EVALUACIN FINAL - AUDITORIA DE SISTEMAS

JOSE ANDERSON RODRIGUEZ CHIQUIZA

CRISTIAN CANO PALOMAR
JHON EDISON LOZANO MONTENEGRO
LUZ AMANDA MEDINA RINCN

FRANCISCO NICOLAS SOLARTE

TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS, TECNOLOGA E INGENIERA
GIRARDOT - CUNDINAMARCA
2015

INTRODUCCIN
Este trabajo en el proceso final y la aceptacin de tcnicas que se abordaron
durante el primer semestre del ao 2015, logrando seguir mtodo para poder
establecer y documentar un informe de auditora, esta guiada por el tutor
encargado del curo de auditoria de sistemas de la universidad nacional abierta
y a distancia UNAD, y desarrollada por los estudiantes que anteriormente en la
portada se relacionan.
Siempre optando la metodologa terica y practica con un ejemplo el cual se
interviene un centro hospitalario y se encuentran diferentes riesgos y se aplican
controles para prevenir cualquier inconveniente que afecte el activo informtico
de la empresa o entidad de servicio prestadora de salud.
Los estudiantes plasman en este documento todo los objetivos logrados,
demostrando as una evidencia que se alcanz los objetivos y se entendi el
tema sobre las auditorias informticas, y el control interno dentro de una
organizacin el cual surge por la necesidad de evaluar y satisfacer la eficiencia,
eficacia, razonabilidad, oportunidad y confiabilidad en la proteccin y seguridad
de los bienes de la organizacin, de la misma manera permite llevar control del
desarrollo de sus operaciones, actividades y resultados financieros que se
esperaban obtener en el desempeo de las funciones y operaciones de toda la
empresa.

PROBLEMA
Es la implantacin de una red IP en una organizacin hospitalaria para dar
servicios generales de informacin a las distintas unidades clnicas de dicho
hospital.
Estos servicios deben tener distintos niveles de privilegio en funcin del tipo de
informacin que proporcionan o recogen. Por ejemplo, los datos privados de los
pacientes y el personal de plantilla deben tener las mximas restricciones.
Los datos que describen la organizacin, estructura, servicios proporcionados y
puntos de contacto, deben ofrecerse pblicamente y, por tanto, su nivel de
restriccin de acceso debe ser el mnimo.
El problema se decide solucionar dando un informe de parte de la auditoria de
sistemas impartido por los entes o ingenieros capacitados los cuales
determinan controles para los riesgos encontrados.

OBJETIVOS

LOGRAR REALIZAR UN INFORME FINAL DE AUDITORIA EN LA

EMPRESA QUE SE EST TRABAJANDO.

LOGRAR ELABORAR EL DICTAMEN Y EL INFORME FINAL DE

AUDITORA.

INTERPRETAR Y APLICAR LAS TCNICAS EL DOCUMENTO DE

PROCESOS DE COBIT

JUSTIFICACIN

Este informe final se realiza para poder satisfacer la necesidad de lograr

aprender, captar , aplicar y emprender en los proceso de auditora interna en
una cualquier entidad, adoptando tcnicas por medio de estas actividad y otras
ms que cumple su papel como guiadoras para poder realizar un excelente
informa final de auditoria de un centro hospitalario.

Por medio igualmente de la captacin, medicin y presentacin de riesgos

encontrados en la entidad Hospitalaria tomada en como ejemplo, poder realizar
un informe por parte del equipo o grupo auditor.

MARCO TERICO

Este trabajo busca poder implementar un enfoque investigativo y cientfico en el

momento de poder implementar mtodos y revisin de la escala de madurez
propuesta en el estndar CobIT y valoracin de riesgos.
De igual manera y gracias a la teora del estndar CobIT que permite
encaminarse a la investigacin, a la epistemologa que nace a partir preguntas
o cuestionamiento, para detectar aquellos hechos que deber investigarse para
poder realizar y aplicar una debida AUDITORIA DE SISTEMAS en el centro
hospitalario.
El estndar CobIT el cual Permite una gua de referencia para dictar un informe
final de todos lo procedimientos realizado y por el grupo acadmico del curso.

INFORME DE CONSTRUCCIN GRUPAL.

