Informe-Final ByRussell v3

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA
FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS
INFORME DE AUDITORIA DE LA SEGURIDAD DEL AREA DE ESTADISTICA E

INFORMATICA DEL “HOSPITAL TINGO MARIA”
DOCENTE : ING. VEGA VENTOCILLA, EDWIN
CURSO : AUDITORÍA
TEMA : AUDITORÍA AL HOSPITAL DE TINGO MARIA
ALUMNOS : INOCENCIO PIHUE, RUSSELL LEANDRO

NAMOC RODRIGUEZ, ANDY KALITH
SEMESTRE : 2018-II
TINGO MARIA-PERU
2018
Contenido
I. INTRODUCCIÓN ................................................................................................. 4
II. OBJETIVOS ........................................................................................................ 5
2.1. Objetivo General ............................................................................................ 5
2.2. Objetivos Específicos .................................................................................... 5
III. DESCRIPCIÓN DE LA EMPRESA ....................................................................... 6
3.1. Ubicación ........................................................................................................ 6
3.2. Descripción ................................................................................................... 6
3.3. Misión.............................................................................................................. 6
3.4. Visión .............................................................................................................. 6
3.5. Organigrama De la Unidad De Estadística e Informática ........................... 7
3.6. Roles y Funciones del personal ................................................................... 8
3.7. Organigrama Estructural HTM ...................................................................... 9
3.8. Servicios que Brinda ..................................................................................... 9
3.9. Objetivos del Hospital de Tingo María ....................................................... 10
IV. FUNDAMENTO TEÓRICO............................................................................. 11
4.1. Auditoría ....................................................................................................... 11
4.2. Importancia de la auditoria para empresas ............................................... 14
4.3. ¿Cuándo realizar una auditoría? ................................................................ 14
4.4. Beneficios de realizar una auditoria ........................................................... 15
V. DESARROLLO DE LA METODOLOGIA .......................................................... 16
5.1. Origen de la Auditoria ............................................................................... 16
5.2. Investigación Preliminar ........................................................................... 16
5.3. Planeación de la Auditoría Informática ................................................... 16
VI. RECOPILACIÓN DE LA INFORMACIÓN BÁSICA ....................................... 17
VII. IDENTIFICACIÓN DE ACTIVOS Y RIESGOS POTENCIALES .................... 18
7.1. IDENTIFICACIÓN DE ACTIVOS ................................................................ 18
7.2. RIESGOS POTENCIALES ......................................................................... 20
VIII. OBJETIVOS DE CONTROL .......................................................................... 24
IX. DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL ................. 25
X. PRUEBAS A REALIZAR .................................................................................. 26
a. Herramientas a Utilizar: ............................................................................... 26
b. Se Realizarán las siguientes Pruebas de Seguridad ................................. 27
c. Pruebas Realizadas ........................................................................................ 28
XI. OBTENCION DE LOS RESULTADOS .......................................................... 48
XII. CONCLUSIONES Y COMENTARIOS ........................................................... 49
XIII. ANEXOS ........................................................................................................ 55
I. INTRODUCCIÓN
En el mundo de los negocios actuales, tan competitivo, las organizaciones

deben mejorar sus comunicaciones internas y externas para mantener su
crecimiento en el mercado y brindar un mejor servicio, deben mejorar su
seguridad.
Para garantizar el eficiente funcionamiento de las áreas de cualquier

organización se debe tener un control de seguridad en los equipos, software
e infraestructura.
Por ejemplo, sin una buena infraestructura de cableado, la plataforma
tecnológica más innovadora puede convertirse en un instrumento poco útil.
Por tanto, un cable defectuoso puede arruinar la transacción electrónica más
importante de una compañía. Por esta razón las redes IP se han convertido
desde hace tiempo para compañías del sector industrial, de distribución y de
servicios, en una infraestructura crítica para el soporte y la continuidad de la
organización.
El desarrollo de este trabajo se dividirá en 5 capítulos, en el capítulo II se

describe toda la información de la institución y del área en la cual se realizó la
auditoría.
En el capítulo III se presenta el marco teórico en el cual se describirán las
técnicas métodos y herramientas que se utilizaran para realizar la auditoría,
luego en el capítulo IV se detalla cómo se realizó la auditoría paso a paso y
por último los anexos.
II. OBJETIVOS
2.1. Objetivo General
Realizar una revisión a los equipos informáticos, ambiente y personal desde

el punto de vista de la seguridad del área de estadística e informática del
hospital de Tingo María.
2.2. Objetivos Específicos
✓ Evaluar las condiciones e instalaciones físicas y medio ambiente.

✓ Evaluar la protección y seguridad de los espacios físicos de las
instalaciones de cómputo.
✓ Evaluar la seguridad en los sistemas computacionales.
✓ Evaluar la seguridad del hardware.
✓ En base a la información recaudada en entrevistas, cuestionarios y
encuestas, elaborar un análisis de sustento al informe final.
✓ Elaborar el dictamen final.
✓ Elaborar y presentar el informe de auditoría.
III. DESCRIPCIÓN DE LA EMPRESA
3.1. Ubicación
El Hospital de contingencia Tingo María (HCTM) se encuentra ubicado en el KM

2.5-Carretera Marginal Tingo María-Pucallpa/Mapresa, Distrito de Rupa – Rupa,
Provincia de Leoncio Prado, Departamento de Huánuco.
3.2. Descripción
El Hospital de contingencia Tingo María es un órgano desconcentrado de la Red

de Salud Leoncio Prado, con 56 años de creación (1962 - 2018), que viene
brindando servicios de salud de mediana complejidad esencialmente a la
población de menores recursos de la ciudad de Tingo María. Es así mismo, un
hospital de prestigio y referencia regional, el cual puede recibir pacientes de las
Redes de Salud de Tocache (Región San Martín) y Red de Salud Aguaytia

(Región Ucayali) para tratar diversas patologías.
Es un órgano desconcentrado por ser una instancia con dependencia técnica,

funcional y presupuestal, encargado de ejecutar las normas emitidas por los
órganos técnico-normativos de un nivel superior. A la vez regula, supervisa,
controla y fomenta el desarrollo de las actividades de salud articulando el sector
público y no público con la participación de la comunidad, los organismos
cooperantes y con otros sectores dentro del ámbito de su jurisdicción.
3.3. Misión
“Somos un Hospital, que brinda servicios de salud, orientados a la prevención,
recuperación y rehabilitación de la población asignada y de referencia, con un
enfoque de innovación, equidad y desarrollo humano”.
3.4. Visión
“Al 2020 el Hospital de contingencia Tingo María se constituye en la región, en
una institución modelo en atención integral de la salud en el Segundo Nivel de
Atención; brindando servicios con oportunidad, calidad, calidez y con participación
activa de los sectores sociales”.
3.5. Organigrama De la Unidad De Estadística e Informática
DIRECTOR DE PROGRAMA
SECTORIAL II
(Director Ejecutivo)
SUPERVISOR DE PROGRAMA
SECTORIAL I
JEFE DE LA UNIDAD DE
ESTADISTICA E INFORMATICA
ESTADISTICO I
ANALISTA DE SISTEMA
PAD I
TECNICO EN
ESTADISTICA I
OPERADOR PAD I
(2)
AUXILIAR DE
ESTADISTICA I
3.6. Roles y Funciones del personal
ROLES FUNCIONES
Planear, organizar y dirigir las actividades administrativas y

