Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Derecho de Autor Universidad Tecnolgica Equinoccial Facultad de Ciencias de la Computacin e Informtica Carrera de Ingeniera de Sistemas Tesis Previa a la obtencin del ttulo profesional de Ingeniero de Sistemas Auditora Informtica al Hospital Carlos Andrade Marn
Dedicatoria:
Este trabajo esta dedicado de manera muy especial a Rudigan Lange y su familia quienes con un gran sacrificio me ayudaron a obtener mi ttulo de Ingeniero en Sistemas. A mi Madre que con su amor y abnegacin siempre fue una gua y compaa dentro de mi corazn, que junto a mi padre y hermanos siempre me apoyaron en la realizacin de mi vida profesional y en la culminacin de ste trabajo
Y de manera muy especial a mi hija Domenica que siempre a sido mi motivo para seguir adelante
Agradecimientos:
Agradezco de manera muy especial a la Ingeniera Raquel Catota Directora de tesis que gracias a su apoyo y gua supo llevar a buen trmino el presente trabajo. Al ingeniero Gabriel Pazmio jefe del rea acadmica por toda su ayuda y apoyo. De manera muy especial a la Universidad Tecnolgica Equinoccial que fue y ser siempre mi segundo hogar.
Hoja de Jurado
_______________________
______________________
Hoja de Responsabilidad
Resumen
El presente trabajo de investigacin tuvo por objeto evaluar la situacin actual de la unidad de informtica, los controles en los sistemas y procedimientos de informtica, desarrollo de sistemas, utilizacin de equipos, seguridad fsica y lgica, confidencialidad, acceso a usuarios, planes de contingencia, comunicaciones, redes informticas y un control efectivo de proyectos, para lo cual se utiliz la metodologa utilizada en el libro de Auditora Informtica de Jos Antonio Echenique la cual emplea el uso de cuestionarios o CHECKLIST, la realizacin de entrevistas y solicitud de documentacin, apoyada con varias visitas al Hospital, ayudaron a recabar la informacin necesaria para conocer las distintas reas de manera objetiva, independiente y tica con la finalidad de entregar un informe como producto final, en el que se detallaron las diferentes recomendaciones a tomarse en cuenta para ser implantadas a mediano plazo dentro del departamento de informtica.
Summary
The present investigation work had for object to evaluate the current situation of computer science unit, the controls in the systems and computer science procedures, development of systems, use of devices, physical and logical security, confidentiality, access to users, contingency plans, communications, computer nets and an effective control of projects, for that which you uses the methodology used in the book of Computer Audit of Jos Antonio Echenique which uses the use of questionnaires or CHECKLIST, the realization of interviews and documentation application, leaning with several visits to the Hospital, they helped to gather the information necessary to know the different areas in an objective, independent way and ethics with the purpose of giving a report as final product, in which the different recommendations were detailed to take into account to be implanted to medium term inside computer science department.
Capitulo I...................................................................................................... 13 1.1. Antecedentes ........................................................................................ 14 1.1.1. Problemtica.15 1.1.2. Motivacin.16 1.2. Razn para realizar la auditoria ............................................................ 17 1.3. Misin ................................................................................................... 18 1.4. Visin .................................................................................................... 18 1.5. Importancia de la Auditora al Hospital Carlos Andrade Marn.............. 18 1.6. Delimitacin del tema............................................................................ 20 1.6.1. Delimitacin espacial...20 1.6.2. Delimitacin temporal..20 1.7. Objetivos ............................................................................................... 20 1.7.1. Objetivo general20 1.7.2. Objetivos especficos...20 1.8. Factibilidad............................................................................................ 21 1.8.1. Viabilidad tcnica ............................................................................... 22 1.8.2. Viabilidad econmica ......................................................................... 22 1.8.3. Viabilidad de tiempo........................................................................... 23 1.9. Alcance ................................................................................................. 24 Capitulo II..................................................................................................... 26 2.1 Marco terico ......................................................................................... 27 2.1.1. Concepto de Auditora ....................................................................... 29 2.2. Razones para realizar una Auditora informtica .................................. 30 2.2.1. Cuando existe desorganizacin y descoordinacin30 2.2.2. Mala imagen y usuarios insatisfechos..31 2.2.3. Existe debilidad econmico financiero.31 2.2.4. Existen sntomas de debilidad32 2.3. Tipos de Auditora................................................................................. 32 2.3.1. Auditora interna32 2.3.2. Auditora externa..32 2.4. Tcnicas de Auditora informtica......................................................... 33 2.5. Metodologa .......................................................................................... 36 2.5.1. Para la evaluacin de la direccin de informtica se llevarn a cabo las siguientes actividades:................................................................................. 37 2.5.2. Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades:............................. 37 2.5.3. Evaluacin de los equipos ................................................................. 38
Capitulo III.................................................................................................... 40 3.1. Planeacin de la Auditora informtica................................................. 41 3.1.1. Funcin, objetivos y anlisis de la organizacin.41 3.1.2. Evaluacin de los recursos humanos de la organizacin.42 3.1.3. Estado de recursos financieros y materiales..42 3.1.4. Personal participante...43 3.1.5. Estructura organizacional................................................................... 43 3.1.5.1. Organizacin y administracin del departamento de informtica.45 3.1.5.2. Revisin preliminar del rea de informtica..49 3.1.5.3. Revisin detallada del rea de informtica...50 3.2. Valoracin de las pruebas encontradas................................................ 51 3.3. Pruebas de consentimiento y control de usuario .................................. 52 3.4. Etapa de adecuacin ............................................................................ 53 3.4.1. Definicin de objetivos de las reas a auditar.53 3.5. Plan detallado del proyecto................................................................... 54 Capitulo IV ................................................................................................... 55 4.1 Desarrollo de la Auditora informtica .................................................... 56 4.1.1. Auditora del mantenimiento de equipos..56 4.1.2. Auditora de los sistemas57 4.1.3. Auditora de las redes locales57 4.1.4. Auditora del hardware y software.58 4.1.5. Auditora de la seguridad59 4.2. Interpretacin de la informacin............................................................ 59 4.3. Elaboracin de encuestas..................................................................... 60 4.3.1. Clasificacin de los resultados...60 4.3.2. Administracin de hardware y software60 4.3.3. Seguridades lgicas y fsicas.62 4.3.4. Anlisis de resultados..62 4.3.5. Organizacin y administracin del departamento de Informtica.63 4.3.6. Organizacin del laboratorio y polticas de administracin del personal.64 4.3.7. Administracin de hardware y software65 4.3.8. Seguridad lgica y fsica.67 4.3.9. Seguridades fsicas..67 4.3.10. Seguridades lgicas..68 4.3.11. Seguridad del personal.70
10
4.4. Informe de Auditora informtica ........................................................... 71 4.4.1. Organizacin.72 4.4.2. R.R.H.H..76 4.4.3. Mantenimiento de equipos de cmputo y redes..78 4.4.4. Sistemas81 4.4.5. Redes locales82 4.4.6. Equipos de cmputo84 4.4.7. Auditora de la seguridad85 4.5. Recomendaciones para solucionar los problemas encontrados en el departamento de informtica del Hospital Carlos Andrade Marn.............. 101 4.5.1. Organizacin...101 4.5.2. R.R.H.H103 4.5.3. Mantenimiento de equipos y red..104 4.5.4. Sistemas..105 4.5.5. Redes locales.105 4.5.6. Equipos de cmputo..105 4.5.7. Seguridad106 Capitulo V .................................................................................................. 109 5.1. Conclusiones ...................................................................................... 110 5.2. Recomendaciones .............................................................................. 111 5.3. Bibliografa .......................................................................................... 114 5.4. Referencias WEB................................................................................ 115 ANEXOS .................................................................................................... 116
11
ndice de tablas Tabla 1 Viabilidad econmica ...................................................................... 23 Tabla 2 Viabilidad de recursos..................................................................... 23 Tabla 3 Definicin de objetivos de las reas a auditar................................. 53 Tabla 4 Plan detallado del proyecto............................................................. 54 ndice de grficos Grfico 1 Metodologa de Investigacin....................................................... 36 Grfico 2 Organigrama estructural del Hospital Carlos Andrade Marn ....... 46 Grfico 3 Organigrama del departamento de informtica ............................ 47 Grfico 4 Organizacin y administracin del laboratorio.............................. 64 Grfico 5 Administracin de hardware y software........................................ 66 Grfico 6 Seguridades fsicas ...................................................................... 68 Grfico 7 Seguridades lgicas ..................................................................... 69 Grfico 8 Seguridad del personal................................................................. 70 Grfico 9 Lnea de tiempo de mantenimientos correctivos .......................... 81 Grfico 10 Planta esquemtica del Hospital Carlos Andrade Marn ............ 86 Grfico 11 Servidor AS400 parte posterior .................................................. 89 Grfico 12 UPS, conexiones AS400, Ventilador .......................................... 90 Grfico 13 Sistema de deteccin de humo y aspersor de agua................... 91 Grfico 14Cuarto de servidores ................................................................... 92 Grfico 15 Conexiones elctricas y puntos de red....................................... 94 Grfico 16 Conexiones elctricas UPS ........................................................ 94 Grfico 17 UPS ............................................................................................ 95 Grfico 18 Corte esquemtico del Hospital Carlos Andrade Marn.............. 96 Grfico 19 Organigrama propuesto para el departamento de informtica . 102
12
Capitulo I
13
1.1. Antecedentes El Instituto Ecuatoriano de Seguridad Social (IESS) es una entidad, cuya organizacin y funcionamiento se fundamenta en los principios de solidaridad, obligatoriedad, universalidad, equidad, eficiencia, subsidiariedad y suficiencia. Se encarga de aplicar el Sistema del Seguro General Obligatorio que forma parte del sistema nacional de Seguridad Social. Los orgenes remotos del sistema del Seguro Social en el Ecuador se encuentran en las leyes dictadas en los aos 1905, 1915 y 1918 y 1923 para amparar a los empleados pblicos, educadores, telegrafistas y dependientes del poder judicial. El Hospital Carlos Andrade Marn es una casa de salud de tercer nivel acorde a los requerimientos modernos para el tratamiento de enfermedades y urgencias mdicas con el ms alto nivel de profesionalismo y equipado con los ms modernos equipos mdicos y tecnologa de punta, que brinda un servicio a las personas afiliadas al Instituto Ecuatoriano de seguridad Social (IESS), como tambin a personas atencin medica. El gobierno del doctor Isidro Ayora Cueva, mediante Decreto N 18, del 8 de marzo de 1928, cre la Caja de Jubilaciones y Montepo Civil, Retiro y Montepo Militar, Ahorro y Cooperativa, institucin de crdito con personera jurdica, organizada de conformidad con la Ley que se denomina Caja de Pensiones. particulares que necesiten de
14
Su objetivo fue conceder a los empleados pblicos, civiles y militares, los beneficios de jubilacin, montepo civil y fondo mortuorio. La Asamblea Nacional, reunida en l998 para reformar la Constitucin Poltica de la Repblica, consagr la permanencia del IESS como nica institucin autnoma, responsable de la aplicacin del Seguro General Obligatorio. El IESS, segn lo determina la vigente Ley del Seguro Social Obligatorio, se mantiene como entidad autnoma, con personera jurdica, recursos propios y distintos de los del Fisco. 1.1.1. Problemtica La traba ms importante para toda auditora informtica que de una u otra forma todo auditor deber enfrentar es el personal mismo de la empresa, este se constituir si no se sabe explicar de manera vers y directa en la mayor traba para el Auditor Informtico, se debe entender que una Auditora no es una casera de brujas sino una herramienta eficaz para mejorar los procesos que se llevan acabo dentro de la empresa y que se constituir en la manera ms eficaz para elevar los rendimientos de la misma, en el ente que ponga todas las trabas para poder recopilar la informacin necesaria para poder detectar los posibles errores o falencias en los diferentes campos a auditar. Esto sumado a la habilidad del auditor para saber discernir de manera eficiente que informacin es relevante para la auditora y cual no, sumado a no tener la suficiente difusin por parte de la alta gerencia a la importancia de brindar todas las facilidades para llevar a buen trmino el proceso de la
15
auditora seran los mayores problemas conjuntamente con el tiempo que el auditor deber enfrentar. Dentro del Hospital Carlos Andrade Marn un factor muy importante a considerar es el tiempo ya que de el dependen muchos factores propios del hospital como: Ingreso de pacientes, consulta externa, entrega de turnos, Admisin, entrega de medicamentos, urgencias, cuidados intensivos, neonatal, Administrativo, entre otros. Ya que si falla el sistema del AS400, se interrumpe una de las redes de datos o hay alguna demora en el mantenimiento de algn equipo, todo el sistema del hospital colapsa reflejndose en graves inconvenientes para las personas que acuden a este centro de salud. Estas fallas se han venido presentando en el tiempo, pero con el aumento de equipos y la ampliacin de la red de datos se vieron amplificados, por lo que la realizacin de una auditora Informtica se torno muy necesaria poder para
necesarias para que el sistema en su conjunto operen de la manera adecuada minimizando el riesgo en la falla de los mismos. 1.1.2. Motivacin La mejor manera para poder obtener la total colaboracin por parte del personal crtico que deber brindar la informacin necesaria para la auditora es hacerle entender primero que las posibles fallas no son culpa de el directamente o lo son en menor porcentaje y mayoritariamente se debe a la falta de una estructura definida y de polticas, procesos y estndares bien definidos y que la presente auditora ayudar a detectar tales falencias y
16
ayudar en mediano plazo a tener un documento con las respectivas recomendaciones encaminas a poder implementar tales procesos y estndares en la organizacin. Por este motivo hay que comprometer a las personas claves que poseen el acceso a la informacin crtica para la auditora como parte del equipo de la misma. Para poder realizar el trabajo de manera oportuna y en los tiempos establecidos para desarrollar la misma 1.2. Razn para realizar la auditoria Una de las razones ms relevantes que motivaron la realizacin de la Auditora Informtica del Hospital Carlos Andrade Marn es la visible mala imagen que esta institucin tiene hacia los afiliados y usuarios de la misma, se ha podido observar la gran aglomeracin de personas que acuden a esta casa de salud, las filas de las personas se tornan muy largas y puede tomar horas llegar a conseguir un turno o ser atendidos, esto es ocasionado por:
Los pedidos de cambio por parte de los usuarios no son atendidos con prontitud, ya sean estas actualizaciones de software, archivos que deben utilizar los usuarios etc.
Los Mantenimientos preventivos y correctivos no se realizan en plazos razonables, las reparaciones de hardware o soluciones a problemas por ms pequeos que fueran deben ser resueltos lo antes posibles para evitar molestias en los usuarios del hospital, caso contrario los afiliados se pueden sentir que estn fuera de atencin.
17
No se cumplen con los resultados en tiempos de entrega acordados, el no cumplir con la entrega de aplicaciones crticas principalmente puede causar importantes desvos en las actividades diarias de los usuarios.
Fallos en la red de datos, lo que ocasiona que no se puedan entregar los turnos, realizar las respectivas citas con los mdicos tratantes, despacho de recetas, entrega de medicamentos, ingreso de pacientes.
1.3. Misin El Hospital Carlos Andrade Marn tiene la misin de proteger a la poblacin urbana y rural, con relacin de dependencia laboral o sin ella, contra las contingencias de enfermedad, maternidad, riesgos del trabajo y accidentes, en los trminos que establece el Art. 17 de la Ley de Seguridad Social vigente. 1.4. Visin El Hospital Carlos Andrade Marn se encuentra en una etapa de transformacin, el plan estratgico que se est aplicando, sustentando en la Ley de Seguridad Social vigente, convertir a esta institucin en un Hospital moderno de tercera generacin acorde a las necesidades actuales, con personal capacitado que atender con eficiencia, oportunidad y amabilidad a toda persona que solicite los servicios y prestaciones que ofrece. 1.5. Importancia de la Auditora al Hospital Carlos Andrade Marn Actualmente la informacin es procesada de forma semiautomtica, este proceso induce a generar fallos dentro del Hospital, las mismas que tienen
18
problemas con el manejo y control de los datos as como de los elementos que almacenan, procesan y distribuyen la informacin. Esto ha motivado que se implementen polticas de control y procedimientos que ayuden a la alta direccin el uso adecuado de los recursos tanto humanos, materiales como financieros involucrados los mismos que deberan ser salvaguardados de manera correcta y que sea orientada a la rentabilidad y una mejor competitividad y superacin empresarial en su conjunto. En el mundo empresarial de hoy todo negocio sea cual fuere su tipo o filosofa ya sea esta una multinacional o un hospital de tercera generacin no deberan carecer de la funcin de auditora informtica, lo que incrementara el riesgo a cometer o generar errores e irregularidades que se generan en medida proporcional a las estrategias y polticas empleadas por la alta direccin. El Hospital Carlos Andrade Marn al encaminarse dentro de avances tecnolgicos y por su naturaleza en el rea de la Investigacin y el Desarrollo, necesita evaluar oportunamente las funciones informticas as como la verificacin de controles computacionales con el fin de determinar las debilidades de control que pueden afectar significativamente al procesamiento de la informacin. Se debe tener la certeza por parte de la direccin de que la informacin utilizada para la toma de decisiones haya sido procesada adecuadamente, evaluar los sistemas para detectar graves daos en el negocio como fraudes o fuga de informacin, cumplir con los procesos de anlisis y adquisicin de
19
equipos, evitando que estos recursos resulten improductivos, de baja calidad y de alto costo. La presente Auditora permitir determinar el grado en que se han cumplido las expectativas iniciales implementadas por la Direccin del Hospital, al implementar planes de mejoramiento para cumplir con los objetivos del Hospital. 1.6. Delimitacin del tema 1.6.1. Delimitacin espacial La Auditora Informtica se desarrollar en el Hospital Carlos Andrade Marn (HCAM) que se encuentra ubicado en la ciudad de Quito en el sector de Miraflores en las calles 18 de Septiembre y Ayacucho 1.6.2. Delimitacin temporal La Auditora Informtica se realizar en el perodo de julio a Octubre del 2006 1.7. Objetivos 1.7.1. Objetivo general Evaluar los controles en los sistemas y procedimientos de informtica, desarrollo de sistemas, utilizacin de equipos, seguridad fsica y lgica, confidencialidad, acceso a usuarios, planes de contingencia,
comunicaciones, redes informticas y un control efectivo de proyectos. 1.7.2. Objetivos especficos Evaluar el sistema de control interno y las seguridades implantadas en la unidad informtica.
20
Asegurar una mayor integridad, confidencialidad, confiabilidad de la informacin mediante la recomendacin de las seguridades y controles.
Conocer la situacin real de la infraestructura tecnolgica en el rea de informtica, las actividades y los esfuerzos necesarios para lograr las metas propuestas.
Buscar salvaguardar los archivos relacionados de manera natural con el campo de accin de la informtica, para lograr este objetivo el auditor, debe verificar la custodia del equipo, su adecuada utilizacin y evaluar los controles existentes para disminuir el riesgo durante el procesamiento de la informacin. De igual manera debe evaluar los controles manuales relacionados con el sistema de procesamiento de datos que compensen la falta de controles computacionales.
Recomendar acciones oportunas para minimizar o resolver todas las falencias detectadas.
1.8. Factibilidad Para la realizacin del presente tema de Tesis existe la viabilidad tanto Tcnica, Econmica, y de tiempo que permitan llevar a buen trmino la conclusin del mismo. De igual forma se cuenta con las respectivas autorizaciones de las Autoridades del Hospital para el uso de las instalaciones y equipos como para poder recabar toda la informacin necesaria para realizar la presente Auditora Informtica del Hospital Carlos Andrade Marn (VER ANEXO 1).
21
De igual manera existe el respectivo software en el mercado as como software libre en el Internet para ser usada como herramientas de apoyo para realizar la Auditora. 1.8.1. Viabilidad tcnica La presente tesis cuenta con los recursos tcnicos necesarios para ser llevada a cabo ya que se cuenta con la experiencia de docentes capacitados, con el respectivo software especializado as como software libre que puede ser descargado de Internet que servirn en conjunto con la experiencia del Auditor como herramientas de apoyo para realizar la Auditora Informtica. Existen en las diferentes libreras una gran cantidad de textos de Auditoria Informtica acorde con los estndares actuales para ser utilizados como una gua, podemos encontrar en Internet una serie de paginas Web dedicadas al tema de Auditoria Informtica donde incluso se puede encontrar ejemplos prcticos de distintos problemas encontrados al realizar auditorias informticas en diferentes empresas tanto privadas como publicas. 1.8.2. Viabilidad econmica El presupuesto necesario para la realizacin del tema de la presente tesis se describe en la Tabla 1. Los gastos implcitos para realizar este tema de tesis sern asumidos por mi persona comprometindome a solventar todos y cada uno de ellos hasta la culminacin de este trabajo.
22
Rubros Valor hora del auditor Movilizacin Comida tiles de oficina Toner Lser Cartuchos de tinta Encuadernado Papel Uso de computadores Encuestadores Director de tesis Derechos TOTAL GENERAL
Recursos Equipos de Computo Direcciones Web Libros Especializados Tesis Director de Tesis Software Asesoramiento
HCAM X
Internet
X X X X X
1.8.3. Viabilidad de tiempo Para desarrollar el presente tema de Tesis de dispone de aproximadamente cuatro meses tiempo en el cual se podr llevar a buen trmino todos los puntos planteados en este trabajo, en el anexo2 se describe el cronograma de trabajo con sus respectivos procedimientos y fechas. (VER ANEXO 2).
23
1.9. Alcance
Evaluacin de la direccin de informtica o Organizacin o Funciones o Objetivos o Estructuras o Recursos humanos o Normas y polticas o Capacitacin o Planes de trabajo o Controles o Condiciones de trabajo
Evaluacin de los sistemas o Evaluacin de los sistemas implementados o Evaluacin de avance de los sistemas en desarrollo o Seguridad lgica de los sistemas o Secretos de autor y secretos industriales
24
o Evaluacin de los controles empleados o Solicitud de memorias tcnicas o Solicitud de contratos Evaluacin de la seguridad o Seguridad lgica y confidencial o Seguridad en el personal o Seguridad fsica o Seguridad contra virus o Seguridad en la restauracin de los equipos y sistemas o Plan de contingencia y procedimiento en caso de desastre
25
Capitulo II
26
2.1 Marco terico Algn tiempo le ha tomado a las empresas e instituciones a nivel mundial darse cuenta de la verdadera importancia de los Sistemas Informticos como herramientas para materializar uno de los conceptos ms importantes y necesarios para cualquier organizacin empresarial y que constituyen su activo fijo ms importante, sus sistemas informticos. La Informtica es un recurso medular de la gestin empresarial e institucional, y esa es la razn por la cual los estndares informticos deben someterse a los activos de la misma. Por tal motivo, las organizaciones informticas estn inmersas en el management de toda empresa o institucin. Lo cual brinda una gua clara para la toma de decisiones, pero claro esto no quiere decir que la misma decida por s sola. Por tanto, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. Cuando la gerencia de una empresa toma la decisin de realizar una Auditora e informa de la misma, es tomada con frecuencia como una
evaluacin cuyo nico fin es detectar errores y sealar fallas. Por tal motivo, se asocia la frase Tiene Auditora como sinnimo de que, en dicha
entidad, antes de realizarse la Auditora, ya se haban detectado fallas o errores. El concepto de la Auditora va mucho ms all de esto. Es una evaluacin que se realiza con el fin de examinar la eficacia y eficiencia de una seccin, un organismo o una entidad.
27
La palabra Auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. De todo esto sacamos como deduccin que la auditora es una evaluacin autocrtica pero no mecnica, que no indica que existieran fallas en la entidad auditada antes de la realizacin y que el objetivo es evaluar y mejorar la eficacia y eficiencia de un departamento o de un organismo. La Auditora Informtica tiene como objetivo principal, constituirse en el
control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos, la verificacin del cumplimiento de la normativa general de la empresa y la revisin de la eficaz gestin de los recursos materiales y humanos informticos. El Auditor informtico a de precautelar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Para lograr una auditora informtica veraz y correcta, se debe entender a la institucin auditada en todo su entorno, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y de costos. Los Sistemas Informticos al igual que los balances, cuentas de resultados, tarifas, sueldos, etc., estn sujetos al control correspondiente. Por tal motivo es de suma importancia llevar un control de esta herramienta como las computadoras y los centros de base de datos que se han convertido en
28
blancos fciles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto domino y afecte a aplicaciones independientes. En este caso interviene la Auditora Informtica de Datos. Un Sistema Informtico mal diseado desde sus bases o en su concepcin desde el ciclo de vida puede transformarse en una herramienta peligrosa para la empresa: como las mquinas obedecen ciegamente a las rdenes recibidas y el diseo del modelo informtico de la empresa est determinado por los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informtico, por eso, la necesidad de la Auditora de Sistemas. 2.1.1. Concepto de Auditora Auditora es un estndar metodolgico para evaluar distintos objetos o realidades con mentalidad crtica, analtica e investigativa sobre una base objetiva e independiente y tica con la finalidad de un informe como producto final1.
