ACTIVIDAD DE CONSTRUCCION APLICADA 2

AUDITORIA DE SISTEMAS

3 DE NOVIEMBRE DE 2022
PRESENTADO POR: MANUELA GRANDA VALLEJO,
ELLIOTT TORRES CRATZ
CORPORACION UNIFICADA DE EDUCACION
SUPERIOR
IDENTIFICACION DE LA EMPRESA AUDITAR: de acuerdo al contexto de
laboral de la clínica HL del municipio Cartago Valle Del Cauca, se hace un control de
software y hardware.
Por lo tanto, el alcance de la auditoria es la revisión del software y el hardware, también
es verificar que los recursos, es decir, información energía, equipo, personal, programas
de computo y materiales sean adecuadamente coordinados vigilado por la gerencia o por
quienes ellos designen.
Para evitar el despilfarro del uso inadecuado del mismo, especialmente en informática,
se ha mostrado interés a la meta por alcanzar el costo y problemas de productividad de
la misma manera, verificar licencias de software utilizado.
• Establecer forma de tener acceso y contactos con los responsables del área, que
le permita si es posible realizar visita al sitio o área correspondiente, en una
segunda instancia obtener información y autorización al proceso realizado.
El contacto se hace por medio del ingeniero que trabaja en la entidad como parte
de soporte técnico de software y hardware donde muy amablemente se dirigió al
ingeniero Elliott Torres Cratz, para pedirle autorización y así poder llevar a cabo
la auditoria.
• TIPO DE AUDITORIA INFORMATICA A REALIZAR: según (Elliott
Torres Cratz) empresa titulada agencia de auditoría de sistemas informáticos,
por que le permite auditar la parte técnica y especializada que se enfoca
únicamente, en la evaluación y funcionamiento y uso de equipos de cómputo, así
como el hardware y el software y periféricos asociados, a la clínica HL en las
oficinas de los médicos y la recepción, esta auditoria también se realiza a la
arquitectura de las partes físicas.
Incluyendo equipos asociados a instalaciones y comunicación externa y interna
incluyendo equipos asociados, instalaciones y comunicaciones internas o
externas, así como al diseño, desarrollo y uso del software de operación, de
apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento
y programas de desarrollo, o paquetería de aplicación empresarial que se utiliza
en la clínica HL donde se encuentra la sala de cómputo que será evaluado. Se
incluye también la operación del sistema.

Este tipo de auditoria nos permite evaluar el equipamiento sistema

computacional, sobre todo, analiza su funcionamiento adecuado, lo importante
de estas revisiones es evaluar, los sistemas computacionales, tanto desde el
punto de vista físico (hardware) como desde el punto de vista lógico (software),
así como todos los elementos que ayudan a su funcionamiento, incluyendo las
funciones de su personal y usuarios, la información, telecomunicaciones y
demás componentes del sistema.

• TIPO DE SOFTWARE, HARDWARE A AUDITAR

Se puede señalar a continuación el tipo software, hardware a auditar, son muchas
consideraciones que se deben tomar en cuenta sobre los sistemas
computacionales:

Software
• Los sistemas operativos, lenguajes, programas de desarrollo y aplicación,
utilerías y demás software del sistema computacional.
• Las aplicaciones concretas para las que está destinado el sistema
computacional en la institución.
• El sistema de administración de bases de datos e información manejado.
• Las plataformas, ambientes, el tamaño y configuración del sistema
computacional.

Hardware
• El tipo del procesador del sistema computacional, así como su velocidad,
capacidad, memoria y demás características con los cuales opera el sistema de
cómputo.
• Los fabricantes del hardware, software y periféricos del sistema
computacional.
• Las características y especificaciones del diseño del sistema
computacional.
• La forma de administrar el sistema y sus componentes asociados.
• La arquitectura del sistema, sus periféricos, equipos asociados y demás
componentes.

• ¿POR QUÉ REALIZARA LA AUDITORIA?