Jefe De La técnicas de los sistemas de estadística e informática a fin de
proveer a la institución la información eficiente de estadísticas en
Unidad salud y brindar el soporte informático correspondiente para los
procesos organizacionales.
Ejecutar y supervisar las actividades técnico administrativa de los

Estadístico I sistemas de registro de información que genere estadísticas tanto
médicas como administrativas.
✓ Ejecutar actividades técnico administrativas relacionadas

a mantener operativo el área de admisión.
✓ Apoyar actividades técnico administrativas relacionadas a
mantener operativo el área de admisión.
Técnico en
✓ Realizar actividades técnico administrativas relacionadas
Estadística I a Historias Clínicas y registros médicos en el de archivo
de historias clínicas.
✓ Apoyar actividades técnico administrativas relacionadas a
Historias Clínicas y registros médicos en el de archivo de
historias clínicas.
Auxiliar de Apoyo en las actividades técnico administrativas de actualización

del censo diario de pacientes y el de las Historias clínicas de
Estadística I Hospitalización.
Analista de Planifica, Organiza, Ejecuta y Supervisa las actividades de las

actividades técnicas administrativas relacionados a proyectos de
Sistema PAD sistemas o aplicativos informáticos, así como la optimización de
I los Sistemas informáticos.
Apoyar actividades relacionadas a la operación de máquinas

Operador diversas de Procesamiento Automático de Datos con el fin de
PAD I brindar soporte informático; mecanización e integración de los
sistemas de información requeridos en la institución
3.7. Organigrama Estructural HTM
Figura 1: Organigrama Estructural
3.8. Servicios que Brinda
Orgánicamente el hospital está conformado por once departamentos y doce

servicios, los departamentos son: Medicina, Cirugía, Pediatría, Ginecología y
Obstetricia, Odontoestomatología, Emergencia y Cuidados Críticos,
Anestesiología y Centro Quirúrgico, Patología Clínica y Anatomía Patológica,
Diagnóstico por Imágenes, Apoyo al tratamiento, Consulta Externa y
Hospitalización y el Dpto. de Enfermería.
3.9. Objetivos del Hospital de Tingo María
A. Objetivos Funcionales
Lograr la recuperación de la salud y la rehabilitación de las capacidades de

los pacientes, en condiciones de oportunidad, equidad, calidad y plena
accesibilidad, en Consulta Externa, Hospitalización y Emergencia.
Defender la vida y proteger la salud de la persona desde su concepción hasta

su muerte natural.
Apoyar la formación y especialización de los recursos humanos, asignando

campo clínico y el personal para la docencia e investigación, a cargo de las
Universidades e Instituciones educativas, según los convenios respectivos.
Mejorar continuamente la calidad, productividad, eficiencia y eficacia de la

atención a la salud, estableciendo las normas y los parámetros necesarios, así
como generando una cultura organizacional con valores y actitudes hacia la
satisfacción de las necesidades y expectativas del paciente y su entorno
familiar.
IV. FUNDAMENTO TEÓRICO
4.1. Auditoría
La auditoría, etimológicamente viene del verbo latino audire, que significa ‘oír’,
que a su vez tiene su origen en los primeros auditores que ejercían su función
juzgando la verdad o falsedad de lo que les era sometido a su verificación,
principalmente mirando. Sin embargo, también se dice que viene del verbo en
inglés to audit, que significa ‘revisar’ o ‘intervenir’.
Al proceso sistemático enfocado al examen objetivo, independiente y evaluatorio

de las operaciones financieras, administrativas y técnicas realizadas; así como
a los objetivos,
planes programas y metas alcanzados por las dependencias y entidades de la

Administración Pública Federal, con el propósito de determinar si se realizan de
conformidad con los principios de economía, eficacia, eficiencia, transparencia,
honestidad y en apego a la normatividad aplicable.
La auditoría pública se realiza en tres etapas y con el seguimiento a las

observaciones determinadas, como se muestra a continuación:
Figura 2: Fases de una Auditoria

a. Planeación
se formulará el Marco Conceptual o programa de trabajo con los siguientes

datos: identificación de la auditoría; Concepto a revisar; objetivo específico que
se persigue; universo, muestra y procedimientos que se aplicarán durante el
desarrollo de los trabajos, así como la conclusión que se obtenga después de
aplicar los procedimientos al concepto revisado, de acuerdo con las
especificaciones. Podrá elaborarse un marco conceptual o programa de trabajo
por cada Concepto a revisar.
b. Ejecución
Obtener evidencia suficiente, competente, relevante y pertinente que permita al
auditor conocer la situación de los Conceptos revisados, para emitir una opinión
sólida, sustentada y válida.
FASES DE LA EJECUCIÓN
La ejecución del trabajo de auditoría pública consiste en una serie de actividades

que se realizan de manera lógica y sistemática para que el auditor público se
allegue de los elementos informativos necesarios y suficientes para cubrir sus
pruebas selectivas.
Las cuatro fases de la ejecución se describen enseguida:
a) Recopilación de datos
El auditor público se allega de la información y documentación para el análisis
del concepto a revisar; debe ser cuidadoso y explícito en la formulación de sus
solicitudes.
b) Registro de datos
Se lleva a cabo en cédulas de trabajo, en las que se asientan los datos referentes
al análisis, comprobación y conclusión sobre los Conceptos a revisar, cuyas
especificaciones
más adelante se detallan.
c) Análisis de la información
Consiste en la desagregación de los elementos de un todo para ser examinados
en su detalle, y obtener un juicio sobre el todo o sobre cada una de sus partes.
d) Evaluación de los resultados
La evaluación de los resultados sólo es posible si se toman como base todos los
elementos de juicio suficientes para poder concluir sobre lo revisado, y
sustentados con evidencia documental que pueda ser constatada. Los
resultados nunca deben basarse en suposiciones.
c.Informe
Los organismos auditores (unidades auditoras) deben informar a la autoridad

competente sobre sus resultados, priorizando observaciones o hechos de
particular importancia y trascendencia.
Cuando los organismos auditores (unidades auditoras) hacen sus informes del
dominio público, se garantiza su amplia diseminación y debate, con lo que se
incrementan las posibilidades de que las recomendaciones y observaciones
hechas sean atendidas de manera oportuna y eficaz.
De manera general, el informe de auditoría debe cubrir todas las actividades
realizadas por el organismo auditor para sustentar sus resultados, con
excepción de los casos en los que deba reservarse la información, por su
naturaleza o por disposición de la normatividad
aplicable.
Los informes deben presentar los hechos y su evaluación de manera objetiva,

clara y acotada a los elementos esenciales. Su redacción debe ser.
4.2. Importancia de la auditoria para empresas
Principalmente, las compañías se benefician con la auditoría debido a que

genera un efecto positivo por los resultados que brinda, ya sea favorables o
negativos, pero son reales; ante ello se tomará las medidas correctivas para ser
administrada correctamente en todos los equipos corporativos de la empresa.
Asimismo, contribuye a la empresa mediante información detallada de
contabilidad: evalúa objetivos, examina la administración y gestión, emite
recomendaciones para la empresa.
4.3. ¿Cuándo realizar una auditoría?
Lo recomendable es realizar una auditoría cada 6 meses o una vez al año. Sin
embargo, cuando existan evidencias de malos manejos contables, rotación o
despido masivo del personal de la empresa, quejas de clientes y objetivos no
alcanzados, allí también es un buen momento para contratar una empresa
especializada en auditoría.
Siguiendo las recomendaciones, se logrará que la empresa se esté gestionando

de la mejor manera, pues así conseguirá alcanzar los objetivos a mediano y largo
plazo; y la sostenibilidad empresarial está asegurada.
4.4. Beneficios de realizar una auditoria
• Conoce detalladamente los rendimientos contables de la organización.