Primer momento: Elaborar el dictamen y el informe final de auditora

Para este momento ya se ha determinado los hallazgos y hay que elaborar los
respectivos informes para su entrega y sustentacin de los mismos.
A continuacin se describen las actividades a desarrollar:
1. Cada estudiante del grupo debe hacer la revisin de los procesos de
CobIT evaluados en la auditora, los riesgos detectados y los controles
propuestos, teniendo en cuenta los resultados de los trabajos
colaborativos 1, 2 y 3.
OBJETIVO DE CONTROL
DETALLADO

PROCESO

AI6.- Administrar cambios.

DS4.- Asegurar el servicio

continuo

Inicio y Control de Solicitudes

de Cambio
Anlisis de Impacto
Control de Cambios
Cambios de Emergencia
Documentacin
y
Procedimientos
Mantenimiento Autorizado
Poltica de Liberacin de
Software
Distribucin de Software
Marco de Referencia de
Continuidad de Tecnologa de
informacin
Estrategia y Filosofa del Plan
de Continuidad de TI
Contenido
del
Plan
de
Continuidad de TI.
Reduccin de requerimientos
de Continuidad de Tecnologa
de Informacin.
Mantenimiento del Plan de
Continuidad de Tecnologa de
Informacin.
Pruebas
del
Plan
de
Continuidad de TI.
Entrenamiento sobre el Plan
de Continuidad de Tecnologa
de Informacin.
Distribucin del Plan de

CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO

Efectividad
Eficiencia
Integridad

Efectividad
Disponibilidad

Confiabilidad

Eficiencia

Continuidad de TI.
Procedimientos de respaldo
de procesamiento alternativo
para Departamentos usuarios.
Recursos
Crticos
de
Tecnologa de Informacin.
Sitio y Hardware de Respaldo.
Almacenamiento de respaldo
en el sitio alterno (Off-site).
Procedimiento de afinamiento
del Plan de Continuidad.

PROCESO
DS5.- Garantizar la seguridad de los
sistemas.

DS11.- Administracin de datos

OBJETIVO DE CONTROL
DETALLADO
Autorizacin
de
transacciones.
No negacin o no
rechazo.
Sendero Seguro.
Proteccin
de
las
funciones de seguridad.
Administracin de Llaves
Criptogrficas.
Prevencin, Deteccin y
Correccin de Software
Malicioso.
Arquitectura de Firewalls
y conexin a redes
pblicas.
Proteccin de Valores
Electrnicos.
Procedimientos
de
Preparacin de Datos.
Procedimientos
de
Autorizacin
de
Documentos Fuente.
Recopilacin de Datos de
Documentos Fuente.
Manejo de errores de
documentos fuente.
Retencin
de
Documentos Fuente.
Procedimientos
de
Autorizacin de Entrada
de Datos.
Chequeos de Exactitud,
Suficiencia
y
Autorizacin.
Manejo de Errores en la
Entrada de Datos.

CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO
Confidenciali Disponibilidad
dad
Cumplimiento
Integridad
Confiabilidad

Integridad
Confiabilidad

PROCESO

DS11.- Administracin de
datos

DS12.-Administracin
instalaciones.

de

PROCESO

PO3. - Determinacin de la

Integridad
de
Procesamiento de Datos.
Validacin y Edicin de
Procesamiento de Datos.

OBJETIVO DE CONTROL
DETALLADO

CRITERIOS DE INFORMACIN
PRIMARIO
SECUNDARIO

Sistema de Administracin
de la Librera de Medios
Responsabilidades de la
Administracin
de
la
Librera de Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento
de
Respaldos
Archivo
Proteccin de Mensajes
Sensitivos
Autenticacin e Integridad
Integridad
de
Transacciones Electrnicas
Integridad Continua de
Datos Almacenados
Seguridad Fsica
Discrecin
sobre
las
Instalaciones de Tecnologa
de Informacin
Escolta de Visitantes
Salud y Seguridad del
Personal
Proteccin contra Factores
Ambientales
Suministro Ininterrumpido
de Energa

Integridad
Confiabilidad

OBJETIVO DE CONTROL
DETALLADO

CRITERIOS DE INFORMACION
PRIMARIO
SECUNDARIO

Identificacin

Integridad
Disponibilidad

tecnologa Eficiencia

Efectividad

direccin tecnolgica

AI5.Instalacin
aceptacin
de
sistemas.

y
los

AI6.- Administrar cambios.

