Prctica de Auditora Informtica

DICTAMEN DE AUDITORA INFORMTICA

Resultado dela prctica de auditora informtica al 20 de Noviembre del 2009.
Realizado por: Tcnlga. Paulina Guevara, alumna del 10mo semestre Informtica
Unita

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIN AMBULATORIA IESS DE OTAVALO

Fase 1 Actividad 1: Conocimiento general del Laboratorio:

Procedimiento: Efectuar el primer contacto con el responsable del Laboratorio y
explicarle acerca de la realizacin de la prctica de auditora y actividades a
realizar.

Fase 1 Actividad 2: Revisin del ambiente Hardware:

UNIVERSIDAD TECNOLGICA AMRICA
A-2
UNITA IBARRA
PROGRAMA DE AUDITORA INFORMTICA PARA REVISIN DEL AMBIENTE HARDWARE
Fecha:
16-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No
.
1

Procedimiento
Elaborar un listado de las
mquinas y de los programas
ms usados, usando el
listado sugerido
Especificar y documentar las
observaciones especiales de
las mquinas que requieran
una apreciacin exclusiva.
Como el servidos, equipos
con componentes especiales,

Responsa
ble
Paulina
Guevara

Fecha

Paulina
Guevara

13-11-2009

Paulina Guevara, 10mo Informtica, UNITA

13-11-2009

Documentaci
n a examinar
Inventario

PT
L-1

L-2

Pgina 1

Prctica de Auditora Informtica

etc.
Elaborar un diagrama de la
estructura y conexiones de
red con los correspondientes
equipos.
Realizar un anlisis
preliminar sobre el estado
general del laboratorio.

Paulina
Guevara

13-11-2009

D-1

Paulina
Guevara

13-11-2009

AN1

Fase 1 Actividades 3 a 5: Revisin del ambiente Software:

Anlisis FODA y Alcance de la Auditora:
UNIVERSIDAD TECNOLGICA AMRICA
A-3
UNITA IBARRA
PROGRAMA DE AUDITORA INFORMTICA PARA REVISIN DEL AMBIENTE GENERAL Y
AMBIENTE SOFTWARE
Fecha:
16-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No
.
1

Procedimiento
Realizar un listado de los
principales programas
instalados en los equipos
con los listados para cada
PC.
Seleccionar los programas
ms importantes para
anlisis y elaborar un listado
de los mismos.
Verificar y listar los
controles existentes para el
manejo de los programas,
como accesos y otros.
Solicitar al responsable del
laboratorio copias sobre
documentacin existente
acerca de manuales,
polticas y hacer un chequeo

Responsa
ble
Paulina
Guevara

Fecha
16-112009

L-3

Paulina
Guevara

16-112009

L-4

Paulina
Guevara

16-112009

L-5

Paulina
Guevara

16-112009

Paulina Guevara, 10mo Informtica, UNITA

Documentaci
n a examinar

Manuales,
polticas.

PT

Archiv
o
Gener
al

Pgina 2

Prctica de Auditora Informtica

para anlisis.
Elaborar una Matriz FODA
sobre los componentes
generales de los PCS.

Paulina
Guevara

16-112009

Definir con precisin el

alcance de la auditora

Paulina
Guevara

16-112009

A-4
Archiv
o de
anlis
is
Archiv
o
Gener
al

Fase 2 Actividades 1 a 7: Desarrollo de la Auditora:

UNIVERSIDAD TECNOLGICA AMRICA

A-3
UNITA IBARRA
PROGRAMA DE AUDITORA INFORMTICA PARA EVALUAR EL REA DE SERVICIO
Fecha:
17-11-2009
Elaborado por: Paulina Guevara
Revisado por:
No
.
1

Procedimiento
Realizar las entrevistas
personales al personal que
labora en el dispensario
mdico, presentes en su
horario de servicio.
Definir segn muestreo el
nmero de pacientes para
efectuar entrevistas.