• Realiza un planteamiento con acciones preventivas y correctivas.
• Propone mejoras continuas en los procesos de la empresa.
• Detecta latentes problemas que se pueden agravar.
• Halla las debilidades y amenazas de la empresa.
• Contribuye a mejorar la comunicación interna.
• Identifica los riesgos de la empresa.
• Genera transparencia en los gastos.
• Previene posibles fraudes y errores.
• Brinda mejoras a la organización.
V. DESARROLLO DE LA METODOLOGIA
5.1. Origen de la Auditoria
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,

aprobada mediante Resolución de Contraloría Nº 235- 2002-CG del 15 de
Diciembre del 2002.
Por solicitud de procedencia externa, en este caso de “La Facultad de
Informática Y Sistemas de la UNAS”.
5.2. Investigación Preliminar
Se realizaron múltiples visitas al HCTM, en especial a la Unidad de Estadística

e Informática con la finalidad de realizar las acciones pertinentes de
coordinación e informativa con relación a la Auditoria informática que se realizó
en dicha área.
Mediante oficio N° 213-2018-D-FIIS-UNAS se puso de conocimiento al

personal del área de Estadística e Informática del HCTM que se realizaría una
auditoria Informática al área, por tal razón se pide brindar las facilidades del
caso para dicha labor.
Con la investigación preliminar se pudo recabar información general acerca de

las funciones del personal del área de Estadística e Informática del HCTM,
También sobre las redes, sistemas e infraestructura del área que es
indispensable para empezar con la siguiente fase de la auditoria informática.
5.3. Planeación de la Auditoría Informática
Con la información obtenida en la investigación preliminar se pudo determinar

las estrategias para una buena estructuración y planificación de todas las
actividades que se llevaron a cabo al momento de la auditoria informática al
área de Estadística e Informática del HCTM (Véase Anexos 03).
VI. RECOPILACIÓN DE LA INFORMACIÓN BÁSICA
✓ Para realizar la actividad de obtención de información, se realizó un

oficio con N° 213-2018-D-FIIS-UNAS (Véase en Anexo), para enviarlo a
la institución para así contar con el permiso formal para realizar la
auditoría.
✓ Para realizar dicha auditoria se utilizó la “metodología para realizar
auditorías de sistemas computacionales”.
✓ Posteriormente en la obtención de información en este trabajo, se tuvo
referente la norma ISO/IEC 27000.
✓ Se realizaron un cuestionario, una entrevista, el cual fue dirigida al jefe
del área de estudio (Bach. Alexander A. Encarnación Ramírez), y
también mediante observación directa. (Véase en Anexo)
✓ También se utilizó un cronograma de tareas para realizar la Auditoria.
Tabla 1. Cronograma de Tareas.

Auditoría
Tareas Semana 1 Semana 2 semana 3 semana 4
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Primera Visita
Definición del área de la auditoria
Definición del tipo de Auditoria
Identificar Herramientas a Identificar
Elaboración de encuestas, cuestionario y
entrevista
Segunda Visita
Realización de la encuesta y cuestionario
Tercera Visita
Realización de la entrevista
Levantamiento de Información
Elaboración de Informes
Procesamiento de la información
Avance del informe de auditoria
Elaboración del dictamen Preliminar
Discusiones del documento y
modificaciones
Elaboración del informe de situaciones
encontradas
Elaboración de del dictamen final
Elaboración y preparación del informe
final de auditoría
VII. IDENTIFICACIÓN DE ACTIVOS Y RIESGOS POTENCIALES
7.1. IDENTIFICACIÓN DE ACTIVOS
Los activos son los recursos necesarios en una organización y que tienen un
valor. Estos activos pueden ser: Recurso Humano, Recurso Tecnológico,
Recursos físicos, Información, otros.
En este caso identificamos los activos del área de Estadística e Informática del
Hospital de Contingencia De Tingo María enfocándonos en la Auditoría
relacionados con la seguridad.
Activos de Datos
➢ Bases de Datos (file DBs)

➢ Navegación en internet (Proveedor Movistar 15 Mbps, 20 Mbps)
➢ Copias de Seguridad
➢ Documentos Institucionales (Planes, Evaluaciones, Informes, ect).
Activos de Sistemas e Infraestructura
➢ Equipos de red cableada (switch)

➢ Equipos de red inalámbrica (router, punto de acceso)
➢ Computadoras (6)
➢ Impresoras (2)
➢ Servidores (3 Windows server)
➢ Programas de Administración (e-Qhali, HISMINSA, SEM)
➢ Programas informáticos (SO, AntiVirus, Office)
➢ Edificio (Oficina 1, Oficina 2)
➢ Aire Acondicionado (2)
➢ Fluido Eléctrico (Electrocentro)
➢ UPS (2 Sistema de Alimentación Ininterrumpida)
Activos de Personal
➢ Jefe de la unidad
➢ Estadístico I
➢ Técnico en Estadística I
➢ Auxiliar de Estadística I
➢ Analista de Sistema PAD I
➢ Operador PAD I
La escala de valoración se ha definido de la siguiente manera:
1: Muy Bajo (MB)

2: Bajo (B).
3: Medio (M)
4: Alto (A)
5: Muy Alto (MA)
Tabla 2: Valoración de los Activos
ACTIVO VALORACIÓN OBSERVACIÓN
Son de suma importancia, ya que es un
Copias de Seguridad 5 plan de contingencia ante una pérdida de
información por diversos motivos.
Si no se tiene equipos de cómputos no
sería posible la administración de la
Equipos de computo 5
información y por ende el funcionamiento
del área no sería posible.
Sin energía no es posible que funcionen
Fluido Eléctrico 4
los equipos.
UPS Es usado en Caso de no tener fluido
4
eléctrico.
Es importante para el proceso de las
Internet 4
funciones dentro del área.
Programas Ayudan de cierta forma para tener
3
Informáticos facilidad y eficiencia en los procesos.
Programas Es aquí donde se administra la
5
Administrativos información según sea necesaria.
Sistemas operativos 5 Un equipo sin software no funciona.
Es de suma importancia ya que sin el
Personal del área 5 personal especifico el área no podría
desarrollar sus funciones por si misma.
Sin la infraestructura adecuada el área
Infraestructura 4
no trabajaría eficientemente.
Documentos Ayudan a la planificación y desarrollo de
3
Institucionales las funciones y procesos dentro del área.
7.2. RIESGOS POTENCIALES
Se detectaron los activos más importantes del área Estadística e Informática

relacionados con la seguridad en los sistemas computacionales.
Se da inicio con la identificación de las posibles amenazas a los que estos
están expuesto, teniendo como referencia el análisis de los controles según la
norma ISO/IEC 27001. Según lo antes dicho se describen en las siguientes
tablas:
7.2.1. Identificación de Amenazas
a. Amenazas Naturales
La siguiente tabla muestra a que tipo de amenazas naturales están
expuestos los activos.
Tabla 3. Amenazas de origen Natural

