Prctica de Auditora Informtica

2009

DICTAMEN DE AUDITORA INFORMTICA

Resultado dela prctica de auditora informtica al 20 de Noviembre del 2009.
Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informtica Unita

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIN AMBULATORIA IESS DE OTAVALO

Fase 1 Actividad 1: Conocimiento general del Laboratorio:

Procedimiento:
Efectuar el primer contacto con el responsable del Laboratorio y explicarle
acerca de la realizacin de la prctica de auditora y actividades a realizar.

Fase 1 Actividad 2: Revisin del ambiente Hardware:

UNIVERSIDAD TECNOLGICA AMRICA
UNITA IBARRA

A-2

PROGRAMA DE AUDITORA INFORMTICA PARA REVISIN DEL AMBIENTE HARDWARE

Fecha:
16-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No.

Procedimiento

Responsable Fecha

Elaborar un listado de las mquinas

y de los programas ms usados,
usando el listado sugerido
Especificar y documentar las
observaciones especiales de las
mquinas que requieran una
apreciacin exclusiva. Como el
servidos, equipos con componentes
especiales, etc.
Elaborar un diagrama de la
estructura y conexiones de red con
los correspondientes equipos.
Realizar un anlisis preliminar sobre
el estado general del laboratorio.

Paulina
Guevara

13-11-2009

Paulina
Guevara

13-11-2009

L-2

Paulina
Guevara

13-11-2009

D-1

Paulina
Guevara

13-11-2009

AN-1

Paulina Guevara, 10mo Informtica, UNITA

Documentacin a
examinar
Inventario

PT
L-1

Pgina 1

2009

Prctica de Auditora Informtica

Fase 1 Actividades 3 a 5: Revisin del ambiente Software:

Anlisis FODA y Alcance de la Auditora:
UNIVERSIDAD TECNOLGICA AMRICA
UNITA IBARRA

A-3

PROGRAMA DE AUDITORA INFORMTICA PARA REVISIN DEL AMBIENTE GENERAL Y AMBIENTE

SOFTWARE
Fecha:
16-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No.

Procedimiento

Responsable

Fecha

Realizar un listado de los

principales programas instalados
en los equipos con los listados para
cada PC.
Seleccionar los programas ms
importantes para anlisis y
elaborar un listado de los mismos.
Verificar y listar los controles
existentes para el manejo de los
programas, como accesos y otros.
Solicitar al responsable del
laboratorio copias sobre
documentacin existente acerca de
manuales, polticas y hacer un
chequeo para anlisis.
Elaborar una Matriz FODA sobre
los componentes generales de los
PCS.

Paulina
Guevara

16-11-2009

L-3

Paulina
Guevara

16-11-2009

L-4

Paulina
Guevara

16-11-2009

L-5

Paulina
Guevara

16-11-2009

Paulina
Guevara

16-11-2009

Definir con precisin el alcance de

la auditora

Paulina
Guevara

16-11-2009

Paulina Guevara, 10mo Informtica, UNITA

Documentacin a
examinar

Manuales,
polticas.

PT

Archivo
General

A-4
Archivo
de
anlisis
Archivo
General

Pgina 2

2009

Prctica de Auditora Informtica

Fase 2 Actividades 1 a 7: Desarrollo de la Auditora:

UNIVERSIDAD TECNOLGICA AMRICA

UNITA IBARRA

A-3

PROGRAMA DE AUDITORA INFORMTICA PARA EVALUAR EL REA DE SERVICIO

Fecha:
17-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No.

Procedimiento

Responsable

Fecha

Realizar las entrevistas personales

al personal que labora en el
dispensario mdico, presentes en
su horario de servicio.
Definir segn muestreo el nmero
de pacientes para efectuar
entrevistas.
Realizar entrevistas personales a
los pacientes, utilizando el
cuestionario de estudio.
Tabular los datos para efectuar el
anlisis respectivo.

Paulina
Guevara

17-11-2009

Paulina
Guevara

17-11-2009

Paulina
Guevara

18-11-2009

Archivo
de
anlisis
B-2

Paulina
Guevara

19-11-2009

B-4

Elaborar un anlisis sobre los

aspectos ms importantes dentro
del servicio de informtica.
Identificar y listar los posibles
riesgos existentes en el rea de
informtica.
Listar las primeras conclusiones del
anlisis y la identificacin de
riesgos realizados.