De acuerdo a la norma ISO 27001 vamos a realizar la auditoria con el fin de

llevar a cabo las políticas de seguridad de información de los sistemas de
cómputo (Hardware y Software), además revisar la organización de los sistemas
de información, validar la seguridad de los humanos y la gestión de los activos
de la clínica HL, así mismo, aplicaremos las normas ISO 27002 en lo que tiene
que ver con cifrados y gestión de claves, seguridad física, ambiental y seguridad
operacional.

2. OBJETIVOS

GENERAL

Llevar a cabo la realización de la auditoria informática en el cual se evaluarán

los controles en el hardware, software y aquellos procedimientos informáticos en
los equipos computacionales y en las licencias de uso de los programas que se
tienen instalados en cada uno de ellos, con el fin de tener más eficiencia y
seguridad en los datos estando alineados con el reglamento que se tiene para el
uso de los equipos de cómputo.

ESPECÍFICOS

• Determinar que los controles de hardware y software que coadyuven al

orden dentro del área de los computadores de los consultorios y demás oficinas.
• Evaluar que todos los procedimientos s se lleven a cabo de forma
eficiente, analizando la estandarización y el cumplimiento de estos.
• Evaluar los procedimientos que se tiene para el manteniendo de los
equipos de cómputo cuando estos fallan.
• Llevar a cabo la evaluación de cómo se administran los recursos
informáticos en las oficinas y consultorios.

3. ÍTEM A EVALUAR.

Las evaluaciones que vamos a realizar en la clínica HL Cartago valle del cauca y
lo que vamos a auditar tiene como finalidad es la verificación de la seguridad no
solamente en lo operativo de los componentes materiales del ordenador sino
todo lo relativo a los aspectos físicos concernientes al de hardware y software
como:

• La verificación de sistemas que cuenta los computadores desde el sistema

operativo hasta los aplicativos que se utilizan en su uso.
• Revisar si el computador o el sistema, se utiliza por el personal
autorizado.
• Revisar el inventario del Hardware.
• Verificación de los procesos y procedimientos de seguridad física.
• Revisar la seguridad de los sistemas a utilizar y su respectiva licencia.

Determine el límite o alcance de la auditoria. Alcance:

Se realizará evaluaciones con carácter objetivos y críticos, sistemáticos y
selectivo con el fin de mejorar la eficiencia y eficacia del uso adecuado de los
recursos informáticos, de la gestión informática y si estas han brindado el
soporte adecuado a los objetivos y metas de la clínica HL. Así mismo, la
auditoría a realizar deberá comprender no solo la evaluación de los equipos de
cómputos, sino que además habrá de evaluar los sistemas de información
integrados a nivel general desde su entrada, procedimiento, controles, archivos,
seguridad y obtención de información.

Límites:
• Falta de tiempo para realizar la auditoria ya que solo se tiene un periodo
corto para realizarla a demás en retrasos de los procesos por falta de
colaboración por parte de la empresa en el tiempo establecido.

• Una negativa por parte de la clínica HL a entregar determinada

información o dejar realizar procedimientos con el cual concluiríamos con
nuestra auditoria.

• Destrucción accidental de algunas documentaciones o registros que son

necesarios para la auditoria.

• La honestidad y criterio profesional l de miembro de la clínica HL o

auditores internos que pueden contradecir el proceso en el cual se desarrolla la
auditoria.

4. PUNTOS EVALUADOS EN LA AUDITORÍA

Lo que se evaluará en la auditoria será el todo lo relacionado con el área de

Sistemas y la sala donde se controlan todos los instrumentos de cómputo de la
clínica HL a nivel hardware y software en cada uno de los equipos de cómputo
implementados.

Puntos a evaluar

• BASES DE DATOS: Se revisará la Base de Datos, si se ha actualizado o

no, si cuenta con un sistema para ello.

• REDES: Lo que se revisará serán las instalaciones, las conexiones del

cableado, los planos de la instalación.