AMENAZA
ACTIVO Desastres
Daños por Fuego
Daños por Agua
Daños por Rayos
Naturales
Copias de Seguridad X X X
Equipo de computo X X X X
Fluido Eléctrico X X X
Internet X X X
Programas Informáticos
Programas Administrativos
Sistemas operativos
Personal del área X X
Infraestructura X X
Documentos X X
b. Amenazas de Origen Industrial
La siguiente tabla muestra a que tipo de amenazas industriales están
expuestos los activos.
Tabla 4. Amenazas de origen industrial

AMENAZA
Temperatura
ACTIVO Deterioro de la Avería de origen Corte suministro Condiciones
ambiente
Infraestructura físico o lógico eléctrico de humedad
ineficiente
Copias de
X
Seguridad
Equipo de
X X X X X
computo
Fluido Eléctrico X X X
Internet X X
Programas X
Informáticos
Programas
Administrativo X
s
Sistemas X
operativos
Personal del X X
área
Infraestructura X
Documentos
c. Amenazas y Fallos no Intencionados
La siguiente tabla muestra aquellas amenazas por fallos no intencionados a los que los activos están expuestos.
Tabla 5. Amenazas de origen no intencionados

AMENAZA
ACTIVO Error de Error de Error de Deficiencia de Difusión SW Divulgación de Escape de Introducción de indisponibilidad
usuarios administrador configuración organización maligno información información información del personal
Copias de Seguridad X X X X X X
Equipo de computo X X X X X
Fluido Eléctrico
Internet
Programas X
Informáticos
Programas X X X
Administrativo
s
Sistemas X
operativos
Personal del X
área
Infraestructura
Documentos X
d. Amenazas de ataques Intencionados
La siguiente tabla muestra aquellas amenazas intencionadas a los que los activos están expuestos.
Tabla 6. Amenazas de origen intencionados
AMENAZAS
ACTIVO
Suplantación Acceso no Modificación de Introducción falsa Divulgación de Destrucción de Robo
de identidad autorizado la información de información información información
Copias de Seguridad X X X X X
Equipo de computo X X X X X X
Fluido Eléctrico X
Internet
Programas Informáticos
Programas X X X
Administrativos
Sistemas X
operativos
Personal del X
área
Infraestructura X
Documentos X
VIII. OBJETIVOS DE CONTROL
Tabla 7: Objetivos de Control
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

Se debe restringir las modificaciones a los paquetes de
Restricción en los cambios a los
software, solo permitir cambios necesarios y deben ser
paquetes de software
controlados
Se debe evitar oportunidades para que se produzca fuga
Fuga de información
de información
Desarrollo de software La organización debe supervisar y monitorear el
outsourcing desarrollo de software contratado externamente
SEGURIDAD FÍSICA Y DEL ENTORNO
Se debe utilizar barreras para proteger las áreas que
Perímetro de seguridad física contienen información y servicios de procesamiento de
información
Las áreas seguras deben estar protegidas con controles
Controles de acceso físico de acceso apropiados para asegurar que se permite el
acceso a personal autorizado
Se deben diseñar y aplicar protecciones físicas contra
Protección contra amenazas
daño por incendio, inundación, terremoto y otras formas
externas y ambientales
de desastre natural
Los equipos deben estar ubicados o protegidos para
Ubicación y protecciones de los
reducir el riesgo debido a amenazas o peligros del
equipos
entorno y del acceso no autorizado
El cableado de energía eléctrica y telecomunicaciones
Seguridad del cableado
debe estar protegido contra daños
Los equipos deben recibir mantenimiento para asegurar
Mantenimiento de equipos
su continua disponibilidad e integridad
Ningún equipo, información ni software se debe retirar sin
Retiro de activos
autorización previa
POLÍTICAS DE SEGURIDAD
Documento de seguridad de el área debe aprobar un documento de seguridad de
información información y lo debe publicará todos los empleados
la política de seguridad de la información se debe revisar
Revisión de la política de la
a intervalos planificados o cuando se producen cambios
información
significativos para garantizar que sigue siendo adecuada
GESTIÓN DE ACTIVOS
Todos los activos deben estar claramente identificados y
Inventarios de activos
mantener un inventario
Se debe documentar las reglas del uso aceptable de los
Uso aceptable de los activos
activos asociados con el procesamiento de información
IX. DETERMINACION DE LOS PROCEDIMIENTOS DE CONTROL
X. PRUEBAS A REALIZAR
a. Herramientas a Utilizar:
1. VEGA (Vulnerability Scanner) (Versión 1.0)

Vega es un escáner de seguridad web gratuito y de código abierto y
una plataforma de pruebas de seguridad web para probar la seguridad
de las aplicaciones web. Vega puede ayudarlo a encontrar y validar
Inyección de SQL, Secuencias de comandos entre sitios (XSS),
información confidencial revelada inadvertidamente y otras
vulnerabilidades. Está escrito en Java, basado en GUI, y se ejecuta
en Linux, OS X y Windows.
Figura 3: Herramienta Vega
2. SQLMAP (Versión 1.2.12.40)

sqlmap es una herramienta desarrollada en python para realizar
inyección de código sql automáticamente. Su objetivo es detectar y
aprovechar las vulnerabilidades de inyección SQL en aplicaciones
web. Una vez que se detecta una o más inyecciones SQL en el host
de destino, el usuario puede elegir entre una variedad de opciones
entre ellas, enumerar los usuarios, los hashes de contraseñas, los
privilegios, las bases de datos, O todo el volcado de tablas / columnas
específicas del DBMS, ejecutar su propio SQL SELECT, leer archivos
específicos en el sistema de archivos y mucho más.
Figura 4: Herramienta SQLMAP

3. Load Test
Las Pruebas de carga de Visual Studio Verifica el rendimiento de su
aplicación o sitio web antes de lanzarlo o implementar actualizaciones
en producción mediante pruebas de carga. Encuentra problemas
antes que tus clientes. Una prueba de carga se realiza generalmente
para observar el comportamiento de una aplicación bajo una cantidad
de peticiones esperada.
Figura 5: Herramienta Load Test
b. Se Realizarán las siguientes Pruebas de Seguridad:
✓ Pruebas De Detección de Vulnerabilidades
1. Pruebas de Seguridad para detectar las vulnerabilidades de la

página web del Hospital Tingo María (https://www.htm.gob.pe)
utilizando la herramienta VEGA Vulnerability Scanner.
página web e-Qhali (http://logincentral.minsa.gob.pe/) utilizando
la herramienta VEGA Vulnerability Scanner.
página web Gis Minsa
(http://websalud.minsa.gob.pe/hisminsa/) utilizando la
herramienta VEGA Vulnerability Scanner.
✓ Pruebas de Penetración de Vulnerabilidades
4. Pruebas de penetración de vulnerabilidades a la pagina web del

Hospital Tingo María (https://www.htm.gob.pe) utilizando la
herramienta SQLMAP.
✓ Pruebas de Carga
5. Pruebas de Carga a la página web del Hospital Tingo María

