁGINA
1

DE

1

Administración de datos (DS11)

DESCRIPCIÓN:

No es oportuna la atención de los técnicos al momento de
realizar un backup de información.
La información no se encuentra en un estado de conservación
segura.

Esto sucede porque la entidad cuenta con poco personal (técnicos)
que suplan con la solicitud de soportes técnicos. Además por falta
recursos no se cuenta con un lugar físico seguro donde se
salvaguarde los backup de la información.
REF_PT:
CUESTIONARIOS- AI-C4
Anexo 1- Paginas 4

CONSECUENCIAS:
 Al no atender oportunamente la solicitud de realización de
backups la información se puede perder o dañar y la
responsabilidad ya no es del usuario que la posee si no del área
de sistemas.
 Los medios donde se conserva la información se pueden dañar
ocasionando perdida de la misma.

RIESGO:

Probabilidad de ocurrencia: ¿ 20

Impacto según relevancia del proceso: bajo

RECOMENDACIONES:

Contar con más personal y si no es posible priorizar estos tipos
de soporte en este caso solicitud de backups y tener un
procedimiento adecuado para realizarlo.
Hacer uso primero que doto de las TRD para almacenamiento
de información y tener esta en un lugar lo más seguro posible.

Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5

PROCESO
AUDITADO

Sistemas de prevención y
control del centro de datos

RESPONSABLE

Tobias Ariza Hurtado

MATERIAL DE
SOPORTE

COBIT

DOMIN
IO

Entregar y dar
Soporte (DS)

PROCE
SO

THA_O5

PÁGINA
1

DE

1

Administración de ambiente
físico (DS-12)

DESCRIPCIÓN:



No se cuenta con sistemas de emergencia como detectores de
humo, alarmas u otro tipo.
No se cuenta con medios adecuados para la extinción de fuego
en el centro de datos.
No existe señalización de prohibiciones para fumar, consumir
alimentos y bebidas.
No se cuenta con cámara de vigilancia en el centro de datos.

Esto sucede porque por falta de comunicación entre el departamento
de sistemas y el departamento de salud ocupacional y el de
mantenimiento que en este caso corresponde al departamento de
recursos físicos para que puedan llevar a cabo soluciones para este
tipo de faltas, además el proveedor de seguridad no dispone de
cámaras de seguridad en la entidad.
REF_PT:

CUESTIONARIOS- AI-C5
Anexo 1- Paginas 5
CONSECUENCIAS:
 Al no contar con las herramientas de seguridad necesarias y
básicas puede ocurrir un accidente que conlleve al daño parcial o
total ce los equipos que se encuentran dentro del centro de
datos.
 En el momento de un incendio no se tiene a la mano un extintor
que pueda utilizarse en estos casos.
 Si no hay señalización en el centro de datos sobre seguridad
puede ocurrir un accidente que involucre la seguridad de los
equipos q se manejan.
 Al no contar con cámaras de vigilancia no se puede tener un
monitoreo contante del área y además en caso de alguna perdida
no se puede soportar la falla.

RIESGO:

Probabilidad de ocurrencia: ¿ 20

Impacto según relevancia del proceso: bajo

RECOMENDACIONES:

Ponerse en contacto con las áreas pertinente y solicitar una
revisión sobre las necesidades obtenida para tener control
sobre estos temas de incidencia y prever un accidente.
Solicitar al proveedor de seguridad la instalación de una
cámara de seguridad en el centro de datos soportando la
importancia de esta área para la institución y el desarrollo de
sus actividades.

Cuadro de hallazgos Harvy Arley Gil.
Tabla Hallazgo 1
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 1

PO_01

Continuidad de los procesos de TI en la
PROCESO AUDITADO institución proyectando su crecimiento
estructural.
RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINIO

Planear y Organizar
(P0)

PROCES
O

PÁGINA
1

DE

1

P01 Definir el plan estratégico de
TI

DESCRIPCIÓN:

La infraestructura tecnológica actual no es capaz de soportar la demanda total
de los usuario tanto del área asistencial como administrativa.
La distribución de los recursos económicos para el área de TI no tuvo la
suficiente proyección quedando el montaje tecnológico a media marcha.

Esta situación problema se presenta por la falta de prevención en el crecimiento de la
institución, en principio se tenía establecido como un centro médico pero a medida del
aumento en la población aledaña se constituyó una institución hospitalaria, haciendo
que la planeación para el área tecnológica se quedara corto, con esto el área de TI no da
abasto con la demanda de peticiones a sus servidores.