Ds3.-Administracin
desempeo y capacidad

de

DS4.- Asegurar el servicio

continuo

PROCESO

actual y emergente
Confiabilidad
Capacidad de adecuacin
y evolucin
de
la
infraestructura actual
Monitoreo y evaluacin de
los
desarrollos
tecnolgicos.
Capacitacin personal.
Actualizacin Sistema
Pruebas de Desempeo
Revisin
post
implementacin
Identificacin de Cambios
Control de solicitudes de
cambio
Evaluacin de Impacto
Cambios de Emergencia
Autorizacin de Cambios
Distribucin de Software
Control de disponibilidad y
desempeo del servicio
Monitoreo y reporte de los
recursos
Implementacin
de
mecanismos de tolerancia
de fallas
Control prioridad de tareas
Plan de continuidad del T.I
Aplicacin
Plan
de
continuidad del T.I.
Reduccin
de
requerimientos
de
Continuidad de T.I
Pruebas del plan de
continuidad del T.I
Aplicacin del plan de
continuidad del T.I
Respaldo y recuperacin.
Sitio y Hardware de
Respaldo.
Procedimiento
de
afinamiento del Plan de
Continuidad.

OBJETIVO

DE

CONTROL

Eficiencia
Efectividad

Disponibilidad

Efectividad
Eficiencia

Confiabilidad

Eficiencia
Efectividad

Confiabilidad

Efectividad

Eficiencia

CRITERIOS DE INFORMACIN

DETALLADO

DS5.Garantizar
la
seguridad de los sistemas.

DS11.- Administracin de
datos

DS12.-Administracin
instalaciones.

de

PRIMARIO

Autenticacin
e Integridad
identificacin
Confiabilidad
Perfiles seguros.
Confidencialid
Administracin de Llaves ad
Criptogrficas.
Manejo,
reporte
y
seguimiento de incidentes.
Prevencin y deteccin de
virus.
Medidas
de
control
preventivas, detectives y
correctivas.
Arquitectura de Firewalls y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Controles generales y de Confidencialid
aplicacin
sobre
las ad
operaciones de T.I.
Cumplimiento
Diseo
formatos
de Integridad
entrada de datos.
Recopilacin de Datos de
Documentos Fuente.
Control de entrada de
datos
Integridad
de
Procesamiento de Datos.
Procesos de validacin y
correccin de datos.
Procedimientos
de
respaldo
(Back-up)
y
recuperacin
Almacenamiento
de
respaldos
Autenticacin e Integridad
Integridad
de
Transacciones Electrnicas
Integridad Continua de
Datos Almacenados
Proporcionar un ambiente
fsico conveniente
Controles
fsicos
y
ambientales
Manejo de informacin
privilegiada.
Seguridad ante visitantes

SECUNDARIO

Disponibilidad

Confiabilidad

DS13. - Administracin de
la operacin

Organizacin procesos y Eficiencia

actividades.
Documentacin
de
procedimiento
de
operaciones
Control de tareas
Diseo calendario

Modelo de Madurez
Estado actual:
1 Inicial se reconoce que el tema del Proceso de TI existe y que debe
ser resuelto. Existen enfoques aplicados individualmente o por caso. El
enfoque de la gerencia solamente existe una comunicacin espordica
e inconsistente sobre los temas enfoques para resolverlos. La gerencia
solo cuenta con una indicacin aproximada de cmo TI contribuye al
desempeo del negocio. La gerencia solo responde de forma reactiva a
los incidentes que hayan causado prdidas o vergenza a la
organizacin.

1. Cada estudiante debe determinar los niveles de madurez de los

procesos evaluados de manera individual y publicar los resultados
en el foro, posteriormente el grupo debe debatir sobre el nivel de
madurez de cada proceso evaluado, teniendo en cuenta los riesgos
detectados en la auditoria y los controles existentes en cada
proceso.

Proceso

Nivel de Madurez

PO3. - Determinacin de la direccin

tecnolgica

AI5.- Instalacin y aceptacin de los

sistemas

AI6.- Administrar cambios.