Responsa
ble
Paulina
Guevara

Fecha

Paulina
Guevara

17-112009

Paulina Guevara, 10mo Informtica, UNITA

Documentaci
n a examinar

17-112009

PT
B-1

Lista de
pacientes que
acceden a los
turnos.

Archiv
o de
anlis
is
Pgina 3

Prctica de Auditora Informtica

Realizar entrevistas
personales a los pacientes,
utilizando el cuestionario de
estudio.
Tabular los datos para
efectuar el anlisis
respectivo.
Elaborar un anlisis sobre
los aspectos ms
importantes dentro del
servicio de informtica.
Identificar y listar los
posibles riesgos existentes
en el rea de informtica.
Listar las primeras
conclusiones del anlisis y
la identificacin de riesgos
realizados.

Paulina
Guevara

18-112009

B-2

Paulina
Guevara

19-112009

B-4

Paulina
Guevara

20-112009

B-3

Paulina
Guevara

20-112009

B-5

Paulina
Guevara

20-112009

B-6

INFORME DE AUDITORA
PRCTICA DE AUDITORA INFORMTICA
Realizada al 20 de noviembre del 2009 en el Dispensario Mdico del IESS
de Otavalo

Al Dr. Mario Aulestia

DIRECTOR DEL CENTRO DE ATENCIN AMBULATORIA IESS DE OTAVALO
Haciendo uso de su aprobacin para realizacin de la prctica de auditora
informtica en Centro mdico a su direccin, se procedi a ejecutar el plan general
de la prctica presentado el da 12 de Noviembre del 2009, cuyos detalles de la
ejecucin se muestran en el presente informe de anexos:

Paulina Guevara, 10mo Informtica, UNITA

Pgina 4

Prctica de Auditora Informtica

1. OBJETO DE AUDITORA
Llevar a la prctica los conocimientos recibidos dentro de la materia de Auditora
Informtica.
Adems, hacer un anlisis del servicio de informtica que presta este Centro
Mdico.
Realizar un informe de Auditora con el objeto de verificar la adecuacin de las
medidas aplicadas a las amenazas definidas, as como el cumplimiento de los
requisitos exigidos.
El perodo auditado en el presente informe se extiende desde el 13-11-2009 hasta
el 20-11-2009.
2. ALCANCE DE LA AUDITORA
El presente examen fue realizado de conformidad con las normas de auditora
generalmente aceptadas, habindose practicado los siguientes procedimientos:
-

I.
Anlisis y estudio del rea informtica:
Entorno Software general: programas y aplicaciones.
Entorno Hardware: equipos y accesorios.
Anlisis FODA: Fortalezas, Oportunidades, Debilidades y Amenazas.

II.
Anlisis de la documentacin proporcionada:
a. Por el responsable de los equipos de cmputo:
Polticas, manuales y procedimientos.
Inventarios y listado de registros de los equipos.

III.
Entrevistas concertadas:
A 5 miembros del personal laboral del centro mdico: direccin, secretara,
contabilidad, estadstica y sistemas.
A 18 pacientes que frecuentan en centro mdico.
Responsable de los equipos de cmputo.

IV.
Requerimientos de informacin:
Informacin general del servicio de Sistemas.
Descripcin del hardware.
Sistemas de seguridad.
Aplicaciones.

V.

Elaboracin de cuestionarios:

Los cuestionarios han sido elaborados tomando en cuenta los aspectos generales
que se puede abarcar en esta prctica de auditora, tales como el conocimiento de
las principales dificultades que se presentan en la administracin de los equipos de
cmputo y el requerimiento de recursos.

3. ACLARACIONES PREVIAS
Paulina Guevara, 10mo Informtica, UNITA

Pgina 5

Prctica de Auditora Informtica

I.

Sobre el alcance de la auditora:

La auditora realizada, ha sido enfocada a un anlisis interno, debido al corto tiempo

en el que se viene utilizando los diferentes equipos de cmputo y el software de
Historias Clnicas.
II.