• SEGURIDAD: Se evalúa el control de acceso al sistema de la Clínica

HL, los firewalls, el antivirus, los respaldos, el plan de contingencia y el plan de
recuperación.

• HARDWARE: Se examinará el equipo con el que cuenta, se incluye

computadoras, impresoras, scanner, servidor, si está en las condiciones
adecuadas, si tienen buen funcionamiento.

• SOFTWARE: Se inspeccionará los programas y aplicaciones con las

que cuenta el equipo de dicha área, se incluyen también los antivirus, también se
examinarán las licencias con las que cuenta dicho software.
 • PERSONAL: Se analizará el perfil del personal que labora en esa área,
también se revisará el clima laboral, así como también las funciones de cada
trabajador de dicha área.

• PROCESO: Se evalúan los procesos correspondientes, se evalúa la

estructura organizacional, etc.

5. RECURSOS NECESARIOS PARA LA AUDITORIA:

Esta parte de la auditoria se trata de determinar la documentación y medios
necesarios para llevar a cabo la revisión y evaluación de la auditoria en la
Clínica HL.
Se trata de seleccionar y diseñar los mejores métodos, así mismo, como
determinar las herramientas necesarias y correctas para llevar a cabo el proceso
de auditoría.

Iniciaremos con los procesos correspondiente s de las auditorias. Discreción de

las instalaciones de tecnología de información: La gerencia encargada cuenta
con el compromiso de asegurar que las identificaciones físicas de las
instalaciones relacionadas a sus operaciones de tecnología de información sean
de un acceso muy limitada (solo personal completamente autorizado).

VIGILANTES: Se debe contar con procedimientos apropiados que permitan

asegurar que las personas que no formen parte de la compañía y/o entidad, no
puedan circular dentro de las instalaciones de cómputo sin un acompañamiento.

• PROTECCIÓN CONTRA FACTORES AMBIENTALES: En la Institución

se debe contar con servicios e infraestructura que permitan asegurar la integridad
de los centros de equipos de cómputo de temas ambientales como lo son (fuego,
polvo, agua, electricidad, calor y humedad excesiva) esto con el fin de siempre
salvaguardar nuestros equipos e información.

• SUMINISTRO INTERRUMPIDO DE ENERGÍA: Se debe evaluar la

necesidad de generadores, batería, UPS, de suministro de energía, en casos de
"bajonazos, cortes de energía", los cuales pueden llegar a dañar o deteriorar los
equipos tecnológicos, con esto se garantiza más vida útil de los equipos y así
mismo garantizar siempre la disponibilidad de los servicios.

• HERRAMIENTA S DE SISTEMAS NECESARIAS PARA LA

AUDITORIA:
Backups y copias de seguridad de discos duros y medios removibles: Esto hace
referencia a que toda información corporativa debe estar previamente
almacenada en medios magnéticos como lo son discos duros, USB o demás
medios. Esto con el fin de respaldar dicha información y tratar de evitar
información valiosa para la Institución.
Software de búsqueda de archivos: Este se trata de un software que me permite
realizar búsqueda de archivos de una forma más rápida y efectiva, esto con el fin
de encontrar la información que se requiera de una forma más rápida y eficaz.

GOOGLE DESKTOP: Este se trata de herramienta gratuita incluida en el

Google Pack que sirve para hacer búsquedas en el Computador. Puedes buscar
archivos, música, fotos, texto en correos electrónicos, páginas web v visitadas,
etc., lo que te permite acceder fácilmente a toda la información de tu ordenador.