29
La Auditora segn estudios realizados debe realizarse sobre la base de las normas procedimientos y tcnicas claramente definidas por especialistas tanto nacionales como internacionales para obtener informacin que permita definir la situacin real en la que se encuentra una entidad. Para llegar a esto es necesario realizar una evaluacin de controles dentro de un proceso de verificacin de informacin con honestidad y tica profesional. Es evidente que la auditora es un proceso formal que se realiza por requerimientos de empresas o del gobierno en periodos preestablecidos por los interesados, cuyo propsito fundamental es el de verificar el cumplimiento efectivo y oportuno de las polticas y procedimientos relacionados con cada una de las actividades de la organizacin, que a la vez involucra la utilizacin de sus activos. Se debe sealar que la necesidad de auditar las entidades se ve reflejada en la importancia que los altos directivos otorgan a la informacin requerida para la toma de decisiones. 2.2. Razones para realizar una Auditora informtica 2.2.1. Cuando existe desorganizacin y descoordinacin Cuando existe desorganizacin y descoordinacin si se percibe que: No coinciden los objetivos de la informacin y los objetivos de la organizacin se debe tomar en cuenta que los objetivos de la informtica deben estar subordinados a los objetivos generales de la empresa. Los estimadores de productividad se han desviado de lo que habitualmente se consigue esto puede ocurrir si ha existido un cambio
30
importante en el personal de la empresa o ha habido una mala reestructuracin de un rea o normativa importante. 2.2.2. Mala imagen y usuarios insatisfechos El departamento de sistemas de una empresa puede dar mala imagen si: No atiende pedidos de cambio por parte de los usuarios, estos cambios se refieren a actualizaciones de software, archivos que deben utilizar los usuarios etc. No se repara el hardware ni se resuelve incidencias en plazos razonables, las reparaciones de hardware o soluciones a problemas por ms pequeos que fueran deben ser resueltos en un tiempo razonable, caso contrario el usuario se puede sentir que esta fuera de atencin. No se cumplen con los resultados en tiempos de entrega acordados, el no cumplir con la entrega de aplicaciones crticas principalmente puede causar importantes desvos en las actividades diarias de los usuarios. 2.2.3. Existe debilidad econmico financiero Se detecta en los siguientes casos: Aumento desmesurado de costos en ese caso se debe revisar si existe un argumento de costos general o no. Necesidad de justificar inversiones en el rea informtica, sucede cuando la empresa no esta convencida de que sistemas requiere hacer la inversin. Desviaciones presupuestarias significativas.
31
2.2.4. Existen sntomas de debilidad Se detecta en los siguientes casos: La seguridad lgica, fsica y la confidencialidad del sistema informtico en general. Centro de cmputo fuera de control.
2.3. Tipos de Auditora 2.3.1. Auditora interna la auditora interna es una actividad de evaluacin independiente en una organizacin destinada a la revisin de operaciones contables financieras y de otro tipo, con la finalidad de prestar servicios a la administracin. Es un control administrativo que mide y evala la efectividad de otros controles2. El papel del auditor interno, ya que si bien, tcnicamente forman parte integral de la estructura de control interno, tienen cierta independencia con respecto al personal de operaciones de la empresa ya que informan al rea de finanzas o al comit de auditora sobre la evaluacin del trabajo de otros miembros de la organizacin. 2.3.2. Auditora externa Es practicada por profesionales y que no son empleados de las
organizaciones
auditadas
fueron
contratados
independientemente
mediante un contrato de prestacin de servicios con la finalidad que emitan opiniones imparciales sobre la razonabilidad de los estados financieros. El auditor externo busca confirmar la presencia de tcnicas suficientes, as
2
32
como el empleo adecuado de los mismos con el objeto de identificar cualquier debilidad en el control de importancia significativa para el dictamen. 2.4. Tcnicas de Auditora informtica Son los distintos procedimientos que el auditor puede seguir para la realizacin de su trabajo los cuales le permiten recabar evidencias en las cuales se basar su informe final entre las que tenemos. Tcnica de observacin
Aqu el auditor realizar una primera visita al lugar donde se realizar la auditora informtica, Es de suma importancia identificar los lugares fsicos donde se encuentran los distintos elementos a ser auditados como serian: laboratorios informticos, cuarto de servidores, ubicacin de los diferentes racks, ubicacin de equipos de cmputo, etc. Observar como se realizan los distintos controles y procedimientos implementados por la alta gerencia, como esta implementada la seguridad y sus distintos controles, accesos y autorizaciones, es importante ubicarse de manera precisa en el lugar donde se realizar la auditoria, talvez en una empresa pequea no veamos la necesidad pero en el caso del Hospital Carlos Andrade Marn por su extensin se convierte en un verdadero laberinto y la posibilidad de perderse o no encontrar el lugar al que deseamos llegar es muy alta.
33
Todo lo que se va descubriendo a lo largo de la auditora informtica debe de ser documentado de manera correcta, que controles y normas se cumplen o no, existencia de equipos, contratos, manuales, inventarios, etc. Esto ser el respaldo donde se fundamentara el informe final, de aqu la importancia de realizarlo de manera correcta y detallada de acuerdo al cronograma de actividades con el que se llevara a cabo la auditora informtica. Aqu tambin estn contemplados todos los cuestionarios que sern aplicados al personal y usuarios de la empresa o institucin auditada. Tcnica de interrogacin verbal
Esta se aplica de manera conjunta con la tcnica de observacin interrogando el porque de las cosas. Una herramienta importante de todo auditor son las entrevistas que se realizarn, esta es la oportunidad donde se puede lograr el apoyo de las personas clave para recavar la informacin que necesitaremos a lo largo de toda la Auditora, al tiempo que se pueden calmar cualquier tipo de dudas o temores por parte del personal, La auditora no es una casera de brujas, si no una herramienta que les brindara un apoyo para mejorar su trabajo, de aqu que las entrevistas
34
A lo largo de toda la auditora informtica el auditor debe tomar todo tipo de apuntes que se desprendan de las visitas, observaciones y entrevistas, incluyendo a los cuestionarios as como los comentarios e inquietudes que se desprendan del personal involucrado en la auditoria, esto ayudar a formar una imagen global de la situacin de donde se esta realizando la auditora. Tcnica de verificacin de existencia
El auditor no debe de conformarse simplemente con que le informen que cierto control, norma, contrato, manual, o inventario existe. El auditor debe de verificar la existencia e ir documentando y recabando todo los documentos existentes. No vasta con saber que existe un inventario y que un equipo consta en el, sino verificar visualmente su existencia y comprobar que su estado y registro concuerden con lo escrito.
35
2.5. Metodologa
Grfico 1 Metodologa de Investigacin
Revisin informal
Revisin formal
Aprobacin formal
36
2.5.1. Para la evaluacin de la direccin de informtica se llevarn a cabo las siguientes actividades: Solicitud de los manuales administrativos, organizacin, funciones, planes, polticas, estndares utilizados y programas de trabajo. Solicitud de costos y presupuestos de informtica. Elaboracin de un cuestionario para la evaluacin de la direccin. Aplicacin del cuestionario al personal, y realizacin de entrevistas. Entrevistas a lderes de proyectos y a usuarios ms relevantes de la direccin de informtica. Anlisis y evaluacin de la informacin. Elaboracin del informe. 2.5.2. Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades: Solicitud del anlisis y diseo de los sistemas en operacin y en desarrollo. Solicitud de documentacin de los sistemas en operacin (manuales tcnicos, de operacin, de usuario, diseos). Solicitud del plan de trabajo. Solicitud de contratos de compra o renta de software. Solicitud de licencias y derechos de autor. Plan de contingencia y recuperacin en casos de desastre. Recopilacin y anlisis de los procedimientos administrativos de cada sistema. Anlisis de la seguridad lgica y confidencialidad. Evaluacin de los proyectos en desarrollo, prioridades y personal asignado.
37
Evaluacin de controles. Evaluacin de las licencias, la obtencin de derechos del autor y de la confidencialidad de la informacin. Anlisis y evaluacin de la informacin compilada. Elaboracin de informe. 2.5.3. Evaluacin de los equipos Solicitud de los estudios de viabilidad, costo/beneficio y caractersticas de los equipos actuales, proyectos sobre adquisicin o ampliacin de equipo y su actualizacin. Solicitud de contratos de compra o renta de los equipos. Solicitud de contratos de mantenimiento de los equipos. Solicitud de contratos de seguros. Bitcoras de los equipos. Elaboracin de un cuestionario sobre la utilizacin de equipos, archivos, unidades de entrada/salida, equipos perifricos, y su seguridad. Visita a las instalaciones y a los lugares de almacenamiento de archivos magnticos. Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones. Evaluacin tcnica del sistema elctrico y ambiental de los equipos, del local utilizado y en general de las instalaciones. Evaluacin de los sistemas de seguridad de acceso. Evaluacin de la informacin recopilada, obtencin de grficas, porcentajes de utilizacin de los equipos y su justificacin.
38
Elaboracin de Informe. Elaboracin del informe final, presentacin y discusin del mismo, y presentacin de conclusiones y recomendaciones.
39
Capitulo III
40
3.1. Planeacin de la Auditora informtica 3.1.1. Funcin, objetivos y anlisis de la organizacin La funcin del departamento de informtica consta en planificar, dirigir, coordinar y controlar las actividades de orden informtico y la automatizacin de las actividades del Hospital Carlos Andrade Marn. Dentro de las funciones encomendadas al departamento de informtica est la administracin del servidor de base de datos AS400, Administracin de la Red twinaxial, Administracin de la red de voz y datos, mantenimientos correctivos y preventivos de todos los equipos de computo y suplementos de oficina (Mquinas elctricas y manuales, sumadoras, etc.), Elaboracin de informes tcnicos para la adquisicin de bienes, materiales o insumos inherentes a informtica y otras que sean requeridas por la coordinacin del rea. Dentro de los objetivos estos se encuentran detallados dentro del Plan operativo unidad de Informtica (VER ANEXO 4) El Hospital Carlos Andrade Marn cuenta con varios departamentos afines con la actividad principal que realiza, desde sus orgenes el Hospital no cuenta con un departamento de informtica pero al verse acometido con las nuevas tecnologas y los recursos informticos con que cuenta esta el hospital se vio en la necesidad de contar con un departamento de informtica, pero debido a que no cuenta con las respectivas leyes y partidas el mismo no a podido ser creado de manera formal e independiente si no que a sido subordinado a la Subgerencia de Ambulatorio y forzado a tener
41
que contratar otras empresas para realizar trabajos competentes de su rea debido a la falta de partidas para nuevos empleados capacitados y permanentes necesarios para el rea. 3.1.2. Evaluacin de los recursos humanos de la organizacin El Departamento de informtica del Hospital Carlos Andrade Marn esta formado por tres personas. La Ingeniera Lizbeth Vaca Jefa del
departamento, el Ingeniero Lus Surez a cargo del rea de redes y el Seor Julio Herrera encargado de la administracin del AS400. Como soporte el departamento de informtica cuenta con dos compaas. La compaa Snarb para el desarrollo de nuevos mdulos para el servidor AS400 la cual cuenta con dos desarrolladores, La compaa Silvernet encargada del mantenimiento y Co Administracin de la parte informtica, equipos de oficina y redes. La misma que cuenta con un Ingeniero Coordinador, un Ingeniero de Soporte un Tcnico y un Ingeniero en telecomunicaciones. 3.1.3. Estado de recursos financieros y materiales Los recursos financieros del hospital Carlos Andrade Marn vienen directamente de los aportes del asegurado o sea del IESS, el departamento de informtica cuenta con un presupuesto mensual establecido para su funcionamiento y pago de las empresas que prestan sus servicios tanto en el mantenimiento de los equipos como en el desarrollo de nuevo software dentro de este presupuesto no constan los salarios de los respectivos funcionarios del rea que son cancelados independientemente del mismo.
42
3.1.4. Personal participante El presente trabajo de Auditora Informtica esta conformado por la Ingeniera Raquel Catota como directora de Tesis y por Jeffrey Naranjo como Auditor 3.1.5. Estructura organizacional (VER ANEXO 3) Mediante Resolucin N 021, el Consejo Directivo del IESS aprob el nuevo orgnico funcional de la Institucin que cuenta con seis niveles: Nivel de gobierno y Direccin superior.- Responsables de la aplicacin del Seguro General Obligatorio en todo el territorio nacional: Consejo Directivo, Direccin General y Direccin Provincial. Nivel de Direccin especializada.- rganos especializados en el aseguramiento de las contingencias y calificacin del derecho a las prestaciones que otorga el Seguro General Obligatorio: Direccin del Seguro General de Salud Individual y Familiar, Direccin del Sistema de Pensiones, Direccin del Seguro General de Riegos del Trabajo y Direccin del Seguro Social Campesino. Nivel de reclamacin administrativa.- Responsables de la aprobacin o denegacin de los reclamos de prestaciones plantados por los asegurados: Comisin Nacional de Apelaciones y Comisin Provincial de Prestaciones y Controversias. Son instancias de resolucin administrativa. Nivel Tcnico Auxiliar.- Direccin Actuarial y Comisin Tcnica de Inversiones.
43
Nivel de Control Interno.- La Auditora Interna es el rgano de control independiente, de evaluacin y asesora, responsable del examen posterior, objetivo, profesional, sistemtico y peridico de los procedimientos administrativos, presupuestarios y financieros del Instituto.
Nivel de asistencia tcnica y administrativa.- Direccin Econmica Financiera, Direccin de Servicios Corporativos, Direccin de
Dentro de la estructura orgnica del Instituto, el Consejo Directivo, la Direccin General y la Direccin Provincial constituyen el nivel de gobierno y direccin superior, y son responsables de la aplicacin del Seguro General Obligatorio. El Consejo Directivo es el rgano mximo de gobierno y le corresponde dictar las polticas para la aplicacin del Seguro General Obligatorio, as como las normas de organizacin y funcionamiento de los seguros generales y especiales aplicados por el IESS y la fiscalizacin de los actos de la administracin. Est conformado de manera tripartita por un representante del Ejecutivo, quien lo preside, un representante de los empleadores y un representante de los trabajadores.
44
3.1.5.1. Organizacin y administracin del departamento de informtica Una buena organizacin y administracin es la base en la que se sustenta cada una de las funciones que se realizan en una unidad de informtica, con el fin de dar cumplimiento a sus objetivos, para el presente anlisis se ha tomado en consideracin tres aspectos importantes: Organizacin del Departamento, Polticas de Administracin, Aseo y Mantenimiento. (VER ANEXO 11) A continuacin indicamos como est estructurado actualmente el
Departamento de Informtica del Hospital Carlos Andrade Marn, dentro del esquema creado para su funcionamiento, y las empresas privadas contratadas para brindar los distintos servicios que el Hospital necesita para su funcionamiento.
45
GERENCIA GENERAL
Mantenimiento
SILVERNET
Redes
DEPARTAMENTO DE INFORMATICA HINET
Desarrollo
SNARB
46
H O S P IT A LC A R LO SA N D R A D EM A R N
IN G . LIZ B E T HV A C A
S R . JU LIOH E R R E R A
LU SS U R E Z
C O O R D IN A D O R T C N IC OS ILV E R N E T
S N A R B P R O G R A M A D O R E SA S 40
C O O R D IN A D O R T C N IC OH IN E T
IN G E N IE R OD E S O P O R T E
T C N IC OE NM A Q U IN A S YIM P R E S O R A S
P E R S O N A LD EA P O Y O
47
Una vez definido este esquema procedemos a describir la organizacin interna del departamento de Informtica el cual esta definido implcitamente, pero no consta en ningn organigrama establecido dentro de los estatutos del Hospital Carlos Andrade Marn. Como jefe de Departamento se Encuentra la Ingeniera Lizbeth Vaca quien esta encargada de: La Administracin del servidor AS400, Soporte a los usuarios, Dirigir, controlar y establecer nuevos proyectos informticos, autorizar y emitir las rdenes de trabajo para la realizacin de los mantenimientos preventivos/correctivos, autorizar el informe mensual para la realizacin de la factura de pago a la empresa Silvernet, entre otros. Control y verificacin de los trabajos de Desarrollo por parte de la empresa Snarb encargada de desarrollar los mdulos para el servidor AS400 El Sr. Julio Herrera esta encargado como auxiliar de la Administracin del AS400 bajo autorizacin previa de la Ingeniera Lizbeth Vaca, soporte a usuarios, control y verificacin de los requerimientos de trabajo para generar una orden de trabajo, control y verificacin de los trabajos realizados tanto preventivos como correctivos por parte de la empresa Silvernet, control y verificacin del informe mensual. (VER ANEXO 13). Para la realizacin de la factura de pago por los rubros de mantenimiento y Co Administracin, estos trabajos los realiza en conjunto con el Coordinador Tcnico de la empresa Silvernet.
48
El Ingeniero Lus Surez esta encargado como auxiliar de la Administracin del AS400 bajo autorizacin previa de la Ingeniera Lizbeth Vaca, soporte a usuarios, Administracin de la Red LAN del Hospital, control y verificacin de los requerimientos de trabajo en lo concerniente a la red LAN para la emisin de las rdenes de trabajo, verificacin y control de los trabajos realizados tanto preventivos y correctivos as como de los aumentos en la Red de cableado estructurado y los mantenimientos y cambios de configuracin de los diferentes Racks de que dispone el Hospital (VER ANEXO 14), Los trabajos de mantenimiento de equipos y ampliacin de la red se lo realiza en conjunto con los Coordinadores tcnicos de la compaa Silvernet y de la empresa Hinet, cabe recalcar que la empresa Hinet esta a cargo de la ampliacin de la Red LAN y no de su mantenimiento. 3.1.5.2. Revisin preliminar del rea de informtica Se ha procedido a realizar una verificacin visual del departamento de informtica su ubicacin y distribucin dentro del Hospital, las actividades que realiza, los equipos que posee, su estructura organizacional. Se han realizado los cuestionarios de Estructura Orgnica, Funciones, Objetivos, Recursos Humanos, Presupuestos, Recursos Materiales,
Mantenimiento de Hardware, Software, Redes, Administracin de Redes y se ha recabado informacin del departamento necesaria para la realizacin de la presente Auditora. Esto ha servido para tener una idea global de la estructura y sus respectivas funciones y atribuciones as como los procedimientos que se llevan a cabo dentro del departamento.
49
3.1.5.3. Revisin detallada del rea de informtica Para conocer ms a fondo a la organizacin se ha procedido a realizar cuatro visitas ms en las cuales se a desarrollado entrevistas con el personal del departamento de informtica as como con el personal de las dos empresas privadas que brindan sus servicios al Hospital Carlos Andrade Marn de igual manera se han realizado varias entrevistas con los distintos usuarios del departamento del informtica que van desde el rea Administrativa, Recursos Humanos, Adquisiciones, Jurdica, como las diversas reas mdicas como Recepcin de Urgencias, Consulta externa, Farmacia entre otras que son usuarios crticos del sistema a cargo del departamento de informtica ya que el mismo lleva el registro de los afiliados, su situacin laboral, historia clnica, subsidio, etc. El departamento de informtica esta bsicamente a cargo de: Mantenimiento Preventivo Correctivo o Computadores o Monitores o Terminales o Impresoras o Mquinas elctricas y manuales o Sumadoras o Red de cableado UTP o Red de cableado Twinaxial o Soporte a usuario o Capacitacin
50
Planificacin y organizacin de planes de informtica de conformidad con las polticas del Hospital Carlos Andrade Marn.
Direccin y coordinacin de los sistemas informticos. Seguridad, integridad, custodia y utilizacin de los recursos informticos.
Capacitacin del manejo de los recursos informtico a los nuevos usuarios del sistema.
Administracin de los servidores AS400 y DHCP Coordinacin con el departamento de bodegas para el ingreso y control de nuevos equipos informticos, suministros e implementos necesarios para mantener los programas de mantenimiento y coordinacin de los planes de informtica.
Soporte en el uso y manejo de los programas, equipos de cmputo y terminales de los usuarios del Departamento de Informtica.
3.2. Valoracin de las pruebas encontradas Dentro del trabajo de Auditora Informtica se ha procedido a obtener toda la informacin necesaria relacionada con los objetivos y alcance de la Auditora se ha procedido a efectuar los distintos cuestionarios y entrevistas personales con el personal del Departamento de Informtica, Se han recabado los documentos necesarios que avalen las posteriores recomendaciones dentro del informe de Auditora, siendo estos suficientes, competentes y relevantes dando bases slidas para mantener la objetividad
51
dentro de la Auditora, pudiendo una persona prudente e informada llegar a las mismas conclusiones que el auditor. Todos estos documentos son copias fieles de los documentos originales siendo estas abalizadas por el departamento de Informtica del Hospital Carlos Andrade Marn. 3.3. Pruebas de consentimiento y control de usuario Se ha procedido a realizar las pruebas de consentimiento de los distintos controles que se efectan dentro del departamento de Informtica para llevar a cabo el cumplimiento de las tareas a l delegadas, siendo stos verificados en su existencia y que operan de la manera en la que fueron diseados, La mayor parte de ellos trabajan de manera confiable pero los mismos son insuficientes tanto en el rea de mantenimientos de equipos como en el control, Administracin y mantenimiento de la Red con que cuenta el departamento de Informtica del Hospital Carlos Andrade Marn.
52
Tareas 1. Definir objetivos del proyecto 2. Definir etapas del proyecto y su detalle 3. Definir los elementos por Auditar por rea de revisin 4. Establecer tcnicas y herramientas por rea de revisin 5. Definicin o actualizacin de polticas por rea 6. Elaboracin o actualizacin de cuestionarios por rea
Productos 1.1.Objetivos y alcances del proyecto 2.1.Etapas y sus Tareas 1.2.Responsables e involucrados 1.3.Productos terminados 1.4.Revisiones 3.1.Aspectos o elementos por evaluar por cada rea de revisin.
AI/RAI AI AI AI
RAI LP LP LP
AI
LP
4.1.Tcnicas 4.2.Software 4.3.Equipo de computo 5.1.Polticas y procedimientos por verificar de acuerdo con cada rea que ser auditada 5.2.Polticas complementarias 6.1.Cuestionarios para cada rea que ser auditada 6.2. Cuestionarios adicionales
AI AI AI
LP LP LP
AI
LP
AI AI
LP LP
Nomenclatura: AI= Auditor en Informtica, RAI=Responsable del rea, LP=Lder del proyecto
53
Tareas Concertar Citas Verificar Tareas, involucrados Clasificar tcnicas, cuestionarios Efectuar entrevistas
Productos Fechas aprobadas Tareas, involucrados Tcnicas clasificadas Cuestionarios clasificados Entrevistas realizadas Entrevistas documentadas Anlisis de entrevistas Cuestionarios aplicados Anlisis de cuestionarios Visitas realizadas Comentarios documentados Anlisis de comentarios Observaciones (acerca de debilidades o carencia de controles) reas de oportunidad Recomendaciones Responsables de ejecutar cada accin Plazos de ejecucin reas auditadas clasificadas Informe documentado Borrador de auditora informtica revisado Informe preliminar revisado Informe preliminar corregido Informe preliminar entregado Informe preliminar autorizado Entrevistas, cuestionarios y visitas pendientes realizados. Informe actualizado con observaciones Informe final revisado con informacin de todas las reas auditadas Informe final presentado a la direccin de informtica
Responsable Involucrados AI PI/PU AI PI/PU AI AI LP LP PI/PU AI RAI PI/PU AI RAI RI/PI/PU AI RAI LP LP LP LP LP LP AI
Aplicar cuestionarios
AI
Efectuar visitas de verificacin Elaborar informe preliminar acerca de las reas auditadas
AI
AI
Revisar el informe preliminar por rea Autorizar el borrador del informe preliminar
AI AI
AI
AI
LP
AI
RAI RAI
Nomenclatura: AI= Auditor en Informtica, RAI=Responsable del rea, LP=Lder del proyecto, PI=personal de informtica, PU=Personal usuario, AD=Alta direccin,
54
Capitulo IV
55
4.1 Desarrollo de la Auditora informtica 4.1.1. Auditora del mantenimiento de equipos Para la realizacin de la Auditora del mantenimiento se tomo en cuenta los procedimientos empleados por el departamento de informtica, para llevar a cabo esta actividad que comprende el mantenimiento preventivo y correctivo de los diferentes elementos que componen su red de cableado estructurado como puntos de voz, puntos de datos y los respectivos Racks de la que esta formada, la red twinaxial y sus respectivas terminales que trabajan en conjunto con el servidor AS400, los computadores personales incluido el servidor de DHCP, Impresoras y los diferentes equipos de oficina, para llevar a cavo este anlisis hubo que tomar en cuenta que para realizar el mantenimiento de los equipos, el Hospital Carlos Andrade Marn cuenta con una empresa independiente del IESS que realiza la Co Administracin por lo que se tomo en cuenta los respectivos procedimientos utilizados para llevar a cabo el mantenimiento correctivo y preventivo (Ver Anexo 5). Los cuestionarios empleados fueron aplicados al personal del departamento de informtica los mismos que proporcionaron tanto sus procedimientos internos como los procedimientos empleados por la empresa contratada para dicho fin. De igual manera se realiz diferentes entrevistas personales con el personal para determinar de mejor manera y puntual en cada caso los controles empleados para realizar el mantenimiento preventivo y correctivo del Hardware y Software empleado por el Hospital Carlos Andrade Marn. (Ver Anexo 6)
56
4.1.2. Auditora de los sistemas Para la realizacin de la Auditora de los Sistemas desarrollados por el departamento de Informtica se empleo distintos cuestionarios y entrevistas para determinar los procesos y controles empleados dentro del desarrollo de nuevos mdulos dentro de la base de datos AS400, de manera similar a lo ocurrido con el rea de mantenimiento la parte de desarrollo es llevada a cabo por una empresa independiente al IESS pero que trabaja dentro de las instalaciones del Departamento de Informtica. Esta empresa privada proporcion los datos necesarios para realizar la auditora de sistemas como son las tablas de estructuras, modelo de datos, estructura de datos, arquitectura del sistema y el manual del modulo en desarrollo. Cabe acotar que la empresa privada encargada del desarrollo solo proporcion estos datos de su trabajo y que las entrevistas y cuestionarios fueron realizadas al personal del departamento de informtica quien dio una idea global de cmo se proceda para realizar los controles a lo largo del desarrollo. (VER ANEXO 7) 4.1.3. Auditora de las redes locales Para la realizacin de la auditora de las redes locales se evalu los controles empleados por el Departamento de Informtica para el control de la Red tanto de la de cableado estructurado como la Red Twinaxial existe una tercera Red que funciona con unos terminales especiales pero que esta en proceso para darles de baja.