(https://www.htm.gob.pe) utilizando la herramienta Load Test de
Visual Studio.
básicamente servirá para prevenir y prever posibles caídas de
servicio de la página.
c. Pruebas Realizadas
1. Página Web Hospital
Se utilizará la herramienta VEGA Vulnerability Scanner para realizar las

pruebas de seguridad y detectar vulnerabilidades en la página web:
https://www.htm.gob.pe
Primera vulnerabilidad de Riesgo Alto- User
Segunda vulnerabilidad de Riesgo Alto- User/login
Primera vulnerabilidad de Riesgo Bajo- User
Segunda vulnerabilidad de Riesgo Bajo- User/login
2. Pagina Web e-Qhali
Se utilizará la herramienta VEGA Vulnerability Scanner para realizar las pruebas de seguridad a la página web:
http://logincentral.minsa.gob.pe/
Primera vulnerabilidad de Riesgo Alto
Primera vulnerabilidad de Riesgo Bajo
3. Página Web Gis Minsa
Se utilizará la herramienta VEGA Vulnerability Scanner para realizar las
pruebas de seguridad a la página web:
http://websalud.minsa.gob.pe/hisminsa/
Primera vulnerabilidad de Riesgo Alto
Primera vulnerabilidad de Riesgo Bajo
Segunda vulnerabilidad de Riesgo Bajo
Conclusiones:
✓ En base a los resultados Podemos Decir que la Pagina web del HTM es Vulnerable debido a que contiene 2 riesgos
altos.
✓ En base a los resultados Podemos Decir que la Pagina web e-Qhali es Vulnerable debido a que contiene 1 riesgos
alto.
✓ En base a los resultados Podemos Decir que la Pagina web Gis Minsa es Vulnerable debido a que contiene 1 riesgo
alto.
Como conclusión podemos decir que la herramienta Vega nos permitió evaluar los riesgos y vulnerabilidades que tiene la
página web, también nos permitió saber cuál sería el impacto si se llegará a explotar estas vulnerabilidades.
Por último, nos recomienda como podemos mitigar estos riesgos y así aumentar la seguridad de las páginas web.
4. PRUEBAS DETECCION DE VULNERABILIDADES CON LA HERRAMIENTA “SQLMAP” A LA PAGINA DEL
HOSPITAL DE TM
Se utilizará la herramienta SQLMAP para tratar de detectar las vulnerabilidades y así poder obtener información de las
bases de datos.
Ejecutamos la sentencia en el CMD:
C:\sqlmap>sqlmap.py -u https://www.htm.gob.pe/user/login --dbs
Como Podemos apreciar nos sale que no tiene como método de envió GET, es decir lo envían por el método POST lo cual si es seguro ya que
la ruta no es visible además es https está en modo seguro es decir todo lo que envía este encriptado.
Al final no se pudo acceder a ninguna información usando ese
comando.
Nos recomiendan a usar otros comandos para así talvez poder obtener
alguna información.
Observación: Se hizo otras pruebas con fines educativos para

corroborar el funcionamiento de dicha herramienta con los requisitos
específicos que era:
- La ruta debe estar visible, es decir con método GET
- Debe ser http
Nuestra página de prueba fue:
http://www.igihm.com/productostienda.php?id=4
✓ al ejecutar la sentencia en el CMD:

C:\sqlmap>sqlmap.py -u http://www.igihm.com/productostienda.php?id=4 --dbs
Nos resultó que si es vulnerable
Y luego de adentrarnos a la información de la base de datos pudimos
sacar todas las credenciales de los usuarios. Aquí veremos unos
cuantos:
Conclusión:
Como conclusión podemos decir que la herramienta sqlmap nos

permitió de manera directa e indirecta evaluar la página web, es decir
que la página web del hospital si cumple con requisitos de seguridad
como es el protocolo https y el envío por el método POST, lo cual
permite asegurar la información y que sea más difícil la penetración
por alguna herramienta o ingeniería social.
5. Pruebas de Carga de la Pagina del Hospital
Con la herramienta Load Test de Visual Studio se realizará la prueba de carga de la página web del Hospital de TM:
https://www.htm.gob.pe/ básicamente servirá para prevenir y prever posibles caídas de servicio de la página.
✓ Resultados de la prueba de carga con 25 usuarios
✓ Resultados de la prueba de carga con 100 usuarios
Conclusión:
Básicamente se puede concluir que la página web con 100 usuarios, no tiende a sobrecargarse, pero si tiene peticiones fallidas y
errores mínimos. Por ende, la página web es seguro ante sobrecargas de 100 usuarios concurrentemente.
XI. OBTENCION DE LOS RESULTADOS
Seguridad Estado
Protección y seguridad de los espacios físicos de las Deficiente
instalaciones donde laboran.
Seguridad en los sistemas computacionales (Gis Minsa, Deficiente
e-Qhali y pagina web del Hospital).
Seguridad del hardware Deficiente
XII. CONCLUSIONES Y COMENTARIOS
Conclusiones:
✓ Como conclusión de la Auditoria podemos decir que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoría.
✓ El área de Estadística e Informática presenta deficiencias tanto en el desarrollo
de sus roles y funciones, en infraestructura y sobre todo en el debido
cumplimiento de Normas de seguridad.
✓ También Tienen deficiencias en la seguridad de los sistemas administrables.
Comentarios o Recomendaciones:
✓ Requerimientos de Equipos Tecnológicos Actualizados.

✓ Aumentar la Seguridad del área en cuanto a infraestructura como puertas y
paredes.
✓ Potenciar la seguridad de las páginas web,
✓ Elaborar un calendario de mantenimiento de rutina periódico.
✓ Capacitar al personal en cuanto a sus funciones diarios a realizar.
✓ Aumentar el numero de trabajadores en base a especializaciones requeridas.
INFORME DE AUDITORÍA N° 001 – 2018
INFORME DE AUDITORIA INFORMÁTICA A LA RED DE DATOS DEL HOSPITAL DE
TINGO MARIA.
PERIODO: Del 01 de octubre del 2018 al 20 de diciembre del 2018
I. INTRODUCCIÓN
1.1. ANTECEDENTES
El Hospital de contingencia Tingo María desde el tiempo que viene operando no

ha sido auditada en lo que respecta a una auditoria informática, específicamente
a su red corporativa.
1.2. OBJETÍVOS
El objetivo de la siguiente auditoria es realizar una revisión a los equipos

informáticos, ambiente y personal desde el punto de vista de la seguridad
del área de estadística e informática del hospital de Tingo María, en este
proceso se Evaluar las condiciones e instalaciones físicas y medio
ambiente, la protección y seguridad de los espacios físicos de las
instalaciones de cómputo, la seguridad en los sistemas computacionales,
la seguridad del hardware.
1.3. ALCANCE DE LA AUDITORÍA
El examen está direccionado a la evaluación de la red de datos corporativa de

Hospital de Tingo María. Dicho examen se realizó de referente la norma
ISO/IEC 27000, tomando algunos de los objetivos de control que brinda
esta norma:
• Adquisición, desarrollo y mantenimiento de sistemas de información.
• Seguridad física y del entorno.
• Políticas de seguridad.
• Gestión de activos
1.4. ENTREVISTAS, CUESTIONARIOS.

Con la finalidad de recaudar información, acerca de la red de datos
corporativa se realizo una entrevista y cuestionario, la entrevista fue dirigida
al jefe del área de estadística y el cuestionario a los trabajadores del área.
II. OBSERVACIONES
2.1. OBSERVACIÓN N1:
Los softwares informáticos que se usan están datos la una institución
superior, de la cual no se tiene el control, pero también usan software
informático desarrollados localmente, estos no tienen un documento
que prohíban modificaciones.

Las áreas en las cuales hay equipos de información y servicios para el
Hospital, están poco protegidas, se ve que están con un material débil.

El acceso a las áreas que contiene información y a los equipos, está
libre, cualquier persona que trabaja en el hospital tiene acceso.