SOFTWARE DE RECUPERACIÓN DE ARCHIVOS: Este consta de poseer

software lo suficientemente potentes e íntegros, que me permitan recuperar
información borrada y que puede ser muy valiosa para la compañía:

ANÁLISIS DE RED: Esta se trata de contar con una muy buena infraestructura
a nivel de red de la compañía, poseer en lo posible "firewall", los impidan
posibles ataques a esta misma. Así mismo contar con una muy buena seguridad
que impida que sea se fácil acceso teniendo personal especializado en seguridad
informática que pueda llevar a cabo

MONITOREO DE ACTIVIDAD DE EQUIPO: Este se trata de contar en lo

posible con un software que me permita tener una auditoria y/o seguimiento
sobre las máquinas de cómputo que estén en la Clínica HL Cartago valle del
cauca.

Esto con el fin de verificar a que plataformas está teniendo acceso los usuarios o
que software extraño o fuera de los corporativos permitidos en la clinica, esto
nos permite tener un claro control sobre las acciones que los usuarios estén
teniendo sobre los equipos o la información igualmente teniendo una división de
acceso dependiendo el área a usar que los del consultorio no puedan acceder a
información de la parte gerencial o archivos privados de los pacientes.

BORRADO SEGURO O DEFINITIVO DE LA INFORMACIÓN: Este

consiste en no dejar que los empleados tengan acceso total a la información y
que los encargados del software de manera remota puedan borrar o restringir las
cosas que pasan desde el computador, y no permitir manejar cosas de la empresa
desde otros disposivos.

BÚSQUEDA DE MAILS, HISTORIAL DE INTERNET, CHATS: Esto para

una auditoria es sumamente útil, puesto me permite tener un "historial", sobre
los accesos y acciones que los usuarios han tenido, ya sea en páginas web o con
aplicaciones que se encuentren instalados en los equipos. Adicional me brinda la
opción de medir la calidad o la producción que los empleados estén teniendo
dentro de la clínica HL Cartago Valle Del Cauca.

PLAN DE PROYECTO DIAGRAM:

 NOMBRE DEL PROYECTO: Auditoria Clínica HL Cartago Valle Del Cauca.
JEFE DE PROYECTO: Manuela Granda Vallejo.
FECHA DE COMIENZO: 1/ noviembre / 2022.

EQUIPO DE PROYECTO

NOMBRE EMAIL
MANUELA GRANDA MANUELA.GRANDA@CUN.EDU.CO,
VALLEJO:

ELLIOTT TORRES CRATZ: ELLIOTT.TORRES@CUN.EDU.CO

GUÍA RÁPIDA:
trabajo de auditoría de sistemas en el cual se auditará una sala de sistemas de
una Clínica Privada
- El campo negro: Muestra las áreas que se pueden auditar de manera rápida.
- El campo azul muestra que áreas son mas demoradas para auditar.

ÁREA AUDITAR RÁPIDO LENTO

CONSULTORIOS
SALA DE CITAS
VIGILANTE
CUARTO DE CAMARAS
AUTORIZACIONES
FARMACIA
LABORATORIO

CONCLUSIONES: Gracias al proceso de auditoría de sistemas informáticos, podemos

garantizar que los equipos de computo tengan un buen funcionamiento, el cual garantice
que los pacientes puedan tener una respuesta rápida, efectiva y segura a la hora de hacer
sus trámites.
REFERENCIAS BIBLIOGRAFICAS:
• Tamayo Álzate, A. (2003). Auditoría de sistemas una visión práctica. Facultad
de Ingeniería y Arquitectura.

• Álvarez Basaldúa, L. D. (2005). Seguridad en informática: auditoría de sistemas.

• Vaca, C., & Casanova, E. (2014). Auditoría de Sistemas Basada en riesgos al

SNNA de la SENESCYT. Repositorio de la Universidad de las Fuerzas
Armadas ESPE.
• Barba Salazar, J. A., & Gutiérrez Freire, D. M. (2021). Desarrollo de una
herramienta de auditoría de sistemas para evaluar el cumplimiento y aplicación
de controles según la Norma ISO/IEC 27001 (Bachelor's thesis, Universidad de
Guayaquil. Facultad de Ciencias Matemáticas y Físicas. Carrera de Ingeniería en
Sistemas Computacionales.).