57
Cabe recalcar que aunque es responsabilidad del Departamento de Informtica el mantenimiento de la red o en ciertos casos el ampliar la misma, el control del servidor de DHCP como el de base de datos AS400, como el control y contencin de virus, la parte en si de Administracin esta a cargo de la direccin de modernizacin del IESS y son ellos los encargados de realizar el control y administracin de la red as como de proveer el servicio de Internet, ellos son los encargados de dictar las polticas y normas y el departamento de Informtica de cumplirlas y de adaptarlas a la realidad particular del Hospital Carlos Andrade Marn. (VER ANEXO 8) 4.1.4. Auditora del hardware y software Para la realizacin de la auditora del Hardware como del Software se utiliz el catastro integral que contiene un registro detallado tanto del Hardware como del Software utilizado por el departamento de informtica del Hospital Carlos Andrade Marn. (Ver anexo 9 donde se encuentra un resumen del catastro integral). En este catastro constan todas las caractersticas tcnicas de los equipos informticos computadores, monitores, impresoras, terminales, inetstation, mquinas de escribir y sumadoras detallando nmeros de serie,
caractersticas tcnicas especificas de cada uno de ellos, y en el caso de los computadores el software autorizado por el departamento de informtica que se encuentra instalado en los distintos computadores. Los cuestionarios
fueron aplicados al personal del departamento de informtica para verificar que los controles pertinentes se estn llevando acabo.
58
4.1.5. Auditora de la seguridad La auditora de la seguridad fue realizada aplicando los cuestionarios al personal del departamento de informtica para determinar el grado de cumplimiento de los controles implementados en la construccin del centro de computo, piso elevado, aire acondicionado, instalaciones elctricas,
detectores de humo e identificar las falencias en las contingencias contra desastres, la seguridad fsica del departamento de informtica como son accesos y seguridad general. (VER ANEXO 10) 4.2. Interpretacin de la informacin Los procedimientos de auditora informtica utilizados se han clasificado en tres reas claramente definidas: Organizacin, Administracin del departamento de informtica, Administracin del Hardware, Software y Redes, Seguridades Lgicas y Fsicas. Las mismas que han permitido determinar cual es el estado actual de la situacin del departamento de informtica del Hospital Carlos Andrade Marn. Para poder determinar la situacin actual del departamento de informtica de una manera veraz y objetiva en la que este de desempea, el presente trabajo de auditora no solo se ha limitado a la aplicacin de los procedimientos como tal, sino que por el contrario se a centrado en dar a conocer que es lo que perciben los usuarios del departamento de informtica y del desarrollo y desempeo de las actividades realizadas dentro de sus funciones.
59
Con el objetivo de que la ejecucin de las pruebas de auditora se realice de una manera fiable y oportuna y en la base a los procedimientos diseados, los cuestionarios fueron elaborados tomando como pauta los establecidos en los libros de auditora informtica de ECHENIQUE, Jos Antonio, Auditora en Informtica, HERNNDEZ, Enrique, Auditora en Informtica. Que permitirn establecer los controles con que cuenta el departamento de informtica del Hospital Carlos Andrade Marn. Estos cuestionarios fueron dirigidos al personal que presta sus servicios en del departamento de informtica y permitir conocer el porcentaje de cumplimiento de cada control establecido.
60
administracin que facilite el cumplimiento de los objetivos del departamento de informtica, su correcta utilizacin y mantenimiento es primordial para el desempeo que brinda el departamento de informtica, Por este motivo se levant un catastro integral de todos los equipos del Hospital Carlos Andrade Marn donde constan todas las caractersticas de hardware y software para este cometido se empleo un formulario especial para tales efectos. (Ver Anexo 12) El departamento de informtica cuenta con procedimientos y controles para la administracin formal del hardware, lo que comprende: administracin, instalacin, operacin y seguridad del hardware y su mantenimiento El Hospital Carlos Andrade Marn cuenta con el siguiente nmero de
equipos: Servidor DHCP Servidor AS400 Computadores de Marca Clones Impresoras Terminales Mquinas Sumadoras 1 1 162 29 143 120 132 26
Todos los equipos del Hospital cuentan con nmero de registro para su ubicacin y control, este nmero es nico y comprende de siete dgitos, los
61
tres primeros corresponden al departamento donde se encuentran ubicados, los dos siguientes de acuerdo al equipo, por ejemplo en el caso de un computador seria CP, y los ltimos dos de acuerdo al nmero de computadores del departamento, as un equipo de informtica seria. INF-CP-01, de esta manera se lleva el control de todos los equipos descritos anteriormente. 4.3.3. Seguridades lgicas y fsicas Las seguridades tanto fsicas como lgicas son de carcter indispensable dentro del departamento de informtica, su correcto y oportuno cumplimiento debern asegurar un eficiente y correcto funcionamiento. Dentro de este anlisis se han clasificado en tres puntos bien diferenciados tomado en cuenta varios aspectos importantes en el control de seguridad que son: Seguridad Fsica, Lgica y de personal. (VER ANEXO 10) 4.3.4. Anlisis de resultados Para evaluar los controles que existen dentro del departamento de informtica, se hace necesario el anlisis y clasificacin de resultados de los datos obtenidos, la evaluacin de los controles es particular para cada institucin por lo que no existe un plan especifico en el cual se pueda basar el presente trabajo ya que cada caso tiene sus sutilezas y detalles nicos, el xito de la evaluacin estar en comparar el costo beneficio de cada uno de los controles y depender en gran medida de la experiencia y pericia del Auditor Informtico.
62
Para el presente anlisis de resultados se considerara importante determinar el estado en el que se encuentran los respectivos controles evaluados si es que lo mismos existen y funcionan, funcionan parcialmente o definitivamente no funcionan, para poder cuantificar la evaluacin de los controles disminuyendo la exigencia a lmites aceptables se considerar que los mismos cumplen con su objetivo si estn en el rango de 70%, esto se determinara en cada cuestionario de acuerdo al nmero de respuestas positivas, por ejemplo el numero total de preguntas de un cuestionario representara el 100% en caso de ser positivas de acuerdo a esto se realizar una ponderacin de las preguntas positivas para determinar el porcentaje de cada grupo de cuestionarios aplicados en el Hospital Carlos Andrade Marn esto quiere decir que los controles, normas y polticas existan estn en funcionamiento y sean del conocimiento del personal de informtica y dado el caso de los respectivos usuarios. Para una mejor visualizacin del cumplimiento actual de los controles establecidos por el departamento de informtica se ha elaborado un resumen grfico del anlisis de resultados obtenidos en las pruebas de auditora informtica que son detalladas a continuacin. 4.3.5. Organizacin Informtica Para obtener una adecuada organizacin y administracin del departamento de informtica debe estar sustentada en normas y polticas acordes a los objetivos planteados y a los resultados esperados por la alta gerencia del Hospital Carlos Andrade Marn y en cada una de las funciones que se y administracin del departamento de
63
realizan en el departamento de informtica, con el fin de dar cumplimiento a los objetivos planteados para el presente anlisis se a tomado en cuenta dos aspectos importantes dentro de la Organizacin y Administracin Departamento de Informtica.
Grfico 4 Organizacin y administracin del laboratorio
del
4.3.6. Organizacin del laboratorio y polticas de administracin del personal En base a los resultados obtenidos a travs de los cuestionarios aplicados y las entrevistas personales con el personal del Departamento de Informtica se puede determinar claramente que el departamento cumple con una buena Organizacin y Administracin ya que tanto sus objetivos a corto y largo plazo se encuentran bien definidos, existe una estructura Administrativa, Organizacional y funcional establecida que define en forma clara la distribucin de funciones y responsabilidades del personal del departamento
64
de Informtica, el problema radica en el tiempo necesario para realizar las verificaciones necesarias de los trabajos de las compaas privadas para su posterior facturacin, el personal es suficiente pero se necesita que ese personal no sea privado si no que pertenezca a la nmina del Hospital. Es necesario destacar que dentro del departamento existe una adecuada limpieza y aseo de cada uno de los cubculos de trabajo pero se aprecia un amontonamiento de papelera y partes y piezas de computacin por el
reducido espacio y los mltiples servicios que presta el Departamento de Informtica en especial en el cuarto de servidores. 4.3.7. Administracin de hardware y software El departamento de Informtica dispone de los suficientes recursos que le permiten brindar un adecuado servicio a los distintos usuarios del Hospital Carlos Andrade Marn y as tratar de alcanzar los objetivos planteados. Los recursos informticos son de suma importancia por lo que se debe prestar una adecuada administracin que facilite el cumplimiento de dichos objetivos, la correcta y oportuna utilizacin y mantenimiento se torna fundamental para el desempeo del Departamento de Informtica.
65
El resultado obtenido demuestra que existe una adecuada Administracin de los recursos Informticos con que cuenta el departamento de informtica ya que se cuenta con un catastro actualizado de las distintas caractersticas de los equipos y las respectivas aplicaciones instaladas con su versin y licencia en el caso de los sistemas operativos de los computadores IBM ya que el resto de los programas son instalaciones piratas que no cuentan con ningn tipo de soporte o garanta. En lo concerniente al mantenimiento peridico de los equipos se cuenta con un cronograma establecido el cual es llevado por una empresa privada pero no se cuenta con los informes necesarios para poder dar un seguimiento adecuado al cumplimiento de los trabajos realizados.
66
Existe un estudio preliminar para la adquisicin de nuevos equipos a travs de un comit de informtica demostrando la importancia que el
Departamento de Informtica brinda a estos aspectos. 4.3.8. Seguridad lgica y fsica Es imprescindible que un departamento informtico cuente con las adecuadas seguridades tanto lgicas como fsicas para un correcto y oportuno cumplimiento que aseguren un funcionamiento correcto, para el presente trabajo de Auditora se ha considerado importante que el control de la seguridad tome en cuenta tanto la seguridad Lgica, Fsica y la seguridad del personal. 4.3.9. Seguridades fsicas
Dentro del manejo de la seguridad fsica del Departamento de Informtica del Hospital Carlos Andrade Marn es muy importante una oportuna ejecucin que permita evitar algn tipo de contingencia desagradable. Para las seguridades fsicas se ha considerado los siguientes puntos referentes del departamento de informtica como son el control de acceso fsico, exposicin a fuego, dao por causa de agua, energa elctrica, y desastres naturales.
67
Por los resultados obtenidos se puede determinar claramente que si bien es cierto se cumplen ciertos controles de seguridad fsica hay muchos aspectos que se han dejado de lado o no se les da importancia, as es importante tomar en cuenta diversos aspectos de importancia dentro de la seguridad del departamento de informtica, como son la cantidad de acceso, exposicin al fuego, daos por problemas en el suministro de energa elctrica, para de esta manera conseguir un mayor control y brindar mayor seguridad a los usuarios. 4.3.10. Seguridades lgicas
En lo concerniente al servidor de base de datos AS400 se maneja un gran flujo de informacin de los afiliados al IESS que da a da se acercan a ser tratados en esta casa de salud, por lo que es de vital importancia realizar un peridico respaldo del servidor y de las transacciones efectuadas
68
diariamente. Siendo este el nico control directo por parte del departamento de informtica ya que los distintos departamentos se encargan ellos mismos de estos controles que dando fuera del alcance del departamento de informtica tanto de la integridad y precisin de los datos y aplicaciones instaladas.
Grfico 7 Seguridades lgicas
Como podemos observar este resultado permite apreciar la importancia del respaldo y control estricto de las transacciones efectuadas por el AS400 as como el cumplimiento de los controles existiendo un buen procedimiento de respaldo de la informacin y control de acceso de datos, pero una mala administracin de las cintas que contienen los backups ya que no son almacenadas de la manera adecuada.
69
El personal que trabaja dentro del departamento de informtica se convierte en el principal activo y recurso con que cuenta por lo que se le debe brindar la importancia y la relevancia adecuada para asegurarnos que se cumplan adecuadamente las distintas actividades que realizan, en esta seccin se ha tomado en cuenta efectuar un anlisis de la capacitacin y rotacin del personal y la adecuada motivacin del mismo.
Grfico 8 Seguridad del personal
De los resultados arrojados del anlisis se aprecia que a pesar que existen controles en esta rea, estos no son suficientes, pues considero que es importante implementar polticas de evaluacin y control de actividades y motivacin del personal, con el objetivo de que tanto el personal de planta como los privados se sientan a gusto con las actividades que llevan a cabo.
70
4.4. Informe de Auditora informtica La presente auditoria inici el 1 Julio del 2006 y el informe final se redact el 13 de Octubre del 2006. El equipo auditor esta conformado por: Ingeniera Raquel Catota, Directora de tesis. Auditor Jeffrey Naranjo, egresado de la Universidad Tecnolgica
Equinoccial. Ingeniera Lizbeth Vaca, Jefa del Departamento de Informtica del Hospital Carlos Andrade Marn. Ingeniero Lus Surez, Administrador de redes del Hospital Carlos Andrade Marn. Sr. Julio Herrera, Administrador AS400 del Hospital Carlos Andrade Marn. Personal de mantenimiento del Hospital Carlos Andrade Marn Usuarios del sistema, Doctores y residentes del Hospital Carlos Andrade Marn Los objetivos de la presente Auditora Informtica son: Evaluar el sistema de control interno y las seguridades implantadas en la unidad informtica. Asegurar una mayor integridad, confidencialidad, confiabilidad de la informacin mediante la recomendacin de las seguridades y controles
71
Conocer la situacin real de la infraestructura tecnolgica en el rea de informtica, las actividades y los esfuerzos necesarios para lograr las metas propuestas
Buscar salvaguardar los archivos relacionados de manera natural con el campo de accin de la informtica, para logar este objetivo, el auditor debe verificar la custodia del equipo, su adecuada utilizacin y evaluar los controles existentes para disminuir el riesgo durante el procesamiento de la informacin. De igual manera debe evaluar los controles manuales relacionados con el sistema de procesamiento de datos que compensen la falta de controles computacionales. 4.4.1. Organizacin
El departamento de informtica como tal no existe dentro del organigrama del Hospital Carlos Andrade Marn, (VER ANEXO 3), este no ha sido creado formalmente por las autoridades, El departamento de informtica esta bajo la administracin de la Gerencia de Hospitalizacin y Ambulatorio, pero no esta considerado como una subgerencia. El departamento de informtica debera existir al menos como unidad independiente o dentro de una Gerencia Informtica como sera lo ms recomendable. El departamento de Informtica existe y trabaja con personal propio del Hospital pero no cuenta con una estructura definida, al menos no en los papeles, solamente existe un comunicado u oficio dirigido al anterior
72
encargado y hoy a la ingeniera Lizbeth Vaca para que se haga cargo de la Administracin del mismo. Al ser el Hospital un ente pblico es dependiente del IESS por este motivo no existe una resolucin que cree al departamento de informtica como tal, ni las partidas de presupuesto para contratar nuevo personal capacitado y muy necesario debido al crecimiento que a sufrido en estos ltimos aos, por lo que se ha visto en la necesidad se subcontratar servicios lo que genera demoras en los controles necesarios para verificar el cumplimiento de los trabajos para su posterior facturacin. Todo el proceso de formacin del departamento de informtica se realiz de la mejor manera pero hasta cierto punto de forma emprica y solamente con buenas intenciones, por lo que se omiti un gran nmero de controles, normas y polticas que debieron ser tomadas en cuenta, pero se omitieron por falta de un conocimiento tcnico, especializado tanto en informtica como en telecomunicaciones para Gerenciar un Departamento Informtico acorde a un Hospital de Tercer nivel. Esto llevo a que las empresas que fueron contratadas anteriormente simplemente lucren del Hospital y no realicen un trabajo profesional como debera a ver sido el caso, llevando al Hospital a sufrir grandes inconvenientes al adquirir nueva tecnologa as como al momento de darle mantenimiento y actualizacin. Otro problema dentro de este esquema que ha sido definido para el Departamento de Informtica radica en que el puesto de la persona encargada de organizar el Departamento es de fcil remocin, esto lo
73
podemos apreciar al momento de ocurrir un cambio de gerencia del Hospital Carlos Andrade Marn, el nuevo Gerente que sera un Doctor como es Lgico puede realizar varios cambios en la estructura orgnica del Hospital. Esto conlleva a que no exista un trabajo continuo y planificado. En la actualidad el departamento de Informtica esta bajo la Administracin de la Ingeniera Lizbeth Vaca quien a implementado varias normas y
polticas para el Departamento para ir corrigiendo un sin nmero de problemas ocasionados por la falta de estos mismos, en este tiempo se han planteado y desarrollado varios proyectos de mejora, y existen otros tantos por implementarse como la creacin de una red inalmbrica, sustitucin de los terminales As400 por nuevos computadores, adecuacin del cuarto de servidores y seguridad, entre otros. Aunque estas dificultades no impiden el desenvolvimiento normal de las actividades, si crea dificultades al momento de la toma de decisiones ya que como lo habamos acotado anteriormente este departamento depende de la Gerencia de Hospitalizacin y Ambulatorio, que no es precisamente un departamento Tcnico el cual pueda apoyar de manera adecuada y oportuna el normal funcionamiento y la correcta planificacin de los proyectos que debera implementar para poder brindar el servicio que necesita el Hospital Carlos Andrade Marn para ejecutar de manera correcta y oportuna la atencin a los afiliados al IESS y a sus propios usuarios tanto mdicos como Administrativos. Esta dependencia genera lentitud y falta de una implementacin adecuada de normas y controles, fallas que en este momento se estn tratando de
74
subsanar pero como podremos ver a lo largo de este informe son varias y en muchos casos se debe empezar desde cero ya que muchas de estas normas y controles se han implementado de una manera incorrecta o simplemente no existen. Como podemos ver en el resumen del punto 3.5.3. de las actividades y responsabilidades asignadas a cada uno de Los miembros del
Departamento de Informtica podemos observar con claridad la serie de pasos y procedimientos que sobre cargan de trabajo al escaso personal del Departamento de Informtica, as como la repeticin de trabajos asignados al mismo. Esto conlleva a que las solicitudes de servicio por parte de los usuarios no se realicen con la rapidez ni calidad necesaria, recordemos que estamos tratando con un Hospital de Tercer Nivel el cual no puede esperar ni perder mucho tiempo en una serie de controles y verificaciones para realizar un trabajo que debera ser propio del Departamento de Informtica y no Subcontratado ya que una empresa privada cualquiera que esta sea y con labor distinta dentro del Hospital a la final buscar un beneficio econmico para solventar sus gastos y obtener una ganancia que le permita seguir realizando sus operaciones como empresa. Por eso creemos que es necesaria una reestructuracin por parte del Departamento de Informtica ya que los efectos a corto plazo seran: Aumento en los costos de operacin, disminucin en la calidad de los servicios prestados por parte de empresas privadas que brinden su servicio de manera permanente al Hospital ya que su razn social primordial es
75
obtener un beneficio econmico, por lo cual no les es conveniente resolver los problemas de fondo que afecten al Hospital porque a la larga de ellos subsisten mes a mes. Equipos perennemente en mantenimiento, sobrecarga de trabajo y asignaciones para el personal del Departamento de Informtica, falta de controles y normas para los distintos procedimientos a cargo del Departamento de Informtica, desgaste en el personal y estrs derivado por el exceso control y verificacin de los trabajos realizados ya que no se puede verificar de manera vers el cumplimiento de las responsabilidades de mantenimiento y todos sus procesos, Teniendo el personal que realizar estas verificaciones de manera personal, trasladndose fsicamente al lugar (en la mayora de los casos remoto dentro del Hospital) o telefnica, confiando en el usuario, que en la mayora de los casos no posee o desconoce del tema para evaluar un procedimiento tcnico, y simplemente se limita a verificar que el personal de mantenimiento se acerc a realizar un trabajo. 4.4.2. R.R.H.H. El Departamento de Informtica del Hospital Carlos Andrade Marn cuenta con tres personas encargadas de las funciones del departamento las cuales se pueden clasificar en: Administracin del servidor AS400 Administracin de la Red Lan del hospital Administracin de la Red Twinaxial
76
Departamento de Informtica, se tienen bien definidas las funciones y los cargos dentro de la unidad, pero esto no se lleva en la prctica ya que como podemos observar en las visitas y las encuestas realizadas al personal se pudo verificar que la tarea de Administracin del servidor AS400, recae sobre las tres personas del departamento estando nicamente la ingeniera Lizbeth Vaca habilitada para la toma de decisiones. El resto como son, spool de impresin, mensajes, creacin de usuarios y contraseas, ingreso de registros, consultas, etc. Pueden ser realizadas por la Ingeniera Lizbeth Vaca, Ingeniero Lus Surez o el Sr. Julio Herrera. El nmero de requerimientos por parte de los usuarios del sistemas AS400 es muy elevado tanto que el personal asignado no se da abasto, repercutiendo esto que se descuide otras labores inherentes a sus respectivas asignaciones dentro del departamento, Sumado esto a que tanto el Ingeniero Lus Surez y el Sr. Julio Herrera tambin realizan labores de soporte a usuario, mantenimientos de computadores, instalaciones de computadores, mantenimiento y ampliacin
77
de puntos de red, verificacin de los trabajos realizados por las compaas privadas, entre otros. Finalizado el anlisis de las pruebas obtenidas y evaluando los diferentes problemas a corto y largo plazo, se recomienda lo siguiente en lo referente al Recurso Humano del departamento de informtica. Es de suma importancia para el Hospital Carlos Andrade Marn dejar de depender de empresas privadas para realizar el trabajo que debera ser competencia del Departamento de Informtica, ya que esto representa un gasto excesivo e innecesario que podra ser realizado por personal propio, reflejndose esto en ahorro de dinero y en especial de tiempo al eliminar los controles de cumplimiento y veracidad de los trabajos para su
correspondiente pago, los usuarios podrn ser atendidos con mayor prontitud y sin tantos pasos y controles, aumento en la calidad del servicio, disminucin de mantenimientos correctivos y mejor imagen del
departamento ante los usuarios. 4.4.3. Mantenimiento de equipos de cmputo y redes El Hospital Carlos Andrade Marn cuenta con una compaa privada encargada de realizar los mantenimientos preventivos, correctivos de hardware, software y red de telecomunicaciones, cuyo contrato de prestacin de servicios es el 11100111001-C-081-UJ-2005-HCAM, (VER ANEXO 15). Existe un proceso de atencin a los usuarios para realizar los mantenimientos y soportes a usuario, el cual se implemento para realizar el seguimiento de los trabajos de la compaa contratada, este consta de una
78
serie de pasos para la verificacin de la existencia del requerimiento, su autorizacin y su posterior verificacin de cumplimiento del trabajo realizado (VER ANEXO 16), Una vez verificado la existencia del requerimiento de forma telefnica o presencial por parte del personal del departamento de informtica se emite una orden de trabajo que debe estar autorizada por la Ingeniera Lizbeth Vaca. (VER ANEXO 17), una vez realizado el trabajo se llena un informe tcnico detallando el trabajo realizado para su posterior facturacin, este informe es entregado todos los das (VER ANEXO 23). La compaa contratada se ocupa de realizar los mantenimientos tanto correctivos y preventivos de los equipos de computo, terminales, impresoras, mquinas, sumadoras, puntos de red en general y la Co administracin o soporte a usuarios, para lo cual cuenta con un manual de procedimiento de atencin de requerimientos tcnicos. (VER ANEXO 5). Una vez realizado el mantenimiento tanto preventivo como correctivo de los equipos de computo como para las impresoras y mquinas se debe realizar un control de calidad para lo cual existe un formulario de control pero el mismo no es usado, (VER ANEXO 18) simplemente se constata superficialmente el funcionamiento de los equipos y se precede a su devolucin sus respectivos usuarios, lo que a generado problemas y quejas por parte de los usuarios al fallar los equipos o dejar de funcionar, teniendo los mismos que regresar al departamento tcnico para ser revisados nuevamente generando prdida de tiempo y de recursos del hospital.
79
Hasta Abril del 2006 los mantenimientos tanto preventivos como correctivos eran realizados segn la necesidad de los mismos, o bajo requerimiento de los usuarios, a partir de esta fecha se implemento un plan detallado de mantenimientos basado en el catastro integral (VER ANEXOS 19), pero no incluyendo a los equipos que ya haban sido revisados con anterioridad. Este plan no considero los puntos de red y a los Racks que sern revisados segn sean requeridos por los usuarios de los mismos. No existe una poltica que garantice la continuidad de las operaciones cuando un equipo entra en mantenimiento correctivo, que en promedio permanece un da completo o ms en el laboratorio de mantenimiento de Silvernet, los mantenimientos preventivos se lo puede realizar en el lugar del usuario o en el laboratorio de Silvernet dependiendo del caso pero en promedio permanecen inactivos un medio da. Al realizar un estudio de los registros de informes entregados al departamento de informtica, en los cuales se detalla el tipo de mantenimiento realizado, fecha, departamento, entre otros datos, se encontr lo siguiente: En las fechas entre enero y abril se han realizado un total de 374 mantenimientos de los cuales 249 fueron correctivos y 125 preventivos, como vemos ms de la mitad de los mantenimientos fueron correctivos. Como vemos en la grfica 1, la tendencia de los mantenimientos correctivos debera disminuir en el tiempo, ya que al realizar un buen trabajo en lo que respecta a los mantenimientos preventivos no se debera de necesitar de correctivos, pero vemos que ocurre lo contrario.