Ds3.-Administracin

de

desempeo

Nivel 1. Inicial: El manejo de los procesos

involucrados
necesarios
para
su
funcionamiento
requieren de un TI
apropiado para un eficiente y eficaz
desarrollo.
Nivel 2. Repetible e inductivo: dependiendo
de la aceptacin y desarrollo se mejoran
los procesos y eliminan las deficiencias.
Nivel 1. Inicial: El Requerimiento de
aplicacin de T.I.
Nivel 3. Definid

capacidad
DS4.- Asegurar el servicio continuo

DS5.- Garantizar la seguridad de los

sistemas.
DS11.- Administracin de datos.

DS12.-Administracin de instalaciones.

DS13. - Administracin de la operacin

Nivel 2. Repetible e Inductivo

Nivel 2. Repetible e inductivo.
Nivel 2. Repetible e inductivo.
Nivel 1. Inicial
Nivel 1. Inicial

4. El grupo debe elaborar el dictamen de la auditora concertado para

todos los procesos evaluados, describiendo el proceso evaluado, el nivel
de madurez en que se encuentra (0,1, 2, 3, 4, 5) y escribir por qu se
encuentra en ese nivel de acuerdo a los controles y riesgos existentes.
Proceso: AI2 Adquisicin y Mantener Software de Aplicacin.
Dictamen: Nivel de madurez 2 REPETIBLE: se adquiere un tipo de software
para dar ms resultados con eficacia a la cantidad de medicamentos existente
o los que se dan de baja en el aplicativo automtico cuando se despacha los
medicamentos a los clientes.
Proceso: AI5 Instalar y Acreditar Sistemas.
Dictamen: Nivel de madurez 3 DEFINIDO: La instalacin de software debe
tener los derechos de autor y cumpla con los objetivos especficos en dar
acceso a los diferentes procesos que se desarrollen en el hospital en la red sin
cadas, la estabilidad sera el mejor servicio para el buen funcionamiento.
Proceso: AI6 Administrar Cambios
Dictamen: Nivel de madurez 5 Optimizado: La actualizacin de la bases de
datos sea completa en cuanto seguridad y mantenimiento, donde no se est
bloqueando en momentos en que todos estn utilizando el mismo servidor al
mismo tiempo en los diferentes procesos informticos
Proceso: DS3 Administrar Desempeo y Calidad.
Dictamen: Nivel de madurez 4 Administrado: El anlisis del personal de trabajo
ha llevado a crear unas metodologas a implementar para la buena imagen en
cuanto servicio al cliente, personal capacitado en responder a las
circunstancias que est operando con la funcin otorgadas y la atencin a los
usuarios, corrigiendo as algunas falencias del servicio
Proceso: DS4 Asegurar Servicio Continuo.
Dictamen: Nivel de madurez 0 NO EXISTENTE: No se aplican procesos
administrativos en lo absoluto

Proceso: DS5 Garantizar la Seguridad de Sistemas.

Dictamen: Nivel de madurez 5 Optimizado: El antivirus no cumple con los
requisitos totales de sus funciones de seguridad, es gratis y no est ofreciendo
la certeza de salvaguardar toda la documentacin e informacin imprescindible
para el dar manejo a las diferentes operaciones. Se debe adquirir un antivirus
de pago o Premium que ofrezca las funciones de detencin a cualquier objetivo
malicioso.
Proceso: DS7 Capacitar Usuarios.
Dictamen: Nivel de madurez 3 definidos: El no aprovechamiento de
certificaciones otorgadas por auditoria
se llevara a tener individuos
incompetentes con la demanda establecida en los procesos de servicio al
cliente. Una excelente calificacin por parte de los usuarios se llevara a
mostrar los errores a mejorar.
Proceso: DS11 Administrar Datos.
Dictamen: Nivel de madurez 4 administrado: Obtener personal experto en el
manejo de bases de datos generales del hospital refleja confianza para la
confidencialidad de los datos e informacin que se puede estar administrando,
ya se contable, financiera, organizativa etc.; Siempre dando un buen manejo
excelente para la estructura de organizacin y fuera de mal manejo.
Segundo momento:
A continuacin se describen las actividades a desarrollar:
1. Elaborar el informe final de auditora que contenga los siguientes
tems: la carta de presentacin del equipo auditor, los objetivos de
la auditoria, los alcances de la misma, los problemas que se
presentaron en el proceso de auditora respecto a consecucin de
la informacin, una lista de los hallazgos encontrados y las
recomendaciones o controles propuestos.
INFORME FINAL DE AUDITORIA

