AUDITORIA SEGURO SOCIAL

AUDITORIA INFORMATICALAURA GARCÍA

MILTON TAPIA

JACKSON ALVAREZ

CORPORACIÓN UNIVERSITARIA AMERICANA

AUDITORIA SEGURO SOCIALHISTORIA

EL INSTITUTO DE SEGUROS SOCIALES DURANTE 66 AÑOS ESTUVO ENCARGADO DE ADMINISTRAR LA SEGURIDAD SOCIAL DE LOS COLOMBIANOS. FUE CREADO EL 26 DE DICIEMBRE DE 1946, EN EL GOBIERNO DEL ENTONCES PRESIDENTE DE COLOMBIA, MARIANO OSPINA PÉREZ,  CON EL NOMBRE DE INSTITUTO COLOMBIANOS DE SEGUROS SOCIALES.

http://www.iss.gov.co/portal/index.jsp?cargaHome=3&id_categoria=47&id_subcategoria=165

ALCANCE

Con la siguiente auditoría se pretende analizar y evaluar el área informática de la empresa Seguro Social teniendo en cuenta los puestos de trabajo, organización de redes físicas y lógicas y el óptimo funcionamiento de los sistemas de información mediante planes de aseguramiento de la calidad.

OBJETIVO GENERAL

Revisar y evaluar las instalaciones tecnológicas o sistemáticas de la empresa, para lograr identificar las posibles falencias o actividades que se estén realizando en contra del plan de calidad que está estipulado por la empresa con el fin de brindar una serie de recomendaciones para que en la misma ofrezcan un mejor servicio.

OBJETIVOS ESPECÍFICOS

Analizar el funcionamiento de las instalaciones de la empresa.

Identificar y seccionar las áreas que se van a auditar.

Evaluar el desempeño del personal, las redes y equipos.

Equipo de trabajo

El equipo encargado para esta Auditoría son los estudiantes de 9º semestre de Ingeniería de Sistemas, de la Corporación Universitaria Americana; Jackson Álvarez, Laura García y Milton Tapia con el fin de realizar un proyecto de Aula de la asignatura Auditoria Informática con el Docente Nelson Tarazona.

Áreas a auditar Dentro del departamento de sistemas de la empresa se ha

decidido realizar la auditoria en las áreas en:

Actividades Internas

Seguridad Física

Adecuación locativa de los sistemas de cómputo

AUDITORIA ACTIVIDADES INTERNAS

Alcance

Se analizara y se evaluar el desempeño y rendimiento del personal de trabajo encargado del departamento de sistemas.

Objetivos

Obtener los resultados del nivel de efectividad del grupo de trabajo del área de sistemas para brindar informe detallado de los mismos.

Checking List

PREGUNTA SI NO

¿Existen políticas, procedimientos y descripción según puesto de trabajo y labor que se ejerce? X  

¿Las descripciones de los puestos de trabajo reflejan Las actividades realizadas en la práctica? X  

¿Existe algún tipo de estímulo o incentivo para las personas que realicen su trabajo de manera más

eficiente?

  X

¿Existe algún tipo de métrica dirigida para el rendimiento según la labor desarrollada?   X

Análisis de riesgo Riesgo potencial de deserción

Riesgo de actividades no desarrolladas efectivamente

Atraso o demora en la estimación de los proyectos.

Manejo de los riesgos Es necesario realizar actividades inter-departamentos que

involucran al personal de trabajo en una integración exaltando los logros personales de cada uno para crear una atmósfera de trabajo atractiva. También incluir en las actividades una forma de incentivar o motivar a los mejores empleados.

AUDITORIA EN SEGURIDAD FÍSICA

Alcance Se verificará la correcta adecuación de los equipos de cómputo,

el acceso a los servidores o equipos con información privada y debida estructura de Las tramas de red.

Objetivos Analizar la distribución de la estructura física de la empresa.

identificar equipos con información privada

Comprobar el nivel de seguridad al ingreso de equipos con información privada.