80
computadores 80 70 60 50 40 30 20 10 0 noviembre septiembre septiembre noviembre marzo mayo marzo mayo enero enero julio julio
mantenimientos
computadores
Ao 2006
Tiempo
De los soporte a usuario entre los meses de marzo a mayo tenemos 127 soportes, lo que dara un promedio de 1.4 soportes diarios dados a los usuarios del departamento de informtica. No existe ningn tipo de informe que indique al departamento de informtica que equipos permanecen constantemente en mantenimiento, la frecuencia de los mismos, o algo que pueda ser til para tomar las medidas
adecuadas. 4.4.4. Sistemas El desarrollo de nuevos mdulos para el servidor de base de datos AS400 esta a cargo de la empresa Snarb, los cuales mantienen a una o dos personas en los laboratorios del Hospital Carlos Andrade Marn,
desarrollando y probando la ampliacin de los mdulos de la base de datos AS400 con que cuenta la institucin,
81
De la auditoria realizada al desarrollo de sistemas del Hospital, se desprende que no existe la documentacin mnima necesaria, todo el trabajo realizado por los programadores se mantiene en los respectivos computadores utilizados para el desarrollo dentro del departamento de informtica y no existen respaldos en caso de perdida de informacin causado por algn tipo de dao de los equipos o desastre natural, no existe ningn tipo de metodologa necesaria para el desarrollo, de igual manera ningn trabajo anterior a sido documentado de manera adecuada ni siguiendo un ciclo de vida de desarrollo de sistemas, la documentacin que podemos encontrar del desarrollo del mdulo de facturacin que se esta implementado es muy escaso (VER ANEXO 20), podemos encontrar de manera muy simple la arquitectura del sistema, estructura de datos, estructura de tablas, modelos de datos entidad relacin, listado de programas RPG del modulo de facturacin todos estos datos fueron recuperados realizando una consulta en el servidor de AS400 a dems de un manual de datos bastante detallado para el manejo del mdulo de facturacin. 4.4.5. Redes locales A pesar de que el Hospital Carlos Andrade Marn cuenta con una red de 900 puntos de datos, alrededor de 300 puntos de voz y unos 200 puntos twinaxiales (VER ANEXO 21), no se cuenta con una Administracin de redes formal, lo ms cercano con que cuentan es el control del servidor de DHCP (Dynamic Host Configuration Protocol) el cual asigna las direcciones IP a los distintos computadores pero aun la administracin de este servidor es bastante limitada y no cuenta con la Administracin y configuracin
82
adecuada para la cual fue diseada, no existe ninguna poltica de seguridad, ni control de virus en la red. Es preocupante ver que la Administracin de redes del Hospital Carlos Andrade Marn se limita nicamente a brindarle el mantenimiento y la ampliacin de sus puntos de red segn sea necesario. En lo referente a seguridad toda la informacin del rea administrativa esta expuesta a sufrir cualquier tipo de ataque por personas ajenas o incluso del mismo Hospital, no existe ninguna clase de poltica en cuanto a usuarios o claves de acceso a los computadores o a la red y casi todos los computadores tienen la mayora de archivos compartidos los mismos que pueden ser borrados, alterados o copiados sin que exista ningn control al respecto. En lo que respecta al servidor AS400 este si cuenta con las seguridades adecuadas para realizar una verificacin de las transacciones efectuadas esto quiere decir que se controlara: El nmero de ingresos errneos antes de bloquearse. Se lleva un registro detallado de todas las transacciones dentro del AS400 el cual incluye, Terminal, usuario, hora, fecha, los cambios realizados a la base de datos. Respaldo de la base de datos ntegra, la cual se realiza todos los das Las terminales no cuentan con claves de acceso pero se han creado usuarios con sus respectivas claves de acceso.
83
Tipo de usuario, los cuales se les puede dar acceso a partes especificas de las funciones del AS400 A cargo de la ampliacin de la red del Hospital se encuentra una empresa bajo contrato nmero, 111011101-C-090-UJ-HCAM-2005 para la instalacin de 293 puntos de red de datos, 293 puntos de voz los cuales estarn
certificados bajo las normas actuales. (VER ANEXO 22) 4.4.6. Equipos de cmputo 4.4.6.1. Hardware En lo concerniente al Hardware el mismo esta a cargo de al compaa Silvernet la que esta a cargo de la instalacin y configuracin de nuevos equipos su mantenimiento tanto preventivo como correctivo, llevar un registro detallado de todos los equipos entregados por medio de un formulario para la constatacin de la entrega recepcin de los equipos, (VER ANEXO 23). La seguridad de los equipos esta a cargo de los puestos de control policial, pero es muy fcil el poder extraer equipos del Hospital sin una autorizacin. No existen parmetros de referencia para verificar el desempeo de los equipos de cmputo, existen varios equipos obsoletos que ya no brindan el trabajo adecuado para las necesidades del hospital y sus usuarios, los mismos que deberan ser dados de baja. 4.4.6.2. Software En lo concerniente a la administracin del software de los equipos de cmputo solamente se limita al control de los programas instalados por la
84
compaa contratada para realizar los mantenimientos, existe una lista de programas autorizados para ser instalados en todos los computadores, pero no existe ningn tipo de licencia para ninguno de ellos, en su totalidad se trata de copias piratas, inclusive en los computadores de marca como los IBM y Compaq que poseen licencias del sistema operativo se instala copias pirata cuando entran a un mantenimiento correctivo. 4.4.7. Auditora de la seguridad 4.4.7.1 Seguridad fsica 4.4.7.1.1. Control de acceso fsico El Hospital Carlos Andrade Marn cuenta con vigilancia policial las veinte y cuatro horas del da y se encargan de cuidar los dos accesos principales al hospital as como varios puntos de acceso internos, Como podemos ver en la planta esquemtica (ver grafico 7), existe un acceso de vigilancia y control policial que da al acceso del departamento de informtica este punto de control se encarga mayoritariamente de controlar el ingreso de las personas que vistan el hospital, existen horas del da en el que el acceso esta restringido a todas las visitas pero es posible encontrar entradas alternas evitando as la vigilancia policial.
85
86
Ningn personal del hospital cuenta con algn tipo de identificacin que le permita el ingreso al mismo y el control policial se limita a permitir el acceso a las personas que estn vestidas como mdicos, en las visitas al hospital se pudo constatar personalmente que cualquier persona puede acceder al mismo aun sin identificarse o estar vestido de manera apropiada, incluso es posible acceder sin ser registrado, simplemente uno pasa haciendo caso omiso del polica cuando este le pida identificacin o pasar junto a grupo de mdicos, entonces uno acceda sin ser registrado. De igual manera el ingreso al departamento de informtica no esta restringido, esto es debido a que cuando ocurre algn tipo de problema con los asegurados en lo referente a sus registros que se guardan en el servidor AS400 son remitidos al departamento de informtica para que se les brinde una solucin, de igual manera los mdicos e internos del hospital envan las impresiones a una impresora ubicada en el departamento de informtica, como podemos ver esta es un rea de alto transito y que no consta con ningn tipo de control de acceso. En lo referente al cuarto de servidores, como podemos ver en la planta esquemtica el acceso esta directamente continua a la entrada principal por lo que es altamente susceptible a ingresos no autorizados, ya que no cuenta con ningn tipo de seguridad y la puerta de ingreso permanece siempre abierta. Como podemos ver el riesgo de robos, o de algn tipo de ataque al departamento de informtica es muy elevado por la falta total de control en el
87
acceso y la alta incurrencia de personal y personas ajenas al mismo que en manera permanente se encuentran dentro del departamento de informtica. En lo referente a algn atentado externo, el departamento de informtica se encuentra ubicado en la parte interna del Hospital y ninguna de sus instalaciones da al exterior por lo cual no estara propenso a sufrir daos por algn tipo de atentado, o al producirse algn tipo de manifestacin pblica que pudiera causar daos a los equipos de cmputo. 4.4.7.1.2. Ubicacin y construccin del centro de cmputo El departamento de informtica se encuentra ubicado al interior del hospital y, no cuenta con ningn acceso que de a los exteriores del hospital, el problema ms importante de su ubicacin es el alto trafico de personas que ingresan sin ningn tipo de control, como podemos observar en la imagen 1, el espacio fsico es muy pequeo por lo que debido a la presencia de un elevado nmero de personas ajenas al departamento y los propios mdicos que necesitan ayuda con sus cuentas en el servidor AS400, interfieren con la eficiencia del trabajo realizado y disminuyendo la seguridad. Las paredes del departamento de informtica no se encuentran selladas por lo que despiden polvo que afecta a los equipos y personal, tambin existe una gran cantidad de elementos altamente inflamables acumulados en el cuarto del servidor, el departamento no cuenta con un rea de recepcin.
88
4.4.7.1.3. Piso elevado o cmara plena El departamento de informtica no cuenta con un piso elevado o cmara plena y el tipo de equipos no necesita este tipo de instalacin, pero como podemos observar en la (Grfico 8 y 9) la gran cantidad de cables que cruzan por el suelo hace necesaria la construccin de este tipo de infraestructura. Para poder proteger y organizar de manera adecuada el tendido del cableado del sistema, y seria la manera ms ideal de llevar el aire acondicionado hacia los equipos que lo necesitan.
Grfico 11 Servidor AS400 parte posterior
4.4.7.1.4. Aire acondicionado El departamento de informtica no cuenta con un sistema de aire acondicionado, en el cuarto del servidor AS400 solamente existe un ventilador que se prende cuando se eleva la temperatura. Fotografa 2
89
4.4.7.1.5. Temperatura y humedad La temperatura as como la humedad del departamento de informtica y del cuarto de servidores no son controladas de ninguna manera, existe dos ventanales por donde ingresa el sol por las maanas, sumado esto al calor generado por los equipos a ciertas horas del da la temperatura sube pudiendo ocasionar que se condense agua en los elementos de los equipos de computo. 4.4.7.1.6. Exposicin a fuego El Hospital Carlos Andrade Marn cuenta con un sistema de deteccin de humo e irrigacin de agua en caso de producirse un incendio como el que podemos ver en la (Grfico 10)
90
Este sistema de deteccin y aspersin contra incendios se encuentra obsoleto por lo que esta en desuso ya hace algunos aos, en la entrevista realizada al personal de mantenimiento del Hospital Carlos Andrade Marn se conoci que el mismo funciona pero necesita mantenimiento pero no existen las respectivas autorizaciones para efectuarlo. De igual manera se cuenta con dos extintores manuales de polvo qumico para ser utilizados en caso de incendio, estos extintores no han sido recargados desde el 2005 fecha en la cual venci su utilidad, el personal no cuenta con la capacitacin necesaria para utilizar estos dispositivos en caso de producirse un flagelo dentro de las instalaciones del departamento de informtica. Como podemos ver en la (Grfico 11) Dentro del cuarto de servidores existe una acumulacin de manuales y libros los cuales se encuentran
91
proporciones importantes que pondra en riesgo todos los equipos dentro del cuarto de servidores, este punto lo trataremos en el inciso de energa elctrica.
4.4.7.1.7. Dao por causa de agua En lo referente a daos causados por algn tipo de inundacin dentro del departamento de informtica encontramos que las posibilidades son muy bajas, la ubicacin dentro del edificio no permitira la acumulacin de liquido en las oficinas ni en el cuarto de servidores, como observamos en la (Grfico 15) el departamento de informtica esta ubicado en el primer piso pero existen dos plantas en el subsuelo del hospital por lo que una inundacin es prcticamente imposible.
92
Como observamos en la parte de exposicin a fuego los aspersores de agua se encuentran daados por lo un dao de los equipos debido a esta causa esta tambin eliminada, adems el cuarto de servidores no cuenta con este sistema contra incendios. En caso de suscitarse un dao en las instalaciones sanitarias ubicadas en las instalaciones sanitarias dentro del departamento de informtica se pudo observar que las caeras de desage serian suficientes para evacuar el agua en caso de presentarse este hecho. 4.4.7.1.8. Instalacin elctrica y suministro de energa elctrica Las instalaciones elctricas del Hospital Carlos Andrade Marn y en especial dentro del departamento de informtica se encuentran en muy malas condiciones, en las entrevistas con el personal de mantenimiento se constato que existen acometidas a tierra, pero al verificar los valores en los respectivos puntos estos no daban los valores necesarios para que la acometida a tierra funcione, por lo que la misma prcticamente no existe. En general el cableado elctrico se encuentra en psimas condiciones como podemos ver en la (Grfico 12) no existe el mantenimiento adecuado para las mismas.
93
Las acometidas para el suministro elctrico del servidor AS400 y el UPS son las nicas que cuentan con protecciones y hasta cierta forma se les ha dado un tratamiento adecuado aunque no cumplen con las normas establecidas para tales efectos, y las tomas del servidor AS400 no cuentan con ningn tipo de proteccin como se aprecia en la (Grfico 13 y 14)
Grfico 16 Conexiones elctricas UPS
94
Grfico 17 UPS
El UPS con que cuenta el departamento de informtica solamente abstese a los servidores AS400 y DHCP, tiene una autonoma de 5 horas una vez que ha ocurrido algn corto de energa, adems de esto el Hospital cuenta con una planta generadora que abstese al cuarto de servidores segundos despus de suscitarse un corte de energa elctrica 4.4.7.1.9. Desastres naturales Topogrficamente el Hospital Carlos Andrade Marn, este se encuentra emplazado en un sector propenso a deslaves originados en las faldas del Pichincha provocados en gran medida en temporada de invierno y otros factores que podran presentarse, Gracias al diseo con el cual fue construido y la existencia de un parqueadero en la parte superior as como la ubicacin de la avenida 18 de septiembre minimizan esta posibilidad en un gran porcentaje.
95
Por estas mismas razones una posible inundacin tambin estara descarta, si observamos la (Grfico 15) existen dos niveles en el subsuelo del
Hospital las cuales absorberan el agua evacundola hacia la avenida Amrica por la inclinacin del terreno en el cual esta edificado el Hospital Carlos Andrade Marn.
Dentro de los desastres naturales que se presentan con regularidad el la ciudad de Quito son los temblores y terremotos, por tales efectos se
consult a un Arquitecto para que evaluara los planos estructurales del Hospital Carlos Andrade Marn, quien al revisarlos, constato que su
96
estructura fue calculada para soportar este tipo de eventualidades en caso de presentarse. 4.4.7.2. Seguridad Lgica
Uno de los puntos ms importantes a considerar es la seguridad lgica por lo que se verifico los controles y polticas de las rutas de acceso, claves de acceso, software de acceso y encriptamiento, los controles implantados para minimizar estos riesgos deben considerar los siguientes factores. Los riesgos, consecuencias y probabilidades, de que usuarios no autorizados accedan y utilicen la informacin y las consecuencias para el Hospital en caso de que esto ocurra. El valor de los datos que se mantienen en el servidor AS400, en los diferentes microcomputadores del rea administrativa. 4.4.7.2.1. Rutas de acceso En lo concerniente al servidor AS400 este dispone de los niveles apropiados de seguridad en las operaciones y transacciones efectuadas, para esto se han definido tipos de usuarios de los cuales tenemos: Propietario Administrador Usuario principal Usuario de explotacin Los tipos de restricciones de acceso son:
97
Solo lectura Solo consulta Lectura y consulta Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.
Se tiene un control detallado del Terminal que accesa al servidor registrndose: Nmero de Terminal, usuario, fecha y hora, transacciones efectuadas. En lo concerniente a la red de microcomputadores casi no existe polticas en lo referente a seguridad lgica, esta se limita a crear usuarios de los que tenemos: Administrador y un usuario con cuenta limitada, Toda la informacin en su gran mayora se encuentra compartida en la red y no existe ningn control de la misma, recordemos que esta informacin pertenece al rea administrativa por lo que la misma es muy sensible y propensa a sufrir cualquier tipo de ataque tanto interna o externa por parte de Hakers, ya que otro gran problema es la presencia de un gran nmero de virus. 4.4.7.2.2. Claves de acceso Todos y cada uno de los usuarios del servidor AS400 poseen una clave de acceso sin la misma es prcticamente imposible violentar la seguridad del servidor AS400, tambin cuenta con un nmero limitado de ingresos errneos y cualquier actividad en sus terminales queda registrada al detalle pudiendo dar seguimiento a estos hechos.
98
El lo referente a los microcomputadores estos tienen una clave de acceso en el usuario administrador, que es el nico que posee clave, estando completamente prohibido usuarios. De igual manera la red no cuenta con ningn tipo de clave de acceso ni ningn tipo de control o seguimiento. 4.4.7.2.3. Software de control de acceso No existe ningn tipo de software de control de acceso a la informacin, que grave o investigue los eventos realizados y los accesos a los recursos, por medio de identificacin de usuario. Solamente el Servidor AS400 realiza este tipo de controles pero es un modulo propio del servidor. 4.4.7.2.4. Respaldos Se realiza peridicamente el respaldo de la base de datos del servidor AS400 en medio magnticos, para lo que se utiliza cintas IMATION MLRI26GB, el respaldo total de la base se realiza todos los das, pero no se cuenta con una caja de seguridad para almacenar dichos respaldos 4.4.7.3. Seguridad del personal La lealtad, integridad y estabilidad del personal es de gran importancia para toda Institucin por lo que se debe tener en cuenta en gran medida su estado psicolgico, medico y antecedentes de trabajo ya que el tipo de trabajo que desempean en el departamento de informtica esta sometido a crear usuarios y/o crear claves para esos
99
un gran estrs por lo que es muy importante conocer su actitud y comportamiento. En las entrevistas y cuestionarios aplicados al personal se determino lo siguiente, existe una poltica adecuada de vacaciones, pero debido al reducido nmero de empleados del departamento de informtica es imposible la rotacin del mismo. Existe sobre carga de actividades, el nmero de requerimientos por parte de los usuarios del departamento de informtica es muy elevado y en ciertas horas del da los empleados no se dan abasto para atender todos estos requerimientos. Existe una poltica adecuada de incentivos as como de cursos y capacitaciones para el personal por lo que el mismo se encuentra capacitado y motivado de manera adecuada. No existe ningn tipo de control de seguridad en caso de existir personal mal intencionado y que decida cometer algn tipo de fraude o dao al departamento de informtica se lo podra realizar de manera annima tornndose imposible detectar al personal que cometiera algn tipo de fraude o dao alguno, Al no existir rotacin del personal, no se puede determinar cual es indispensable y quienes no.
100
4.5. Recomendaciones para solucionar los problemas encontrados en el departamento de informtica del Hospital Carlos Andrade Marn. 4.5.1. Organizacin Una vez analizados los diferentes problemas a corto y largo plazo, se recomienda lo siguiente en lo referente a la organizacin del Departamento de Informtica. Incluir al Departamento de Informtica como un ente independiente debajo de la Gerencia General del Hospital Carlos Andrade Marn con un esquema definido y puestos fijos en los distintos cargos para poder llevar a cabo un trabajo continuo y planificado a largo plazo en conjunto con el Departamento de modernizacin del IEES para definir y estandarizar normas y controles de acuerdo a lo planificado en el plan de modernizacin del IESS. Si esto no es posible al menos crear al Departamento de Informtica como una Subgerencia independiente de los otros estamentos del Hospital o al menos bajo una gerencia ms acorde a su propsito como sera la Gerencia de Investigacin y Docencia. Ms si observamos los inconvenientes a largo plazo esto no sera lo ms adecuado al mantener el mismo esquema dejando la gerencia a Departamentos especializados en medicina y no calificados en el rea Tcnica tanto de Informtica como de Telecomunicaciones, se seguirn arrastrando los mismos problemas e inconvenientes anteriormente descritos. A continuacin proponemos un organigrama para el departamento de informtica incluyendo al personal necesario para desarrollar su funcin
101
ADMINISTRADOR AS400
DESARROLLADOR
Pgina 1
102
4.5.2. R.R.H.H. Por lo que se recomienda contratar personal calificado para llevar a cabo
las labores que se subcontratan para evitar la sobrecarga de trabajo en el personal del Departamento de Informtica, dar una solucin ms eficaz y duradera a largo plazo en los mantenimientos y soporte al usuario, ahorrando en tiempo, dinero y recurso humano al simplificar los procedimientos que se llevan a cabo para tales motivos, para esto se propone la siguiente reestructuracin para completar el personal del Departamento de Informtica el cual sera el idneo para el nmero de requerimientos generados diariamente por los usuarios del sistema. Contratar tres o cuatro personas de las cuales, dos ingenieros estaran destinados a los mantenimientos de los equipos de cmputo y terminales AS400, as como de brindar el soporte a los usuarios cuando este sea necesario, Un ingeniero para el rea de redes que estara a cargo de dar mantenimiento a los distintos puntos de voz y datos, as como a la red twinaxial y soporte a usuarios en lo referente a la red. El cuarto ingeniero se encargara del desarrollo de las aplicaciones necesarias, tanto para complementar los mdulos existentes del AS400, crear nuevos mdulos segn sea el caso y la necesidad, as como aplicaciones para el rea Administrativa bajo un entorno Windows. Se debe realizar un estudio detallado de las necesidades puntuales en casa caso para poder determinar el perfil de los candidatos a ocupar estos puestos ya que el entorno de trabajo del Hospital Carlos Andrade Marn es
103
muy especial, como en el caso de la red del hospital la persona encargada no solo debe saber de cableado estructurado si no tambin de cableado twinaxial ya que la incidencia de daos en los puntos de estas dos redes es muy elevado. 4.5.3. Mantenimiento de equipos y red
Por lo que se recomienda que se estudie e implemente un proyecto para dotar al departamento de informtica de personal propio que realice estas funciones. Implementar polticas y procedimientos formales para realizar los mantenimientos de hardware, software, sistemas de informacin y red de telecomunicaciones. Garantizar la continuidad de las operaciones realizadas por los usuarios, en especial en reas crticas del Hospital. Asegurar que los mantenimientos sean preventivos ms que correctivos. Informar de forma adecuada los calendarios de mantenimientos. Asignar funciones formalmente para las tareas de: formulacin y documentacin de acciones de mantenimiento correctivo, difusin de las acciones correctivas a las reas afectadas por este proceso. Siendo los beneficios a corto plazo los siguientes, disminucin en los costos operativos para la realizacin de los mantenimientos y soporte a usuario. Menor tiempo de verificacin de requerimientos para realizar el
mantenimiento, disminucin de carga de trabajo al ya no ser necesaria la verificacin de los trabajos para la respectiva facturacin,
104
4.5.4. Sistemas Se recomienda para el desarrollo implantar alguno de los mtodos existentes para el desarrollo de sistemas, se podra seguir el ciclo de vida clsico, mtodo de desarrollo por anlisis estructurado, mtodo de prototipo de sistemas, cualquiera que sea el mtodo elegido se deben implantar controles adecuados para realizar un seguimiento exhaustivo del desarrollo, documentar todo el proceso en sus diferentes etapas de manera detallada.
4.5.5. Redes locales Se recomienda de manera urgente planificar un proyecto para poder realizar una administracin de redes real para el Hospital Carlos Andrade Marn, este debera incluir la adquisicin de un Firewall para controlar virus y otras amenazas de seguridad, controlar y limitar el acceso a Internet. Adquirir un antivirus empresarial, realizar una limpieza de todos los equipos de cmputo ya que los mismos se encuentran llenos de todo tipo de virus. Formatear y configurar de manera adecuada al servidor de DHCP. 4.5.6. Equipos de cmputo Se recomienda la adquisicin de nuevos equipos de cmputo para remplazar los equipos que se encuentran obsoletos y darlos de baja, implementar un proyecto de actualizacin de equipos para mantenerlos acorde a la labor que desempean, establecer polticas conjuntas con los puestos de guardia
policial para el ingreso y salida de equipos no autorizados del Hospital. Implementar un control adecuado para evitar el robo de equipos
105
identificndolos de manera ms visible, y colocndoles un cdigo que no pueda ser alterado o arrancado. Implementar un proyecto para adquirir programas con su debida licencia, se podra intentar un acercamiento con las empresas como Microsoft para adquirir licencias con algn tipo de ayuda. Optar por software libre, para remplazar el software pirata del que no se dispone de licencias, existen muchos productos en el mercado con mejores caractersticas y que son gratuitos como openoffice, antivirus gratuitos como free avg, procesadores de texto y hoja de clculo como 602Pro, entre otros que pueden ser descargados desde Internet. 4.5.7. Seguridad 4.5.7.1. Seguridad fsica Implementar un proyecto para la identificacin de todo el personal del Hospital Carlos Andrade Marn, dotndolos de identificaciones adecuadas para poder de este modo controlar el ingreso y salida del personal que trabaja en el Hospital, esto ser realizado por la Polica Nacional quien esta encargada de los controles de acceso en los diferentes ingresos al Hospital. Dotar al departamento de informtica de puertas de seguridad apropiadas. Limitar el acceso de personas a las instalaciones del departamento de informtica, esto se podra lograr implementando una ventanilla de atencin donde los pacientes puedan resolver los problemas con sus registros y los mdicos puedan retirar los trabajos de impresin que mandan hacia este
106
departamento, permitiendo nicamente la entrada al personal mdico que necesita algn tipo de ayuda con sus usuarios del AS400. Dotar al cuarto de servidores de un piso elevado o cmara plena Dotar al cuarto de servidores de aire acondicionado para el control adecuado de la temperatura y humedad del mismo. Adquirir extintores adecuados para su uso dentro de un centro de cmputo, establecer polticas adecuadas para su mantenimiento y capacitacin de el personal en su uso, realizando simulacros cuando est por caducar la vida til de los extintores y necesiten de recarga. Cambiar y volver a habilitar los sensores de humo instalando las alarmas sonoras necesarias para advertir al personal del Hospital en caso de producirse un incendio dentro de las instalaciones y anular definitivamente los aspersores de agua para evitar daos en los equipos de computo. Pedir al personal de mantenimiento del Hospital que se haga cargo de las instalaciones elctricas que necesitan un mantenimiento urgente, cambiar el cableado del sistema elctrico, realizar la construccin de una toma a tierra exclusiva del departamento de informtica para poder proteger de manera adecuada sus equipos independiente mente del resto de equipos del Hospital. 4.5.7.2. Seguridad lgica
Implementar un proyecto para dotar de claves de acceso a los computadores y a la red para minimizar la posibilidad de un ataque. Crear dominios de
107
Adquirir una caja de seguridad a prueba de incendios para poder almacenar los respaldos de la base de datos. 4.5.7.3. Seguridad del personal
Se debe implementar un proyecto de capacitacin y actualizacin en nuevas tecnologas que en conjunto con el proyecto de contratacin de ms personal para el departamento de informtica se pueda rotar el personal de manera adecuada y disminuir la sobre carga de actividades que hoy sufre el departamento, no tener en el personal a personas imprescindibles si no que el mismo este apto para realizar todas las labores que se desempean en el departamento.
