La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

UNIVERSIDAD POLITÉCNICA DEL EJÉRCITO

Publicada porJuan Carlos Saavedra Gil Modificado hace 6 años

Presentaciones similares

Presentación del tema: "UNIVERSIDAD POLITÉCNICA DEL EJÉRCITO"— Transcripción de la presentación:

1 UNIVERSIDAD POLITÉCNICA DEL EJÉRCITO
TRABAJO DE TITULACIÓN EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS DIRECTOR: ING. OSWALDO EFRAIN DIAZ RODRIGUEZ AUTORA: ING. CESILIA ABAD CONDE

2 TEMA: “PLAN DE CONTINGENCIA DE TECNOLOGÍA DE LA INFORMACIÓN DEL HOSPITAL IESS ZAMORA”

3 OBJETIVOS OBJETIVO GENERAL: Detectar los puntos vulnerables de tecnología de la información en el Área informática del Hospital IESS Zamora.

4 OBJETIVOS ESPECIFICOS:
Analizar el grado de efectividad de la aplicación de una auditoría informática basada en el framework COBIT 4.1 para detectar los puntos vulnerables en el área informática del hospital IESS Zamora.. Establecer los Factores críticos. Identificar los objetos potenciales de riesgo en los procesos. Determinar las normas que deben incluirse en un manual de políticas de TI para administrar los puntos vulnerables detectados

5 DESCRIPCIÓN DEL PROYECTO
Este proyecto está orientado a realizar una auditoría en el área de Tecnología de la Información del "Hospital del Día IESS Zamora”, se evaluará las aplicaciones y activos de información de la Unidad. Este proyecto comienza con la descripción de los procesos del hospital, como elemento generatriz diagnóstico.

6 1.2. Caracterización de la Organización
El Instituto Ecuatoriano de Seguridad Social es una entidad, cuya organización y funcionamiento se encarga de aplicar el Sistema del Seguro General Obligatorio que forma parte del sistema nacional de Seguridad Social. Fue creado por Decreto Ejecutivo Nº 018 publicado en el Registro Oficial Nº 591 del 13 de marzo de 1928.

7 Enlaces de Comunicación implementados por el IESS

8 ESTRUCTURA ORGANIZACIONAL

9 Estructura del Área de TI

10 Identificación de Problemas
A nivel del estado de salud a. Falta de protocolos de diagnóstico y tratamiento de patologías. b. Capacidad resolutiva incompleta por el nivel de complejidad. c. Falta de coordinación y comunicación entre las unidades médicas. d. Funcionamiento inadecuado del sistema de referencia y contra referencia e. Inadecuado manejo estadístico.

11 A nivel de la gestión. a. Tiempo de espera prolongado en procesos adquisitivos. b. Falta de interconectividad informática en red interna y externa. c. Automatización de procesos. d. Ausencia de un manual de funciones e. Falta de un cronograma de mantenimiento f. Ausencia de una matriz de perfiles de usuario A nivel de la inversión. a. Falta de capacitación al usuario interno. b. Inadecuada ejecución del POA Y PAC. c. Falta de concienciación y cooperación en el cumplimiento de funciones específicas.

12 EJECUCION DE LA AUDITORIA

13 METODOLOGIA

14 Selección de la Metodología
a. COBIT 4.1 b. ITIL c. Metodología R.O.A (RISK ORIENTED APPROACH),

15 Cobit 4.1: Sinergia con el HD IESS Zamora
Identificar los riegos y vulnerabilidades de la unidad de TI del Hospital del Día “IESS Zamora. Incluye dentro de la metodología prácticas alineadas con las decisiones gerenciales y de gobierno de tecnología. Además COBIT está orientado para la auditoría de sistemas informáticos y el control de actividades gerenciales. No se aplica el COBIT 5.0, los procesos de TI del IESS a nivel de Planta Central, tienen el nivel de madurez similar al COBIT 4.1.

16 Planificación de la Auditoría
Se aplicarán técnicas de trabajo tales como:  Análisis de la información recabada del auditado. Análisis de la información propia. Entrevistas. Y herramientas tales como: Cuestionarios. Estándares del marco de trabajo de COBIT 4.1.