Paulina
Guevara

20-11-2009

B-3

Paulina
Guevara

20-11-2009

B-5

Paulina
Guevara

20-11-2009

B-6

4
5

Paulina Guevara, 10mo Informtica, UNITA

Documentacin a
examinar

PT
B-1

Lista de pacientes
que acceden a los
turnos.

Pgina 3

Prctica de Auditora Informtica

2009

INFORME DE AUDITORA
PRCTICA DE AUDITORA INFORMTICA
Realizada al 20 de noviembre del 2009 en el Dispensario Mdico del IESS de Otavalo

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIN AMBULATORIA IESS DE OTAVALO
Haciendo uso de su aprobacin para realizacin de la prctica de auditora informtica en Centro mdico
a su direccin, se procedi a ejecutar el plan general de la prctica presentado el da 12 de Noviembre
del 2009, cuyos detalles de la ejecucin se muestran en el presente informe de anexos:

1. OBJETO DE AUDITORA
Llevar a la prctica los conocimientos recibidos dentro de la materia de Auditora Informtica.
Adems, hacer un anlisis del servicio de informtica que presta este Centro Mdico.
Realizar un informe de Auditora con el objeto de verificar la adecuacin de las medidas aplicadas a las
amenazas definidas, as como el cumplimiento de los requisitos exigidos.
El perodo auditado en el presente informe se extiende desde el 13-11-2009 hasta el 20-11-2009.
2. ALCANCE DE LA AUDITORA
El presente examen fue realizado de conformidad con las normas de auditora generalmente aceptadas,
habindose practicado los siguientes procedimientos:
-

I.
Anlisis y estudio del rea informtica:
Entorno Software general: programas y aplicaciones.
Entorno Hardware: equipos y accesorios.
Anlisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.

II.
Anlisis de la documentacin proporcionada:
a. Por el responsable de los equipos de cmputo:
Polticas, manuales y procedimientos.
Inventarios y listado de registros de los equipos.

III.
Entrevistas concertadas:
A 5 miembros del personal laboral del centro mdico: direccin, secretara, contabilidad, estadstica
y sistemas.
A 18 pacientes que frecuentan en centro mdico.
Responsable de los equipos de cmputo.

IV.
Requerimientos de informacin:
Informacin general del servicio de Sistemas.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 4

Prctica de Auditora Informtica

2009

Descripcin del hardware.

Sistemas de seguridad.
Aplicaciones.
V.

Elaboracin de cuestionarios:

Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales que se puede abarcar
en esta prctica de auditora, tales como el conocimiento de las principales dificultades que se
presentan en la administracin de los equipos de cmputo y el requerimiento de recursos.

3. ACLARACIONES PREVIAS
I.

Sobre el alcance de la auditora:

La auditora realizada, ha sido enfocada a un anlisis interno, debido al corto tiempo en el que se viene
utilizando los diferentes equipos de cmputo y el software de Historias Clnicas.
II.

Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisin de licencias de software y certificados de

autorizacin para el uso de aplicaciones propias de IESS, ya que al tratarse de una Institucin Pblica y
dependiente del Estado queda claro que cuenta con dichos permisos.
Slo se hace nfasis en las decisiones sobre este aspecto que deberan ser tomadas en cuenta por la
direccin de este Centro Ambulatorio.
III.

Sobre la opinin de los encuestados:

Se decidi reservar las opiniones personales de los pacientes y personal laboral encuestado, por razones
de discrecin, slo se har referencia a los resultados de las encuestas, al momento de mencionar
algunas referencias relacionadas con estas.

4. COMENTARIOS Y OBSERVACIONES
I.

Entorno de Hardware:

a. Servidor
Las caractersticas de hardware del servidor son de una calidad superior a la de los dems computadores
usados por el personal correspondiente, por lo que el desempeo del equipo que hace de servidor es
ptimo.
La recomendacin es aumentar la capacidad, mejorar las caractersticas de memoria y la velocidad del
procesador en el equipo de Rayos X, ya para evitar posibles fallas al momento de administrar la gran
cantidad de informacin que se genera en ese departamento.
b. Requerimiento de un UCP
Paulina Guevara, 10mo Informtica, UNITA

Pgina 5

Prctica de Auditora Informtica

2009

Se pudo notar que la no existencia de un sistema de control para fallos de energa elctrica, y
sumndole adems la crisis energtica por la que atraviesa nuestro pas en la actualidad, puede
ocasionar daos en las mquinas y prdida de la informacin. Para contrarrestar estos problemas, es
conveniente adquirir un sistema UPC para proteger los equipos de los inesperados cortes del fluido
elctrico.
II.