108
Capitulo V
109
5.1. Conclusiones Al finalizar la Auditoria del Hospital Carlos Andrade Marn se pudo cumplir con los objetivos propuestos, se estableci la situacin actual del departamento de informtica sus debilidades y amenazas visualizando los riesgos y oportunidades. Se identific los niveles de satisfaccin de los distintos usuarios tanto de los sistemas como de los recursos con que cuenta el departamento de informtica. La situacin actual del departamento de informtica del Hospital Carlos
Andrade Marn revela graves problemas en el desenvolvimiento y administracin de sus recursos por la falta de controles y estndares, as como la dependencia de tener que tercerizar servicios con compaas privadas, este personal debera ser propio y formar parte integral del Hospital ya que el departamento de informtica est visiblemente escaso de personal para realizar las labores de mantenimientos de los equipos, mantenimiento de la red con esto se lograra una dramtica reduccin de costos, los mismos que podrn ser utilizados en la adquisicin de nuevos equipos muy necesarios para la institucin. De igual forma la falta de un esquema que defina su estructura y posicin dentro del Hospital as como una gerencia ms acorde al rea tecnolgica que gue y encamine los objetivos a seguir por el departamento son una gran traba para lograr los objetivos planteados por el departamento de informtica, una gerencia acorde y una estructura establecida ayudar a
110
generar y planificar los proyectos que tanto necesita el departamento de informtica para solventar los problemas encontrados. Los distintos proyectos propuestos por el departamento de informtica que se encuentran en etapa de desarrollo y los que estn por implementarse se encuentran planificados de manera adecuada cumpliendo con los
estndares y normas actuales, los mismos han recibido el apoyo de la gerencia del hospital por lo que cuentan con la viabilidad para poder ser implementados, pero los mismos necesitan del apoyo de los proyectos propuestos para poder dar soluciones definitivas a los problemas y riesgos encontrados por esta auditora. 5.2. Recomendaciones La Gerencia General del Hospital Carlos Andrade Marn en conjunto con la Administracin del departamento de informtica debern designar un grupo de personas para que conformen un grupo auditor que planifique un proyecto para estudiar las recomendaciones y
disee un plan para su implementacin y seguimiento, establecer la prioridad de planificar una auditoria peridica semestral para dar el oportuno seguimiento a las soluciones propuestas y verificar el grado de cumplimiento de las mismas. Establecer las normas y controles para realizar la administracin de los recursos tecnolgicos, actualizando el catastro integral de los equipos del Hospital, as como de todas las aplicaciones instaladas con su respectiva licencia y versin, para realizar una planificacin adecuada del cronograma de mantenimiento preventivo de los
111
equipos
de
computo
para
reducir
el
elevado
nmero
de
mantenimientos correctivos de los mismos. Contar con equipos de respaldo para no detener las labores de los usuarios y solventar las posibles eventualidades, mientras sus equipos se encuentran en mantenimiento tanto preventivo o correctivo sea el caso, en especial en el rea de entrega de turnos, emergencias y farmacia lugares crticos y sumamente importantes para el normal funcionamiento del Hospital Carlos Andrade Marn y que no pueden detener sus labores. Planificar y establecer los controles necesarios en el desarrollo de nuevas aplicaciones y mdulos del servidor AS400 para lo cual deber contar con la documentacin mnima estableciendo una metodologa adecuada a la realidad del hospital, definiendo responsabilidades de las o la persona encargada del desarrollo de sistemas, as como de la persona que realiza los controles y verificaciones de que se cumpla con dichos controles. Establecer las prioridades dentro de un plan de contingencia para tratar con las posibles eventualidades que podra sufrir el hospital, estableciendo planes de reanulacin y recuperacin para restablecer los servicios a los distintos usuarios en caso de una falla o una catstrofe natural, asegurando la conexin de los equipos prioritarios a la planta de generacin de emergencia de que dispone el hospital. Normalizar y establecer polticas conjuntas con la Polica Nacional encargada de brindar la seguridad en los distintos accesos y salidas
112
del Hospital Carlos Andrade Marn para precautelar la seguridad de los equipos y de esta manera evitar robos, salidas no autorizadas de equipos pertenecientes al Hospital, ingreso de equipos ajenos a la institucin para evitar fraudes o cambio de componentes internos de los mismos con equipos del Hospital, etc.
113
5.3. Bibliografa
HERNNDEZ, Enrique, Auditora en Informtica ECHENIQUE, Garca, Auditora en Informtica ECHENIQUE, Jos Antonio, Auditora en Informtica MUOZ, Razo, Auditora en sistemas Computacionales Sistema de Base de Datos de soporte para auditores informticos, Andrea P. Varela, Agosto 2001, Tesis.
Auditora Informtica, Compaa Autotrack CIA LTDA. Auditora Informtica, Galrraga Paola THOMS A.J. Auditora Informtica TAYLOR D. Y GLEZEN W. Auditora. Integracin de conceptos y procedimientos , 1990
114
5.4. Referencias WEB www.habitantes.elsitio.com/mtvmana/Auditora.htm www.gratistodo.8m.com/capiaudi1.htm www.gratistodo.8m.com/capiaudi2.htm www.gratistodo.8m.com/capiaudi3.htm www.gratistodo.8m.com/capiaudi4.htm www.gratistodo.8m.com/capiaudi5.htm www.campus.uab.es/~2082564/definici.htm www.auditorasistemas.com www.gestiopolis.com/recusos2/documentos/fulldocs/rrhh/audirrhh.html http://ciberconta.unizar.es/LECCION/seguro/INICIO.HTML http://www.delitosinformaticos.com/propiedadindustrial/auditora.shtml http://www.monografias.com/trabajos5/audi/audi2.shtml http://ciberconta.unizar.es/LECCION/seguro/100.HTM http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
115
ANEXOS
116
ANEXO 1
117
118
ANEXO 2
119
120
ANEXO 3
121
122
ANEXO 4
123
124
125
126
127
ANEXO 5
128
Objetivo.- Proveer al Hospital Carlos Andrade Marn un servicio tcnico oportuno, eficiente y de alta calidad, mediante la implementacin de un procedimiento adecuado y con orientacin al cliente.
Alcance.- El procedimiento se aplica a todos los requerimientos de soporte a usuario, mantenimiento preventivo y/o correctivo correspondientes a las COMPUTADORAS PERSONALES, MAQUINAS DE ESCRIBIR, MANUALES ELECTRICAS Y ELECTRONICAS, IMPRESORAS DE ALTO, MEDIO Y BAJO RENDIMIENTO Y LOS PUNTOS DE RED informticos del Hospital Carlos Andrade Marn. PROCEDIMIENTO
a) El proceso inicia con la recepcin de los requerimientos de usuarios finales por parte de la Unidad de Informtica. Al recibirlos, el personal de informtica est en la obligacin de solicitar la informacin necesaria para diagnosticar y/o de ser posible, solventarlos de forma inmediata o identificar si tales requerimientos son de competencia de la empresa contratista. b) Si el problema a resolver necesita el contingente de la empresa contratista, de inmediato, el personal de informtica emitir una Orden de Trabajo (Anexo 1), la cual consiste en un formulario con copia y numeracin secuencial preimpresa. Dicha numeracin corresponder al Cdigo de Requerimiento CDR, que debe ser informado al usuario para futuras referencias, reclamos y/o sugerencias posteriores en cuanto a retrasos en la ejecucin de sus pedidos o problemas con los trabajos efectuados. c) Al mismo tiempo de ser emitido el requerimiento, el personal de informtica deber registrar las Ordenes de Trabajo en un formulario u hoja electrnica, con lo cual se lograr un mejor control y seguimiento de los requerimientos emitidos, entregados, resueltos y pendientes. Dicha hoja electrnica deber estar compartida en la red con opcin de solo lectura (solo sujeta a modificaciones que realice personal de informtica). d) A continuacin, se entregar el original y copias de la Orden de Trabajo, debidamente llenada a la Coordinacin Tcnica de la empresa contratista, quien se encargar de la asignacin del ingeniero o tcnico de soporte y la viabilizacin del requerimiento. En caso de no encontrarse a la persona responsable de Coordinacin, la orden deber ser entregada a cualquier otro funcionario de la empresa contratista. Para constancia de la entrega de dicha orden, sta ser rubricada con fecha y hora de recepcin y se quedar con una copia de tal documento.
II.- FASE DE COORDINACIN Y EJECUCIN DE SERVICIOS.a) El Coordinador Tcnico de la empresa contratista, asignar los recursos suficientes y necesarios para la ejecucin y solventacin de los requerimientos. b) El Ingeniero o Tcnico de Soporte atender y ejecutar las solicitudes, luego de lo cual cerrar cada requerimiento, segn sea cualquiera de los siguientes casos: 1) En caso de que el requerimiento se convierta en Mantenimiento Preventivo o Correctivo, emitir el correspondiente Informe Tcnico, el mismo que consiste en un formulario que contiene una descripcin detallada de las actividades que se cumplen en la ejecucin de un servicio tcnico. Constituye el documento que permite sustentar el dnde, cundo, cmo y a qu hora se brind un servicio, qu actividades se realizaron, de qu tipo, qu repuestos se utilizaron y cules fueron los equipos mquinas redes o sistemas implicados, as como tambin, la calificacin del servicio, el quin recibi, quin ejecut y quin fiscaliz el trabajo.
129
2) En caso de que el trabajo se convierta en Soporte Tcnico a usuario, nicamente se llenar el campo correspondiente a las acciones tomadas para la solventacin del requerimiento. 3) Luego de cumplido el trabajo, en ambos casos se comunicar de inmediato a la Unidad de Informtica, para que en las respectivas rdenes de Trabajo abiertas, tome nota de la fecha y hora en que se ha cerrado cada requerimiento y el nmero de Informe Tcnico u Orden de Trabajo en el que consten las actividades realizadas. 4) Para el caso de los Mantenimientos Preventivos Planificados, se comunicar de forma semanal los avances, novedades, inconvenientes u obstculos encontrados previa y durante la ejecucin de dichos trabajos. c) Al finalizar cada trabajo, el jefe de la Unidad, la persona responsable de la dependencia atendida o el usuario final, deber leer y corroborar las actividades cumplidas versus lo descrito y finalmente, colocar su firma y sello en el Informe Tcnico y/o Orden de Trabajo que respalde los servicios recibidos en caso de estar conforme, precautelando siempre el quedarse con una copia de tales documentos. d) Los documentos firmados son entregados al Coordinador Tcnico de la empresa contratista, quien a su vez se encargar de: supervisar y garantizar la ptima calidad de los servicios prestados, verificar, catalogar y registrar las acciones cumplidas en una bitcora tcnica o base de datos. Dicha bitcora arrojar los reportes necesarios y, principalmente al final de cada mes, el Informe Consolidado Mensual de Mantenimientos y el Informe Consolidado Mensual de Soporte a Usuario y Coadministracin Informtica. e) Finalmente para su fiscalizacin y aprobacin, el Coordinador Tcnico entregar diariamente a la Unidad de Informtica las rdenes de Trabajo y/o Informes Tcnicos, con la respectiva firma y sello de conformidad del usuario. f) Los Informes Tcnicos correspondientes a los Mantenimientos Preventivos Planificados, sern entregados al final de cada mes, adjuntndose al Cronograma Mensual aprobado y un Informe General con las novedades, observaciones y sugerencias ms importantes.
a) Los trabajos requeridos, autorizados, ejecutados, avalizados por los usuarios y supervisados por la empresa Contratista, pasan a ser fiscalizados por la Unidad de Informtica, quien establecer los mecanismos idneos para que dicha tarea sea cumplida de forma eficiente, precautelado los recursos e intereses institucionales del Hospital Carlos Andrade Marn. Para su fiscalizacin y aprobacin, los documentos solo requieren de la firma de un delegado de la Unidad de Informtica.
b) Las rdenes de Trabajo y los Informes Tcnicos fiscalizados, sern entregados de inmediato a la empresa contratista, quedndose con una copia en la Unidad de Informtica, para que la misma a su vez los archive en forma cronolgica. De igual forma, la empresa contratista har lo propio con la copia restante.
c) Los originales de la rdenes de Trabajo e Informes Tcnicos fiscalizados, sern custodiados por el Coordinador Tcnico de la empresa contratista hasta el final de cada mes, da en el cual, conjuntamente con el Informe Consolidado Mensual de Mantenimientos y el Informe Consolidado Mensual de Soporte a Usuario y Coadministracin Informtica, entregar a la Coordinacin de Informtica para su revisin y aprobacin.
130
d) Los Informes Consolidados sern verificados y corregidos por la Unidad de Informtica en un plazo inferior a 24 horas posteriores a recepcin, luego de lo cual, los entregar firmados a la empresa contratista para que sta emita las facturas respectivas.
POLTICAS
1) Los usuarios (funcionarios de las diferentes dependencias del Hospital) pueden avisar, notificar o solicitar requerimientos tcnicos a la Unidad de Informtica por cualquier medio, sea ste por va telefnica, por correo electrnico o por escrito, siempre y cuando se solicite el Cdigo de Requerimiento CDR para cualquier referencia o reclamo futuro. 2) La empresa contratista nicamente est obligada a ejecutar aquellos requerimientos que consten en el Contrato suscrito y que estn respaldados con las respectivas rdenes de trabajo, es decir, toda actividad que est bajo conocimiento y coordinacin expresa de la Unidad de Informtica. 3) La Unidad de Informtica se compromete a delegar a la empresa contratista, mediante rdenes de trabajo, todas y cada una de las actividades para lo cual fue contratada. 4) En caso de que el ingeniero o tcnico de soporte se encuentre cerca de una dependencia en donde surge un requerimiento urgente, el usuario puede solicitar la emisin de la orden autorizada va telefnica o por radio, logrando con ello que el requerimiento sea atendido y quede sustentado con la respectiva Orden de Trabajo. En este sentido, el tcnico retirara posteriormente el documento generado con base al nmero de orden emitido por la Unidad de Informtica. 5) Para constancia de entrega recepcin de cada documento, quien lo reciba est obligado a rubricar los mismos, con fecha y hora de recepcin.
6) La fase de fiscalizacin y aprobacin de trabajos no deber tardar ms de 24 horas a partir de la fecha y hora en que la empresa contratista entregare los documentos requeridos. 7) Todo equipo, mquina o sistema del hospital debe ser ingresado al catastro para que tenga cobertura de servicios. 8) Los Mantenimientos Preventivos se realizarn basados en un Cronograma y Planificacin mensual. Se dejar constancia de esto en cada Informe Tcnico. Para la ejecucin de estos trabajos, solo es necesaria la emisin de una sola Orden de Trabajo y el Cronograma Mensual de Mantenimientos Preventivos, propuesto y acordado entre la Unidad de Informtica y empresa contratista. Si en dichas visitas, en la fase de revisin y diagnstico se constata que el equipo, mquina, punto de red o sistema, requiere de acciones correctivas, es decir, Mantenimiento Correctivo, solicitar a la Unidad de Informtica la emisin de una nueva Orden de Trabajo (Cdigo de Requerimiento CDR), sin la cual, no se podr continuar con el trabajo sealado. 9) La empresa contratista tiene bajo su potestad la asignacin de recursos necesarios para solventar un determinado requerimiento, bajo criterio, responsabilidad y riesgo propios. En este sentido, tales competencias no corresponden a la Unidad de Informtica. 10) La Unidad de Informtica emitir mensualmente o cada que exista algn cambio, un Boletn Tcnico (Anexo 2) en el que se detalle cada uno de los programas autorizados para instalacin en computadores personales.
131
11) Los usuarios necesitan autorizacin escrita de la Unidad de Informtica en caso de requerir la instalacin de un software que no conste en el Boletn Tcnico de programas autorizados. 12) Luego de realizar cualquier mantenimiento preventivo o correctivo de computadores personales, la empresa contratista tiene la obligacin de dejar configurado el equipo en modo de USUARIO (disponible en sistemas operativos Windows XP y Windows 2000).
132
ANEXO 6
133
MANTENIMIENTO REDES
1. Hay una lista de los componentes de la red existente en el negocio, as como una ilustracin grfica de la distribucin y cantidad de los mismos? SI NO
1.1 Cmo se inventari la red de telecomunicaciones Inventarios fsicos Por software Con base en las compras 2. Est identificado el lugar fsico de la red y los responsables de su uso y custodia? SI NO
5.1 Este procedimiento contempla lo siguiente? Formulacin y difusin del plan de mantenimiento preventivo o correctivo Medidas que garanticen la continuidad de las operaciones durante este proceso Desarrollo de las actividades de mantenimiento preventivo o correctivo Identificacin del tipo de mantenimiento (preventivo o correctivo) y las causas o razones de su realizacin Identificacin de los recursos de la red que recibirn mantenimiento Registro de las actividades realizadas, pendientes y problemas originados durante el mantenimiento preventivo o correctivo
134
Responsables de la ejecucin, seguimiento y autorizacin del mantenimiento (personal externo, personal de informtica, etc.) Elaboracin y anlisis de estadsticas para fortalecer el mantenimiento preventivo
5.2 Este procedimiento es vlido para? Componentes de los enlaces por satlite Componentes para los enlaces terrestres Componentes para los enlaces internos en la(s) empresa(s) Otro equipo 6. Entre las acciones complementarias con que apoyan el proceso de mantenimiento y que registran algunos datos relacionados con el mismo tienen alguna(s) de las siguientes? Registro de los componentes de la red de telecomunicaciones que reemplazarn al equipo que recibir mantenimiento Registro del costo originado por el mantenimiento preventivo o correctivo para los siguientes elementos: Componentes de los enlaces por satlite Componentes para los enlaces terrestres Componentes para los enlaces internos en la(s) empresa(s) Otro equipo Todo mantenimiento deber ser autorizado por el responsable del equipo Procedimientos de seguridad (egreso e ingreso del equipo) Elaborar estadsticas que ayuden a identificar las reas del negocio y los componentes de equipo que viven en mantenimiento correctivo Otros
8. Se actualiza la informacin de los manuales de alguno de los elementos de la red de telecomunicaciones cuando se libera una nueva versin tecnolgica? SI NO
135
9. Existen controles para que nicamente personal autorizado d mantenimiento a los equipos de cmputo y a sus perifricos? SI NO
10. Se implantan controles y procedimientos en los componentes de la red de telecomunicaciones que reciben mantenimiento con objeto de garantizar que la informacin alojada en estos componentes permanezca ntegra y correcta antes, durante y despus de este proceso? SI NO
11. Est consciente el personal de informtica de que un buen equipo y la aplicacin de las polticas y procedimientos de uso y cuidado del mismo evitan en gran medida los problemas tpicos del mantenimiento tradicional? Altos costos Cargas de trabajo y tiempos de respuesta bajos Cadas de la lnea e interrupcin de comunicaciones Dificultad en el manejo de la red Medidas de seguridad incompletas
136
Insatisfaccin del usuario/informtica Otros 1 1.1 Est consciente el usuario de la importancia de seguir formal y oportunamente las polticas y procedimientos de uso y buen cuidado del equipo para evitar en gran medida los problemas mencionados en la pregunta 11? SI NO
12. La actualizacin oportuna de la red es originada por sugerencias del proveedor o usted la solicita? SI NO
12.1 Indique cules son las principales razones de la actualizacin de la red de telecomunicaciones: El equipo tiene mal desempeo (velocidad de transmisin, por ejemplo) Capacidades de transmisin inadecuadas El gerente o director de informtica lo ha utilizado en las empresas donde ha trabajado y le ha funcionado de maravilla Nuevas estrategias del negocio Otros de carcter tcnico o estratgico
13. Existe algn sistema computarizado que apoye la administracin del mantenimiento en los siguientes aspectos? Calendarizacin del mantenimiento preventivo Seguimiento del mantenimiento correctivo y preventivo Niveles de servicio Costos del mantenimiento Causas y soluciones del mantenimiento Tareas, fechas y responsables del mantenimiento Otros
137
MANTENIMIENTO HARDWARE
1. Existe una lista del hardware existente en el negocio (departamento de informtica y reas usuarias)? 1 Cmo se levant el inventario del hardware Inventarios fsicos Software Base en compras
2. Est identificado el lugar fsico del hardware y los responsables de su uso y custodia? SI NO
3. Se cuenta con manuales o procedimientos para el manejo del equipo? SI 4. Dichos manuales o procedimientos estn actualizados? SI NO NO
5. Existe un procedimiento formal para dar mantenimiento al hardware? SI 5.1 Dicho procedimiento contempla lo siguiente? Formulacin y difusin del plan de mantenimiento preventivo/correctivo Difusin del plan de mantenimiento preventivo/correctivo Medidas que garanticen la continuidad de las operaciones durante este proceso Desarrollo de las actividades de mantenimiento preventivo/correctivo identificacin del tipo de mantenimiento (preventivo o correctivo) y las causas o razones de su realizacin Identificacin de los recursos de hardware que recibirn mantenimiento Registro de las actividades realizadas, pendientes y problemas originados durante el mantenimiento preventivo/correctivo Responsables de la ejecucin, seguimiento y autorizacin del mantenimiento (personal externo, personal de informtica del negocio, usuarios, entre otros) Elaboracin y anlisis de estadsticas para fortalecer el mantenimiento preventivo NO
138
5.2 Seale si este procedimiento es vlido para: Microcomputadoras Mini computadoras Mainframes Equipo perifrico Otro equipo 6. Existen acciones complementarias que apoyen el mantenimiento y que registren algunos datos relacionados con el mismo?
6.1 Indique si entre dichas acciones se cuentan las siguientes: Registro del hardware que reemplazar al equipo que recibir mantenimiento Registro del costo originado por el mantenimiento preventivo y el causado por mantenimiento correctivo para los siguientes elementos: Microcomputadoras Mini computadoras Mainframes guipo perifrico Otro equipo Todo mantenimiento deber ser autorizado por el responsable del equipo Procedimientos de seguridad (egreso e ingreso del equipo) Elaborar estadsticas que ayuden a identificar las reas del negocio y los componentes del equipo que viven en mantenimiento correctivo Otros.
7. Se actualiza la informacin de los manuales de alguno de los elementos del hardware cuando se libera una nueva versin? 7.1 Se capacita a los usuarios cuando esto sucede? 8. Existen controles para que nicamente personal autorizado d mantenimiento a equipos de cmputo y perifricos? 8.1 Si es as, cules son esos controles? _____________________________________________________________ _____________________________________________________________
139
9. Se implantan controles y procedimientos a los equipos y perifricos que reciben mantenimiento con objeto de garantizar que la integridad de la informacin que e ardan sea ntegra y correcta antes, durante y despus de dicho proceso?