17

18 Resumen de los procesos COBIT 4.1 priorizados en cada dominio
Resumen de los procesos COBIT 4.1 priorizados en cada dominio

19 Planear y Organizar 1. PO1 Definir un plan estratégico de TI
1. PO1 Definir un plan estratégico de TI 2. PO2 Definir la arquitectura de la información 4. PO4 Definir los procesos, organización y relaciones de la TI b. PO4.5 Estructura Organizacional c. PO4.6 Establecimiento de Roles y Responsabilidades b. PO6.4 Implantación de Políticas de TI c. PO6.5 Comunicación de los Objetivos y la Dirección de TI 6. PO9 Evaluar y administrar los riesgos de TI

20 Adquirir e Implementar
  c. AI2.7 Desarrollo de Software Aplicativo d. AI2.10 Mantenimiento de Software Aplicativo a. AI3.1 Plan de Adquisición de Infraestructura Tecnológica b. AI3.3 Mantenimiento de la Infraestructura b. AI5.4 Adquisición de Recursos de TI

21 Entregar y dar soporte 1. DS1 Definir y administrar los niveles de servicio a. DS5.2 Plan de Seguridad de TI 3. DS7 Educar y entrenar a los usuarios b. DS10.2 Rastreo y Resolución de Problemas 5. DS12 Administrar el ambiente físico / Administrar Instalaciones b. DS12.3 Acceso Físico  

22 Monitorear y Evaluar 1. ME1 Monitorear y Evaluar el Desempeño de TI / Monitorear los procesos a. ME1.4 Evaluación del Desempeño b. ME1.6 Acciones Correctivas b. ME4.4 Administración de Recursos c. ME4.5 Administración de Riesgos d. ME4.6 Medición del Desempeño

23 RESULTADOS DE INFORME FINAL DE AUDITORIA

24 La evaluación general del dominio de adquirir e implementar del Hospital del Día “IESS Zamora”, que nos plantea COBIT 4.1, aporta un resultado que oscilan entre los niveles 0 y 1 de los respectivos niveles de madurez de COBIT 4.1. Para este dominio se puede notar que los procesos evaluados, tienen un mayor control puesto que no solo dependen de la unidad de TI, sino también del departamento de mantenimiento.

25 Los mantenimientos que se realizan son reactivos, mientras que los mantenimientos preventivos son nulos debido a la falta de personal que se tiene dentro de la unidad de TI. En el proceso de adquisición de software y hardware, se denota un nivel de madurez 0, debido al número limitado de cotizaciones y productos para solucionar los contratiempos que surgen.

26 Para el dominio de entregar y dar soporte, la evaluación se encuentran en promedio en un nivel de madurez de 1 que es bajo, esto obedece a diferentes razones, entre las principales que podemos encontrar son: La inexistencia de controles en los sistemas de información, la falta de planificación para un control, la poca o nula capacitación que se les da a los usuarios. La falta de recursos asignados al área de TI es otro factor importante para que no se pueda realizar un trabajo que solvente todas las necesidades que tiene el hospital. 

27 Otro factor determinante para los resultados de estas evaluaciones es la infraestructura que se encuentra el área de TI, y los equipos insuficientes con los que cuenta para realizar su trabajo. Dentro del ambiente físico, se deben implementar mejores políticas de seguridad, y se debe tener un plan de contingencia para salvaguardar la información del área de TI.

28 La unidad de TI debe abrir una mesa de servicio y de control de incidentes para poder garantizar la continuidad en el servicio. El dominio de monitoreo y evaluación en general se encuentra en un nivel de madurez 0, no se tiene formularios de control ni datos históricos como evidencias de desempeño.

29 No se realizan reportes administrativos para evaluar el desempeño de la unidad de TI, al igual que no se tiene un proceso de recolección de datos de la satisfacción de los usuarios de área de TI. Finalmente, se tiene como observación, que el monitoreo y la evaluación dentro de la unidad de TI del hospital necesita mejorar notablemente.

