AUDITORIA COBIT AL DEPARTAMENTO DE INFORMATICA DEL LABORATORIO MEDICO

ANALITICO. C.A.

Autor:Luis Cabello C.I: 20.403.186

Porlamar, Marzo de 2017

INSTITUTO UNIVERSITARIO POLITÉCNICO”SANTIAGO MARIÑO”

EXTENSIÓN PORLAMARESCUELA INGENIERÍA DE SISTEMAS

INTRODUCCION

Nuestro mundo es el mundo de la información. Multitud de libros, revistas y periódicos se presentan todos los días a los posibles lectores. A pesar de ello, la capacidad humana es limitada y solamente una pequeñísima cantidad de toda esa información llega a su conocimiento. Lo cierto es que no existen procedimientos claros que nos ayuden a identificar con rapidez todas las informaciones de interés.

Cuando una empresa sobrevive y crece la supervisión de las actividades relacionadas con ellas en ese momento el empresario descubre que le sería necesario estar en varios lugares para poder planear, dirigir, analizar, controlar. El administrador se encuentra sumergido en una red compleja de deberes relacionados recíprocamente que debe cumplir. Su respuesta a esas situaciones es predecible y práctica, reconoce que necesita ayuda en su empresa para que pueda continuar desarrollándose.

Las Tecnologías de la Información han sido conceptualizadas como la integración y convergencia de la computación, las telecomunicaciones y la técnica para el procesamiento de datos, donde sus principales componentes son: el factor humano, los contenidos de la información, el equipamiento, la infraestructura, el software y los mecanismos de intercambio de información, los elementos de política y regulaciones, además de los recursos financieros.

En el caso de la investigación realizada, se propone la aplicación de una auditoría COBIT al Departamento de Informática del Laboratorio Medico Analítico, C.A con el objeto de determinar amenazas y fortalezas en los procesos que ejecuta, a fin de determinar los posibles factores que atenten contra el desarrollo regular y eficiente de las actividades.

CAPITULO I

GENERALIDADES DE LA EMPRESA

1.1. CARACTERIZACION DE LA EMPRESA

1.1.1. Datos de la Empresa

Nombre: Laboratorio Medico Analítico (LMA)

Rubro: Medicina – Salud

Ubicación: Calle Marcano C/C Díaz - Planta Baja- Centro Clínico Margarita

Teléfono: 0295-264.22.82

El laboratorio Medico analítico fue fundado el 24 de agosto de 1980 Por el Dr.Velasquez y Mariela V, de los primeros fundados en Porlamar siendo pioneros en la zona con este tipo de servicio. Durante estos años han logrado la confianza de sus clientes.

Laboratorio especializado en elaboración de pruebas especiales y de rutina.

1.1.2. Ubicación Geográfica

Laboratorio Medico analítico Margarita se encuentra ubicada en la zona este de la isla de Margarita, en el siguiente mapa extraído de Google Maps puede verse su localización.

Figura 1. Localización Laboratorio Medico Analítico. Tomado de: Google Maps (2015)

1.1.3. Visión

Laboratorio Medico analítico tiene como finalidad ser un departamento que proporcione los servicios más especializados y de alta calidad a médicos y pacientes, convirtiéndonos en el líder de la medicina de laboratorio clínico.

1.1.4. Misión

Laboratorio Medico analítico tiene como misión la de proporcionar un servicio de análisis clínicos confiable y oportuno para auxiliar en el diagnóstico de patologías clínicas, sobre una base de ética profesional y alto compromiso con la calidad.

1.1.5. Objetivos Estratégicos

El principal objetivo del laboratorio clínico es generar resultados y servicios clínicamente útiles para el cuidado de la salud del paciente. Todas las actividades deben focalizarse en este objetivo.

1.1.5.1. Análisis FODA

Análisis Interno

Fortalezas

Abastecimiento aceptable.

Ningún equipo fuera de servicio.

Aceptable satisfacción del cliente.

Debilidades

Equipos desactualizados (viejos)

No hay reactivos para realizas todo

tipo de pruebas

Análisis Externo

Oportunidades

Ubicación Céntrica y de fácil

acceso (Cerca del Hospital Luis

Ortega).

Mejora y utilización de las TIC’s

como herramientas.

Amenazas

Algunas pruebas son muy costosas

en comparación a otros

laboratorios.

Escases de Reactivos.

1.1.5.2. Metas Organizacionales

Metas a Corto Plazo

Brindar el mejor servicio de pruebas diagnósticas con el fin de brindar calidad en el servicio con resultados rápidos y confiables a los clientes.

Metas a Largo Plazo

Dar mejor servicio en la isla de margarita en el área de laboratorios médicos, con la finalidad de satisfacer sus necesidades, expectativas a la hora de detectar riesgos que predisponen el desarrollo de enfermedades.