10. Est consciente el personal de informtica de que un buen equipo y los procedimientos de uso y cuidado del mismo deben evitar en gran medida los problemas picos del mantenimiento tradicional? - Altos costos - Cargas de trabajo - Cadas de los equipos - Dificultad en el manejo del equipo - Medidas de seguridad incompletas -Insatisfaccin del usuario - Otros
10.1 Est consciente el usuario de la importancia de seguir de manera formal y oportuna los procedimientos de uso y buen cuidado del equipo para evitar en gran medida los problemas mencionados en la pregunta 10? Por qu? _____________________________________________________________ 11. La actualizacin oportuna del hardware es originada por sugerencias del proveedor o usted la solicita? _____________________________________________________________
140
11.1 Cules de las siguientes son las principales razones de la actualizacin del hardware? El equipo tiene mal desempeo (velocidad de procesamiento, EIS, otros) Capacidades de memoria y almacenamiento insatisfactorias Ley en el peridico las bondades y facilidades del nuevo modelo Algn conocido le recomienda adquirir la nueva versin El gerente o director de informtica lo ha utilizado en las empresas donde ha trabajado y le ha funcionado de maravilla La presin de los usuarios para instalar equipos modernos Obedece a las nuevas estrategias del negocio Se lo prest un proveedor y prefiri comprarlo que volver a usar el equipo viejo Otros de carcter tcnico, estratgico o sentimental
12. Seale si existe algn sistema computarizado que apoye la mantenimiento en aspectos como: Calendarizacin del mantenimiento preventivo Seguimiento al mantenimiento (correctivo y preventivo) Niveles de servicio Costos del mantenimiento Causas y soluciones del mantenimiento Tareas, fechas y responsables del mantenimiento Otros
141
MANTENIMIENTO SOFTWARE
1. Hay una lista del software existente en la organizacin (departamento de informtica y reas usuarias)?
SI
NO
1.1 Cmo se hizo el inventario del software Inventarios Por medio de software Con base en compras
2. Est identificado el equipo donde se encuentra el software y los responsables de su uso y custodia? SI NO
4. Estn actualizados?
SI
NO
5.1 Indique si dicho procedimiento contempla lo siguiente: Formulacin y difusin del plan de mantenimiento (actualizacin) preventivo correctivo Medidas que garanticen la continuidad de las operaciones durante este proceso Desarrollo de las actividades de mantenimiento (actualizacin) preventivo o lectivo Identificacin del tipo de mantenimiento o actualizacin (preventivo o correctivo) y las causas o razones de su realizacin
142
Identificacin del software que recibir mantenimiento o requiere actualizacin Registro de las actividades realizadas, pendientes y problemas originados durante el mantenimiento (actualizacin) preventivo o correctivo Responsables de la ejecucin, seguimiento y autorizacin del mantenimiento (Personal externo, personal de informtica, usuarios, otros) Elaboracin y anlisis de estadsticas para fortalecer el mantenimiento (actualizacin) preventivo. 5.2 Este procedimiento es vlido para? Paquetes de software (procesadores de palabras, hojas electrnicas, etc.) Lenguajes de programacin (tercera, cuarta generacin, CASE, etc.) Bases de datos Sistemas operativos, utileras, software de comunicaciones Otro software 6. Est identificado el software original y las copias? SI NO
7. Existe un mismo procedimiento para dar mantenimiento (actualizacin) al software instalado en micros, minis y mainframes? SI 7.1 Si no es as, existe el siguiente procedimiento? a) Definicin de los responsables de dar mantenimiento o actualizacin del software h) Razones o causas que justifiquen el proceso de mantenimiento o actualizacin c) Identificacin del tipo de mantenimiento o actualizacin (preventivo o correctivo) d) Calendario de programacin (fechas, usuarios afectados, etc.) e) Identificar las partes del software que sern afectadas por dicho mantenimiento o actualizacin J) Registro del software que recibir mantenimiento o ser actualizado g) El software afectado por el mantenimiento debe ser alojado en el siguiente orden: NO
143
rea de prueba rea de instalacin del producto. h) Todo cambio ha de ser probado y autorizado por un responsable definido con anterioridad i) Seguridad (acceso para cambios y adaptaciones) j) Identificar productos del software que viven en mantenimiento correctivo k) Otros 8. La informacin de los manuales del producto se actualiza cuando se coloca una nueva versin? SI NO
9. Existen controles para que nicamente personal autorizado d mantenimiento a los productos del software que se est operando? SI NO
9.1 Si es as, cules son esos controles? _____________________________________________________________ 10. Se implantan controles y procedimientos inherentes a los productos de software que reciben mantenimiento con objeto de garantizar la integridad de la informacin que se relaciona con estos productos? SI NO
11. Est consciente el personal de informtica de que un buen producto evita en gran medida los problemas tpicos del mantenimiento tradicional? Cargas de trabajo Eliminar mdulos que no cumplen la totalidad de los requerimientos de informtica Dificultad en el manejo del software Medidas de seguridad incompletas
144
Otros 12. La actualizacin oportuna del software es originada por sugerencias del proveedor o usted la solicita porque?: No cumple los requisitos tcnicos exigidos por informtica No satisface los requerimientos de los usuarios Ley en el peridico las bondades y facilidades del nuevo modelo Algn conocido le recomienda adquirir la nueva versin El gerente o director de informtica lo ha utilizado en las empresas donde ha trabajado y le ha funcionado de maravilla Los usuarios presionan para instalar equipos modernos Obedece a las nuevas estrategias del negocio Se lo prest un proveedor y prefiri comprarlo que volver a usar el equipo viejo Otros de carcter tcnico, estratgico o sentimental
13. Indique si cuenta con algn sistema computarizado que apoye el control del mantenimiento en aspectos como: Calendarizacin del mantenimiento o actualizacin preventivo Seguimiento del mantenimiento o actualizacin (correctivo o preventivo) Niveles de servicio Costos del mantenimiento Causas y soluciones del mantenimiento Tareas, fechas y responsables del mantenimiento Otros
145
3. Se cuenta con manuales de usuarios, tcnicos y de operacin para cada uno de los sistemas de informacin en produccin? SI NO
5.1 Dicho procedimiento contempla lo siguiente? Formulacin y difusin del plan de mantenimiento (actualizacin) preventivo o correctivo Medidas que garanticen la continuidad de las operaciones durante este proceso Desarrollo de las actividades de mantenimiento (actualizacin) preventivo o correctivo Identificacin del tipo de mantenimiento o actualizacin (preventivo o correctivo) y las causas o razones de su realizacin Identificacin de los sistemas de informacin que recibirn mantenimiento o sern actualizados Registro de las actividades realizadas, pendientes y problemas originados durante el mantenimiento o actualizacin Responsables de la ejecucin, seguimiento y autorizacin del mantenimiento o actualizacin (personal externo, personal de informtica, usuarios, etc.).
146
5.2 Indique si este procedimiento es vlido para: Sistemas de informacin desarrollados con paquetes de software (procesadores de palabras, hojas electrnicas, otros) Sistemas de informacin desarrollados con lenguajes de programacin (tercera, cuarta generacin, bases de datos, CASE, etc.) Sistemas de informacin comprados a externos (soluciones de mercado)
6. Indique si existe el siguiente procedimiento: a) Definicin de los responsables de dar mantenimiento o actualizar los sistemas de informacin b) Razones o causas que justifiquen el proceso de mantenimiento o actualizacin c) Identificacin del tipo de mantenimiento o actualizacin (preventivo o correctivo) d) Calendario de programacin (fechas, usuarios afectados, otros) e) Identificar los mdulos o componentes de los sistemas de informacin afectados por dicho mantenimiento o actualizacin J) Registro de los sistemas de informacin que recibirn mantenimiento o sern actualizados g) Los sistemas de informacin afectados por el mantenimiento se deben alojar en el siguiente orden: rea de desarrollo (nuevos mdulos) y prueba (durante la actualizacin) rea de produccin (instalacin de cambios o adaptaciones aprobadas) h) Todo cambio ha de ser probado y autorizado por un responsable definido para este objetivo i) Seguridad (acceso para cambios y adaptaciones) j) Identificar los sistemas de informacin que viven en mantenimiento correctivo k) Otros
147
7 Se actual iza la informacin de los manuales de usuarios, tcnicos y de operacin cuando as corresponda? SI NO
9 Existen controles para que nicamente personal autorizado d mantenimiento a sistemas de informacin en operacin? SI NO
Si es as, cules son esos controles? 10 Se implementan controles y procedimientos en los sistemas de informacin que reciben mantenimiento con objeto de garantizar la integridad de la informacin? SI NO
11. Est consciente el personal de informtica de que un buen desarrollo elimina en medida los problemas tpicos del mantenimiento tradicional? SI NO
Cargas de trabajo Eliminacin de sistemas que no cumplen la totalidad de los requerimientos del usuario Sistemas que no contemplan controles y procedimientos que garanticen confiabilidad, oportunidad y calidad Medidas de seguridad incompletas Insatisfaccin de la alta direccin por los bajos resultados de los sistemas
148
Falta de estandarizacin en el uso de: Metodologa para el desarrollo Tcnicas (anlisis, diseo, etc.) Tareas Productos terminados Funciones y responsabilidades Otros Sistemas que no son flexibles (no se adaptan a los cambios del negocio) Otros
12. Seale si hay algn sistema computarizado que apoye el control del mantenimiento en aspectos como: Calendarizacin del mantenimiento preventivo Seguimiento al mantenimiento (correctivo y preventivo) Niveles de servicio Costos del mantenimiento Causas y soluciones del mantenimiento Tareas, fechas y responsables del mantenimiento Otros
149
ANEXO 7
150
Por qu? ____________________________________________________________ 3. Cubre sus necesidades de procesamiento? A. No las cubre B. Parcialmente C. La mayor parte D. Todas
Porqu?____________________________________________________________ 4. Cmo considera la calidad del procesamiento que se le proporciona? A. Deficiente B. Aceptable C. Satisfactorio D. Excelente Por qu? ____________________________________________________________ 5. Hay disponibilidad de procesamiento para sus requerimientos? A. Generalmente no existe B. Ocasionalmente C. Regularmente D. Siempre
7. Qu opina del costo del servicio proporcionado por el departamento de pro ceso electrnicos? A. Excesivo B. Mnimo C. Regular D. Adecuado E. No lo conoce
Por qu? ____________________________________________________________ 8. Son entregados con puntualidad trabajos? A. Nunca B. Rara vez C. Ocasionalmente D Generalmente E. Siempre
Porqu?____________________________________________________________
151
9. Qu piensa de la presentacin de los trabajos solicitados? A. Deficiente B. Aceptable C. Satisfactoria O. Excelente Porqu?_____________________________________________________________ 10. Qu piensa de la atencin brindada por el personal de procesos electrnicos? A. insatisfactoria B. Satisfactoria C. Excelente
Porqu?_____________________________________________________________ 11.. Qu piensa de la asesora que se imparte sobre informtica? A. No se proporciona B. Es insuficiente C. Satisfactoria O. Excelente Porqu?_____________________________________________________________ 12. Qu piensa de la seguridad en el manejo de la informacin proporcionada para su procesamiento? A. Nula B. Riesgosa C. Satisfactoria D. Excelente E. Lo desconoce Porqu?_____________________________________________________________ 13. Existen fallas de exactitud en los procesos de informacin? SI ( )
NO ( )
Cules?_____________________________________________________________ 14. Cmo utiliza los reportes que se le proporcionan? ____________________________________________________________________ 15. Cules no utiliza? _________________________________________________ 16. De aquellos que no utiliza, por qu razn los recibe? ____________________________________________________________________ 17. Qu sugerencias hace en cuanto ala eliminacin de reportes: modificacin, fusin, divisin de reporte? ____________________________________________________________________ 18. Se cuenta con un manual del usuario por sistema? 19. Es claro y objetivo el manual del usuario? SI ( ) SI ( ) NO ( ) NO ( )
20. Qu opinin tiene sobre el manual? ____________________________________________________________________ NOTA: Pida el manual del usuario para evaluarlo.
152
21. De su departamento, quin interviene en el diseo de sistemas? ____________________________________________________________________ 22. En qu sistemas tiene actualmente su servicio de computacin? ____________________________________________________________________ 23. Qu sistemas deseara que se incluyeran? ____________________________________________________________________ 24. Observaciones. ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________ ____________________________________________________________________
153
ANEXO 8
154
ADMINISTRACIN
1. La empresa cuenta con red(es) local(es)? SI NO
1.1 Si es as, cuntas micros hay en dicha red, incluyendo el servidor? (Mencione las caractersticas bsicas de aqullas y de los perifricos.) _____________________________________________________________ _____________________________________________________________
1.2 Qu software (paquetes, lenguajes, sistemas de informacin, sistemas operativos, bases de datos, etc. hay instalados? Cules son las versiones correspondientes? PAQUETE / SOFTWARE VERSIN
155
1.5 En caso de no tener una administracin formal de la(s) red(es) o de las microcomputadoras no conectadas en red de la empresa, cmo se da seguimiento a los siguientes aspectos?
Planeacin de nueva tecnologa de informacin (hardware, software, etc.) para la red _____________________________________________________________ Monitoreo de las actividades de la operacin y mantenimiento de la red _____________________________________________________________ Procedimientos de control y seguridad de la red _____________________________________________________________ Aspectos legales del software instalado _____________________________________________________________ Capacitacin y soporte a usuarios _____________________________________________________________ Otros _____________________________________________________________
1.6 Si la empresa tiene una administracin de la(s) red(es) local(es) o microcomputadoras no conectadas en red, cules de las funciones listadas en la tabla E.1 realiza, con qu tareas efecta cada funcin y cmo les dan seguimiento sus coordinadores o jefes inmediatos?
2. Algn personal externo interviene en las funciones de administracin mencionadas? SI 2.1 Si es as, en qu funciones participa y por qu? _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ NO
156
3. Existe la documentacin formal que especifique qu hacer y cmo efectuar cada funcin administrativa de la red? SI NO
3.1 Si es as, Las funciones desarrolladas en realidad concuerdan con las especificadas en la documentacin? SI NO
5. Existe un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? SI NO
6. Cmo se canalizan las dudas, sugerencias y compromisos entre los usuarios y los responsables de la red? _____________________________________________________________ _____________________________________________________________
7. Qu garantiza que se est utilizando la tecnologa de redes ms adecuada para el negocio? _____________________________________________________________
8. Hay un anlisis costo/beneficio de las diferentes estrategias de redes implantadas? Se han aprobado de manera formal?
SI
NO
157
INSTALACIN
1. Existen procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red conforme se hayan realizado los contratos y compras formales de los mismos? SI NO
Procedimientos
Responsables de ejecutarlos
Responsables de seguimiento
2. Mencione las actividades que se realizan durante el proceso de instalacin de los componentes de la red local (hardware, software, procedimientos, etc.)
Actividades Responsables de ejecutarlos Responsables de seguimiento
3. Las compras de los diferentes elementos de la red, as como su instalacin, se derivan de un proceso de planeacin y evaluacin formal? Cmo se aseguran de que esto se cumpla? _____________________________________________________________
4. En caso de que las compras e instalacin de componentes de la red sea hardware, software u otros no se hayan planeado formalmente, cmo se justifica esto ante los responsables de informtica y de las reas usuarias? _____________________________________________________________ _____________________________________________________________
158
5. En cuanto a la instalacin de software, cmo se asegura la compra legal? Cmo aseguran que no sea instalado en otros equipos de la empresa sin licencia de uso? Qu hacen cuando detectan anomalas al respecto? _____________________________________________________________ _____________________________________________________________ 5.1 Quin es el responsable de las actividades de seguridad y control para garantizar el uso adecuado y la proteccin del software? _____________________________________________________________
6. Cuando son terceros (personal externo) los encargados de la instalacin parcial o total de cualquiera de los elementos que componen la red, cmo se asegura la empresa de que esto se haga conforme a sus polticas y lineamientos de servicio, u unidad y confidenciabilidad? _____________________________________________________________
7. Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalacin? _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________
159
OPERACIN Y SEGURIDAD
1. Se cuenta con manuales de operacin de la red? Contemplan aspectos de seguridad? SI NO
1.1 Si es as, el personal responsable de administrarla y operarla fue capacitado y preparado para el manejo de la misma? Le da seguimiento a la seguridad? SI NO
1 Qu sucede cuando algunos de estos responsables salen de vacaciones, se incapacitan o dejan de laborar en la empresa? _____________________________________________________________
2. Indique si existen estndares relativos a la operacin y administracin de la red como: 1 Estndares de desempeo: Tiempos de respuesta Trfico (volmenes de informacin, velocidad) Interrupciones Tiempo de recuperacin de la red Equipos o terminales interconectados Otros
160
2.2 Cmo se da seguimiento al cumplimiento de los mismos? _____________________________________________________________ 2.3 Una vez que se aplican estos estndares, qu datos se envan a otras reas (usuarios, auditora en informtica)? _____________________________________________________________
3. Se desarroll o adquiri algn cuestionario estndar que permita saber el nivel los servicios que brinda la red? SI NO
3.1 Si es as, con que periodicidad se distribuye este cuestionario a los usuarios o encargados de la red? _____________________________________________________________
4. Hay procedimientos que protejan los datos transmitidos de una red local a otra(s)? SI NO
4.2 Se cuenta con un responsable o un software de comunicaciones que vigile de manera permanente que los datos sean transmitidos con los estndares de oportunidad, totalidad, exactitud y autorizacin de una red a otra(s)? SI NO
4.3 Existen registros (logs) con informacin relevante para el administrador de la red o el auditor en informtica? SI NO
161
4.4 Si es as, seale si stos contienen informacin relativa a: Usuarios que accesaron la red Operaciones realizadas en la red (envo, recepcin) Tiempos de conexin Interrupciones en el transcurso del uso de la red Causas Tiempo para reiniciar cada interrupcin Terminales o equipos conectados Accesos invalidados a la red Terminales donde se llevaron a cabo estos accesos no autorizados Otros
4.5 Estos registros son generados por algn software de la red o por los responsables de la misma? _____________________________________
5. Seale si se tiene identificada formalmente la siguiente informacin: Usuarios de la red Registros y niveles de acceso Terminales conectadas a la red Responsables de la red Procedimientos de contingencia Software Perifricos conectados Software original y pirata instalado Software de las micros conectadas a la red (duplicidad o carencia de software en la red) Tipos de unidades centrales de procesamiento (CPU) Capacidad de discos o espacio libre por servidor y micros Otros 5.1 Estos registros son generados por algn software de la red o los elaboran por separado los responsables de la misma? _____________________________________________________________ _____________________________________________________________
162
6 Hay una lnea telefnica disponible las veinticuatro horas del da para atencin de quejas y dudas de los usuarios de la red? SI NO
7. Existe un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios? SI NO
S. La red tiene controles de acceso a personas no autorizadas (acceso a equipo, datos y software)? SI NO
8.1 En caso de contar con esos controles, estn diseados para prevenir, detectar o corregir el acceso no autorizado? SI NO
8.2 Si es as, cules son estos controles y quines le dan seguimiento? _____________________________________________________________ _____________________________________________________________ 8.3 Verificar que los controles contemplen al menos: Proteccin de archivos Proteccin a programas fuente de las aplicaciones en red Proteccin a otro software alojado en la red Mtodos para prevenir el monitoreo no autorizado de la red Deteccin inmediata y automatizada de accesos no autorizados Contraseas que autoricen el acceso a la red, sin permitir la entrada a archivos no autorizados Otros
163
9. Existen controles relativos a la seguridad fsica de los diversos componentes de la red (tarjetas, terminales, manuales, software, documentacin, etc.)? SI NO
9.1 En caso de contar con esos controles, cmo se aseguran los responsables de darles seguimiento? _____________________________________________________________ _____________________________________________________________ ____
9.2 Verificar que estos controles cuenten con: Proteccin adecuada de los componentes de la red (cables, tarjetas, terminales, servidores, etc.) Guardias o personal que vigile el acceso al centro de telecomunicaciones Bitcoras de acceso a las reas conectadas a la red Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores, etc. Listado de personal autorizado con acceso a las terminales y controladores de la red Otros
11. Se cuenta con alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada en la(s) red(es)? SI NO
164
13. Se han tomado en cuenta algunas consideraciones complementarias que ayuden al mejoramiento continuo de la(s) red(es) local(es) del negocio como las siguientes? Evaluacin peridica de la red: hardware, software, grado de satisfaccin, grado de utilizacin, etc. Acceso a la red de nuevos usuarios, niveles de acceso por perfil de usuario, asignaciones de software o datos para utilizar, consultar, modificar, borrar, etc. Aspectos administrativos: administrador u operadores (tareas, sueldos, capa citacin vacaciones, reemplazos, otros) Capacitacin, planeacin, ejecucin y actualizacin Crecimiento de la red: perifricos, memoria, usuarios, software, aplicaciones Respaldo: datos, equipo, perifricos, software, aplicaciones, etc. Seguridad: controles, procedimientos, software de auditora, niveles de acceso, Planes de contingencia, plan de reinicializacin y recuperacin, etc. Otros que se consideren pertinentes.
165
Telecomunicaciones
ADMINISTRACIN 1. La empresa cuenta con una RC? SI NO
1.2 Qu tipo de software de comunicaciones utiliza para el manejo de la RC? Cules son las versiones correspondientes? _____________________________________________________________ __
1.4 En caso de no tener una administracin formal de la RC, indique cmo se da seguimiento a los siguientes aspectos: Planeacin de nueva tecnologa de informacin (hardware, software, etc.) a la RC Monitoreo de las actividades de la operacin y mantenimiento de la RC Procedimientos de control y seguridad Aspectos legales del software instalado Capacitacin y soporte a usuarios, operadores y tcnicos de la RC Otros
166
1.5Si la empresa tiene administracin de la RC, cules de las funciones mencionadas en la tabla E.3 realiza; con qu tareas efecta cada funcin y cmo les dan seguimiento sus coordinadores o jefes inmediatos?
2.1 Si es as, mencione cul y por qu. _____________________________________________________________ 3. Hay documentacin formal que especifique qu hacer y cmo realizar cada una de las funciones de administracin de la RC? SI NO
Si es as, las funciones desarrolladas en la realidad concuerdan con las especificadas en la documentacin? SI NO
4. En caso de que no exista esta documentacin, cmo se indica al personal responsable de la RC y a los usuarios lo referente a los puntos mencionados en la pregunta 1? _____________________________________________________________ 5. Se cuenta con un plan vacacional y de reemplazo de personal que asegure el servicio continuo a los usuarios? SI NO
6. Que garantiza que se est utilizando la tecnologa de RC ms adecuada para el negocio? _____________________________________________________________
7. Existen anlisis costo/beneficio de las diferentes estrategias de la RC implanta? Son aprobados de manera formal? SI NO
167
INSTALACIN 1 Hay procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la RC conforme se realizan los contratos y compras formales de los mismos? SI NO
2. Mencione las actividades que se realizan durante el proceso de instalacin de los componentes de la RC. (Hardware, software, procedimientos, etc.)