Entorno Software

a. Programas y utilitarios
A continuacin se muestran algunas observaciones respecto a programas necesarios que deberan ser
optimizados para agilizar los procesos y evitar prdidas de tiempo:
Utilitarios importantes
Office 2007: Word, Excel, Project
Internet

Estado
Bueno
Bueno

Antivirus

Regular

SIF

Bueno

Observaciones
Mantenimiento frecuente
Se debe bloquear el Messenger y
evitar la descarga de programas
pesados que podran entorpecer
a las mquinas.
No existe en todas las mquinas
y en algunas hace falta la
actualizacin del antivirus.
Presenta varios errores, necesita
mantenimiento continuo.

b. Programas mal instalados:

Algunas mquinas tienen programas mal instalados, como por ejemplo el Office 2007 el cual para activar
una de sus funciones especiales, solicita el CD de instalacin; por lo que se recomienda que la instalacin
de este tipo de software se lo haga completamente y de manera correcta, para evitar prdidas de
tiempo a los usuarios, a menos que esto implique someter a la mquina a trabajar con bajo
rendimiento.
c. Proteccin antivirus:

Actualmente se utiliza en la mayora de las mquinas el antivirus AVG 8.5 y en otras el Avira, el
problema radica en que estos antivirus se los debe actualizar regularmente ya que de no hacerlo, la
mquina puede estar en peligro al no estar totalmente protegida. Si bien es cierto que no todos los
antivirus son efectivos, se recomienda que el antivirus que se utilice en un equipo sea actualizado una
vez a la semana y configurarlo para que realice revisiones completas.
d. Actualizaciones:
Las actualizaciones deben ser peridicas, para equipos y software, siguiendo los parmetros
establecidos por la institucin; estos pueden ser frecuencia y tipo de actualizacin, adems del cuidado
que se debe tener con los computadores una vez que han sido actualizados, etc.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 6

Prctica de Auditora Informtica

III.

2009

Aspecto de Seguridad general:

a. Riesgos en los equipos de cmputo:

La mayora de las mquinas se encuentran mal ubicadas en sus respectivas oficinas, los monitores estn
directamente a la luz solar y algunos CPUs estn colocados en el piso. Se recomienda que los equipos
sean reubicados en un lugar seguro, que facilite el ambiente de trabajo para los usuarios, y que los
componentes de las mquinas sean colocadas es su respectivo lugar para evitar daos.
Debe hacerse un mantenimiento preventivo ms frecuente a las mquinas y actualizar el antivirus,
adems de dar recomendaciones generales para el buen uso de los equipos.
IV.

Servicio

a. Distribucin de los equipos:

La ubicacin de los equipos de cmputo, para algunos usuarios, no es viable. Esta incorrecta ubicacin
hace que las mquinas ocupen ms espacio fsico de lo necesario, a ms de correr el riesgo de daarse o
sufrir daos en su estructura. Lo que se debera hacer es reubicar y distribuir de manera ptima los
equipos en su respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario.
b. Conexin con la Matriz IESS Quito:
Frecuente han sido las fallas de conexin con el Sistema Hospitalario que es manejado desde la central
ubicada en la ciudad de Quito, ocasionando prdida de informacin, demora en los trmites e implica,
en ocasiones, parar el trabajo al no tener acceso a la informacin requerida.
Se recomienda que un tcnico realice un seguimiento continuo a la conexin y que desde Quito brinden
el soporte tcnico necesario para evitar estos problemas.
c. Elaboracin de manuales de procedimiento :
No existen manuales de procedimiento para el buen uso de las mquinas y sus componentes, adems
no se cuenta con un manual de usuario del Sistema Hospitalario por lo que se recomienda elaborar los
respectivos manuales avalados por el director del Centro Ambulatorio y que sirvan de ayuda al personal
laboral y a quienes hagan de tcnicos de sistemas.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 7

Prctica de Auditora Informtica

2009

V.

RECOMENDACIONES:

1.

10.

