Auditoria Informatica

Hospital:	Hospital General de Cuautitlán "Gral. José Vicente Villada"
Dirección:	Alfonso Reyes esq. Venustiano Carranza S/N ,Col. Santa María Cuautitlán México:
Teléfono(S):	58-72-17-54 y 58-72-31-34	Fax:	58-72-39-36
E-Mail:	isem1203qprodigy.net.mx

Misión:

Proporcionar con oportunidad, calidad y calidez servicios de salud pública para contribuir al ejercicio pleno de las capacidades de la población del Estado de México.

Visión:

Ser la Institución líder que proporcione servicios de Salud Pública de calidad en sus tres niveles de atención a la población en el Estado de México, fomentando la prevención y la cultura del auto cuidado, para satisfacer las demandas de la sociedad.

II.-PLANEACION DE AUDITORIA

Evaluación de los equipos de computo (software, hardware, redes.)

Metodología:

Identificar

-Estructura física (Hardware, topología)

-Estructura lógica (Software y aplicaciones)

La identificación se lleva a cabo en

-Equipos

-Dispositivos de Red

Etapas:

I. Análisis de vulnerabilidad (matriz -foda)

II. Estrategia de saneamiento

III. Plan de contención de posibles incidentes (tabla de riesgo)

IV. Seguimiento continúo del desempeño del sistema (conclusión)

La seguridad es un proceso, constantemente surgen nuevos fallos de seguridad, nuevos virus, nuevas herramientas que facilitan la intrusión de sistemas, así como nuevas y mas efectivas tecnologías para solucionas estos y otros problemas.

Programa de trabajo de auditoria

Auditoria del equipo físico de red

Auditoria de red lógica

AUDITORIA DE LA RED FISICA:

NO. DE NODO	DESCRIPCION
1	Servidor de cajas
2	Internet
3	Admisión Urgencias
4	Archivo Carnet (Emilia)
5	Caja de Consulta Externa
6	Recursos Financieros (Alejandra)
7	Caja de Urgencias
8	Registros Hospitalarios
9	Cuenta Paciente
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

SW1 SW2

NO. DE NODO	DESCRIPCION
1	Internet.
2	Aula McDonald.
3	Subdirección Administrativa.
4	Relaciones Laborales (1) Laura.
5	Enseñanza (Libra).
6	Recursos Humanos.
7	Dirección (secretaria).
8	Relaciones Laborales.
9	Subdirección Médica.
10	Dirección (Director).
11	Informática (chucho).
12	Informática (Daniel).
13	Informática (Leticia).
14	Seguro Popular.
15	Switch Urgencias.
16	Banco de Sangre.
17	Videograbador.
18	Switch de Informática.
19	Dominios servidor.
20	Informática (oficina).
21	Consultorio 19 (Paco).
22	SADyD.
23	Jefatura de Enfermería (Barbará).
24	Laboratorio.

I.

I. Análisis de vulnerabilidad

Auditoria a dispositivos

Equipo de cómputo

Programa que se utilizó:

Belarc Advisor construye un perfil detallado del software y hardware instalados en su PC, incluyendo los hotfixes de Microsoft y muestra el resultado en su explorador Web. Toda la información del perfil se mantiene privada en su PC y no se envía a ningún servidor Web.

Sistemas Operativos: Funciona en Windows 7, 2008 R2, Vista, 2008, 2003, XP, 2000, NT 4, Me, 98 y 95.

Navegador: Funciona en IE, Firebird, Safari, y Opera.

Tamaño del archivo: 3168 KB.

Seguridad en red

Nmap (‘Network Mapper’), es una herramienta open source, diseñada para explorar y para realizar auditorias de seguridad en una red de computadoras.

Nota: esta herramienta puede
ser utilizada para realizar auditorias de seguridad en una red, pero también
puede ser utilizada para fines delictivos, ya que esta herramienta pone al descubierto,
puertos abiertos en las computadoras de una red, así como también es posible
conocer como se encuentra organizada, y de cuantas computadoras consta una red.

NMAP

FODA

II. Estrategia de saneamiento

Se identifican las “brechas” en la red y se procede a “parchearlas”, ya sea actualizando el software afectado, reconfigurándolo de una manera mejor o removiéndolo para remplazarlo por otro software similar.

Con el programa NMAP pudimos ver en que parte de la red tenían tales brechas que a su vez se corrigieron satisfactoriamente.