Los equipos informáticos y redes de datos, están ubicados en lugares
sin protección, sabiendo que es un lugar propenso a amenazas externas
como lluvias, incendios, etc.
2.5. OBSERVACION N5:

Los equipos de información y servicios informáticos están expuestos a
cualquier amenaza de índole externo, y propenso a que ocurra perdida
de informacion.

El cableado de energía eléctrica y telecomunicaciones esta libre en las
instalaciones del hospital, la cual puede sufrir daños.
Los accesos de privacidad del personal a la información son libres, se
averiguo que, si existe un documento, pero no es aplicado.

Las reglas del uso de los activos asociados al procesamiento de
información, no son manejados de una manera aceptable, el documento
tampoco existe en el cual se restringa algunas acciones sobre esos.
III. CONCLUSIONES
3.1. CONCLUSION N1
No se tiene políticas que restringas los cambios o versiones de los
softwares informáticos propios.
3.2. CONCLUSION N2
No existen utilizar barreras para proteger las áreas que contienen

información y servicios de procesamiento de información.
3.3. CONCLUSION N3
No existen controles de acceso apropiados para asegurar que se permite
el acceso a personal autorizado
3.4. CONCLUSION N4
No se cuenta con protecciones con amenazas externas y ambientales
3.5. CONCLUSION N5
Los equipos de información y servicios informáticos no están ubicados
adecuadamente contra amenazas externas
3.6. CONCLUSION N6
El cableado de energía eléctrica y telecomunicaciones no está protegido
contra daños.
3.7. CONCLUSION N7
Se cuenta con un documento de seguridad de información, pero no se
cumple
3.8. CONCLUSION N8
No se cuentan documentados las reglas del uso aceptable de los activos

asociados con el procesamiento de información.
IV. RECOMENDACIONES.
4.1. RECOMENDACIÓN N1
Tener los documentos, de software informáticos y control de versiones

y prohibiciones acerca de estos.
Colocar barreras en los ambientes donde se cuenta con equipos de

información y servicios de procesamiento de datos.
Tener con urgencia un documento para restringir el acceso a
determinado personal al uso de la información.
Implementar un plan de protección contra amenazas externas para los

equipos informáticos.
Colocar en lugares adecuados, en los cuales se puedan evitar amenazas

externas, los equipos de información y servicios informáticos.
Mejorar la protección contra daños externos el cableado de energía
eléctrica y telecomunicaciones.
Tomar con mas seriedad de parte de las partes interna de la
organización y hacer cumplir el documento de seguridad.
Documentar comunicar y aplicar las reglas de uso adecuado para los

activos relacionados con el procesamiento de información.
XIII. ANEXOS
ANEXO 1
ROLES Y FUNCIONES DEL PERSONAL
Pag.1 de 1
MANUAL DE ORGANIZACIÓN Y FUNCIONES
Versión: 02
ORGANO : APOYO
UNIDAD ORGANICA : UNIDAD DE ESTADISTICA E INFORMATICA
CARGO CLASIFICADO : SUPERVISOR DE PROGRAMA SECTORIAL I Nº DE
Nº C A P
JEFE DE UNIDAD CARGOS
CODIGO DEL CARGO CLASIFICADO: D2-05-695-1 1 0097
1. FUNCIONES ESPECÍFICAS
1.1. Elaborar, conducir y dirigir los planes de estadística e informática de la

institución; así como de velar su correcto cumplimiento.
1.2. Proponer y actualizar la metodología y estándares para el desarrollo de los
sistemas estadísticos e informáticos.
1.3. Participar en la normalización de procesos relacionados con los sistemas
estadísticos e informáticos.
1.4. Implantar proyectos de desarrollo de tecnología de información y
telecomunicaciones que se programen en el ámbito sectorial.
1.5. Cumplir y hacer cumplir las disposiciones legales y normativas vigentes, con
relación a las actividades del sistema estadístico e informático.
1.6. Organizar un registro de información estadística que cumpla con los
requerimientos a fin de colaborar en la toma de decisiones.
1.7. Establecer en coordinación con la Dirección Ejecutiva los controles de datos
fuentes, los controles de operación y los controles de seguridad, tanto de los
programas como datos del sistema, asegurando la integridad, verificando la
exactitud y uso adecuado de la información que produce la entidad.
1.8. Supervisar la elaboración y mantenimiento de la base de datos que contengan
información estadística histórica.
1.9. Lograr la provisión de servicios informáticos, sistemas de información,
telecomunicaciones, informática y telemática en el ámbito institucional a través
de las instancias pertinentes.
1.10. Emitir opiniones técnicas de su competencia.
1.11. Participar en las capacitaciones programadas.
1.12. Otras funciones que le asigne el Director Ejecutivo.
MANUAL DE ORGANIZACIÓN Y FUNCIONES Pag.1 de 1
Versión: 02
ORGANO : APOYO
CARGO CLASIFICADO : ESTADISTICO I Nº DE
Nº C A P
RESPONSABLE DE ESTADISTICA CARGOS
CODIGO DEL CARGO CLASIFICADO : P3-05-405-1 1 0098
1. FUNCIONES ESPECÍFICAS:
1.1. Programar y dirigir la recolección, validación, consistencia, procesamiento de

datos, consolidación, análisis y difusión de la información estadística a los
usuarios internos y externos, según las normas establecidas.
1.2. Absolver consultas y/o elaborar informes técnicos relacionados con
estadística.
1.3. Participar en la identificación de los requerimientos de información gerencial
para efecto de análisis.
1.4. Organizar y conducir la formulación de boletines estadísticos, reportes,
informes y el anuario estadístico de la institución.
1.5. Elaborar y efectuar proyecciones de cuadros e informes estadísticos en forma
variada en base a la información estadística reconocida con fines de
programación, evaluación y toma de decisiones.
1.6. Interpretar cálculos estadísticos para su diagramación, análisis, diagnóstico
y/o tratamiento del estudio.
1.7. Sugerir formatos para recopilación de datos acorde a la normatividad vigente.
1.8. Sugerir e implementar nuevos métodos de estadística.
1.11. Otras funciones que le asigne el jefe de la Unidad de Estadística e
Informática.

Versión: 02
ORGANO : APOYO
CARGO CLASIFICADO : ANALISTA DE SISTEMA PAD I Nº DE
Nº C A P
RESPONSABLE DE INFORMATICA CARGOS
CODIGO DEL CARGO CLASIFICADO : P3-05-050-1 1 0099
1.1. Supervisar y administrar la red informática, así como adoptar las medidas
correspondientes para garantizar y proteger la información, desde su
operatividad hasta su seguridad física.
1.2. Formulara normas y procedimientos para la ejecución de programas de
mecanización y proyectos informáticos a fin de mejorar el sistema de soporte
informático de la institución.
1.3. Supervisar, administrar y verificar los backup a fin de proteger la información.
1.4. Sugerir y coordinar la elaboración del Plan de Contingencia Institucional con
el fin de evitar interrupciones en las operaciones del sistema de cómputo.
1.5. Elaborar el Plan de Mantenimiento preventivo y correctivo de los equipos de
cómputo.
1.6. Manejar bases de datos y protocolos de comunicación.
1.7. Atender consultas e instruir al personal usuario en el manejo de los sistemas
informáticos.
1.8. Supervisar, administrar y controlar el software y Licencias instaladas a fin de
proteger los intereses estatales e institucionales.
1.11. Otras funciones que le asigne el Jefe de la Unidad de Estadística e Informática.