REF_PT:
Cuestionario- C1
Lista de chequeo P01

CONSECUENCIAS:
 Al no tener la suficiente estructura tecnológica en el área de TI en sus servidores
se presentan retrasos en todos los procesos por el exceso de peticiones a los
mismos, una vez estos servicios colapsan es necesario reiniciar los servicios
haciendo perder tiempo a los pacientes y funcionarios.
 Tanto el área de TI como el área de presupuesto no presenta una articulación en la
planeación de las necesidades que se están presentando actualmente cada una de
ellas defiende sus políticas internas sin llegar a un consenso en el cual se pueda
realizar un plan de trabajo para la adquisición de nuevas herramientas
tecnológicas.
RIESGO:

Probabilidad de ocurrencia: ¿ 62.06

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Articular las áreas de TI y presupuesto para observar la viabilidad del proceso
de actualización de la infraestructura tecnológica, costos, tipo de pago,
proveedores, gestión de contratos, herramientas de gestión libre,
mantenimientos y soporte.
Empezar depurar los procesos que generalmente no se utilizan para evitar las
saturaciones en el servidor, para no tener que reiniciar el sistema y evitar
demoras en los procesos del área asistencias y administrativa, estableciendo un
límite de uso en la memoria RAM, mientras se puede cambiar de Windows a
Linux.

Tabla Hallazgo 2
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 2

PO_02

PROCESO AUDITADO Coordinación de la dirección tecnológica
RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINIO

Planear y
Organizar (P0)

PROCESO

PÁGINA
1

DE

1

P03 Determinar la dirección
Tecnológica

DESCRIPCIÓN:


No existen planes de contingencia en dado caso de un daño masivo ocasionando
pérdidas de información, daños en segmentos de los discos, datos dañados.
No se tiene respaldo de ninguna identidad de fuera en soporte a la actual
estructura tecnológica del hospital.
El comité de dirección tecnológica no tiene contemplado un plan de
capacitaciones para el personal del área de TI.

No se tiene contemplado un plan de capacitaciones para el personal que está en el área
de TI por falta de tener contemplado un cronograma de estas actividades por parte de la
dirección tecnológica, el no tener un respaldo de una compañía especializada en
algunos de los equipos que operan en el hospital el personal no puede dar soporte a
situaciones que se presenten con estos equipos, de igual manera no tener una base para
posibles contingencias hacen vulnerables el sistema de información y todas las
propiedades que este implica.

REF_PT:
CUESTIONARIOS- C2
Lista de Chequeo P03

CONSECUENCIAS:
 Al no tener un respaldo de las empresas proveedoras o de otra identidad que
conozca la estructura que se está manejando en el hospital no se puede dar
mantenimiento o soporte en caso de algún daño interno o externo.
 El personal al no recibir ningún tipo de capacitación por los equipos especiales
(radiología, ecografía, oftalmología) en su software o configuración está limitado
en la prestación de soporte técnico que se requiera.
 No tener planes de contingencia hace más vulnerable la operación del sistema de
información en dado caso de colapso o caída en la base de datos del mismo,
corriendo el riesgo de pérdida de información.

RIESGO:

Probabilidad de ocurrencia: ¿ 6 0.60

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:


Renovar contratación con los proveedores de hardware de data center para tener
acceso a actualizaciones y soporte técnico y equipos de áreas específicas
(radiología, ecografía, oftalmología).
Buscar empresas certificadas en el uso de herramientas tecnológicas que
permitan implementar medidas de prevención en dado caso de contingencia o
daño en sectorizados.
Desarrollar un plan de capacitaciones para el personal de TI de la institución
para tener la facilidad de prestar un servicio técnico en primera medida.

Tabla Hallazgo 3
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 3

PROCESO AUDITADO

Infraestructura, procesos y organización
de TI

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINI
O

Planear y Organizar
(P0)

PROCES
O

PO_03

PÁGINA
1

DE

1

P04. Definir Procesos,
Organización y Relaciones de TI

DESCRIPCIÓN:


En el comité de tecnología nunca se ha contemplado un análisis con los posibles
riesgos, planes de trabajo en dado caso de caída en la infraestructura
tecnológica actualmente ni en el futuro.
No se cuenta con ente de control diferente que el comité o el líder del área para
evaluar la gestión del departamento TI, verificando que se esté alcanzando
todos los objetivos propuestos por esta área.
Se sigue trabajando con un modelo obsoleto en el área de TI ninguno de los
técnicos conoce otro proceso que no sea el que maneje haciendo que las
ausencias en algún momento sea una vulnerabilidad.