Ampliar la capacidad, mejorar las caractersticas de memoria y la velocidad del procesador

en el equipo de Rayos X.
Adquirir e instalar un sistema UPC de seguridad elctrica para proteger los equipos de los
inesperados cortes del fluido elctrico.
Optimizar los programas y aplicaciones necesarias para agilizar los procesos y evitar
prdidas de tiempo.
Instalar software completamente y de manera correcta, ordenar en un sitio seguro los CDs
instaladores.
Actualizado el antivirus una vez a la semana y configurarlo para que realice revisiones
completas.
Las actualizaciones deben ser peridicas, para equipos y software.
Reubicar los equipos en un lugar seguro, y colocar los componentes de las mquinas en su
respectivo lugar para evitar daos.
Instar a los usuarios sobre el buen uso y cuidado de los equipos.
Hacer un seguimiento continuo a la conexin por parte del tcnico y que desde Quito se
brinde el soporte tcnico necesario.
Elaborar los manuales de procedimiento y de uso del Sistema Hospitalario.

VI.

Lugar y fecha de emisin del informe:

2.
3.
4.
5.
6.
7.
8.
9.

Otavalo Ecuador, 20 de Noviembre del 2009

Firma:

Auditora

Paulina Guevara, 10mo Informtica, UNITA

Pgina 8

Prctica de Auditora Informtica

2009

ANEXO 1

Anlisis FODA

UNIVERSIDAD TECNOLGICA AMRICA

UNITA IBARRA

A-4

ANLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MDICO DEL IESS OTAVALO
REFERENTE A LOS EQUIPOS DE CMPUTO

Fortalezas

Oportunidades

Debilidades

Amenazas

Paulina Guevara, 10mo Informtica, UNITA

Equipos propios de la institucin.

Conexin en red.
Servicio de internet.
Conexin a tierra.
1 tcnico.
Actualizacin de equipos y software.
Capacitacin constante.
Reubicacin de equipos de cmputo.
Mantenimiento permanente.
Seguridad contra fallas elctricas.
Poca ventilacin.
Inapropiada ubicacin de los equipos.
Algunos programas estn mal instalados.
Equipo insuficiente, Rayos X
Virus
Prdida de informacin.
Cortes de energa elctrica frecuentes.

Pgina 9

Prctica de Auditora Informtica

2009

ANEXO 2
Ubicacin sugerida para los equipos de Estadstica y Fisioterapia

Puerta

Computador

Ventana
Escritorio

Archivador

Archivador

Escritorio
Computador

Puerta

Paulina Guevara, 10mo Informtica, UNITA

Ventana

Pgina 10

Prctica de Auditora Informtica

2009

ANEXO 3

UNIVERSIDAD TECNOLGICA AMRICA

UNITA IBARRA

B-1

CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL

Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones segn crea
conveniente.
No.
1

Pregunta
Cuenta con los recursos
suficientes para llevar a cabo su
trabajo sin inconvenientes?

Cree usted necesario mejorar los

equipos de cmputo para brindar
un mejor servicio?

Cul de los siguientes aspectos

considera que podra desarrollarse
en mayor medida dentro de la
institucin?

Ha tenido inconvenientes en el
uso de las mquinas al momento
de realizar su trabajo?

SI

NO

Respuestas
Se requieren recursos como:

SI

NO

A corto plazo

SI

Tecnologa en los equipos

Capacitacin en nuevas aplicaciones
Comunicaciones y redes
Videoconferencias
NO
Mencione algunos:

Paulina Guevara, 10mo Informtica, UNITA

En el siguiente ao

Pgina 11

Prctica de Auditora Informtica

2009

ANEXO 4

UNIVERSIDAD TECNOLGICA AMRICA

UNITA IBARRA

B-2

CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES

Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las especificaciones segn crea
conveniente.
No.
1

Pregunta
Cuenta con los recursos
suficientes para recibir una
atencin de calidad por parte del
personal que labora en la
institucin?

SI

NO

Respuestas
Se requieren recursos como:

Cree usted necesario mejorar los

equipos de cmputo para recibir
un mejor servicio?

SI

NO

A corto plazo

Ha tenido inconvenientes en el
uso de las mquinas al momento
de realizar su trabajo?

SI

NO

Mencione algunos:

Piensa que es posible obtener un

mejor servicio al mejorar la
tecnologa con la que cuenta la
Institucin?

