Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informe-Final ByRussell v3
Informe-Final ByRussell v3
CURSO : AUDITORÍA
SEMESTRE : 2018-II
TINGO MARIA-PERU
2018
Contenido
I. INTRODUCCIÓN ................................................................................................. 4
II. OBJETIVOS ........................................................................................................ 5
2.1. Objetivo General ............................................................................................ 5
2.2. Objetivos Específicos .................................................................................... 5
III. DESCRIPCIÓN DE LA EMPRESA ....................................................................... 6
3.1. Ubicación ........................................................................................................ 6
3.2. Descripción ................................................................................................... 6
3.3. Misión.............................................................................................................. 6
3.4. Visión .............................................................................................................. 6
3.5. Organigrama De la Unidad De Estadística e Informática ........................... 7
3.6. Roles y Funciones del personal ................................................................... 8
3.7. Organigrama Estructural HTM ...................................................................... 9
3.8. Servicios que Brinda ..................................................................................... 9
3.9. Objetivos del Hospital de Tingo María ....................................................... 10
IV. FUNDAMENTO TEÓRICO............................................................................. 11
4.1. Auditoría ....................................................................................................... 11
4.2. Importancia de la auditoria para empresas ............................................... 14
4.3. ¿Cuándo realizar una auditoría? ................................................................ 14
4.4. Beneficios de realizar una auditoria ........................................................... 15
V. DESARROLLO DE LA METODOLOGIA .......................................................... 16
5.1. Origen de la Auditoria ............................................................................... 16
5.2. Investigación Preliminar ........................................................................... 16
5.3. Planeación de la Auditoría Informática ................................................... 16
VI. RECOPILACIÓN DE LA INFORMACIÓN BÁSICA ....................................... 17
VII. IDENTIFICACIÓN DE ACTIVOS Y RIESGOS POTENCIALES .................... 18
7.1. IDENTIFICACIÓN DE ACTIVOS ................................................................ 18
7.2. RIESGOS POTENCIALES ......................................................................... 20
VIII. OBJETIVOS DE CONTROL .......................................................................... 24
IX. DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL ................. 25
X. PRUEBAS A REALIZAR .................................................................................. 26
a. Herramientas a Utilizar: ............................................................................... 26
b. Se Realizarán las siguientes Pruebas de Seguridad ................................. 27
c. Pruebas Realizadas ........................................................................................ 28
XI. OBTENCION DE LOS RESULTADOS .......................................................... 48
XII. CONCLUSIONES Y COMENTARIOS ........................................................... 49
XIII. ANEXOS ........................................................................................................ 55
I. INTRODUCCIÓN
3.1. Ubicación
3.2. Descripción
3.3. Misión
“Somos un Hospital, que brinda servicios de salud, orientados a la prevención,
recuperación y rehabilitación de la población asignada y de referencia, con un
enfoque de innovación, equidad y desarrollo humano”.
3.4. Visión
“Al 2020 el Hospital de contingencia Tingo María se constituye en la región, en
una institución modelo en atención integral de la salud en el Segundo Nivel de
Atención; brindando servicios con oportunidad, calidad, calidez y con participación
activa de los sectores sociales”.
3.5. Organigrama De la Unidad De Estadística e Informática
DIRECTOR DE PROGRAMA
SECTORIAL II
(Director Ejecutivo)
SUPERVISOR DE PROGRAMA
SECTORIAL I
JEFE DE LA UNIDAD DE
ESTADISTICA E INFORMATICA
ESTADISTICO I
ANALISTA DE SISTEMA
PAD I
TECNICO EN
ESTADISTICA I
OPERADOR PAD I
(2)
AUXILIAR DE
ESTADISTICA I
3.6. Roles y Funciones del personal
ROLES FUNCIONES
A. Objetivos Funcionales
4.1. Auditoría
La auditoría, etimológicamente viene del verbo latino audire, que significa ‘oír’,
que a su vez tiene su origen en los primeros auditores que ejercían su función
juzgando la verdad o falsedad de lo que les era sometido a su verificación,
principalmente mirando. Sin embargo, también se dice que viene del verbo en
inglés to audit, que significa ‘revisar’ o ‘intervenir’.
b. Ejecución
Obtener evidencia suficiente, competente, relevante y pertinente que permita al
auditor conocer la situación de los Conceptos revisados, para emitir una opinión
sólida, sustentada y válida.