Colombia, 23 de mayo de 2015

Seor:
Francisco Nicols Solarte
Director y tutor
Auditoria de sistemas

REF: Auditoria al Sistema de Informacin Hospitalarios

Cordial saludo.
Se ha realizado una auditoria al Sistema de informacin Hospitalarios para
verificar los mdulos que estn implementados y que procesos an no estn
integrados a los mdulos.
Los objetivos fueron enfocados a:
Practicar auditoria a Los diferentes mdulos de software que manejan los sistemas de
informacin, a procesos que an no se encuentran sistematizados y a la construccin
de software por parte de los ingenieros que pertenecen a la entidad. Conceptuando
sobre las metodologas y mtodos empleados en la construccin de software y
liberacin del mismo para produccin.

Como resultado de dicha auditoria se presenta las conclusiones al respecto.

Hallazgos y Recomendaciones:
Hallazgos:
-

En cuanto al Diseo de la base de datos y el diccionario de datos: No se

cuenta con manual del sistema. El diccionario de datos no est
actualizado. El diccionario de datos no est completamente
documentado. No se cuenta con la totalidad de los manuales de usuario
y los que existen se encuentran desactualizados. En las polticas de
seguridad no definen los procesos y procedimientos para copias de
seguridad y restauracin de las mismas. Las polticas de seguridad no
contemplan la frecuencia de revisin de las bitcoras de acceso a los
mdulos de sistemas, a la base de datos y al sistema operativo. No hay
una adecuada administracin de usuarios en el sistema de informacin.

En cuanto a identificar el personal clave de TI y personal de apoyo:

Cada uno de los ingenieros de sistemas que desarrollan los mdulos se
identifica como personal clave de los mismos.

En cuanto a Verificar la existencia de procesos para la construccin de

proyectos software: No existe un proceso definido para el desarrollo de
proyectos de software. No se encuentra documentado el proceso para el
desarrollo de proyectos de software.

En cuanto a procedimientos para inicio de proyectos, requerimientos de

usuario, plataforma y lenguajes utilizados: La coordinacin de sistemas
realiza un proceso de seleccin de proyectos de desarrollo de software,
pero no se encuentran documentados los criterios de evaluacin. No

est conformado el comit evaluador. En ocasiones, no se vincula al

proceso de desarrollo de software a los usuarios en las etapas de
levantamiento de requerimientos, diseo y pruebas. No se encuentra
documentado el procedimiento para formalizar la presentacin de
requerimientos a la Coordinacin de Sistemas. El sistema de
informacin es funcional y est operando pero no toma en cuenta las
nuevas tendencias y nuevos lenguajes orientados a la Web.
-

En cuanto a existencia de planes de mantenimiento preventivo, defectivo

y correctivo: El plan de mantenimiento es correctivo para equipos de
infraestructura en la ciudad, no preventivo. No existe documentacin
sobre el procedimiento a seguir y la periodicidad para realizar
evaluaciones y revisiones, actualizacin, riesgos, vulnerabilidades y
requerimientos de seguridad.

En cuanto a la existencia de planes de capacitacin y entrenamiento de

usuarios: No existe un plan de capacitacin y entrenamiento para los
usuarios finales de los sistemas informticos. No existe un plan de
capacitacin sobre las actualizaciones al usuario final de las
modificaciones y mejoras que se realicen a los mdulos de sistemas. La
Coordinacin de Sistemas no cuenta con el personal necesario para
desarrollar todas las actividades propias del rea (atender y capacitar
usuarios, desarrollo de aplicativos, investigar y desarrollar). No se evala
el entrenamiento y la capacitacin recibidos por los usuarios. Para
mejorar planes de capacitacin y entrenamiento de usuarios se
recomienda hacer una comparacin (bench marking) con las mejores
prcticas en otras cajas de compensacin y hacer una revisin de
necesidades de capacitacin.