Versión: 02
ORGANO : APOYO
CARGO CLASIFICADO : TECNICO EN ESTADISTICA I Nº DE
Nº C A P
RESPONSABLE DE ADMISION CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 1 0100
1.1. Proponer procesos que optimicen las referencias y contrarreferencias.

1.2. Contar con información estadística para los informes de las semanas
epidemiológicas.
1.3. Organizar, ejecutar y supervisar la recolección de datos y demás información
para estudios estadísticos.
1.4. Participar en la formulación de cuestionarios para estudios estadísticos.
1.5. Preparar cuadros de clasificación y representación gráfica de estadísticas.
1.6. Participar en la organización y ejecución de programas estadísticos.
1.7. Preparar informes sencillos en base al análisis de cuadros gráficos y
diagramas estadísticos de su área.
1.8. Apoyar en la atención de usuarios internos y externos.
1.11. Otras funciones que le asigne el Jefe de la Unidad de Estadística e
Informática.

Versión: 02
ORGANO : APOYO
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 2 0101-0102
1.1. Apoyar en actividades dirigidos a optimizar las referencias y

contrarreferencias.
1.2. Apoyar en la elaboración de información estadística para los informes de las
semanas epidemiológicas.
1.3. Organizar, ejecutar y supervisar la recolección de datos y demás información
para estudios estadísticos.
1.4. Participar en la formulación de cuestionarios para estudios estadísticos.
1.5. Preparar cuadros de clasificación y representación gráfica de estadísticas.
1.6. Participar en la organización y ejecución de programas estadísticos.
1.7. Apoyar en la atención de usuarios internos y externos
1.8. Preparar informes sencillos en base al análisis de cuadros gráficos y
diagramas estadísticos de su área.
1.10. Otras funciones que le asigne el Jefe Inmediato.

Versión: 02
ORGANO : APOYO
Nº C A P
RESPONSABLE DE HISTORIAS CLÍNICAS CARGOS
CODIGO DEL CARGO CLASIFICADO : T4-05-760-1 1 0103
1.1. Participar en la formulación y/o modificación de las normas y procedimientos

técnicos para el buen uso y manejo de la Historia Clínica y demás registros
médicos.
1.2. Mejorar los mecanismos de control de Historias Clínicas, proponiendo nuevos
métodos manuales y/o automatizados.
1.3. Establecer y mejorar métodos de archivamiento considerando el volumen de
Historias Clínicas que maneja la institución.
1.4. Clasificar el archivo en Activo y Pasivo de acuerdo a las normas generales de
archivamiento de Historias Clínicas.
1.5. Realizar la distribución de las Historias Clínicas a los diferentes servicios.
1.7. Preparar un registro actualizado del desplazamiento de las Historias Clínicas.
1.8. Realizar las actividades de manera coordinada estableciendo formas de
conservación de las Historias Clínicas.
1.9. Prepara informes de su competencia.
1.10. participar en las capacitaciones programadas.
1.11. Otras funciones que le asigne el Jefe de la Unidad de Estadística e
Informática.
Versión: 02
ORGANO : APOYO
Nº C A P
CARGOS
1.1. Participar en la formulación y/o modificación de las normas y procedimientos

técnicos para el buen uso y manejo de la Historia Clínica y demás registros
médicos.
1.2. Apoyar en la mejora de los mecanismos de control de Historias Clínicas,
proponiendo nuevos métodos manuales y/o automatizados.
1.3. Participar en el mejoramiento de métodos de archivamiento considerando el
volumen de Historias Clínicas que maneja la institución.
1.4. Clasificar el archivo en Activo y Pasivo de acuerdo a las normas generales de
archivamiento de Historias Clínicas.
1.5. Realizar la distribución de las Historias Clínicas a los diferentes servicios.
1.6. Llevar el registro actualizado del desplazamiento de las Historias Clínicas.
1.7. Realizar las actividades de manera coordinada estableciendo formas de
conservación de las Historias Clínicas.
1.9. Realizar informes de su competencia.
1.11. Otras funciones que le asigne el Jefe Inmediato.

Versión: 02
ORGANO : APOYO
CARGO CLASIFICADO : OPERADOR PAD I Nº DE
Nº C A P
CARGOS
1.1. Preparar el computador para la fase de producción diaria.

1.2. Armar toda clase de tableros.
1.3. Operar el equipo de procesamiento automático de datos de acuerdo con las
instrucciones.
1.4. Registrar el tiempo de utilización del equipo.
1.5. Controlar el funcionamiento del equipo que opera.
1.7. Otras funciones que le asigne el Jefe inmediato.
Pag.1 de 1
MANUAL DE ORGANIZACIÓN Y FUNCIONES
Versión: 02
ORGANO : APOYO
CARGO CLASIFICADO : AUXILIAR DE ESTADISTICA I Nº DE
Nº C A P
CARGOS
CODIGO DEL CARGO CLASIFICADO : A4-05-130-1 1 0108
1.1. Recolectar, verificar y digitar diariamente en el Programa del HIS, el censo

diario de pacientes hospitalizados, así como las atenciones y atendidos en
consultorios externos y, referido a Historias clínicas de pacientes egresados
de hospitalización.
1.2. Realizar mensualmente el análisis cuantitativo de las Historias Clínicas de
Hospitalización.
1.3. Mantener actualizado el Libro de Hospitalización.
1.4. Obtener información estadística para elaborar los informes mensuales
concernientes a las estrategias sanitarias.
1.5. Proporcionar datos estadísticos basados en los diagnósticos de egresos
hospitalarios para los informes epidemiológicos semanales.
1.8. Otras funciones que le asigne el Jefe inmediato.
ANEXO 2
ANEXO 3
CUESTIONARIO
Nombre y Apellidos: ______________________________________
ROLES Y FUNCIONES
1. ¿Cuál es la función general de área de estadística e informática dentro

del hospital de Tingo María?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
2. ¿Cuántas personas laboran en el área? ¿la cantidad de personal en el área satisface

a todas las necesidades?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
3. ¿Cuales son los roles y funciones del personal?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
______________________________________________________________
______________________________________________________
4. ¿Cual es el grado de instrucción del personal?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
5. ¿Existe un organigrama con la estructura del área de Estadística e
Informática?
__________________________________________________________
6. ¿De qué ordenamiento jurídico se deriva la estructura