1.1.6. Estructura Organizativa

En la siguiente figura es posible apreciar como está estructurada la organización:

Figura 2. Estructura Organizativa del LMA Elaboración propia (2015)

Direccion Junta Directiva

Ascesoria Legal

Coordinacion General

Unidad Administrativa

Ascesoria Fiscal y Contable Secretarias

Unidad Analitica Bioanalistas Asistentes de Laboratorio

Unidad Mantenimiento

Personal de Limpieza y desechos biologicos

Descripción de los Procesos y Funciones

Coordinadora

Es el Bioanalista (persona) que maneja y supervisa el laboratorio, es responsable de desarrollar el programa del laboratorio para determinar, cuando tiene que estar abierto para los clientes y los horarios de empleos para que los mismo estén presentes en el laboratorio.

Además realiza un seguimiento de todos los equipos y materiales necesarios en el laboratorio y realiza los pedidos, según sea necesario. Es responsable de garantizar ña seguridad del laboratorio, supervisando el uso y mantenimiento de los equipos y asegurándose de que las personas que trabajan en el laboratorio sigan todas las políticas de seguridad.

Bioanalista

Realiza exámenes rutinarios y especializados de hematología, serología, bacteriología, parasitología entre otros; tomando, preparando y analizando muestras fin de generar resultados requeridos por los pacientes que acuden al servicio

Auxiliar

Extrae muestras de sangre, recibe, clasifica y codifica las muestras biológicas y material para recolección de muestras.

Secretaria

Encargada de la facturación de los pacientes; transcribe y entrega los resultados de los exámenes de laboratorio; lleva registro y control de los pacientes atendidos, responsable del dinero.

Cristalera (Unidad de mantenimiento)

Su función es simple, pero muy importante. Lava y esteriliza el material e instrumentos de trabajo, ordena los materiales utilizados en el laboratorio, limpia diariamente las mesas y áreas de trabajo.

1.2. Metodología COBIT

COBIT es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT GovernanceInstitute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

1.2.1. Modelo de Madurez

El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un método de asignación de puntos para que una organización pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).

Este planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute definió para la madurez de la capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y sugeriría una precisión que no es justificable.

Modelo Genérico de Madurez

0 Inexistente: Total falta de un proceso reconocible. La organización ni siquiera ha reconocido que hay un problema que resolver.

1 Inicial: Hay evidencia de que la organización ha reconocido que los problemas existen y que necesitan ser resueltos. Sin embargo, no hay procesos estandarizados pero en cambio hay métodos ad hoc que tienden a ser aplicados en forma individual o caso por caso. El método general de la administración es desorganizado.

2 Repetible: Los procesos se han desarrollado hasta el punto en que diferentes personas siguen procedimientos similares emprendiendo la misma tarea. No hay capacitación o comunicación formal de procedimientos estándar y la responsabilidad se deja a la persona. Hay un alto grado de confianza en los conocimientos de las personas y por lo tanto es probable que haya errores.

3 Definida: Los procedimientos han sido estandarizados y documentados, y comunicados a través de capacitación. Sin embargo se ha dejado en manos de la persona el seguimiento de estos procesos, y es improbable que se detecten desviaciones. Los procedimientos mismos no son sofisticados sino que son la formalización de las prácticas existentes.

4 Administrada: Es posible monitorear y medir el cumplimiento de los procedimientos y emprender acción donde los procesos parecen no estar funcionando efectivamente. Los procesos están bajo constante mejoramiento y proveen buena práctica. Se usan la automatización y las herramientas en una forma limitada o fragmentada.

5 Optimizada. Los procesos han sido refinados hasta un nivel de la mejor práctica, basados en los resultados de mejoramiento continuo y diseño de la madurez con otras organizaciones. TI se usa en una forma integrada para automatizar el flujo de trabajo, suministrando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte con rapidez.

Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a explicar a los administradores dónde existen deficiencias en la administración de TI y a fijarse objetivos para donde necesitan estar comparando las prácticas de control de su organización con los ejemplos de la mejor práctica. El nivel correcto de madurez estará influenciado por los objetivos de negocio y el entorno operativo de la empresa. Específicamente, el nivel de madurez de control dependerá de la dependencia de TI que tenga la empresa, de la sofisticación de la tecnología y, lo que es más importante, del valor de su información.

1.2.2. Auditoria de TICS Aplicando Cobit

1.2.2.1. Área a Auditar

La auditoría se realizara en las áreas donde usen equipos informáticos (Administración

y secretaria), ya que es el lugar donde se maneja gran parte de la información de la empresa

como el manejo de los equipos tecnológicos.

1.2.2.2. Proceso de recolección de la información

A través de observación directa y recolectando información de parte de las licenciadas

que ahí laboran, así como también de la secretaria.