En cuanto a la existencia de documentacin de los cambios: No existe

un documento para consultar los procedimientos para la elaboracin de
cambios solicitados (mantenimientos, parches, actualizaciones) en los
mdulos informticos, parmetros del sistema. No Existe un proceso
documentado para llevar a cabo el seguimiento y el soporte a los
cambios.

En cuanto al aseguramiento de los planes de pruebas para acreditacin

de sistemas: No existe la documentacin del plan de pruebas que
soporte el proceso, que incluya Preparacin de pruebas, Requerimientos
de entrenamiento, Instalacin y actualizacin de un ambiente de pruebas
definido y aprobacin formal.

En cuanto a la administracin y satisfaccin de servicios de terceros:

Existen requerimientos que han sido reiterativos y que no han sido
atendidos.

En cuanto a personal de soporte a los sistemas de informacin: Cada

uno de los mdulos de sistemas cuenta con un ingeniero encargado de
dar soporte y atender requerimientos, el cual se convierte en la persona
clave con el conocimiento necesario para llevar a cabo estas funciones.
No existe personal alterno que sustituya en su rol administrativo a cada
uno de los ingenieros en cada mdulo. Sino est el ingeniero
administrador nadie brinda soporte sobre el mdulo.

En cuanto a Existencia de planes de seguridad, y administracin de

usuarios: Existe un Plan de Seguridad, sin embargo el documento no
est completo, pues no cuenta con el contenido estndar para planes de
seguridad. Existen usuarios que comparten claves de acceso al sistema.
Los mdulos de Capacitacin y del Hotel Agualongo no cuentan con la
opcin de administrar usuarios, estos se crean y se modifican
ingresando a la base de datos del sistema.

Recomendaciones:
Con respecto al diseo de la base de datos y el diccionario de datos se
recomienda: Elaborar y actualizar los manuales de sistemas y de
usuario. Asignar personal suficiente que realice la documentacin del
software. Establecer como poltica la documentacin del sistema de
informacin. Iniciar el levantamiento de la informacin para elaborar el
diccionario de datos del sistema de informacin y su actualizacin.
Implementar procedimientos para copias de seguridad y restauracin de
copias de seguridad. Implementar un procedimiento para revisin de las
bitcoras de acceso a los mdulos, base de datos y sistema operativo.
Definir polticas y procedimientos que informen a la coordinacin de
sistemas la rotacin, contratacin y despido del personal de nmina o
contrato para actualizar los permisos y retiro de usuarios. Reestructurar
el formato de solicitud de requerimientos. Para mejorar en la ingeniera
de requerimientos del sistema a desarrollar se
recomienda la
capacitacin de los desarrolladores en este tema, o en su defecto hacer
una revisin bibliogrfica de normas y estndares.
Con respecto a la identificacin de personal clave de TI y personal de
apoyo se recomienda: Implementar un proceso de capacitacin en la
coordinacin de sistemas para minimizar la dependencia del personal
clave en cada uno de los mdulos. Realizar rotacin del personal,
asignar roles, responsables en la coordinacin de sistemas y
documentarlo. Intercambio de roles y responsabilidades de los mdulos
peridicamente.
Con respecto a verificar la existencia de procesos para la construccin
de proyectos de software se recomienda: Definir la metodologa y ciclos
de vida para desarrollo de proyectos de software. Implementar un

