Está en la página 1de 9

Taller de Análisis de Riesgos de Tecnologías de

Información, conectividad y automatización

Auditoría de Procesos Tecnológicos

Profesor: Eduardo Leyton

Alumnos: María José Pérez


José Arnechino
Contenido
I)INTRODUCCION................................................................................................................................. 3
II)OBJETIVOS ........................................................................................................................................ 3
2.1 Objetivos Generales ...................................................................................................................... 3
2.2 Objetivos Específicos ..................................................................................................................... 4
2.3 Alcance .......................................................................................................................................... 4
III)INDUSTRA Y ENTORNO DE LA EMPRESA ......................................................................................... 5
3.1 Descripción de la Empresa ............................................................................................................ 5
IV)PROCESOS ANALISIS DE RIESGO TICA ............................................................................................. 6
4.1) Proceso de Gestión de Datos Mediante Software ....................................................................... 6
4.2) Proceso de Gestión de Datos Mediante Página Web y Procedimiento de Licencias Médicas .... 8
V)IDENTIFICACION DE RECURSOS TECNOLOGICOS ............................................................................. 9
VI)IDENTIFICACION DE RIESGOS TECNOLOGICOS ............................................................................... 9
VII)ANALISIS Y HALLAZGOS ENCONTRADOS........................................................................................ 9
VIII)CONCLUSION ................................................................................................................................ 9
I)INTRODUCCION

En la actualidad, todas las empresas se encuentran expuestas a los riesgos de tecnologías de


información, dado al aumento del acceso de internet y personas capacitadas para vulnerar los
sistemas de información. Se ha logrado evidenciar que existen un sinfín de casos en donde
existen filtraciones de información de sus datos debido a eventos que pueden corresponden
tanto a ataques cibernéticos o mala utilización de la información de los mismos usuarios de
la compañía, lo cual puede generar un problema grave tanto como para la compañía, usuarios
internos y externos.

Para sobrellevar esta situación, las empresas deben tomar medidas que los ayuden a mitigar
los riesgos que este tipo de operaciones conllevan, de tal manera de poder mantener en
confidencialidad la información preciada que tienen tanto de su empresa como la de sus
propios clientes.

Dado esto, se realiza un análisis de riesgos de las tecnologías de información, la cual permite
identificar los posibles riesgos que poseen las entidades tanto públicas como privadas.

II)OBJETIVOS

2.1 Objetivos Generales

El objetivo general del análisis de riesgos, consiste en evaluar la eficacia y eficiencia en


términos de funcionalidad, integridad y disponibilidad de Isapre Cruz Blanca, mediante los
distintos tipos de funcionalidades que tiene esta para sus clientes, realizando un enfoque en
dos aspectos relevantes que son: Gestión de datos mediante Software y Gestión de datos
mediante Página Web y los pasos de las licencias Médicas

El enfoque del análisis de riesgo, es emitir una opinión sobre la razonabilidad de su


funcionamiento global de los usuarios internos y externos de la isapre.
2.2 Objetivos Específicos

El cumplimiento del objetivo general de este trabajo considera lograr los siguientes objetivos
específicos:

 Conocer y evaluar el grado de satisfacción de los usuarios del sistema, respecto de su


funcionamiento, operatividad, disponibilidad, oportunidad y tiempo de respuesta.

 Tomar conocimiento y evaluar, en términos generales, los elementos de seguridad


lógica que actualmente soporta el funcionamiento de la página web de Isapre Cruz
Blanca

 Tomar conocimiento de los principales aspectos técnicos y funcionales de la página


web de Isapre Cruz Blanca y del resguardo de la información que se ingresa en página
web.

 Conocer y evaluar el proceso para la aceptación de licencias médicas.

2.3 Alcance

Conforme a los objetivos específicos mencionados, la auditoría centró su atención en el


verificar el cumplimiento de las funcionalidades y estructura de los riesgos tecnológicos, para
posteriormente enfocarse en el análisis y revisión de los antecedentes técnicos, funciones,
estructura y responsabilidades de los departamentos de Atención al cliente y T.I, con la
finalidad de encontrar hallazgos y emitir las recomendaciones pertinentes ejecutadas sobre
la base de una muestra representativa de las operaciones realizadas desde 01 de enero del
2019; para, finalmente, evaluar el grado de involucramiento, compromiso y satisfacción de
los principales usuarios del citado sistema. La fecha de corte del proceso es al 31 de marzo
del 2019.
III)INDUSTRA Y ENTORNO DE LA EMPRESA