30 CONCLUSIONES

31 Mediante un marco de referencia de COBIT, se ha podido evaluar como diagnosticar los procesos de TI en el Hospital del IESS Zamora. Se logró conocer el contexto tecnológico actual de la Entidad en relación a los conceptos de vulnerabilidad de la información y alineamiento estratégico, con el fin de establecer criterios de seguridad de la información.

32 El usar una metodología de control cualquiera que sea planteada es muy importante tomar en cuenta la colaboración y predisposición de los involucrados. También se ha determinado cada uno de los criterios de información, para alinear el TI con el negocio, identificar riesgos, gestionar recursos y medir el desempeño, como los niveles de madurez en cada uno de los procesos.

33 RECOMENDACIONES

34 En el Hospital del Día IESS Zamora de acuerdo a la auditoria aplicada, se recomienda mantener un monitoreo global de TI, tomando como punto de partida el marco de trabajo descrito en este proyecto, para iniciar acciones correctivas. Se recomienda la evaluación periódica del desempeño de los procesos contra las metas, y para mantener niveles óptimos de seguridad, calidad y eficiencia.

35 Es necesario considerar los objetivos de control para poder llegar a una meta, pasando por políticas, procedimientos, prácticas y estructuras organizadas para proveer un aseguramiento más razonable, esto en conjunto con una información oportuna y condensada. Para mejorar los procesos de TI El estándar COBIT ofrece una completa guía de alto nivel para la definición y evaluación de los procesos de negocios relacionados con TI. Asimismo, provee prácticas enfocadas al mejoramiento del control de los objetivos claves para una mejor implementación del gobierno de TI.  

36 GRACIAS POR SU GENTIL ATENCIÓN

Descargar ppt "UNIVERSIDAD POLITÉCNICA DEL EJÉRCITO"

Presentaciones similares

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES IBARRA TEMA: METODOLOGÍA DE LA AUDITORÍA DE GESTIÓN DOCENTE: ING. WILMER ARIAS 1.
PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN.

PROYECTO DE GRADO PARA LA OBTENCIÓN DEL TÍTULO DE “MAGISTER EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS” “EVALUACIÓN TÉCNICA INFORMÁTICA DE LA ADQUISICIÓN.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Argentina - 2015 Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.

Argentina Módulo 6 - Subcapítulo C1, Política y objetivos de seguridad CURSO LAR 145 y 43.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.
EMPRESAS DIDACTICAS SENA ADAN LOPEZ HERNANDEZ. DISEÑO DE UN MODELO DE GESTIÓN HUMANA POR COMPETENCIAS SOCIAL LABORAL CON ÉNFASIS EN BIENESTAR SOCIAL LABORAL.

EMPRESAS DIDACTICAS SENA ADAN LOPEZ HERNANDEZ. DISEÑO DE UN MODELO DE GESTIÓN HUMANA POR COMPETENCIAS SOCIAL LABORAL CON ÉNFASIS EN BIENESTAR SOCIAL LABORAL.
MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA

MAESTRÍA EN PLANIFICACIÓN Y DIRECCIÓN ESTRATÉGICA
Orden del día 2ª sesión ordinaria

Orden del día 2ª sesión ordinaria
NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA

NELLY PEREZ ESPINOSA ANTONIO CHUQUIMARCA VEGA
APLICACIÓN DE CONTROL INTERNO EN PyMEs

APLICACIÓN DE CONTROL INTERNO EN PyMEs
UNIDAD DE GESTIÓN DE POSTGRADOS

UNIDAD DE GESTIÓN DE POSTGRADOS
SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.

SISTEMAS DE GESTIÓN Y CONTROL Los Sistemas de Gestión y Control que se pueden encontrar en las Entidades son los siguientes: 1. Sistema de Control Interno.
Gestión por resultados

Gestión por resultados
Tecnologías de Información y Comunicación MAG Jefe: Lic

Tecnologías de Información y Comunicación MAG Jefe: Lic

Presentaciones similares

Anuncios Google