1.2.2.3. Plan de auditoria en el área de informática

Para el plan de auditoria en el área de informática que han evaluado ciertos

procedimientos para el mejor alcance y precisión de la auditoria y la recolección de

evidencias.

N ACTIVIDADES

1 Entrevista con la Secretaria y las Bioanalistas que ahí laboran.

2 Observación directa en los procesos del departamento

4 Revisión equipos informáticos

5 Evaluar las tecnologías de información (TI), tanto en hardware como el software

6 Evaluar la seguridad de la información y de los equipos tecnologías de la empresa

Cuadro 1. Actividades a efectuar. Elaboración propia (2015)

1.2.2.5. Herramientas y Técnicas

Herramientas Técnicas

Cuaderno de Apuntas

Sistema Microsoft Office

Lápices

Hojas de papel

Otros

Observación Directa

Entrevista Estructurada

Revisión de las PC´s

Cuadro 2. Herramientas y Técnicas. Elaboración propia (2015)

1.2.2.6. Motivos o Necesidades de la Auditoria

Verificar el estado de la empresa.

Para determinar fallas que ocasionen retrasos en las operaciones de la empresa, así

como vulnerabilidades y oportunidades de mejora en sus sistemas, ya que pérdidas

de tiempo y dinero se ven constantemente relacionadas con problemas con los

sistemas.

Búsqueda de una nueva opinión acerca de los procesos informáticos dentro de la

organización

CAPITULO II

EJECUCIÓN DE LA AUDITORÍA

2.1. Situación actual del área de sistemas

El sistema tiene como responsabilidad mantener la integridad de la data que se maneja dentro de la organización, en esta se almacena el historial de clientes que se han hecho pruebas en el laboratorio, gestiona y administra las pruebas en progreso que ayudan al desarrollo de sus actividades operacionales, guarda los datos de los exámenes realizados al día y por usuario con la finalidad de obtener reportes contables; así mismo, se encarga de mantener a la empresa a la vanguardia en lo que respecta a la plataforma tecnológica.

2.1.1. Objetivos del departamento

Mantener la red de trabajo operativa (Comunicación y sistemas de información).

Resguardar la integridad de la data que se maneja dentro de la empresa

2.1.2. Seguridad del departamento

En este laboratorio no hay un departamento de informática, pero existe la misma y debe poseer estas características.

a. Seguridad física:

Contar con las instalaciones eléctricas adecuadas para resguardar la

integridad de los equipos.

Un lugar adecuado y fresco que mantenga los servidores trabajando a

temperaturas ideales.

b. Seguridad legal:

Aplicación de estándares y metodologías de calidad (IEEE, ISO, TIER, entre

otros) de manera tal que se garantice la ejecución de procesos blindados y

seguros.

Adquirir las licencias de los sistemas operativos (Microsoft) en uso, de igual

forma con antivirus u otro software; esto para no incurrir en faltas legales.

Seguridad de datos:

Establecer niveles de acceso acordes a la realidad tanto para los sistemas de

información como la los servidores, para impedir acceso y manipulación no

autorizada a la información.

c. Seguridad de personas:

Instituir políticas de seguridad física y mental para el personal.

Dotar al departamento con las herramientas de protección necesarias para

garantizar la seguridad de los empleados.

Instruir a los empleados de cómo actuar ante situaciones de desastre

(incendios, inundaciones, sismos, entre otros).

2.1.4. Características de la plataforma tecnológica

A. Hardware y Software

Equipo Server

Nombre del Equipo: PC

Características: Procesador Intel® Celeron® @ 1.8 Ghz, 2 Gb RAM

Utilidad: Mantener El servidor de datos del laboratorio

Sistema Operativo: Windows server 2003

\

Equipos PC

Nombre del Equipo: Pc

Características: AMD Phenom, Procesador Dual Core 2.9 Ghz, 4 Gb RAM

Utilidad: Utilización del sistema en secretaria

Sistema Operativo: Windows 7 64 bits

Aplicaciones: SoftPro, Microsoft Word, Google Chrome.

B. Topología de la empresa

Red Bus

2.1.5. Determinación de los problemas y planteamiento de hipótesis

Posibles problemas

No poseen antivirus.

Formulación de hipótesis

Programas desactualizados vulnerables a ataques de virus.