Sobre el aspecto legal:

Se tiene conocimiento de que no es viable la revisin de licencias de software y

certificados de autorizacin para el uso de aplicaciones propias de IESS, ya que al
tratarse de una Institucin Pblica y dependiente del Estado queda claro que cuenta
con dichos permisos.
Slo se hace nfasis en las decisiones sobre este aspecto que deberan ser tomadas
en cuenta por la direccin de este Centro Ambulatorio.
III.

Sobre la opinin de los encuestados:

Se decidi reservar las opiniones personales de los pacientes y personal laboral

encuestado, por razones de discrecin, slo se har referencia a los resultados de
las encuestas, al momento de mencionar algunas referencias relacionadas con
estas.

4. COMENTARIOS Y OBSERVACIONES
I.

Entorno de Hardware:

a. Servidor
Las caractersticas de hardware del servidor son de una calidad superior a la de los
dems computadores usados por el personal correspondiente, por lo que el
desempeo del equipo que hace de servidor es ptimo.
La recomendacin es aumentar la capacidad, mejorar las caractersticas de
memoria y la velocidad del procesador en el equipo de Rayos X, ya para evitar
posibles fallas al momento de administrar la gran cantidad de informacin que se
genera en ese departamento.
b. Requerimiento de un UCP
Se pudo notar que la no existencia de un sistema de control para fallos de energa
elctrica, y sumndole adems la crisis energtica por la que atraviesa nuestro
pas en la actualidad, puede ocasionar daos en las mquinas y prdida de la
informacin. Para contrarrestar estos problemas, es conveniente adquirir un sistema
UPC para proteger los equipos de los inesperados cortes del fluido elctrico.
II.

Entorno Software

a. Programas y utilitarios
Paulina Guevara, 10mo Informtica, UNITA

Pgina 6

Prctica de Auditora Informtica

A
continuacin se muestran algunas observaciones respecto a programas
necesarios que deberan ser optimizados para agilizar los procesos y evitar prdidas
de tiempo:
Utilitarios importantes
Office 2007: Word, Excel,
Project
Internet

Estado
Bueno

Observaciones
Mantenimiento frecuente

Bueno

Antivirus

Regular

SIF

Bueno

Se debe bloquear el
Messenger y evitar la
descarga de programas
pesados
que
podran
entorpecer
a
las
mquinas.
No existe en todas las
mquinas y en algunas
hace falta la actualizacin
del antivirus.
Presenta varios errores,
necesita
mantenimiento
continuo.

b. Programas mal instalados:

Algunas mquinas tienen programas mal instalados, como por ejemplo el Office
2007 el cual para activar una de sus funciones especiales, solicita el CD de
instalacin; por lo que se recomienda que la instalacin de este tipo de software se
lo haga completamente y de manera correcta, para evitar prdidas de tiempo a los
usuarios, a menos que esto implique someter a la mquina a trabajar con bajo
rendimiento.
c. Proteccin antivirus:

Actualmente se utiliza en la mayora de las mquinas el antivirus AVG 8.5 y en otras

el Avira, el problema radica en que estos antivirus se los debe actualizar
regularmente ya que de no hacerlo, la mquina puede estar en peligro al no estar
totalmente protegida. Si bien es cierto que no todos los antivirus son efectivos, se
recomienda que el antivirus que se utilice en un equipo sea actualizado una vez a la
semana y configurarlo para que realice revisiones completas.
d. Actualizaciones:
Las actualizaciones deben ser peridicas, para equipos y software, siguiendo los
parmetros establecidos por la institucin; estos pueden ser frecuencia y tipo de
actualizacin, adems del cuidado que se debe tener con los computadores una vez
que han sido actualizados, etc.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 7

Prctica de Auditora Informtica

III.