FASES DE LA EJECUCIÓN
a) Recopilación de datos
El auditor público se allega de la información y documentación para el análisis
del concepto a revisar; debe ser cuidadoso y explícito en la formulación de sus
solicitudes.
b) Registro de datos
Se lleva a cabo en cédulas de trabajo, en las que se asientan los datos referentes
al análisis, comprobación y conclusión sobre los Conceptos a revisar, cuyas
especificaciones
más adelante se detallan.
c) Análisis de la información
Consiste en la desagregación de los elementos de un todo para ser examinados
en su detalle, y obtener un juicio sobre el todo o sobre cada una de sus partes.
d) Evaluación de los resultados
La evaluación de los resultados sólo es posible si se toman como base todos los
elementos de juicio suficientes para poder concluir sobre lo revisado, y
sustentados con evidencia documental que pueda ser constatada. Los
resultados nunca deben basarse en suposiciones.
c.Informe
Cuando los organismos auditores (unidades auditoras) hacen sus informes del
dominio público, se garantiza su amplia diseminación y debate, con lo que se
incrementan las posibilidades de que las recomendaciones y observaciones
hechas sean atendidas de manera oportuna y eficaz.
De manera general, el informe de auditoría debe cubrir todas las actividades
realizadas por el organismo auditor para sustentar sus resultados, con
excepción de los casos en los que deba reservarse la información, por su
naturaleza o por disposición de la normatividad
aplicable.
Lo recomendable es realizar una auditoría cada 6 meses o una vez al año. Sin
embargo, cuando existan evidencias de malos manejos contables, rotación o
despido masivo del personal de la empresa, quejas de clientes y objetivos no
alcanzados, allí también es un buen momento para contratar una empresa
especializada en auditoría.
Los activos son los recursos necesarios en una organización y que tienen un
valor. Estos activos pueden ser: Recurso Humano, Recurso Tecnológico,
Recursos físicos, Información, otros.
En este caso identificamos los activos del área de Estadística e Informática del
Hospital de Contingencia De Tingo María enfocándonos en la Auditoría
relacionados con la seguridad.
Activos de Datos
Activos de Personal
➢ Jefe de la unidad
➢ Estadístico I
➢ Técnico en Estadística I
➢ Auxiliar de Estadística I
➢ Analista de Sistema PAD I
➢ Operador PAD I
La escala de valoración se ha definido de la siguiente manera:
a. Amenazas Naturales
La siguiente tabla muestra a que tipo de amenazas naturales están
expuestos los activos.
La siguiente tabla muestra aquellas amenazas por fallos no intencionados a los que los activos están expuestos.
AMENAZAS
ACTIVO
Suplantación Acceso no Modificación de Introducción falsa Divulgación de Destrucción de Robo
de identidad autorizado la información de información información información
Copias de Seguridad X X X X X
Equipo de computo X X X X X X
Fluido Eléctrico X
Internet
Programas Informáticos
Programas X X X
Administrativos
Sistemas X
operativos
Personal del X
área
Infraestructura X
Documentos X
VIII. OBJETIVOS DE CONTROL
POLÍTICAS DE SEGURIDAD
Documento de seguridad de el área debe aprobar un documento de seguridad de
información información y lo debe publicará todos los empleados
la política de seguridad de la información se debe revisar
Revisión de la política de la
a intervalos planificados o cuando se producen cambios
información
significativos para garantizar que sigue siendo adecuada
GESTIÓN DE ACTIVOS
Todos los activos deben estar claramente identificados y
Inventarios de activos
mantener un inventario
Se debe documentar las reglas del uso aceptable de los
Uso aceptable de los activos
activos asociados con el procesamiento de información
IX. DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL
X. PRUEBAS A REALIZAR
a. Herramientas a Utilizar:
✓ Pruebas de Carga
✓ En base a los resultados Podemos Decir que la Pagina web del HTM es Vulnerable debido a que contiene 2 riesgos
altos.
✓ En base a los resultados Podemos Decir que la Pagina web e-Qhali es Vulnerable debido a que contiene 1 riesgos
alto.
✓ En base a los resultados Podemos Decir que la Pagina web Gis Minsa es Vulnerable debido a que contiene 1 riesgo
alto.
Como conclusión podemos decir que la herramienta Vega nos permitió evaluar los riesgos y vulnerabilidades que tiene la
página web, también nos permitió saber cuál sería el impacto si se llegará a explotar estas vulnerabilidades.