Checking List

PREGUNTA SI NO

¿Tiene información privada protegida? X  

¿Utilizan alguna estándar de calidad para la estructuración de la red cableada?   X

¿Disponen de medidas para denegar el acceso a personal no autorizado? X  

¿Las estaciones de trabajo poseen algún sistema de detección de intrusos?   X

¿Las partes de los equipos están protegidos para evitar golpes o caídas?   X

¿Se encuentra la trama eléctrica en buen estado y apartados los altos voltajes de los equipos?   X

1) ¿Se encuentra instalado un sistema contra incendios en diferentes partes del departamento?

  X

Análisis de riesgo Riesgo potencial de pérdida de información importante y

confidencial.

Riesgo de cortocircuito e incendio

Riesgo de pérdida de la red interna.

Manejo de los riesgos Es necesario incluir en la locativa un esquema mejor de

seguridad mayor para la protección de los datos y acceso a los equipos por parte de personal ajeno al departamento. A su vez incluir un mayor número de extintores contra fuego y reestructurar la ubicación de los aparatos tecnológicos con la trama eléctrica.

ADECUACIÓN LOCATIVA DE LOS SISTEMAS DE CÓMPUTO

Alcance Comprobar si la distribución de los equipos está dada de tal

manera que facilite la movilidad del personal y el buen desempeño de sus actividades.

Objetivos Recolectar información general y específica sobre los diferentes

aspectos que comprende el centro de cómputo en cuanto a organización y posicionamiento de los equipos por parte del personal a cargo.

Checking List

PREGUNTA SI NO

1) ¿Equipos con alta contaminación auditiva como impresoras de impacto, equipos de aire acondicionado o equipos de gran vibración están ubicados en zonas alejadas a los puestos de trabajo?

X  

¿Se encuentra el departamento de sistemas protegido contra posibles inundaciones? X  

¿Son incombustibles los materiales como pintura de paredes, suelo, techo, mesas, estanterías, etc.? X  

¿Cuentan con escritorios aptos para el soporte de las máquinas? X  

¿Cuenta con un sistema de iluminación que supla las necesidades lumínicas por puesto de trabajo? X  

¿El espacio por puesto de trabajo es suficiente para la movilidad de los empleados?   X

1) ¿se encuentra el área de trabajo abarcado por el sistema de enfriamiento (aire acondicionado) para el óptimo rendimiento de los equipos?

  X

Análisis de riesgo Riesgo de colisiones por falta de espacio para movilidad

Riesgo de recalentamiento en los equipos por el deficiente sistema de enfriamiento

 

Manejo de los riesgos Es necesaria una ampliación de los puestos de trabajo para

brindar a los empleados mayor espacio para las actividades, adaptar un mejor sistema de enfriamiento que permita a los equipos un mayor rendimiento.

Informe final. Una vez realizada la actividad de evaluación de las instalaciones de la empresa pudimos realizar

un detallado análisis de cada una de las partes anteriormente mencionadas.

En el área de actividades internas encontramos que existe un alto riesgo de que las actividades y proyectos no sean desarrollados eficientemente por falta de estímulos y seguimientos en sus labores por parte de los resultados de las métricas que ellos arrojen, al igual que un alto riesgo de deserción por no estar en una atmósfera de trabajo completamente satisfactoria buscando otra empresa donde se posea mejor calidad de trabajo.

En el área de seguridad física encontramos una alta vulnerabilidad en cuanto a la seguridad de la información ya que se cuentan con pocos controles de acceso a los equipos que poseen los datos confidencial para la empresa, a su vez los equipos no están ubicados de tal manera que se encuentren protegidos para evitar caídas que conlleven a su pérdida.

En cuanto a la calidad de la estructuración de las redes encontramos que no se cuenta con ningún sistema ISO que indique como realizar la trama e implementar calidad en el transporte de los datos en el red local. Proteger y separar la trama del cableado eléctrico con la trama de red de datos y separar los equipos de las áreas que manejan alto voltaje para la evitar ruidos en la red y efectos dañinos en los equipos de trabajo.

En el área locativa de los sistemas de cómputo encontramos que no hay espacio suficiente para la movilidad del personal evitando un libre desplazamiento y provocando alto riesgo de colisión con otras estaciones de trabajo causando daños físicos, a su vez el sistema de enfriamiento no es suficiente para la cantidad de estaciones de trabajo y personal que se encuentran trabajando en ese departamento.