Aspecto de Seguridad general:

a. Riesgos en los equipos de cmputo:

La mayora de las mquinas se encuentran mal ubicadas en sus respectivas
oficinas, los monitores estn directamente a la luz solar y algunos CPUs estn
colocados en el piso. Se recomienda que los equipos sean reubicados en un lugar
seguro, que facilite el ambiente de trabajo para los usuarios, y que los componentes
de las mquinas sean colocadas es su respectivo lugar para evitar daos.
Debe hacerse un mantenimiento preventivo ms frecuente a las mquinas y
actualizar el antivirus, adems de dar recomendaciones generales para el buen uso
de los equipos.
IV.

Servicio

a. Distribucin de los equipos:

La ubicacin de los equipos de cmputo, para algunos usuarios, no es viable. Esta
incorrecta ubicacin hace que las mquinas ocupen ms espacio fsico de lo
necesario, a ms de correr el riesgo de daarse o sufrir daos en su estructura. Lo
que se debera hacer es reubicar y distribuir de manera ptima los equipos en su
respectivo espacio asignado y brindar un mejor ambiente de trabajo al usuario.
b. Conexin con la Matriz IESS Quito:
Frecuente han sido las fallas de conexin con el Sistema Hospitalario que es
manejado desde la central ubicada en la ciudad de Quito, ocasionando prdida de
informacin, demora en los trmites e implica, en ocasiones, parar el trabajo al no
tener acceso a la informacin requerida.
Se recomienda que un tcnico realice un seguimiento continuo a la conexin y que
desde Quito brinden el soporte tcnico necesario para evitar estos problemas.
c. Elaboracin de manuales de procedimiento :
No existen manuales de procedimiento para el buen uso de las mquinas y sus
componentes, adems no se cuenta con un manual de usuario del Sistema
Hospitalario por lo que se recomienda elaborar los respectivos manuales avalados
por el director del Centro Ambulatorio y que sirvan de ayuda al personal laboral y a
quienes hagan de tcnicos de sistemas.

Paulina Guevara, 10mo Informtica, UNITA

Pgina 8

Prctica de Auditora Informtica

V.

RECOMENDACIONES:

1.

Ampliar la capacidad,
mejorar las caractersticas de memoria y la
velocidad del procesador en el equipo de Rayos X.
Adquirir e instalar un sistema UPC de seguridad elctrica para proteger
los equipos de los inesperados cortes del fluido elctrico.
Optimizar los programas y aplicaciones necesarias para agilizar los
procesos y evitar prdidas de tiempo.
Instalar software completamente y de manera correcta, ordenar en un
sitio seguro los CDs instaladores.
Actualizado el antivirus una vez a la semana y configurarlo para que
realice revisiones completas.
Las actualizaciones deben ser peridicas, para equipos y software.
Reubicar los equipos en un lugar seguro, y colocar los componentes de las
mquinas en su respectivo lugar para evitar daos.
Instar a los usuarios sobre el buen uso y cuidado de los equipos.
Hacer un seguimiento continuo a la conexin por parte del tcnico y que
desde Quito se brinde el soporte tcnico necesario.
Elaborar los
manuales de procedimiento y de uso del Sistema
Hospitalario.

2.
3.
4.
5.
6.
7.
8.
9.
10.
VI.

Lugar y fecha de emisin del informe:

Otavalo Ecuador, 20 de Noviembre del 2009
Firma:

Auditora

Paulina Guevara, 10mo Informtica, UNITA

Pgina 9

Prctica de Auditora Informtica

ANEXO 1

Anlisis FODA

UNIVERSIDAD TECNOLGICA AMRICA

A-4
UNITA IBARRA
ANLISIS FODA SOBRE EL SERVICIO QUE PRESTA EL DISPENSARIO MDICO DEL IESS
OTAVALO REFERENTE A LOS EQUIPOS DE CMPUTO

Fortalezas

Oportunidades

Debilidades

Amenazas

Paulina Guevara, 10mo Informtica, UNITA

Equipos propios de la institucin.