proceso estndar de desarrollo e implantacin de software. Asignar

personal que se encargue de documentar el proceso de desarrollo e
implantacin de software. Para mejorar la construccin de proyectos
software se recomienda revisar el modelo de calidad de producto de
software segn la ISO 9126 y la Evaluacin del producto de software
segn la ISO 14598. Hacer uso de material que permita mejorar y
documentar los procesos de desarrollo de software tal como la Norma
Tcnica Colombiana ISO 10006 Directrices para la Calidad en
Administracin de Proyectos. La anterior norma puede ser aplicada a
travs de la metodologa que ofrece la Gua de los Fundamentos para la
Direccin de Proyectos (Gua del PMBOK Cuarta Edicin) publicado
por el Project Management Instituto PMI.
Con respecto a procedimientos para inicio de proyectos, requerimientos
de usuario, plataforma y lenguajes utilizados se recomienda:
Implementar procedimiento y la documentacin para el proceso de
seleccin de proyectos de desarrollo de software. Integracin de un
comit tcnico administrativo que se encargue de evaluar
y
seleccionar proyectos de desarrollo de software. Vincular siempre a los
usuarios de los sistemas de informacin en el proceso de desarrollo de
software. Documentar y ejecutar el procedimiento para la presentacin
de requerimientos a la Coordinacin de Sistemas. Realizar un proyecto
de desarrollo paralelo bajo una nica plataforma tecnolgica teniendo en
cuenta los nuevos requerimientos de TI, las nuevas tendencias y los
nuevos lenguajes orientados a sistemas Web.
Con respecto a la existencia de planes de mantenimiento preventivo,
detectivo y correctivo se recomienda: Definir un plan de mantenimiento
preventivo, detectivo y correctivo. Asignar personal que se encargue de
ejecutarlo. Definir un plan para adquisicin y mantenimiento de la
infraestructura tecnolgica. Asignar personal que se encargue de
documentar el procedimiento a seguir sobre evaluacin, actualizacin,
riesgos, vulnerabilidades y requerimientos de seguridad.
Con respecto a la existencia de planes de capacitacin y entrenamiento
de usuarios se recomienda: Mantener una comunicacin constante entre
la coordinacin de personal y coordinacin de sistemas para planificar la
capacitacin y entrenamiento de los usuarios finales. Asignar personal
que se encargue de apoyar las actividades propias de la coordinacin de
sistemas. Evaluar el entrenamiento y la capacitacin recibidos por los
usuarios.
Con respecto a la existencia de documentacin de cambios se
recomienda: Asignar personal que se encargue de documentar el
procedimiento para la elaboracin de cambios solicitados, llevar el

seguimiento y soporte de los cambios, y realizar las actualizaciones de

la documentacin pertinente. Para la documentacin de los cambios se
sugiere hacer uso de la Gua de los Fundamentos para la Direccin de
Proyectos (Gua del PMBOK Cuarta Edicin) publicado por el Project
Management Instituto PMI (Gestin de la Integracin del Proyecto).
Con respecto al aseguramiento de los planes de pruebas para
acreditacin de los sistemas se recomienda: Documentar el plan de
pruebas que ejecute cada uno de los constructores de software. Para
asegurar los planes de pruebas para acreditacin de sistemas se
recomienda revisar las tcnicas, las estrategias y mtricas tcnicas de
software.
Con respecto a la administracin y satisfaccin de clientes se
recomienda: Crear un equipo de trabajo dedicado a la definicin de
soluciones efectivas para poner en marcha el desarrollo del
requerimiento del usuario.
Con respecto al personal de soporte a los sistemas de informacin se
recomienda: Elaborar un Plan de Capacitacin interna donde los mismos
ingenieros se encarguen de dar a conocer de forma completa y profunda
el funcionamiento de cada mdulo a su cargo. Asignar personal alterno
responsable en caso de que el ingeniero de soporte de cada mdulo no
se encuentre en el momento y sitio requerido.
Con respecto a la existencia de planes de seguridad, y administracin de
usuarios se recomienda: Incluir en el Plan de Seguridad aquellos
aspectos que son necesarios y que no se han contemplado. Informar
inmediatamente a la Coordinacin de Sistemas sobre cambios en el
personal de cada dependencia. Disear un proceso estndar para
desarrollo de Software que contemple aspectos como la administracin
de usuarios.
2. El grupo debe elaborar una presentacin en prezzi con la
metodologa de la auditora con sus fases, las actividades
realizadas en cada fase, el plan de auditora, el programa de
auditora, el diseo de los instrumentos, el proceso de anlisis y
evaluacin de riesgos para los procesos evaluados, el cuadro de
los hallazgos detectados (con la causa, los recursos afectados, los
controles propuestos como solucin), el dictamen de la auditora
para cada proceso evaluado y el informe final de auditora.

https://prezi.com/gbop-fczyreg/auditoria-de-sistemas/

Conclusiones.

Recomendaciones.

Referencias bibliogrficas.

https://prezi.com/gbop-fczyreg/auditoria-de-sistemas/
http://auditordesistemas.blogspot.com/2012/02/resultados-de-laauditoria.html.