Políticas de seguridad.

usuarios

1. No entrar con maletas, mochilas, bolsas ni pertenencias personales en el centro de cómputo.

2. Mantener en orden y limpio el lugar de trabajo.

3. Entrar con la respectiva autorización del encargado o administrador al centro de cómputo.

Personal

1.- Operar el sistema de computación central y mantener el sistema disponible para los usuarios.

2.-Revisar los resultados de los procesos e incorporar acciones correctivas conforme a instrucciones de su superior inmediato.

3- Llevar el control de acceso y permisos así como también los horarios de cada personal autorizado a dicho sistema.

Tabla de riesgo

1	VIRUS INFORMATICO	BAJO	TENER UN BUEN ANTIVIRUS Y DAR REVISIONES PERIODICAMENTE
2	CAIDA DE RED	ALTO	VERIFICAR LA RED CONSTANTEMENTE Y TENER SOPORTE POR SI ALGUN DISPOSITIVO NO SIRVE
3	EXTRACCION DE DATOS	MEDIO	LA MAS ALTA SEGURIDAD Y HACER REVISIONES FRECUENTEMENTE DE QUIEN A ENTRADO A DICHO SISTEMA
4	DAÑO DE DISCO DURO	MEDIO	VERIFICAR LOS DISCOS EN CADA CIERTO TIEMPO Y DARLE MANTENIMIENTO CONSTANTE
5	MAL USO DEL EQUIPO	BAJO	REVISIONES A CADA EMPLEADO PARA VER SI EN VERDAD HACEN SU TRABAJO
6	DAÑO AL EQUIPO	MEDIO	MANTENIEMIENTO AL EQUIPO CADA CIERTO TIEMPO RAZONABLE

III. Seguimiento continúo del desempeño del sistema

Medidas de seguridad

-monitoreo de equipos

-un sistema de gestión y monitoreo de la red

Permiten controlar los recursos hardware y software en una red a partir de monitoreo periódicos a los mismos. Control de recursos de la red degradando o desgastando sus prestaciones o recursos

Según la ISO la gestión de red tiene unos componentes las cuales son las siguientes:

Gestión de:

-Fallas: Proceso de Localización de los problemas o fallas mediante la red.

-Configuraciones: Proceso de Obtención de datos de la red para luego ser usados en la configuración de todos los dispositivos.

-Seguridad: Proceso de proteger la información más importante ubicada en los dispositivos conectados a la red, controlando el acceso.

-Rendimiento: Proceso de verificar el desempeño de la red (hardware, software) para garantizar que no este congestionada y que este accesible

-Contabilidad: Proceso de determinar la utilización los recursos de la red por parte de los múltiples usuarios.

Para: Switch, Router, Servidores, AP, Equipos de cómputo

Conclusión:

Después de terminada la auditoria podemos partir con las necesidades y las modificaciones en las políticas en el área de informática y para el uso de los equipos;

Así como tomar medidas de restricción por horarios en algunas páginas web para evitar que se sature la red en cada uno de los departamentos, también como asegurar las interfaces donde se puede generar una fuga de información.

Plantear nuevas medidas para generar actitudes de cuidado al equipo de cómputo y a la información que contienen, así como responsabilizar el manejo de esta.

Para concluir tenemos el conocimiento que el gobierno no coopera, se realizara
un proyecto de justificación para mejorar los sistemas de información y de comunicación
de la Hospital General

Cuestionario:

¿Qué sistema es el que manejan en la empresa?

Nivel del sistema

Características del sistema actual

¿Se esta ejecutando en forma correcta y eficiente el proceso de información?

¿Puede ser simplificado para mejorar su aprovechamiento?

¿Los informes de salida son confiables y adecuados?

¿Se tiene propuesto un adecuado control y seguridad sobre el sistema?

¿Esta en el análisis la documentación adecuada?

¿Se debe de utilizar otro tipo de sistema o técnicas o dispositivos (redes bases de datos)?

¿Los informes de salida son confiables y adecuados?

PROCEDIMENTO

¿Quién hace la función, cuando y como?

¿Qué formas se utilizan en el sistema?

EVALUACION DEL DISEÑO LOGICO DEL SISTEMA

¿Qué deberá hacer?

Como lo deberá hacer

Auditoria Informatica

viernes, 17 de agosto de 2012

No hay comentarios:

Publicar un comentario

Datos personales