¿Tratado, Ley, Reglamento, Decreto, Acuerdo, Acta constitutiva?
______________________________________________________________
______________________________________________________
7. ¿Tiene el Hospital un departamento o área de auditoria interna que opere

en forma autónoma?
__________________________________________________________
8. ¿Se realizan Auditorias en el Hospital? ¿Qué organismo la realiza?
______________________________________________________________
______________________________________________________
INFRAESTRUCTURA
9. ¿Cuentas con un servidor? ¿Qué características tiene?
______________________________________________________________
______________________________________________________________
__________________________________________________
10. ¿Cuál es la capacidad de ancho de banda del internet? ¿Quién provee el

servicio?
______________________________________________________________
______________________________________________________
11. ¿Con que tipo de topología de red cuenta?
______________________________________________________________
______________________________________________________
12. ¿Qué tipo de red administran y que personal están autorizados a
conectarse?
______________________________________________________________
______________________________________________________________
__________________________________________________
13. ¿Cuántos equipos están conectados a la red?
__________________________________________________________
14. ¿Para la instalación de la red de sus equipos se toman en cuenta alguna

norma?
______________________________________________________________
______________________________________________________
15. ¿Cuántos proveedores de energía eléctrica poseen? Y además ¿cuentan

con generadores de respaldo de energía?
______________________________________________________________
______________________________________________________________
__________________________________________________
16. ¿Con cuántos equipos de cómputo cuenta? ¿La cantidad de equipos

satisface al área?
______________________________________________________________
______________________________________________________________
__________________________________________________
17. ¿Se cuenta con rutinas o planes de mantenimiento preventivo para los
equipos?
______________________________________________________________
______________________________________________________
18. ¿Cuenta con el espacio suficiente para realizar las actividades
correspondientes?
______________________________________________________________
______________________________________________________
19. ¿Qué versiones de Computadoras utilizan? ¿las computadoras permiten

realizar las funciones de manera eficiente?
______________________________________________________________
______________________________________________________________
__________________________________________________
20. ¿Qué desea mejorar de sus equipos?
______________________________________________________________
______________________________________________________________
__________________________________________________
21. ¿Se cuenta con tierra física?
__________________________________________________________
22. ¿La tierra física cumple con los requisitos establecidos en las normas
bajo las cuales se rige?
______________________________________________________________
______________________________________________________
23. ¿Los equipos cuentan con un regulador de energía?
__________________________________________________________
24. ¿Los interruptores de energía están debidamente protegidos y sin

obstáculos para alcanzarlos?
__________________________________________________________
25. ¿Se cuenta con alarma contra incendios?
__________________________________________________________
26. ¿El lugar donde se ubica el centro de cómputo está seguro de
inundaciones, robo o cualquier otra situación que pueda poner en peligro
los equipos?
______________________________________________________________
______________________________________________________
27. ¿Dentro del centro de cómputo existen materiales que puedan ser
inflamables o causar algún daño a los equipos?
______________________________________________________________
______________________________________________________
28. ¿Es suficiente la iluminación del centro de cómputo?
__________________________________________________________
29. ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo

a las normas bajo las cuales se rige?
______________________________________________________________
______________________________________________________
30. ¿La ubicación de los aires acondicionado es adecuada?
______________________________________________________________
______________________________________________________
DATOS
31. ¿Como es el funcionamiento de la información tanto local como sincronizada?
______________________________________________________________
______________________________________________________________
__________________________________________________
32. ¿En qué tipo de base de datos se almacena la información?
______________________________________________________________
______________________________________________________________
__________________________________________________
33. ¿Que gestor de base de datos se usa en la institución?
_____________________________________________________________________
_______________________________________________
34. ¿Quienes tienen acceso a la información?
______________________________________________________________
______________________________________________________
35. ¿Cómo se resguarda la información?
______________________________________________________________
______________________________________________________________
__________________________________________________
36. ¿Algunas vez ha ocurrido pérdida de información?
______________________________________________________________
______________________________________________________
37. ¿Que tipo de información almacenan?
______________________________________________________________
______________________________________________________
38. ¿La forma de almacenamiento de los datos cumple con los principios de la
seguridad de información?
______________________________________________________________
______________________________________________________________
__________________________________________________
39. ¿Cuántos y qué sistemas administran?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
40. ¿Cuántos y qué sistemas de proveedores externos utilizan?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
41. ¿Donde están alojados sus sistemas y que características tienen estos dominios?
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________
42. ¿Qué herramientas informáticas utilizan (licenciadas o piratas)?
______________________________________________________________
______________________________________________________________
ANEXO 4

Informe-Final ByRussell v3

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Informe-Final ByRussell v3

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD NACIONAL AGRARIA DE LA SELVA

FACULTAD DE INGENIERÍA EN INFORMÁTICA Y SISTEMAS

INFORME DE AUDITORIA DE LA SEGURIDAD DEL AREA DE ESTADISTICA E

DOCENTE : ING. VEGA VENTOCILLA, EDWIN

TEMA : AUDITORÍA AL HOSPITAL DE TINGO MARIA

ALUMNOS : INOCENCIO PIHUE, RUSSELL LEANDRO

En el mundo de los negocios actuales, tan competitivo, las organizaciones

Para garantizar el eficiente funcionamiento de las áreas de cualquier

El desarrollo de este trabajo se dividirá en 5 capítulos, en el capítulo II se

2.1. Objetivo General

Realizar una revisión a los equipos informáticos, ambiente y personal desde

2.2. Objetivos Específicos

✓ Evaluar las condiciones e instalaciones físicas y medio ambiente.

El Hospital de contingencia Tingo María (HCTM) se encuentra ubicado en el KM

El Hospital de contingencia Tingo María es un órgano desconcentrado de la Red

Redes de Salud de Tocache (Región San Martín) y Red de Salud Aguaytia

Es un órgano desconcentrado por ser una instancia con dependencia técnica,

Planear, organizar y dirigir las actividades administrativas y

Ejecutar y supervisar las actividades técnico administrativa de los

✓ Ejecutar actividades técnico administrativas relacionadas

Auxiliar de Apoyo en las actividades técnico administrativas de actualización

Analista de Planifica, Organiza, Ejecuta y Supervisa las actividades de las

Apoyar actividades relacionadas a la operación de máquinas

Figura 1: Organigrama Estructural

3.8. Servicios que Brinda

Orgánicamente el hospital está conformado por once departamentos y doce

Lograr la recuperación de la salud y la rehabilitación de las capacidades de

Defender la vida y proteger la salud de la persona desde su concepción hasta

Apoyar la formación y especialización de los recursos humanos, asignando

Mejorar continuamente la calidad, productividad, eficiencia y eficacia de la

Al proceso sistemático enfocado al examen objetivo, independiente y evaluatorio

planes programas y metas alcanzados por las dependencias y entidades de la

La auditoría pública se realiza en tres etapas y con el seguimiento a las

Figura 2: Fases de una Auditoria

se formulará el Marco Conceptual o programa de trabajo con los siguientes

La ejecución del trabajo de auditoría pública consiste en una serie de actividades

Los organismos auditores (unidades auditoras) deben informar a la autoridad

Los informes deben presentar los hechos y su evaluación de manera objetiva,

4.2. Importancia de la auditoria para empresas

Principalmente, las compañías se benefician con la auditoría debido a que

4.3. ¿Cuándo realizar una auditoría?

Siguiendo las recomendaciones, se logrará que la empresa se esté gestionando

• Conoce detalladamente los rendimientos contables de la organización.

5.1. Origen de la Auditoria

La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,

5.2. Investigación Preliminar

Se realizaron múltiples visitas al HCTM, en especial a la Unidad de Estadística

Mediante oficio N° 213-2018-D-FIIS-UNAS se puso de conocimiento al

Con la investigación preliminar se pudo recabar información general acerca de

5.3. Planeación de la Auditoría Informática

Con la información obtenida en la investigación preliminar se pudo determinar

✓ Para realizar la actividad de obtención de información, se realizó un

Tabla 1. Cronograma de Tareas.

7.1. IDENTIFICACIÓN DE ACTIVOS

➢ Bases de Datos (file DBs)

Activos de Sistemas e Infraestructura

➢ Equipos de red cableada (switch)

1: Muy Bajo (MB)

Se detectaron los activos más importantes del área Estadística e Informática

7.2.1. Identificación de Amenazas

Tabla 3. Amenazas de origen Natural

Tabla 4. Amenazas de origen industrial