Las Instituciones de Salud Previsional (Isapres) son entidades privadas que funcionan en base
a un esquema de seguros, las cuales están facultados para recibir y administrar la cotización
obligatoria de salud (7% de su remuneración imponible) de los trabajadores y personas, que
libre e individualmente optaron por ellas en lugar del sistema de salud estatal (FONASA). A
cargo de estas cotizaciones las Isapres financian prestaciones de salud y el pago de licencias
médicas. Estas prestaciones de salud se otorgan mediante la contratación de servicios
médicos financiados por las Isapres.
Las Isapres fueron creadas en 1981 en virtud de la dictación del DFL N°3 del Ministerio de
Salud y desde el año 2005 son supervisadas por la Superintendencia de Salud. Hoy otorgan
servicios de financiamiento de la salud a un 19% de la población de Chile y permitieron en
nuestro país la expansión de la actividad médica privada y el auge de la inversión en clínicas,
centros médicos, laboratorios, entre otros.

3.1 Descripción de la Empresa

En 1981 nace Isapre CruzBlanca para participar en el Sistema Privado de Salud bajo el
nombre de Cruz Blanca Consorcio de Seguros de Vida.
Fue en noviembre del año 2008 cuando Isapre CruzBlanca se fusiona con Isapre Normedica,
lo que significó una mejora en la posición CruzBlanca en el mercado de las Isapres.

Proceso 1)
IV)PROCESOS ANALISIS DE RIESGO TICA
Para poder realizar un correcto análisis de Riesgo TICA nos centraremos en solo dos
procesos o acciones:
1. Gestión de datos mediante Software
2. Gestión de datos mediante Página Web y los pasos de las licencias Médicas

4.1) Proceso de Gestión de Datos Mediante Software

Para poder realizar este proceso, primero debe existir una solicitud del ejecutivo que realiza
la incorporación del cliente mediante al contrato que expresa la relación entre ambas partes
(Isapre y Cliente), en base a la propuesta del plan de salud acordado. El perfil del ejecutivo,
permite ingresar información inicial del cliente a la plataforma, de tal manera de crear el
usuario en la base de datos de la compañía. Este acceso es limitado, y solo lo pueden manejar
los ejecutivos comerciales y ejecutivos de atención al cliente asignado a su cartera.
Cliente utilizará el código de validación de una de las dos alternativas en plataforma Web y
solicitará crear una clave de acceso.
Si la información del cliente, quiere ser vista por algún otro perfil de la compañía, se
presentará un mensaje indicando que “No está apto para visualizar este tipo de informes”
En los casos donde se consulta cuya información autorizada según los perfiles, está igual
debe ser acreditada, indicado el motivo de la consulta, queda registrada el día, la hora y la
permanencia en la aplicación.

Esta información es monitoreada por el departamento de atención al cliente, el que


investigara cual fue el motivo de consulta, y pedirá acreditar mediante correo electrónico al
funcionario y jefatura directa; en caso de poder justificar el motivo de consulta se procederá
a bloquear al clave del funcionario, y exponerlo a un sumario administrativo.

Para velar por el resguardo de la información, se mantiene registro de quien dio la orden de
impresión y de que computador fue realizado
4.2) Proceso de Gestión de Datos Mediante Página Web y
Procedimiento de Licencias Médicas

Una vez registrados en Software , cliente podrá solicitar la creación del usuario mediante la
página Web https://sitio.cruzblanca.cl/MICRUZBLANCA, donde se solicitará el ingreso del RUT
del cliente, y mediante la confirmación de las siguientes opciones:

 Envío de autenticación de SMS a teléfono


 Envío de autenticación a correo electrónico

Una vez validada la autenticación mediante SMS o correo electrónico, sistema solicitará la
creación de clave y solo proporcionando el RUT y clave en página Web, se podrá acceder a
“Mi Sucursal”. Si por ABC motivo, la contraseña es olvidada por usuario, esta puede ser
solicitada mediante la misma página web y se enviará un correo con el nuevo acceso
“provisorio” donde sistema solicitará la creación de una nueva clave.

Una de las particularidades que tiene el sistema, es que se puede visualizar el estado completo
de las licencias médicas del cliente. Esta consiste en las siguientes etapas, como se puede
visualizar a continuación en el esquema realizado mediante Bizagi
V)IDENTIFICACION DE RECURSOS TECNOLOGICOS

VI)IDENTIFICACION DE RIESGOS TECNOLOGICOS

VII)ANALISIS Y HALLAZGOS ENCONTRADOS

VIII)CONCLUSION

También podría gustarte