Por último, nos recomienda como podemos mitigar estos riesgos y así aumentar la seguridad de las páginas web.
4. PRUEBAS DETECCION DE VULNERABILIDADES CON LA HERRAMIENTA “SQLMAP” A LA PAGINA DEL
HOSPITAL DE TM
Se utilizará la herramienta SQLMAP para tratar de detectar las vulnerabilidades y así poder obtener información de las
bases de datos.
Ejecutamos la sentencia en el CMD:
C:\sqlmap>sqlmap.py -u https://www.htm.gob.pe/user/login --dbs
Como Podemos apreciar nos sale que no tiene como método de envió GET, es decir lo envían por el método POST lo cual si es seguro ya que
la ruta no es visible además es https está en modo seguro es decir todo lo que envía este encriptado.
Al final no se pudo acceder a ninguna información usando ese
comando.
Nos recomiendan a usar otros comandos para así talvez poder obtener
alguna información.
Conclusión:
Conclusión:
Básicamente se puede concluir que la página web con 100 usuarios, no tiende a sobrecargarse, pero si tiene peticiones fallidas y
errores mínimos. Por ende, la página web es seguro ante sobrecargas de 100 usuarios concurrentemente.
XI. OBTENCION DE LOS RESULTADOS
Seguridad Estado
Protección y seguridad de los espacios físicos de las Deficiente
instalaciones donde laboran.
Seguridad en los sistemas computacionales (Gis Minsa, Deficiente
e-Qhali y pagina web del Hospital).
Seguridad del hardware Deficiente
XII. CONCLUSIONES Y COMENTARIOS
Conclusiones:
Comentarios o Recomendaciones:
I. INTRODUCCIÓN
1.1. ANTECEDENTES
1.2. OBJETÍVOS
II. OBSERVACIONES
2.1. OBSERVACIÓN N1:
Los softwares informáticos que se usan están datos la una institución
superior, de la cual no se tiene el control, pero también usan software
informático desarrollados localmente, estos no tienen un documento
que prohíban modificaciones.
III. CONCLUSIONES
3.1. CONCLUSION N1
No se tiene políticas que restringas los cambios o versiones de los
softwares informáticos propios.
3.2. CONCLUSION N2
3.3. CONCLUSION N3
No existen controles de acceso apropiados para asegurar que se permite
el acceso a personal autorizado
3.4. CONCLUSION N4
No se cuenta con protecciones con amenazas externas y ambientales
3.5. CONCLUSION N5
Los equipos de información y servicios informáticos no están ubicados
adecuadamente contra amenazas externas
3.6. CONCLUSION N6
El cableado de energía eléctrica y telecomunicaciones no está protegido
contra daños.
3.7. CONCLUSION N7
Se cuenta con un documento de seguridad de información, pero no se
cumple
3.8. CONCLUSION N8
IV. RECOMENDACIONES.
4.1. RECOMENDACIÓN N1
4.2. RECOMENDACIÓN N2
4.3. RECOMENDACIÓN N3
Tener con urgencia un documento para restringir el acceso a
determinado personal al uso de la información.
4.4. RECOMENDACIÓN N4
4.5. RECOMENDACIÓN N5
4.6. RECOMENDACIÓN N6
Mejorar la protección contra daños externos el cableado de energía
eléctrica y telecomunicaciones.
4.7. RECOMENDACIÓN N7
Tomar con mas seriedad de parte de las partes interna de la
organización y hacer cumplir el documento de seguridad.
4.8. RECOMENDACIÓN N8
ANEXO 1
Pag.1 de 1
MANUAL DE ORGANIZACIÓN Y FUNCIONES
Versión: 02
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : SUPERVISOR DE PROGRAMA SECTORIAL I Nº DE
Nº C A P
JEFE DE UNIDAD CARGOS
CODIGO DEL CARGO CLASIFICADO: D2-05-695-1 1 0097
1. FUNCIONES ESPECÍFICAS
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : ESTADISTICO I Nº DE
Nº C A P
RESPONSABLE DE ESTADISTICA CARGOS
CODIGO DEL CARGO CLASIFICADO : P3-05-405-1 1 0098
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : ANALISTA DE SISTEMA PAD I Nº DE
Nº C A P
RESPONSABLE DE INFORMATICA CARGOS
CODIGO DEL CARGO CLASIFICADO : P3-05-050-1 1 0099
1. FUNCIONES ESPECÍFICAS:
1.1. Supervisar y administrar la red informática, así como adoptar las medidas
correspondientes para garantizar y proteger la información, desde su
operatividad hasta su seguridad física.