ACTIVIDADES RESPONSABLE DE EJECUTARLOS RESPONSABLES DEL SEGUIMIENTO
3 Las compras de los diferentes elementos de la RC, as como su instalacin, se derivan de un proceso de planeacin y evaluacin formal? Cmo se aseguran de que esto se cumpla? _____________________________________________________________ _____________________________________________________________
4. En caso de que las compras e instalacin de componentes de la RC, sea hardware, software, etc., no hayan sido planeados formalmente, cmo se justifican ante los responsables de informtica y de las reas usuarias involucradas en el uso de dicha RC? _____________________________________________________________ _____________________________________________________________
5. En cuanto a la instalacin del software, cmo se aseguran que ste haya sido comprado legalmente? Cmo se aseguran de que no sea instalado en otros equipos de la empresa sin licencia de uso? Qu hacen cuando detectan algunas anomalas al respecto? _____________________________________________________________ _____________________________________________________________
168
5.1 Quin es el responsable de las actividades de seguridad y control para garantizar el uso adecuado y la proteccin de dicho software? _____________________________________________________________
6. Cuando el encargado de la instalacin parcial o total de cualquiera de los elementos que componen la RC es externo, cmo se asegura la empresa de que esto se haga conforme a sus polticas y lineamientos de servicio, oportunidad y confidenciabilidad? _____________________________________________________________ _____________________________________________________________ 7. Tiene alguna(s) sugerencia(s) que apoyen el proceso de instalacin? _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________ _____________________________________________________________
169
OPERACIN Y SEGURIDAD. 1. Se cuenta con manuales de operacin de la RC? Contemplan aspectos de seguridad? SI NO
1.1 Si es as, el personal responsable de administrar y operar la RC fue capacitado y preparado para el manejo de la misma? Le da seguimiento a la seguridad? SI NO
1.2 Qu sucede cuando algunos de estos responsables salen de vacaciones, se incapacitan o dejan de laborar en la empresa? _____________________________________________________________
2. Existen estndares relativos a la operacin y administracin?, por ejemplo: Estndares de desempeo: Tiempos de respuesta Trfico (volmenes de informacin, velocidad) Interrupciones Tiempos de recuperacin de la RC Equipos o terminales interconectados Otros Estndares de mantenimiento Calendarios Responsables
170
2.3 Existe algun procedimiento para establecer los costos derivados por el uso de la RC? Si es as, cul es? _____________________________________________________________ _____________________________________________________________ 3 Se desarroll o adquiri algn cuestionario estndar que permita saber el nivel de servicios que brinda la RC? SI NO
3. 1 Si es as, con qu periodicidad se distribuye este cuestionario entre los usuarios o encargados de la RC? _____________________________________________________________
3.2 Qu indicadores o parmetros importantes resultan de estos cuestionarios que sean utilizados por los responsables de la gerencia o direccin de informtica? _____________________________________________________________
4. Se tienen procedimientos que protejan los datos transmitidos de una RC propia a otra(s)? SI NO
4.2 Existe un responsable o un software de comunicaciones que revise de manera permanente que los datos sean transmitidos con los estndares de oportunidad, totalidad, exactitud y autorizacin de una RC a otra(s)? _____________________________________________________________
4.3 Existen registros con informacin relevante para el administrador de la RC o el auditor en informtica? _____________________________________________________________ _____________________________________________________________
171
4.4 Si es as, seale si contienen la siguiente informacin: Usuarios que accesaron la RC Operaciones realizadas en la RC (envo, recepcin) Tiempos de conexin Interrupciones durante el uso de la RC Causas Tiempo para reinicializar cada interrupcin Terminales o equipos conectados Accesos invalidados a la RC Terminales donde se llevaron a cabo estos accesos no autorizados Otros
4.5 Estos registros son generados por algn software de RC o los elaboran de manera independiente los responsables de la administracin de la misma? _____________________________________________________________ 5. Indique si se tiene identificada formalmente la siguiente informacin: Usuarios de la RC Registros y niveles de acceso Terminales conectadas Responsables Procedimientos de contingencia Software Perifricos conectados Componentes Otros 5.1 Estos registros son generados por algn software de la RC o por los responsables de su administracin? _____________________________________________________________ 6. Existe una lnea telefnica disponible las veinticuatro horas del da para atencin de quejas y dudas de los usuarios de la RC? _____________________________________________________________
172
7. Hay un procedimiento formal para dar un servicio oportuno y eficiente a los requerimientos de los usuarios? SI NO
8. La RC cuenta con controles de acceso para personas no autorizadas (equipo, datos y software)? SI NO
8.1 En caso de tener esos controles, estn diseados para prevenir, detectar o corregir el acceso no autorizado a la RC? SI NO
8.2 Si es as, cules son esos controles y quines son los responsables de darles seguimiento? _____________________________________________________________ _____________________________________________________________
Proteccin a datos transmitidos a travs de la RC Proteccin a los componentes de la RC Mtodos para prevenir el monitoreo no autorizado de la RC Deteccin inmediata y automatizada de accesos no autorizados a la RC Contraseas que autoricen el acceso a la RC y eviten la entrada en archivos no autorizados Otros
173
9. Existen controles relativos a la seguridad fsica de los diversos componentes de la RC (tarjetas, terminales, manuales software, documentacin) SI NO
9.1 En caso de existir esos controles Cmo se aseguran los responsables de darles seguimiento? _____________________________________________________________ _____________________________________________________________
Proteccin adecuada de los componentes de la RC (Cables, tarjetas, terminales, servidores) Guardias o personal que vigile el acceso al centro de telecomunicaciones Bitcoras de acceso en las reas conectadas a la RC Mtodos de control de acceso como pases, tarjetas de identificacin, puertas con candados, monitores entreoros. Listado del personal con acceso autorizado a las terminales y controladores de la RC Otros
11. Hay alternativas que apoyen a la empresa en caso de una falla generalizada y prolongada de la RC? SI NO
174
13. Se han tomado en cuenta algunas recomendaciones complementarias que ayuden al mejoramiento continuo de la RC del negocio como las siguientes:
Evaluacin peridica de la RC hardware, software, grado de satisfaccin, grado de utilizacin. Acceso a la RC: nuevos usuarios, niveles de acceso por perfiles de usuario, asignaciones de software o datos para utilizar, consultar, modificar, borrar. Aspectos administrativos: administrador u operadores (tareas, sueldo, capacitacin, vacaciones, reemplazos) Capacitacin: plantacin, ejecucin y actualizacin Crecimiento de la RC: multiplexores, enlaces, usuarios, mdems y medios de transmisin. Respaldo: datos, equipo, medio de transmisin, software. Seguridad. Controles, procedimientos, software de auditoria, niveles de acceso, planes de contingencia, plan de reinicializacin y recuperacin Otros
175
ANEXO 9
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
ANEXO 10
196
UBICACIN Y CONSTRUCCIN DEL CENTRO DE CMPUTO 1. El edificio donde se encuentra la computadora est situado a salvo de: Inundacin? Terremoto? Fuego? Sabotaje? () () () () SI ( ) NO ( )
3. Describa brevemente la construccin del centro de cmputo; de preferencia tomando en cuenta el material con que fue construido, as como el equipo (muebles, sillas, etc.) del centro. _____________________________________________________________ 4. Tiene el cuarto de mquinas una instalacin de escaparate y, si es as, pueden ser rotos los vidrios con facilidad? SI ( ) NO ( ) 5. Est el centro de cmputo en un lugar de alto trfico de personas? SI ( ) NO ( ) 6. Se tiene materiales o paredes inflamables dentro del centro de cmputo? SI ( ) NO ( ) 7. Se tiene paredes que despiden polvo? SI ( ) NO ( ) 8. Se tiene paredes que no estn adecuadamente selladas? SI ( )
NO ( )
9. Se tiene grandes ventanales orientados a la entrada o salida del sol? SI ( ) NO ( ) 10. Existe lugar suficiente para los equipos? 11. Esta sobre saturada la instalacin? SI ( ) SI ( ) NO ( ) NO ( )
12. Se tiene lugar previsto? Este es el adecuado para: Almacenamiento de equipos magnticos SI ( ) NO ( ) Formatos y papel para impresora SI ( ) NO ( ) Mesas do trabajo y muebles SI ( ) NO ( ) rea y mobiliario para mantenimiento SI ( ) NO ( ) Equipo de telecomunicaciones SI ( ) NO ( ) rea de programacin SI ( ) NO ( ) Consolas del operador SI ( ) NO ( ) rea de recepcin SI ( ) NO ( ) Microcomputadoras SI ( ) NO ( ) Fuentes de poder. SI ( ) NO ( ) Bveda de seguridad (bveda antiincendio bajo mxima proteccin). SI ( ) NO ( )
197
PISO ELEVADO O CMARA PLENA 13. Se tiene piso elevado? En caso afirmativo: 14. Est limpia la cmara plena? 15. Es de fcil limpieza? 16. El piso es antiesttico? AIRE ACONDICIONADO 17. La temperatura en la que trabajan los equipos es la recomendada por el proveedor? SI ( ) NO ( ) 18. Los ductos del aire acondicionado cuentan con alarmas contra Intrusos? SI ( ) NO ( ) 19. Los doctos de aire acondicionado estn limpios? SI ( ) NO ( ) SI ( ) SI ( ) SI ( ) NO ( ) NO ( ) NO ( ) SI ( ) NO ( )
20. Se controla la humedad de acuerdo con las especificaciones del proveedor? SI ( ) NO ( ) 21. De qu forma? _____________________________________________________________ 22. Con qu periodicidad? _____________________________________________________________ INSTALACIN ELCTRICA Y SUMINISTRO DE ENERGA 23. Se cuenta con tierra fsica? SI ( ) NO ( )
24. La tierra fsica cumple con las disposiciones del proveedor de equipos de cmputo? SI ( ) NO ( ) 25. El cableado se encuentra debidamente instalado? SI ( ) NO ( )
26. Los cables se encuentran debidamente identificados (positivo, negativo, fsica)? SI ( ) NO ( ) 27. Los contactos de equipo de cmputo estn debidamente identificados? SI ( ) NO ( ) 28. En los contactos, est identificado el positivo, negativo y tierra fsica? SI ( ) NO ( )
198
29. Se cuenta con los planos de instalacin elctrica actualizados? SI ( ) NO ( ) 30. Se tiene conectado a los contactos de equipo de cmputo otro equipo electrnico SI ( ) NO ( ) 31. Se tiene instalacin elctrica de equipo de cmputo independiente de otras instalaciones elctricas? SI ( ) NO ( ) 32. Se tiene precaucin contra fauna nociva? SI ( ) NO ( )
33. El equipo contra fauna nociva est debidamente protegido y cuidado para no producir problemas al personal? SI ( ) NO ( ) 34. Se utiliza material antiesttico? SI ( ) NO ( )
NO ( )
36. Se verifica la regulacin de las cargas mximas y mnimas? SI ( ) NO ( ) En caso positivo, con qu periodicidad? _____________________________________________________________ 37. Se tiene equipo ininterrumpidle? SI ( ) NO ( )
38. Dura el tiempo suficiente para respaldar los archivos o para continuar el proceso? SI ( ) NO ( ) 39. Se tiene generadores de corriente ininterrumpida? SI ( ) En caso positivo, de qu tipo? 40. Se prueba su funcionamiento? En caso positivo, con qu periodicidad? SI ( ) NO ( )
NO ( )
41. Se tiene switch de apagado en caso de emergencia en lugar visible? SI ( ) NO ( ) 42. Los cables estn dentro de paneles y canales elctricos? SI ( ) 43. Existen tableros de distribucin elctrica? SI ( )
NO ( ) NO ( )
199
SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA 44. .Se cuenta con alarmas contra inundaciones? SEGURIDAD DE AUTORIZACIN DE ACCESOS 45. Se han adoptado medidas de seguridad en la direccin de informtica? SI ( ) NO ( ) 46. Existe una persona responsable de la seguridad? SI ( ) 47. Existe personal de vigilancia en la institucin? SI ( ) NO ( ) NO ( ) SI ( ) NO ( )
48. Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 49. Se controla el trabajo fuera de horario? SI ( ) NO ( )
50. Se registran las acciones de los operadores para evitar que realicen alguna operacin que pueda daar el sistema? SI ( ) NO ( ) 51. Se identifica a la persona que ingresa? SI ( ) NO ( )
52. De qu forma? _____________________________________________________________ 53. Cmo se controla el acceso? Vigilante. Recepcionista. Tarjeta de control de acceso. Puerta de combinacin. Puerta con cerradura. Puerta electrnica. Puerta sensorial. Registro de entradas. Puertas dobles. Escolta controlada. Alarmas. Tarjetas magnticas. Control biomtrico. Identificacin personal. () () () () () () () () () () () () () ()
NO ( )
55. Se ha instruido a estas personas sobre qu medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI ( ) NO ( )
200
56. Son controladas las visitas y demostraciones en el centro de cmputo? SI ( ) NO ( ) Cmo son controladas? _____________________________________________________________ 57. Se registra el acceso al cuarto de personas ajenas a la direccin de informtica SI ( ) NO ( ) DETECCIN DE HUMO Y FUEGO. EXTINTORES 58. Existe alarma para: Detectar fuego (calor o humo) en forma automtica? Avisar en forma manual la presencia del fuego? Detectar una fuga de agua? Detectar magnetos? No existe? 59. Estas alarmas estn: En el cuarto de mquinas? En la cintoteca y discoteca? En las bodegas? En otros lados? () () () () () () () () ()
60. Existe alarma para detectar condiciones anormales del ambiente: En el cuarto de mquinas? () En la cintoteca y discoteca? () En la bodega? () En otros lados? () Cules? _______________________________________________________ 61. La alarma es perfectamente audible? 62. La alarma est conectada: Al puesto de guardias? A la estacin de bomberos? A algn otro lado? Otro. 63. Existen extintores de fuego: Manuales? Automticos? No existen. () () () () SI ( ) NO ( )
() () ()
201
65. Los extintores, manuales o automticos, funcionan a base de: Agua Gas Otros () () ()
66. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores SI ( ) NO ( ) (NOTA: Verifique el nmero de extintores y su estado.) ________________ 67. Si es que existen extintores automticos, son activados por los detectores automticos de fuego? SI ( ) NO ( ) 68. Si los extintores automticos son a base de agua, se han tomado medidas para evitar que el agua cause ms dao que el fuego? SI ( ) NO ( ) 69. Si los extintores automticos son a base de gas, se han tomado medidas para evitar que el gas cause ms dao que el fuego? S ( ) NO ( ) 70. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automticos, para que el personal: Corte la accin de los extintores por tratarse de falsa alarma? SI ( ) Pueda cortar la energa elctrica? SI ( ) Pueda abandonar el local sin peligro de intoxicacin? SI ( ) Es inmediata su accin? S ( )
NO ( ) NO ( ) NO ( ) NO ( )
71. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? S ( ) NO ( ) 72. Saben qu hacer los operadores del cuarto de mquinas en caso de que ocurra una emergencia ocasionada por fuego? SI ( ) NO ( ) 73. El personal ajeno a operacin sabe qu hacer en el caso de una emergencia (incendio)? S ( ) NO ( ) 74. Existe salida de emergencia? SI ( ) NO ( ) 75. Esta puerta slo es posible abrirla: Desde el Interior? () Desde el exterior? () Por ambos lados? () 76. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de tas ventanas, si es que existen? SI ( ) NO ( )
202
77. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 78. Se han tomado medidas para minimizar la posibilidad de fuego: Evitando artculos inflamables en el cuarto de mquinas? () Prohibiendo fumar? () Vigilando y manteniendo el sistema elctrico? () No se ha previsto. () 79. Se tienen identificadas y sealadas las salidas de emergencia? SI ( ) NO ( ) 80. Se encuentran las sealizaciones en la parte inferior y superior de los pasillos? SI ( ) NO ( ) 81. Se cuenta con mscaras contra gases o sistemas porttiles de oxgeno? SI ( ) NO ( ) 82. Se tiene bveda contra incendio? SEGURIDAD EN GENERAL 83. Se controla el prstamo de: Elementos magnticos? () Equipo? () Software? () 84. Explique la forma en que se ha clasificado la informacin: vital, esencial, no esencial, etctera. _____________________________________________________________ 85. Se cuenta con copias de los archivos en un lugar distinto al de la computadora? SI ( ) NO ( ) 86. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de seguridad, etc.) para garantizar su integridad en caso de incendio, inundacin, terremoto, etctera. __________________________ __________________________ 87. Se tienen establecidos procedimientos de actualizacin para estas copias? SI ( ) NO ( ) 88. Indique el nmero de copias que se tienen, de acuerdo con la forma en que se clasifica la informacin. _________________________________ 89. Existe departamento de auditora interna en la institucin? SI ( ) NO ( ) S ( ) NO ( )
203
90. Este departamento de auditora Interna conoce todos los aspectos de los sistemas? SI ( ) NO ( ) 91. Qu tipos de controles ha propuesto? 92. Se cumplen? 93. Se auditan los sistemas en operacin? 94. Con qu frecuencia?: Cada seis meses. Cada ao. Otra (especifique). SI ( ) SI ( ) NO ( ) NO ( )
() () ()
95. Cundo se efectan modificaciones a los programas, a iniciativa de quin?: Usuario. () Director de informtica. () Jefe de anlisis. () Programador. () Otras (especifique). _____________________________________________________________ 96. La solicitud de modificaciones a los programas se hacen en forma: Oral. () Escrita. () (En caso de ser escrita solicite formatos.) 97. Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI ( ) NO ( ) 98. Existe control estricto en las modificaciones? SI ( ) NO ( )
99. Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? SI ( ) NO ( ) 1OO. Se verifica identificacin: De la Terminal? Del usuario? No se pide identificacin. () () ()
NO ( )
102. Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa Terminal y se d aviso al responsable de ella? SI ( ) NO ( )
204
103. Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI ( ) NO ( ) 104. Existen controles y medidas de seguridad sobro las siguientes operaciones? SI ( ) NO ( ) Cules son? Recepcin de documentos. Informacin confidencial, Captacin de documentos. Cmputo electrnico. Programas. Discotecas y cintotecas. Documentos de salida. Archivos magnticos. () () () () () () () ()
205
ANEXO 11
206
ORGANIZACIN
BASES JURIDICAS
Se ajusta la estructura orgnica actual a las disposiciones jurdicas vigentes? No, por qu razn? SI NO
_____________________________________________________________ Cules son los ordenamientos legales en que se sustenta la direccin? _____________________________________________________________ OBJETIVO DE LA ESTRUCTURA
La estructura actual est encaminada a la consecucin de los objetivos del rea? Explique en qu forma. _____________________________________________________________
Permite la estructura actual que se lleven a cabo con eficiencia: Las atribuciones encomendadas? Las funciones establecidas? La distribucin del trabajo? El control Interno? SI SI SI SI NO NO NO NO
NIVELES JERRQUICOS Los niveles jerrquicos establecidos actualmente son necesarios y suficientes para el desarrollo de las actividades del rea? SI NO
207
Permiten los niveles jerrquicos actuales que se desarrolle adecuadamente la: Operacin? Supervisin? Control? SI SI SI NO NO NO
Permiten los niveles actuales que se tenga una gil: Comunicacin ascendente? Comunicacin descendente? Toma de decisiones? SI SI SI NO NO NO
Considera que algunas reas deberan tener: Mayor jerarqua? Menor jerarqua? SI SI NO NO
DEPARTAMENTALIZACIN
Se consideran adecuados los departamentos, reas y oficinas en que est dividida actualmente la estructura de la direccin? SI NO
208
PUESTOS
Los puestos actuales son adecuados a las necesidades que tiene el rea para llevar a cabo sus funciones? SI NO
El nmero de empleados que trabaja actualmente es adecuado para cumplir con las funciones encomendadas? SI NO
No, cul es el nmero de personal que considerara adecuado? Seale el puesto o los puestos. _____________________________________________________________
EXPECTATIVAS
209
De realizar una modificacin a la estructura, cundo considera que debera hacerse? _____________________________________________________________ AUTORIDAD
Existe en el rea algn sistema de sugerencias y quejas por parte del personal? SI NO
210
EXISTENCIA
Las funciones estn de acuerdo con las atribuciones legales? SI Por qu no estn de acuerdo? _____________________________________________________________ NO
211
COINCIDENCIAS
Conocen otras reas las funciones del rea? SI No, por qu? _____________________________________________________________ Considera que se deben dar a conocer? S No, por qu? _____________________________________________________________ NO NO
212
Son adecuadas a las necesidades actuales? SI En caso negativo, por qu no? _____________________________________________________________ NO
213
CUMPLIMIENTO
SI
NO
A nivel de departamento?
SI
NO
A nivel de puesto?
SI
NO
Las actividades que realiza el personal son acordes a las funciones que tiene asignadas? SI NO
No, qu tipo de actividades realiza que no estn acordes a as funciones asignadas? _____________________________________________________________
Las actividades que realiza actualmente cumplen en su totalidad con las funciones conferidas? SI NO
214
Cargas de trabajo excesivas. Porque realiza otras actividades. La forma en que las ordena.
Si SI S
NO NO NO
Cules funciones realiza en forma: Peridica? _____________________________________________________________ Eventual? _____________________________________________________________ Sistemtica? _____________________________________________________________ Otras? _____________________________________________________________
Permiten cumplir con los programas y tareas encomendadas (necesidades de operacin)? No, por qu causas? _____________________________________________________________ Quin es el responsable de ordenar que se ejecuten las actividades? _____________________________________________________________ SI NO
En caso de realizar otras actividades, quin las ordena y autoriza? _____________________________________________________________ En caso de no encontrarse el jefe inmediato, quin lo puede realizar? _____________________________________________________________
215
APOYOS
Para cumplir con sus funciones requiere de apoyos de otras reas? SI De qu tipo? _____________________________________________________________ Cul es el rea que proporciona el apoyo? _____________________________________________________________ NO
NO
Para cumplir con sus funciones, proporciona apoyos a otras reas? S S, qu tipo de apoyo proporciona? _____________________________________________________________ NO
216
DUPLICIDAD Existe duplicidad de funciones en la misma rea? SI S, qu conflictos ocasiona y cules funciones? _____________________________________________________________ Existe duplicidad de funciones en otras reas? S S, cules y dnde? _____________________________________________________________ NO NO
La duplicidad de funciones se debe a que el rea no puede realizarlas? SI Si, cul es la razn? _____________________________________________________________ NO
NO
_____________________________________________________________
NO
_____________________________________________________________
217
EXISTENCIA
Cul fue el mtodo para el establecimiento de los objetivos? _____________________________________________________________ Particip el rea en su establecimiento? S NO
Los objetivos establecidos son congruentes con: Los de la direccin? Los de la subdireccin? Los del departamento/oficina? SI S SI NO NO NO NO
NO
Considera importante que se establezcan. SI Es responsabilidad de otra rea establecer los objetivos. SI Cual? _____________________________________________________________ NO NO
218
FORMALES
Se han definido por escrito los objetivos del rea? SI En qu documentos? (Recabarlos.) _____________________________________________________________ Por qu no estn definidos por escrito? _____________________________________________________________ NO
CONOCIMIENTO
NO
Quin ms debera conocerlos? _____________________________________________________________ Qu mtodo se ha utilizado para dar a conocer los objetivos?
219
Cmo afecta a la operacin del rea el hecho de que los objetivos no se hayan dado a conocer o que su conocimiento sea parcial? _____________________________________________________________
ADECUADOS Abarcan los objetivos toda la operacin del rea? SI Qu aspectos no se cubren? _____________________________________________________________ NO
SI
NO
Son realistas?
SI
NO
Se pueden alcanzar?
SI
NO
SI
NO
SI
NO
220
CUMPLIMIENTO
Existen mecanismos para conocer el grado de cumplimiento de los objetivos? SI S, cules? _____________________________________________________________ NO
221
Qu sugerencia puede hacer para lograr el cumplimiento total de los objetivos? _____________________________________________________________
ACTUALIZACIN
SI
NO
_____________________________________________________________
Participa el rea en la actualizacin de los objetivos? SI Cundo so hizo la ltima revisin de los objetivos? _____________________________________________________________ NO
Qu sugerencias tiene para que la actualizacin de los objetivos sea ms eficaz? _____________________________________________________________
222
DESEMPEO Y CUMPLIMIENTO
Es adecuada la calidad del trabajo del personal? S No, por qu? _____________________________________________________________ NO
223
Alguna de las situaciones anteriores provoca un desequilibrio de las cargas de trabajo? Si, qu se hace al respecto? _____________________________________________________________ SI NO
Existe cooperacin por parte del personal para la realizacin del trabajo? SI No, por qu? _____________________________________________________________ NO
NO
224
CAPACITACIN
Los programas de capacitacin incluyen al personal de: Direccin. Anlisis. Programacin. Operacin. Administracin. Administrador de bases de datos. Comunicaciones redes. Captura. Otros (especifique). ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
_____________________________________________________________
Se han identificado las necesidades actuales y futuras de capacitacin del personal del rea? SI NO
No, por qu? _____________________________________________________________ Se desarrollan programas de capacitacin para el personal del rea? SI No, por qu? _____________________________________________________________ Apoya la superioridad la realizacin de estos programas? SI NO NO
225
Se evalan los resultados de los programas de capacitacin? SI No, por qu? _____________________________________________________________ NO
SUPERVISIN
226
LIMITANTES
Cules son los principales factores internos que limitan el desempeo del personal? _____________________________________________________________
Cules son los principales factores externos que limitan el desempeo del personal del rea? _____________________________________________________________
Anlisis? Operacin? Administracin? Captura? Programacin? Direccin? Administracin de bases de datos? Comunicaciones redes? Tcnicos? Otros? (especifique).
( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( )
_____________________________________________________________
227
Existe una poltica uniforme y consistente para sancionar la indisciplina del personal? SI NO
SI
NO
Otras reas externas presentan quejas sobre la capacidad y/o atencin del personal del rea? SI NO
Se apoyan en l para solucionar los conflictos laborales? SI No, por qu? _____________________________________________________________ NO
228
Cmo son las relaciones laborales del rea con el sindicato? _____________________________________________________________
REMUNERACIONES
AMBIENTE
El personal est integrado como grupo de trabajo? SI No, por qu? _____________________________________________________________ NO
229
Son adecuadas las condiciones ambientales con respecto a: Espacio del rea? Iluminacin? Ventilacin? Equipo de oficina? Mobiliario? Ruido? Limpieza y/o aseo? Instalaciones sanitarias? Instalaciones de comunicacin? SI SI SI SI SI SI SI SI SI NO NO NO NO NO NO NO NO NO
230
Est prevista la sustitucin del personal clave? SI No, por qu? _____________________________________________________________ NO
DESARROLLO Y MOTIVACIN
Cmo se lleva a cabo la introduccin y el desarrollo del personal del rea? _____________________________________________________________
Cmo se realiza la motivacin del personal del rea? _____________________________________________________________ Cmo se estimula y se recompensa al personal del rea? _____________________________________________________________
231
PRESUPUESTOS 1. Cul es el gasto total anual del rea de informtica incluyendo renta del equipo y administracin del centro de cmputo (gastos directos o indirectos)? _____________________________________________________________ 2. Existe un sistema de contabilidad de costos por: Usuario? Por aplicacin? ( ) ( )
4. Los reportes de costo permiten la comparacin de lo gastado en la direccin de informtica contra lo presupuestado? SI NO
5. Cite a los principales proveedores de su direccin en materia de: Proveedor Mobiliario en general Consumibles Equipo Software Mantenimiento Equipo auxiliar Papelera Cintas, discos, etctera 6. Cules cargos adicionales se manejan por separado fuera del contrato? Ponga una X en ellos. Utilizacin del equipo Servicio de mantenimiento Capacitacin del personal Asesora en sistemas de cmputo Gastos de instalacin del equipo ( ) ( ) ( ) ( ) ( ) Volumen anual
232
Impuestos federales, estatales, municipales y especiales Seguros de trasporte y compra de equipo. Otros (especifquelos)
( ) ( ) ( )
_____________________________________________________________
Compra del equipo. Renta del equipo. Renta con opcin a compra. Renta de tiempo mquina. Maquila. Otro, cul?