En el comité de tecnología no se han descrito temas como el posible análisis de riesgos
a los que la institución está expuesta por la falta de la actualización de la plataforma
tecnológica, también es indispensable contar con un ingeniero de sistemas calificado en
el área de control interno para tener un soporte a los procesos que se vienen llevando en
el área de TI, es necesario cambiar la forma de trabajo y roles en el área de informática
para evitar que una ausencia pueda dejar vulnerable el área.
REF_PT:

CUESTIONARIO C3
Lista de Chequeo P04

CONSECUENCIAS:
 El no tener identificado los posibles riesgos que se tienen en la institución hacen
que todos sus procesos se puedan ver afectados en dado caso de un problema
institucional completo.
 Al no tener una articulación entre los miembros del equipo de trabajo del área de
TI, la ausencia de cualquier elemento deja de forma vulnerable el proceso que
tiene a cargo por el hecho de no tener un backup.

RIESGO:

Probabilidad de ocurrencia: ¿ 32

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:


El comité tecnológico necesita empezar a elaborar un plan de trabajo para
empezar a identificar todos los riesgos (hardware, software) que se tienen en la
institución.
Contratar el personal idóneo para la oficina de control interno organizacional
para que pueda auditar los procesos del área de TI articulando con el comité y
líder de tecnología para implementar planes de mejora.
Articular todos los procesos del área de tecnología donde los técnicos empecen
a capacitar a sus compañeros en dado caso de alguna ausencia.

Tabla Hallazgo 4
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 4

PO_04

PROCESO
AUDITADO

Presupuesto para el área de TI.

RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT 4.0

DOMINI
O

Planear y Organizar
(P0)

PROCESO

PÁGINA
1

DE

1

P05 Administrar la inversión en
TI

DESCRIPCIÓN:

La antigua proyección presupuestal carecía de una visión del crecimiento del
hospital por tal motivo se adquirieron equipos con las mínimas especificaciones
técnicas para la implementación de los servicios cliente/servidor.
Es necesario tener un plan con la nueva proyección presupuestal que está en
curso para la actualización de la plataforma tecnológica y que no se quede corta
en la transición de este proceso.

Esto sucede por la falta de articulación de varias dependencias del hospital sobre todo
entre el área de TI y Presupuesto donde nunca se estuvo de acuerdo en el modelo que le
iba mejor a la institución, implementando medidas contraproducentes sin proyectar el
crecimiento del hospital, por otra parte si no son bien distribuidos los nuevos recursos
para la actualización de la plataforma tecnológica del hospital no se podrá llevar a feliz
término este proyecto, donde se debe tener en cuenta que se debe buscar la estabilidad
del área TI para darle la diligencia a los demás procesos que están involucrados.

REF_PT:

CUESTIONARIOS C4
Lista de Chequeo P05

CONSECUENCIAS:
 Si no se tiene cuidado con la nueva proyección presupuestal donde esta descrita
toda la actualización de la plataforma tecnológica del hospital una vez mas se
acudirá a soluciones a corto plazo y no se solucionara de manera radical problema
de saturación en los servicios, es de vital importancia la articulación de toda el
área financiera y TI.
RIESGO:

Probabilidad de ocurrencia: ¿ 46.42

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Cronograma con las compras de los nuevos equipos, así como la facturación de
los mismos.
Reuniones paulatinas para analizar el avance de las actualizaciones para
verificar el desembolso de nuevos recursos conforme se va implementando
estas mismas.

Tabla Hallazgo 5
REF
HOSPITAL EL TUNAL III NVEL E.S.E
HALLAZGO 5

PO_05

PROCESO AUDITADO Administración del personal de TI
RESPONSABLE

Harvy Arley Gil Bonilla

MATERIAL DE
SOPORTE

COBIT

DOMINI
O

Planear y Organizar (P0) PROCESO

PÁGINA
1

DE

1

P07 Administrar Recursos
Humanos de TI

DESCRIPCIÓN:

No se observa una retroalimentación entre los integrantes del grupo de trabajo,
esto perjudica procesos que solo los lleva una persona.
La falta de capacitación en todas las áreas que maneja TI afecta el soporte
técnico siendo indispensable que recaiga en una sola persona.

Esto sucede porque el área no tiene la cultura de tener un backup como se hace con la
información, las personas que manejan un solo proceso son celosas en compartir su
conocimiento, también la falta de capacitación para los demás miembros del equipo en
dado caso de una situación fortuita que obligue a la ausencia de esa persona.
REF_PT:
CUESTIONARIOS C5
Lista de chequeo P07
CONSECUENCIAS:
 Al no contar con una retroalimentación entre los miembros del grupo de trabajo no
hay una unidad para soportar los procesos que se tienen en el área.
 Al depender de una sola persona por proceso se está expuesto a vulnerabilidades

en el proceso o retraso por situaciones ajenas a la institución y más de índole
personal.
RIESGO:

Probabilidad de ocurrencia: ¿ 76.92

Impacto según relevancia del proceso: Medio

RECOMENDACIONES:

Es importante que todos los miembros del grupo de trabajo tengan el
conocimiento de la totalidad de los procesos que se llevan en el área.
Buscar una armonía dentro del grupo de trabajo para que se apoyen mutuamente
en la resolución de situaciones problema donde se evidencie el crecimiento
como técnicos y personas.