1.2. Formulara normas y procedimientos para la ejecución de programas de
mecanización y proyectos informáticos a fin de mejorar el sistema de soporte
informático de la institución.
1.3. Supervisar, administrar y verificar los backup a fin de proteger la información.
1.4. Sugerir y coordinar la elaboración del Plan de Contingencia Institucional con
el fin de evitar interrupciones en las operaciones del sistema de cómputo.
1.5. Elaborar el Plan de Mantenimiento preventivo y correctivo de los equipos de
cómputo.
1.6. Manejar bases de datos y protocolos de comunicación.
1.7. Atender consultas e instruir al personal usuario en el manejo de los sistemas
informáticos.
1.8. Supervisar, administrar y controlar el software y Licencias instaladas a fin de
proteger los intereses estatales e institucionales.
1.9. Emitir opiniones técnicas de su competencia.
1.10. Participar en las capacitaciones programadas.
1.11. Otras funciones que le asigne el Jefe de la Unidad de Estadística e Informática.
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : TECNICO EN ESTADISTICA I Nº DE
Nº C A P
RESPONSABLE DE ADMISION CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 1 0100
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : TECNICO EN ESTADISTICA I Nº DE
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 2 0101-0102
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : TECNICO EN ESTADISTICA I Nº DE
Nº C A P
RESPONSABLE DE HISTORIAS CLÍNICAS CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 1 0103
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : TECNICO EN ESTADISTICA I Nº DE
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 1 0104-0105
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : OPERADOR PAD I Nº DE
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : T2-05-595-1 2 0106-0107
1. FUNCIONES ESPECÍFICAS:
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : AUXILIAR DE ESTADISTICA I Nº DE
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : A4-05-130-1 1 0108
1. FUNCIONES ESPECÍFICAS:
CUESTIONARIO
ROLES Y FUNCIONES
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
5. ¿Existe un organigrama con la estructura del área de Estadística e
Informática?
__________________________________________________________
__________________________________________________________
______________________________________________________________
______________________________________________________
INFRAESTRUCTURA
______________________________________________________________
______________________________________________________________
__________________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________
12. ¿Qué tipo de red administran y que personal están autorizados a
conectarse?
______________________________________________________________
______________________________________________________________
__________________________________________________
__________________________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________________
__________________________________________________
______________________________________________________________
______________________________________________________________
__________________________________________________
17. ¿Se cuenta con rutinas o planes de mantenimiento preventivo para los
equipos?
______________________________________________________________
______________________________________________________
18. ¿Cuenta con el espacio suficiente para realizar las actividades
correspondientes?
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________________
__________________________________________________
______________________________________________________________
______________________________________________________________
__________________________________________________
__________________________________________________________
22. ¿La tierra física cumple con los requisitos establecidos en las normas
bajo las cuales se rige?
______________________________________________________________
______________________________________________________
__________________________________________________________
__________________________________________________________
__________________________________________________________
26. ¿El lugar donde se ubica el centro de cómputo está seguro de
inundaciones, robo o cualquier otra situación que pueda poner en peligro
los equipos?
______________________________________________________________
______________________________________________________
27. ¿Dentro del centro de cómputo existen materiales que puedan ser
inflamables o causar algún daño a los equipos?
______________________________________________________________
______________________________________________________
__________________________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________
DATOS
______________________________________________________________
______________________________________________________________
__________________________________________________
32. ¿En qué tipo de base de datos se almacena la información?
______________________________________________________________
______________________________________________________________
__________________________________________________
33. ¿Que gestor de base de datos se usa en la institución?
_____________________________________________________________________
_______________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________________
__________________________________________________
______________________________________________________________
______________________________________________________
______________________________________________________________
______________________________________________________
38. ¿La forma de almacenamiento de los datos cumple con los principios de la
seguridad de información?
______________________________________________________________
______________________________________________________________
__________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
40. ¿Cuántos y qué sistemas de proveedores externos utilizan?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
41. ¿Donde están alojados sus sistemas y que características tienen estos dominios?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
______________________________________________________________
______________________________________________________________
ANEXO 4