Conexin en red.
Servicio de internet.
Conexin a tierra.
1 tcnico.
Actualizacin de equipos y software.
Capacitacin constante.
Reubicacin de equipos de cmputo.
Mantenimiento permanente.
Seguridad contra fallas elctricas.
Poca ventilacin.
Inapropiada ubicacin de los equipos.
Algunos programas estn mal instalados.
Equipo insuficiente, Rayos X
Virus
Prdida de informacin.
Cortes de energa elctrica frecuentes.

Pgina 10

Prctica de Auditora Informtica

ANEXO 2
Ubicacin sugerida para los equipos de Estadstica y Fisioterapia

Puerta

Computad
or
Ventana

Escritorio

Archivador

Archivador

Escritorio
Computad
or

Puerta
Ventana
Paulina Guevara, 10mo Informtica, UNITA

Pgina 11

Prctica de Auditora Informtica

ANEXO 3

UNIVERSIDAD TECNOLGICA AMRICA

B-1
UNITA IBARRA
CUESTIONARIO DE ESTUDIO PARA EL PERSONAL LABORAL
Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las
especificaciones segn crea conveniente.
No
.
1

Pregunta
Cuenta con los recursos
suficientes para llevar a
cabo su trabajo sin
inconvenientes?

SI

NO

Se requieren recursos como:

Cree usted necesario

mejorar los equipos de
cmputo para brindar un
mejor servicio?

SI

NO

A corto plazo

Cul de los siguientes

aspectos considera que
podra desarrollarse en
mayor medida dentro de la
institucin?
Ha tenido inconvenientes

Respuestas

En el siguiente
ao

Tecnologa en los equipos

Capacitacin en nuevas aplicaciones
Comunicaciones y redes
Videoconferencias
SI

NO

Paulina Guevara, 10mo Informtica, UNITA

Mencione algunos:
Pgina 12

Prctica de Auditora Informtica

en el uso de las mquinas al

momento de realizar su
trabajo?

ANEXO 4

UNIVERSIDAD TECNOLGICA AMRICA

B-2
UNITA IBARRA
CUESTIONARIO DE ESTUDIO PARA LOS PACIENTES
Fecha:
Elaborado por:
Revisado por:
Encuestado:
Marque con una X la casilla correspondiente a la respuesta y llene las
especificaciones segn crea conveniente.
No
.
1

Pregunta

Respuestas

Cuenta con los recursos

suficientes para recibir una
atencin de calidad por
parte del personal que
labora en la institucin?

SI

NO

Se requieren recursos como:

Cree usted necesario

mejorar los equipos de
cmputo para recibir un
mejor servicio?

SI

NO

A corto plazo

Paulina Guevara, 10mo Informtica, UNITA

En el siguiente
ao

Pgina 13

Prctica de Auditora Informtica

Ha tenido inconvenientes
en el uso de las mquinas al
momento de realizar su
trabajo?

SI

NO

Mencione algunos:

Piensa que es posible

obtener un mejor servicio al
mejorar la tecnologa con la
que cuenta la Institucin?

SI

NO

Mencione los beneficios:

ANEXO 5
BASES PARA LA TOMA DE LA MUESTRA
Frmula para obtener la muestra o poblacin:
N = Tamao de la poblacin
S = Varianza (p * q) = (0.7 * 0.3)
Z = Curvas normales (1.96%)
E = Error (7%)
n = Muestra
Aplicacin de la frmula en las encuestas:

N S2 Z2
n=

e2 (N-1) + (S)2 (Z)2

76 (0.21) (3.8416)
n=

Paulina Guevara, 10mo Informtica, UNITA

Pgina 14

Prctica de Auditora Informtica

0.07 (30-1) + (0.21) (3.8416)

n = 18

Nmero total de las encuesta a realizarse:

18

Co esta muestra de tamao menor solo se aument la variacin de los datos con el
propsito de reducir el tiempo de las encuestas y la tabulacin.