( ) ( ) ( ) ( ) ( ) ( )
_____________________________________________________________
( ) ( ) ( ) ( ) ( )
_____________________________________________________________
FORMULACIN
233
ADECUACIN
Los recursos financieros con que cuenta el rea, son suficientes para alcanzar los objetivos y metas establecidos? SI NO
No, qu efectos se han tenido en el rea al no contar con suficientes recursos financieros? _____________________________________________________________
No, en qu aspectos no se respetan? _____________________________________________________________ ADECUACIN Los recursos materiales que se le proporcionan al rea, son suficientes para cumplir con las funciones encomendadas? SI NO
234
Cules son las principales limitaciones que tiene el rea en cuanto a los recursos materiales? _____________________________________________________________
SERVICIOS GENERALES Existe un programa sobre los servicios generales que requiere el rea? SI NO
Considera los servicios generales que se proporcionan al rea: Adecuados? Suficientes? Oportunos? SI SI SI NO NO NO
En caso de que alguna de las respuestas sea negativa especifique cul es la deficiencia. _____________________________________________________________ Qu sugerencias hara para superar las limitaciones actuales? _____________________________________________________________
MOBILIARIO Y EQUIPO
Se cuenta con el equipo y mobiliario adecuados y en cantidad suficiente para desarrollar su trabajo? Por qu? _____________________________________________________________ Estn adecuadamente distribuidos en el rea de trabajo? _____________________________________________________________ SI NO
235
SI
NO
Cules? _____________________________________________________________ No, por qu? _____________________________________________________________ Qu se hace con el equipo en desuso? _____________________________________________________________ Sobre quin recae la responsabilidad del equipo? _____________________________________________________________ Con qu frecuencia se renuevan el equipo y mobiliario? _____________________________________________________________ Se recogen opiniones y sugerencias que nos permitan establecer las medidas correctivas con las cuales lograr un mejor funcionamiento de estos recursos? _____________________________________________________________
236
ANEXO 12
237
238
ANEXO 13
239
240
ANEXO 14
241
242
243
ANEXO 15
244
245
246
247
248
249
250
251
252
253
254
255
256
257
ANEXO 16
258
259
ANEXO 17
260
261
ANEXO 18
262
263
ANEXO 19
264
265
266
267
268
269
270
271
272
273
274
275
276
ANEXO 20
277
Estructuras de tablas ARCHIVO TEXTO CAMPO FPZTIP FPZFPR FPZHPR FPZSTS FPZUPR FPZFAC FPZHAC
LONG 1 8 4 1 10 8 6
DECIMALES
TEXTO 0 M=MANUL,A=AUTOMATICO 0 FEC.A PROCESAR 0 HORA INIC.PROCESO 0 P=PROCESA,G=GENERAND 0 USUARIO Q PROCESA 0 FECHA PROCESO 0 HORA PROCESO
ARCHIVO TEXTO CAMPO PLAUME PLANUM PLAHIC PLAFEC PLAUOR PLADEP PLAMED PLAMET PLADIA PLACID PLASTS PLASTP PLAUSR PLAFEH PLAWST ARCHIVO TEXTO CAMPO PLAUME PLANUM PLAHIC PLATIP PLASEC PLACOD PLACOP PLACOX PLADEX PLACAN PLAVTO PLAORD PLAINH PLAFIH PLAAX1 PLAAX2 PLANU1 PLANU2 LONG 6 4 5 3 3 16 40 40 6 7 7 5 5 5 40 40 8 8 DECIMALES LONG 6 4 5 5 6 6 5 5 7 10 3 3 10 5 10 DECIMALES
PLAFGH CABECERA DE PLANILLAS TEXTO 0 UNIDAD MEDICA 0 NUM PLANILLA 0 HISTORIA CLINICA 0 FECHA 0 UNIDAD ORIGEN 0 DEPENDENCIA 0 MEDICO 0 MEDICO TRATANTE 0 DIAGNOSTICO 0 CEDULA 0 ESTADO 0 EST.PLANILLA ALTER 0 USER 0 FECHA 0 ESTACION PLAFGD DETALLE DE PLANILLAS TEXTO 0 UND MEDICA 0 NUM PLANILLA 0 HISTORIA CLINICA 0 TIPO 0 ORDINAL 0 CODIGO 0 CODIGO OPERACION 1 0 CODIGO OPERACION 2 0 DEPENDENCIA SOLICITA 2 CANTIDAD 2 VALOR TOTAL 0 NUMERO ORDEN 0 FEC.INI HOSPI 0 FEC.FIN HOSPI 0 CARACT AUX1 0 CARACT AUX2 0 NUMERO AUX1 2 NUMERO AUX2
278
ARCHIVO TEXTO CAMPO FPLUME FPLFPL FPLNPL FPLHCL FPLNNO FPLTPL FPLSTS FPLNOM FPLDER FPLGRU FPLSGR FPLTAF FPLNBO ARCHIVO TEXTO CAMPO FNCSNO FNCUME FNCNAT FNCNGL FNCFNO FNCNBO FNCFBO FNCHCL FNCPPA FNCEMP FNCDIE FNCCIE FNCTEP FNCBAS FNCFRN FNCCRL FNCNRL FNCFIC FNCNIC FNCFTC FNCNTC FNCOBS FNCCE1 FNCCE2 FNCCE3 FNCCE4 FNCNSE FNCUSU FNCFAC FNCHAC FNCWAC FNCPAC LONG 3 6 5 5 5 4 5 5 7 40 30 4 5 30 5 7 40 5 5 5 5 200 8 8 40 40 1 10 5 3 10 10 DECIMALES LONG 6 5 4 5 5 1 1 40 1 10 4 10 4 DECIMALES
FPLANI INFORMACION DE PLANILLAS TEXTO 0 Unidad Mdica 0 Fecha de Planilla 0 Nmero de Planilla 0 Historia Clnica 0 NUMERO NOTIFICAC 0 Tipo de Planilla 0 ESTADO Planilla 0 NOMBRE AFILIADO 0 ESTADO DE DERECHO 0 GRUPO AFILIADOS 0 SUBGRUPO AFILIADOS 0 TIPO AFILIADO 0 NO.BOLETIN FNOTIC NOTIFICACIONES CABECERAS TEXTO 0 Status Notificaciones 0 Unidad Mdica 0 Nmero NOTIFICACION 0 Nmero Glosa 0 Fecha EMIS.NOTIFIC 0 Nmero Boletn 0 Fecha BOLETIN 0 Historia Clnica 0 NUMERO PATRONAL 0 INSTITUCION/NOMBRE 0 DIRECCION INST/PAC 0 CIUDAD INST/PAC 0 FONO PAC/INS 0 BASE LEGAL 0 Fecha Notificacin 0 CEDULA RESP.LEGAL 0 NOMBRE RESPON.LEGAL 0 Fecha ING.CAJA 0 NUM ING.CAJA 0 Fecha TIT.CRED 0 NUM TIT.CRED 0 OBSERVACIONES 2 Campo Extra 1 2 Campo Extra 2 0 OBSERVACION DE RESPONSABILI 0 Campo Extra 4 0 Nivel Seguridad 0 Usuario 0 Fecha actualizacin 0 Hora Actualizacin 0 Pantalla Actualizacin 0 PROGRAMA Actualizacin
279
ARCHIVO TEXTO CAMPO FNDUME FNDNAT FNDTIT FNDVFA FNDCE1 FNDCE2 FNDCE3 FNDCE4 FNDNSE FNDUSU FNDFAC FNDHAC FNDWAC FNDPAC LONG 6 5 20 7 8 8 40 40 1 10 5 3 10 10 DECIMALES
FNOTID NOTIFCACIONES DETALLE TEXTO 0 Unidad Mdica 0 Nmero NOTIFICACION 0 Tipo de ATENCION 2 Valor Notificado 2 Campo Extra 1 2 Campo Extra 2 0 Campo Extra 3 0 Campo Extra 4 0 Nivel Seguridad 0 Usuario 0 Fecha actualizacin 0 Hora Actualizacin 0 Pantalla Actualizacin 0 PROGRAMA Actualizacin
ARCHIVO TEXTO CAMPO PLANPL PLANNO PLANGL PLANCU PLATAT PLAVAT PLASTS PLAUSR PLAFEC PLAHOR PLAWST ARCHIVO TEXTO CAMPO FFCSFA FFCUME FFCNAT FFCNGL FFCSEC FFCNFA FFCFFA FFCNBO FFCHCL FFCPPA FFCCE1 FFCCE2 FFCCE3 FFCCE4 FFCNSE FFCUSU LONG 3 6 5 5 2 4 5 4 5 4 8 8 40 40 1 10 DECIMALES LONG 4 5 5 2 20 7 3 10 5 8 10 DECIMALES
PLAFTT PLANILLAS POR FACTURAR TEXTO 0 NUM PLANILLA 0 NUM NOTIF 0 NUM GLOSA 0 SEC CUOTA 0 ATENCION 2 VALOR ATEN 0 ESTADO 0 USARIO 0 FECHA 0 HORA 0 ESTACION FFACTC CABECERA DE FACTURAS TEXTO 0 Status Facturas 0 Unidad Mdica 0 Nmero NOTIFICA 0 Nmero GLOSA 0 SECUENCIA GLOSA 0 Nmero Factura 0 Fecha Factura 0 Nmero Boletn 0 Historia Clnica 0 Identificacion Pagador 2 Campo Extra 1 2 Campo Extra 2 0 Campo Extra 3 0 Campo Extra 4 0 Nivel Seguridad 0 Usuario
280
5 3 10
ARCHIVO TEXTO CAMPO FFDSFA FFDUME FFDNAT FFDNFA FFDFFA FFDTAT FFDCDE FFDTIT FFDCGR FFDCSU FFDCGE FFDCCO FFDCSM FFDTSD FFDSSD FFDTOR FFDIOR FFDCFA FFDVFA FFDCOS FFDCE1 FFDCE2 FFDCE3 FFDCE4 FFDNSE FFDUSU FFDFAC FFDHAC FFDPAC LONG 3 6 5 4 5 1 6 1 2 2 2 2 8 2 2 2 30 5 7 7 8 8 40 40 1 10 5 3 10 DECIMALES
FFACTD FACTURAS DETALLE TEXTO 0 Status Registro 0 Unidad Mdica 0 Nmero Atencin 0 Nmero Factura 0 Fecha Factura 0 Tipo Atencion 0 Cdigo Dependencia 0 Tipo de Items 0 Cd. Grupo 0 Cd. Subgrupo 0 Cd. Genrico 0 Cd. Comercial 0 Cdigo Serv.Mdico 0 Tipo Serv. Despacho 0 Subtipo Serv. Despacho 0 Tipo de Orden 0 Item Ordenado 2 Cantidad Facturada 2 Valor Facturado 2 Costo Item 2 Campo Extra 1 2 Campo Extra 2 0 Campo Extra 3 0 Campo Extra 4 0 Nivel Seguridad 0 Usuario 0 Fecha actualizacin 0 Hora Actualizacin 0 Pantalla Actualizacin
ARCHIVO TEXTO CAMPO FNAUME FNANAT FNANGL FNADVA FNAVVA FNASIG FNACE1 FNACE2 FNACE3 LONG 6 5 5 26 7 1 8 8 40
FNOTAD NOTIFICACIONES VALORES ADICIONALES DECIMALES TEXTO 0 Unidad Mdica 0 Nmero Atencin 0 Nmero Glosa 0 DESCRI Valor Adicional 2 Valor V.Adicional 0 SIGNO 2 Campo Extra 1 2 Campo Extra 2 0 Campo Extra 3
281
40 1 10 5 3 10 10
0 Campo Extra 4 0 Nivel Seguridad 0 Usuario 0 Fecha actualizacin 0 Hora Actualizacin 0 Pantalla Actualizacin 0 PROGRAMA Actualizacin
ARCHIVO TEXTO CAMPO COUSEC COUGLO COURSO COUDIR COUTEL ARCHIVO TEXTO CAMPO CVPUME CVPNGL CVPNCU CVPNNO CVPHCL CVPMON CVPFEG CVPTAZ CVPLET CVPINT CVPNET CVPNIC CVPFIC CVPFEP CVPFEV CVPSTS ARCHIVO TEXTO CAMPO CVPUME CVPNGL CVPNCU CVPNNO CVPHCL CVPMON CVPFEG CVPTAZ CVPLET LONG 6 5 2 5 5 7 5 3 7 DECIMALES LONG 6 5 2 5 5 7 5 3 7 7 7 5 5 5 5 3 DECIMALES LONG 5 5 30 30 5 DECIMALES
FACFCOU INFORMACION PARA EL COURIER TEXTO 0 SECUENCIAL 0 NUM GLOSA 0 RAZON SOCIAL 0 DIRECCION 0 TELEFONO FACFCVP CONVENIOS DE PAGO TEXTO 0 UNI MED 0 NUM GLOSA 0 SEC CUOTA 0 NUM NOTIF 0 HIS CLIN 2 MONTO TOT 0 FECHA GEN 2 TASA 2 MONTO CUO 2 MONTO INT 2 MONTO NETO 0 NUM.ING CAJA 0 FECHA ING CAJA 0 FECHA PAGO 0 FECHA VENC 0 ESTADO FFACAD CONVENIOS DE PAGO TEXTO 0 UNI MED 0 NUM GLOSA 0 SEC CUOTA 0 NUM NOTIF 0 HIS CLIN 2 MONTO TOT 0 FECHA GEN 2 TASA 2 MONTO CUO
282
MODELO DE DATOS
martes, 06 de febrero de 2007
IAFI01
FPLANI
PLAFTT
FFACTC
FACFCVP
FFACAD
FACFCOU
FNOTID
FTARIC
FTARID
Pgina 1
283
TIPO
DESCRIPCION
Seleccin de datos dependencias incodi Seleccin de tabla nivel 2 Incodi Seleccin de tipo de afiliado Resumen de informacin a ser liquidada- abierta Trabajar con liquid/facturac. de convenios Trabajar con liquidaciones Trabajar con facturas Identifica y marca glosas vencidas Trabajar con Glosas Generadas Consulta notificaciones detalle Trabajar con Convenios de Pago Generacin/Impresin de factura -- NOT Seleccin de datos de notificaciones Seleccin de datos de notificaciones -- CVP Trabajar con Glosas Enviadas Trabajar con Glosas Notificadas Trabajar con glosas impresas desde facturacion Genera informacin de CVP en PLAFTT y FBOLET Trabajar con Convenios de Pago Generacin/Impresin de factura CVP Parmetros Reporte de planillas x tipo afiliado Generacin informacin para la contabilidad NOT Generacin informacin para la contabilidad LIQ Generacin informacin para la contabilidad Listado de planillas por tipo de afiliado Trabajar con glosas en titulo de credito Trabajar con notificaciones vencidas Impresin de Titulo de Credito
284
FRG013B FRG015 FRG015BB FRG020 FRG050 FRG060 FRG061 FRG100 FRG101 FRG1011 FRG1012 FRG102 FRG1021 FRG103 FRG104 FRG104A FTC000 FTC001 FTC010 FTC020 FTC030 FTC040
RPG RPG RPG RPG RPGLE RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPGLE RPG RPG RPG RPG RPG RPG
Trabajar con Parmetros Generales Trabajar con Otros Parmetros Generales Seleccin de Servicios Mdicos Seleccin de Servicios Mdicos Lista Emisin de Planilla Lista Emisin de Planilla Trabajar con Consulta de Planillas - Cabeceras PREVIO DE HISTORIAS A PLANILLARSE Parametro para la generacion de planillas Parametro para la generacion de planillas BATCH Lista Emisin de Planilla Lista Emisin de Planilla Lista Detalle de Otras Unidades Trabajar con planillas generadas-detalles GENERA PLANILLA INDIVIDUAL GENERA NOTIFICACIN INDIVIDUAL Seleccin Tipo de reporte de facturacion Lista Detalle de Facturacin X Sevicio Seleccin de Servicios Mdicos 2da Parte Lista Detalle de Facturacin X Servicio Mdico Seleccionar Tipos de Afiliado Lista Detalle de Facturacin X Tipo de Afiliado Lista Detalle de Facturacin X Fecha Parmetros Reporte por Dependencias Listado de FACTURACION POR DEPENDENCIA Trabajar con Tarifarios (cabecera) Trabajar con Tarifarios (cabecera) Creacin de Tarifarios (Cabecera) Modificacin de Tarifarios (Cabecera) Seleccin de Mrgenes de proyeccin Eliminacin de Tarifarios (Cabecera)
285
FTC050 FTC080 FTC100 FTD000 FTD0001 FTD060 FTD200 FTD260 FTI000 FTI002 FTI010 FTI012 FTI013 FTI020 FTI022 FTI023 FTI030 FTI040 FTI042 FTI050 FTI060 FTI070 FTI080 FTI090 FVA000 FVA010 FVA020 FVA030 FVA040 FVA050 FVA060 FVA070 FVA080
RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG RPG
Visualizar Tarifarios (Cabecera) Generacin de Tarifas Bodegas Proceso que graba en tarifarios Trabajar con Tarifarios (Detalle)Artculos Selecciona Tipo de Items para Tarifario (Detalle) Impresin de Tarifarios Frmacos/Medicamentos Trabajar con Tarifarios (Detalle) Serv.ADT Reporte de Servicios ADT Trabajar con Sub-Tipos de Paciente Trabajar con GRUPOS de Paciente Creacin de Subtipos de Pacientes Creacin de Grupos de Paciente Trabajar con Sub-Tipos de Paciente Modificar Sub-Tipos de Paciente Modificar Grupos de Paciente Asignar tipos de afiliados a subgrupo de pacientes Reactivar Sub-Tipos de Paciente Eliminar Sub-Tipos de Paciente Eliminar Grupos de Paciente Consultar Sub-Tipos de Paciente Lista Tipos/Subtipos de Paciente Inactivar Sub-Tipos de Paciente Relacin con Tarifarios Relacin con Valores Adicionales Trabajar con Valores Adicionales Creacin de Valores Adicionales Modificar Valores Adicionales Reactivar Valores Adicionales Eliminacin de Valores Adicionales Consultar Valores Adicionales Lista Valores Adicionales Inactivar Valores Adicionales Relacin con Tipos de
286
TEMTRF
RPGLE
Paciente Copiar Valores Adicionales Seleccin - Valores Adicionales generar archivo para materiales Determina Tarifa por Item Conversion de Nmeros a letras - bkp 16-feb06 Impresion de la factura Trabajar con planillas generadas-detalles Resumen de informacin a ser facturada- abierta Trabajar con planillas generadas-totales CARGA ARCHIVO DE REGISTROS SOLO DE TRF SIN ALTAS
287
PROGRAMA
FACCNOR FACCON FACFAC FACGER CLP FACPRI CLP FACTES CLP FACTNOR FRG000C FRG013AC CLP FRG013C CLP FRG060C CLP FRG104AC CLP FRG104C CLP FRG15CA CLP FTC100C CLP FTD000C CLP REPGEN CLP CLP CLP CLP CLP CLP
TIPO
DESCRIPCION
Somete listado planillas x tipos afiliado MENU TESORERIA para contabilizacion de glosas MENU FACTURACION MENU GENERAL DEL SISTEMA MENU GENERAL DEL SISTEMA MENU TESORERIA MANEJO DE GLOSAS 'Genera archivo y ejecuta listado Ejecuta consulta de planillas Somete generacin de reporte planillas Somete generacin de reporte planillas Somete generacin planilla individual Somete generacin de reporte planillas Somete generacin de reporte planillas Somete generacin de reporte planillas Ingreso de archivo para subir tarifarios PARA CONSULTAR ITEMS DE BODEGAS MENU GENERAL DE REPORTES
288
ANEXO 21
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
INDICE
DESCRIPCION DEL PROYECTO
Descripcin general 1
1
1 1 2 2 2 2 3 3 3 3 3 3
TABLA DE DISTRIBUCIN DE PUNTOS DE VOZ Y DATOS DIAGRAMA UNIFILAR DE ENLACES DE F. O Y CABLE MULTIPAR
5 6
8
8
ANEXO 2
Certificacin de Puntos de Voz y Datos
9
9
317
DESCRIPCION DEL PROYECTO Descripcin general El proyecto se lo realiz en su totalidad con productos certificados (UL) categora 6 marca Hubbell en lo que corresponde a equipos pasivos como cable, conectores , patch panels, face plates y patch cords, adems se est utilizando canaleta y cajas marca dexon cumpliendo con la norma EIA-TIA-568A (Conexin Interna de Cableado cdigo de colores 568B). El Backbone de Fibra ptica se lo realiz para conectar los diferentes racks ubicados en las diferentes reas del hospital, el backbone consiste en el tendido de un enlace de cable de 2 hilos de fibra multimodo para ducto y/o canaleta, en este backbone se conectaron 2 hilos es decir 1 Canal de Comunicacin sirviendo como back up de los enlaces que ya se encuentran conecto rizados actualmente, estos enlaces adicionales que se ha instalado se entrega conecto rizados y habilitados en su totalidad. La instalacin de 586 puntos los cables UTP cat 6 y los cinco enlaces de fibra ptica se ha realizado el paso por canaleta en las partes interiores de la edificacin y ducteria en ciertos tramos, especficamente en los exteriores de las instalaciones del hospital. Los distribuidores instalados se encuentran provistos de los elementos necesarios para una administracin adecuada de los canales de fibra ptica, cableado horizontal, backbone y su interconexin con los equipos activos, los distribuidores se han instalado en los diferentes Racks en su mayora cerrados con cajas de terminacin de fibra ptica, adems se han provisto los cables de conexin o patch cord respectivos tanto en F.O. como de UTP Cat 6 lo que permitir conectar directamente un PC o de ser requerido as cualquier otro equipo de networking como hub, switch, router, etc. DETALLE DE LAS INSTALACIONES De las Tomas Los puntos de voz y datos estn conformados por una toma de de pared que consiste en un cajetn de montaje superficial en donde se inserta las Respectivas placas de los puntos de cableado estructurado, siendo placas de una y dos posiciones. En dichas placas se colocaron jacks hembras modulares de 8 contactos(ponchado los ocho pines) de dos colores, usando el color rojo para voz y azul para datos. A estos jacks ir conectado una extensin (Patch Cord) de 3 metros que se usa para la conexin directa con el computador. De la Canalizacin En su gran mayora el cableado horizontal, el backbone y el cable multipar ha sido canalizado a travs de canaleta de diferentes tamaos dependiendo la utilidad y cantidad de cables que pasen por la misma. Los tamaos utilizados de canaleta son: - 32x12mm para bajantes hacia las tomas - 40x25mm para el paso de hasta 8 cables UTP cat 6 - 60x40mm para el paso de hasta 20 cables UTP cat 6
318
- 100x40mm para la llegada de todos los cables UTP cat 6 hacia los diferentes racks. Para la canalizacin tambin se utiliz aunque en menor cantidad la tubera PVC de 2, tubera BX de 2 y manguera por donde pasarn los enlaces del backbone de los diferentes racks hacia el rack principal, adicional tambin se pas cables UTP cat 6 que corresponden a los diferentes puntos de voz y datos. Este tipo de canalizacin se lo utiliz para sitios externos Especficamente en las paredes para llegar al rack principal en donde se une la mayoria de los enlaces. Del Centro de Cableado Secundario La red en un inicio estaba conformado por 5 racks secundarios, despus se realiz el desmontaje de uno de los cinco racks y se instal en vez de este uno de 2,15 mtrs, el rack sobrante se lo instal en el rea de urgencias, teniendo en la actualidad un total de 6 racks distribuido estratgicamente en todo el hospital Los 5 racks tienen las mismas caractersticas mientras que el sexto que se encuentra ubicado en urgencias tiene caractersticas similares pero de menor tamao.
Fibra Optica Para la recepcin del backbone de fibra se utilizo bandeja multimedia estandar para rack , con capacidad de 12 puertos sc/sc, con 6 puertos. La conectorizacin de la fibra se hizo con conectores sc para fibra optica multimodo. Para la conexin de los enlaces de fibra a los diferentes equipos activos se utiliz patch cords de fibra optica multimodo duplex sc/sc de 2mt Patch Panel y Organizadores Los patch panels instalados son de 24 puertos categora 6 marca Hubbell, donde se considera patch panels para la organizacin del cableado horizontal tanto para datos y para voz y los reflejos tanto para datos como para voz Los organizadores son dobles de dos unidades marca Beacoup, en donde se ingresaran los respectivos patch cords que a futuro se conectarn a los equipos activos correspondientes. La ventaja de panels y Organizadores es poder efectuar el mantenimiento y alteraciones tanto de agrupacin como topologa sin complicacin alguna.
319
Del Centro de Cableado Principal En el centro de cmputo ubicado en el departamento de Sistemas se usa un Rack Abierto de Piso ya existente de 44 Ur (213x565x399mm). Se colocaron 3 Patch Panel de 24 Puertos que sirven de recepcin del cableado Horizontal. Enlaces de Fibra ptica y Multipar Los enlaces de Fibra ptica van desde los diferentes racks hacia el rack principal, se ha realizado un enlace por cada rack, es decir se pas 6 enlaces( 2 hilos cada enlace) de Fibra ptica siendo de utilidad para la conexin de los puntos de datos y los 6 enlaces de cable multipar para la interconexin de los puntos de voz. El cable de fibra ptica utilizado para los enlaces es multimodo de 6h para exteriores 62.5/125um, el tipo de conectores usados es SC para fibra ptica multimodo terminando en una bandeja multimedia estndar para rack , con capacidad de 12 puertos sc/sc, dejando conectorizado 6 de ellos. Para la conexin entre los equipos activos y los enlaces de fibra ptica se utilizar mediante Patch Cords de fibra ptica multimodo duplex sc/sc de 2mt. Del Cableado Se uso cable de 4 pares UTP CAT.6 DE 250 MHZ marca NEXANS, color gris, para cada toma individual, respetndose en todo momento los radios de curvatura y tensiones de instalacin mximos. De la Identificacin Se implemento un sistema de identificacin de 1 y 2 dgitos dependiendo la necesidad y una etiqueta donde determine a que rack pertenece y que tipo de punto es, ya sea de voz o de datos. La identificacin sera por ejemplo R1-V1 donde R1 identifica el punto a que rack pertenece, el V indica que es un punto de Voz y el 1 es el nmero de dicha toma. La identificacin se marco en cada toma, as como en el centro de cableado Principal y Secundario. El detalle se puede ver en el diagrama del anexo 1 De la Certificacin Cada punto fue certificado en el segmento de cableado horizontal que le corresponda. La certificacin se llevo a cabo con un equipo Fluke modelo DTX-1800 con normativa categora 6, en prueba de canal. En el anexo 2 se presentan los resultados detallados. Observaciones Debido a las distancias existentes entre los edificios existen 3 puntos 2 de voz y 1 de datos ubicados uno de voz y uno de datos en el Departamento de Msica y uno de voz en Cafetera que no se encuentran certificados debido a que la distancia hacia el Distribuidor Principal sobrepasa los 90m, y esto es debido a que en una inspeccin inicial se recomend la creacin de cajas de paso siguiendo el camino mas corto a esos puntos. Ya en la realizacin del proyecto las cajas de revisin realizan un recorrido que sobrepasa los 90m.
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
ANEXO 22
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
ANEXO 23
369
370
ANEXO 24
371
372