SI

NO

Mencione los beneficios:

Paulina Guevara, 10mo Informtica, UNITA

En el siguiente ao

Pgina 12

Prctica de Auditora Informtica

2009

ANEXO 5
BASES PARA LA TOMA DE LA MUESTRA
Frmula para obtener la muestra o poblacin:
N = Tamao de la poblacin
S = Varianza (p * q) = (0.7 * 0.3)
Z = Curvas normales (1.96%)
E = Error (7%)
n = Muestra
Aplicacin de la frmula en las encuestas:

N S2 Z2
n=

e2 (N-1) + (S)2 (Z)2

76 (0.21) (3.8416)
n=
0.07 (30-1) + (0.21) (3.8416)

n = 18

Nmero total de las encuesta a realizarse:

18

Co esta muestra de tamao menor solo se aument la variacin de los datos con el propsito de reducir
el tiempo de las encuestas y la tabulacin.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 13

Prctica de Auditora Informtica

2009

Plan General aplicado al Centro Ambulatorio IESS Otavalo

Se ha planteado la ejecucin de una serie de actividades programadas para 6 das, comienza el 13 de
noviembre del presente ao y termina el 20 de noviembre del mismo, con la entrega del cadver.
Las actividades se encuentran organizadas en tres fases:
FASES
PRIMERA FASE
SEGUNDA FASE
TERCERA FASE

ACTIVIDAD PRINCIPAL
Diagnstico preliminar y definicin de reas auditables.
Desarrollo de la auditora.
Elaboracin y entrega del Informe

FECHA
13 y 16-11-2009
17 al 19-11-2009
20-11-2009

PRIMERA FASE:
Diagnstico preliminar y definicin de reas auditables 13 y 16-11-2009
Plan General
No.
1

Actividad
Conocimiento general de lugar

Fecha
13-11-2009

Responsable

PT

Objetivo: Tener una visin inicial para el anlisis

de auditora en el centro mdico.
Revisin del ambiente Hardware

13-11-2009

A-2

Objetivo: Conocer el estado de los equipos y sus

respectivos accesorios.
Revisin del ambiente Software

16-11-2009

A-3

Objetivo: Reconocer los programas existentes y su

estado de funcionamiento.
Anlisis FODA

16-11-2009

A-3

Objetivo: Realizar un anlisis previo al desarrollo

de los procedimientos de auditora informtica.
Definicin del Alcance de auditora

16-11-2009

A-3

Objetivo: Especificar la cobertura del estudio de

auditora para la aplicacin de los procedimientos.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 14

Prctica de Auditora Informtica

2009

SEGUNDA FASE:
Desarrollo de la Auditora 17 a 19-11-2009
Plan General
No.
1

Actividad
Entrevistas personales al personal laboral

Fecha
17-11-2009

Responsable

PT
B-1

Objetivo: Conocer la opinin de los usuarios sobre

los requerimientos en el rea de sistemas del
centro mdico.
Entrevistas personales a los pacientes

17-11-2009

B-2

Objetivo: Conocer la opinin de los pacientes

sobre los requerimientos y el servicio recibido en
el centro mdico.
Tabulacin de datos

18-11-2009

B-3

Objetivo: Organizar la informacin obtenida para

el proceso de anlisis.
Anlisis de la informacin

18-11-2009

B-4

Objetivo: Determinar, comparar, detallar y

documentar los aspectos ms importantes que se
definan en el rea de informtica.
Identificacin de riesgos

19-11-2009

B-5

Objetivo: Obtener una idea precisa de la

estructura y funcionamiento de los equipos e
identificar los riesgos que pueden afectar a los
equipos y al desempeo del trabajo.
Obtencin de conclusiones

19-11-2009

B-6

Objetivo: Elaborar una lista de los primeros

resultados sobre el estudio de la informacin
recopilada.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 15

Prctica de Auditora Informtica

2009

TERCERA FASE:
Elaboracin y entrega del informe 20-11-2009
Plan General
No.
1

Actividad
Elaboracin del informe en borrador

Fecha
20-11-2009

Objetivo: Documentar el primer informe para

discusin.
Elaboracin del informe final

20-11-2009

Archivo
General.

Objetivo: Argumentar el informe definitivo

para su respectiva presentacin.
Presentacin del informe final

20-11-2009

Copia al
archivo
permanente

Objetivo: entregar el informe de auditora

informtica final al Dr. Mario Aulestia,
Director del Centro Ambulatorio del IESSOtavalo

Paulina Guevara, 10mo Informtica, UNITA

Responsable

PT
Archivo
General.

Pgina 16