Cuadro de hallazgos Juan Camilo Escobar.

HALLAZGO 1

Hospital El Tunal E.S.E III Nivel
PROCESO
AUDITADO
RESPONSAB
LE
MATERIAL
DE SOPORTE
DOMINIO

Desarrollo, uso y divulgación de procedimientos
Juan Camilo Escobar
COBIT 4.1
ADQUIRIR E
IMPLEMENTAR

PROCES
O

AI4 - Facilitar la
Operación y el Uso

DESCRIPCIÓN:

Falta de política de desarrollo de documentación de todos los procesos
de sistemas.

Solo hay documentación de algunos procesos.

Falta de nomenclatura de los procesos.

La gerencia no maneja la documentación.

Los usuarios finales no manejan la documentación.

REF_PT: Cuestionario de Control: C1
CONSECUENCIAS:

El conocimiento queda aislado a solo la persona que maneja el
proceso.

En caso que la persona no se encuentre el proceso puede quedar
detenido.

Se pueden causar o generar errores por falta de conocimiento del
procedimiento.

RIESGO:

Probabilidad de ocurrencia: = 77.56%

Impacto según relevancia del proceso: Alta

RECOMENDACIONES:

Se recomienda crear una política, para la documentación de todos los
procesos de sistemas, donde se estructure con nomenclatura, donde
haya encargados para la creación, revisión, autorización, y
actualización de los procesos.

Se recomienda divulgar y relacionar todos los procesos creados con la
gerencia, el personal técnico, y los usuarios finales.

3. Cuadro de tratamiento de los riesgos consolidado.
RIESGOS/VALORACION

PROBABILIDA
D
A
M
B

IMPACTO
L

M

C

Hardware
R1
R2
R3

R4

R5
R6

R7
R8
R9

R1
0
R1
1
R1
2
R1
3
R1
4

Equipos Infectados.
Pérdida o daños en los archivos o
sistema operativo de los equipos.
Daño del hardware del equipo de
computo
Equipos que no están conectados a
una UPS pueden sufrir corto en la
board, fuente, disco duro, pérdida de
activos fijos.
Seguridad Física
Robo y perdida de equipos de
cómputo (hardware y software).
Perdida
de
información
por
desconexiones,
cortos,
reinicios
inesperados.
Redes
Caída de la red, reproceso en
actividades.
Congestión en la red y en el tráfico de
esta.
Demora
en
los
procesos
que
necesitan aplicaciones web poniendo
en peligro la vida de los pacientes
Seguridad Lógica
Perdida de información o daño de la
misma.

X

Acceso no autorizado a los equipos.

X

X

4. Cuadro de riesgos y controles propuestos

X
X

X

X

X

X

X

X

X

X
X

X
X

X

X

X

Documentación
Procesos detenidos por falta de
X
documentación.
No existen políticas de administración
y respaldo de almacenamiento de la X
información
No existen políticas de seguridad

X

X

X
X

X
X
X

RIESGOS o
HALLAZGOS
ENCONTRADOS
Daño del hardware
del equipo de
computo

TIPO DE
CONTROL

SOLUCIONES O CONTROLES

PREVENTIVO

Solicitar al área de recursos físicos con
conjunto con salud ocupacional para
hacer revisión de los puntos eléctricos
para que estos cumplan con sus
debidas
exigencias
además
de
canalizar toda la parte de cableado.
Realizar una brigada de actualización
del antivirus que por defecto viene con
el sistema operativo o adquirir una
licencia de antivirus con un proveedor.
Crear políticas de seguridad en el
servidor de dominio, preferiblemente
cambiar
de
direccionamiento
IP
dinámico
por
DHCP
por
direccionamiento fijo. Actualización del
sistema operativo del servidor y
fortalecimiento
del
firewall
del
hospital.
Ingresar todos los equipos de cómputo
al dominio de red para que estos no
ingresar
como
administrador
al
sistema, crear credenciales para los
usuarios,
establecer
políticas
de
seguridad para las cuentas de usuario
creadas para que estos no puedan
realizar la instalación de software
ilegal.

Perdida de
información o daño
de la misma

PREVENTIVO

Acceso a
información
confidencial

CORRECTIVO

Problemas de
legalidad piratería
(DIAN)

PREVENTIVO

BIBLIOGRAFIA



Referenciado de, Documento de apoyo curso de auditoria de sistemas Universidad
Nacional Abierta y a Distancia 2016 I, foro de trabajo Colaborativo.
Referenciado de, Área de Tecnología Hospital el Tunal E.S.E.
Referenciado de, Área de control interno Hospital el Tunal E.S.E.