Plan General aplicado al Centro Ambulatorio IESS Otavalo

Se ha planteado la ejecucin de una serie de actividades programadas para 6 das,
comienza el 13 de noviembre del presente ao y termina el 20 de noviembre del
mismo, con la entrega del cadver.
Las actividades se encuentran organizadas en tres fases:
FASES
PRIMERA
FASE
SEGUNDA
FASE
TERCERA
FASE

ACTIVIDAD PRINCIPAL
Diagnstico preliminar y definicin de reas
auditables.
Desarrollo de la auditora.
Elaboracin y entrega del Informe

FECHA
13 y 16-11-2009
17 al 19-112009
20-11-2009

PRIMERA FASE:
Diagnstico preliminar y definicin de reas auditables 13 y 16-11-2009
Plan General
No
.
1

Actividad

Fecha

Conocimiento general de lugar

13-11-2009

Objetivo: Tener una visin inicial para el

anlisis de auditora en el centro
mdico.
Revisin del ambiente Hardware

13-11-2009

Responsable

PT

A-2

Objetivo: Conocer el estado de los

equipos y sus respectivos accesorios.
Paulina Guevara, 10mo Informtica, UNITA

Pgina 15

Prctica de Auditora Informtica

Revisin del ambiente Software

16-11-2009

A-3

Objetivo: Reconocer los programas

existentes y su estado de
funcionamiento.
Anlisis FODA

16-11-2009

A-3

Objetivo: Realizar un anlisis previo al

desarrollo de los procedimientos de
auditora informtica.
Definicin del Alcance de auditora

16-11-2009

A-3

Objetivo: Especificar la cobertura del

estudio de auditora para la aplicacin
de los procedimientos.

SEGUNDA FASE:
Desarrollo de la Auditora 17 a 19-11-2009
Plan General
No
.
1

Actividad

Fecha

Entrevistas personales al personal

laboral

17-11-2009

B-1

17-11-2009

B-2

Objetivo: Conocer la opinin de los

usuarios sobre los requerimientos en el
rea de sistemas del centro mdico.
Entrevistas personales a los
pacientes

Responsable

PT

Objetivo: Conocer la opinin de los

pacientes sobre los requerimientos y el
servicio recibido en el centro mdico.
Paulina Guevara, 10mo Informtica, UNITA

Pgina 16

Prctica de Auditora Informtica

Tabulacin de datos

18-11-2009

B-3

Objetivo: Organizar la informacin

obtenida para el proceso de anlisis.
Anlisis de la informacin

18-11-2009

B-4

Objetivo: Determinar, comparar,

detallar y documentar los aspectos ms
importantes que se definan en el rea
de informtica.
Identificacin de riesgos

19-11-2009

B-5

Objetivo: Obtener una idea precisa de

la estructura y funcionamiento de los
equipos e identificar los riesgos que
pueden afectar a los equipos y al
desempeo del trabajo.
Obtencin de conclusiones

19-11-2009

B-6

Objetivo: Elaborar una lista de los

primeros resultados sobre el estudio de
la informacin recopilada.

TERCERA FASE:
Elaboracin y entrega del informe 20-11-2009
Plan General
N
o.
1

Actividad

Fecha

Elaboracin del informe en

borrador

20-11-2009

Paulina Guevara, 10mo Informtica, UNITA

Responsable

PT
Archivo
General.

Pgina 17

Prctica de Auditora Informtica

Objetivo: Documentar el primer

informe para discusin.
Elaboracin del informe final

20-11-2009

Archivo
General.

Objetivo: Argumentar el informe

definitivo para su respectiva
presentacin.
Presentacin del informe final

20-11-2009

Copia al
archivo
permane
nte

Objetivo: entregar el informe de

auditora informtica final al Dr.
Mario Aulestia, Director del Centro
Ambulatorio del IESS-Otavalo

Paulina Guevara, 10mo Informtica, UNITA

Pgina 18