2.2. Aplicación de la auditoria

Modelo de madurez de los procesos

Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6

Definir un plan estrategia de TI x

Definir la arquitectura de la

información x

Definir la dirección tecnológica xDefinir los procesos, organización

y relaciones de TI x

Administrar la inversión en TI xComunicar las metas y la dirección

de la gerencia x

Administrar los recursos humanos

de TI x

Administrar la calidad x

Evaluar y administrar los riesgos TI x

Administrar los proyectos x

Identificar las soluciones

automatizadas x

Adquirir y mantener software

aplicativo x

Adquirir y mantener la

infraestructura tecnológicax

Facilitar la operación y el uso xProcurar recursos de TI X

Administrar los cambios

Instalar y acreditar soluciones y

cambios x

Definir y administra los niveles de

servicio X

Administrar los servicios de

terceros x

Administrar el desempeño y

capacidad x

Asegurar el servicio continuo XGarantizar la seguridad de los

sistemas x

Identificar y asignar costos xEducar y entrenar a los usuarios XAdministrar la mesa de servicio y

los incidentes X

Administrar la configuración x

Administrar los problemas xAdministrar los datos xAdministrar el ambiente físico xAdministrar las operaciones XMonitoreo y evaluar el desempeño

de TI X

Monitorear y evaluar el control

interno X

Garantizar el cumplimiento

regulatorio X

Proporcionar gobierno de TI X

Análisis de Madurez.

Se aprecia un nivel alto 1 de madurez en la empresa esto se entiende que esta pobremente administrada organizacionalmente así como en TI.

Esta empresa ha descuidado totalmente sus herramientas informáticas las cuales son de vital de importancia para determinar la seguridad de sus datos.

2.3 Análisis por dominio:

Planeación y organización

Esta empresa realiza los mismos procedimientos desde que se fundó, lo cual se

puede apreciar que funcionan pero no se han propuesto mejorar para ser más

eficientes, aplicando herramientas informáticas actualizadas.

Adquirir e implementar

Es necesario adquirir nuevo equipo informático, con la finalidad de optimizar el

servidor que ahí se maneja.

Entregar y dar soporte

En el laboratorio los empleados que utilizan el sistema o las aplicaciones tienen

muy poco conocimiento de las mismas, solo utilizan las funciones básicas del

mismo.

Monitorear y evaluar

La secretaria posee una clave con la cual realiza la facturación, registro de clientes hasta puede realizar descuentos mínimos. La administradora posee una clave de total acceso al sistema.

CAPÍTULO III

ANÁLISIS DE LOS RESULTADOS

3.1. Informe técnico

Alcance

Mediante esta auditoría se pretende evaluar el estado actual del “LMA, C.A.”, mediante este proceso se podrá brindar al “LMA, C.A” sus respectivas conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 4.1.

Objetivo General

Realizar la auditoría al área de informática del “LMA, C.A.”, utilizando como modelo de referencia la metodología COBIT 4.1.

Objetivos Específicos

Diagnosticar los posibles problemas en el área de informática del LMA, C.A.

Determinar las variables importantes de riesgo que se encuentren en el sistema

que pueda acarrear problemas de desempeño al mismo.

Dominio de Planear y Organizar

Los procedimientos son realizados de la misma manera que siempre se han hecho, no han buscado alternativas de mejorar para ser más eficientes.

Recomendaciones COBIT:

Se deben mejorar los procedimientos y crear planes que contribuyan a la mejor organización de la información de importancia.

Dominio Adquirir e implementar

La empresa ya no se preocupa por invertir recursos de TI, la mayoría de los procedimientos se anotan en cuadernos.

Recomendaciones COBIT:

Es necesario adquirir nuevas herramientas informáticas, así como también la implementación de un nuevo sistema para llevar el registro de las pruebas realizadas al día y tener todo el control de la información que se maneja.

Dominio Entregar y dar soporte

Las mismas bioanalistas son las que la mayoría de las veces solucionan los problemas técnicos que se puedan presentar, poseen poco conocimiento del manejo del sistema.

Recomendaciones COBIT:

Se deberían aplicar cursos para que los usuarios que manejan las herramientas informáticas, sean más eficientes con su utilización.

Actualizar el sistema SoftPro para obtener mejoras en el sistema.

CAPITULO IV

CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES

Por otro lado, es importante mantener canales de comunicación efectivos a nivel interno del departamento e interdepartamentales, debido a que esta área especializada de trabajo interactúa e interviene en los procesos de las demás áreas especializadas de la empresa, De igual forma se determinó que existe falta de organización, registro y control de las actividades del departamento, el estudio aplicado se considera beneficioso porque en él se plasma una especie de mapa o base que servirá de vía en la aplicación de medidas correctivas y el establecimiento de nuevos planes de trabajo, para optimizar los procesos y hacer uso adecuado y provechoso de los recursos de TI.

4.2. RECOMENDACIONES

Llevar a cabo las sugerencias planteadas en la auditoría COBIT, en la fase de

resultados.

Capacitar a los usuarios de los sistemas de información en el uso de estos, de tal

manera que puedan aprovechar al máximo las ventajas que estos ofrecen.

Cumplir con los planes de mantenimiento.

Renovar la plataforma tecnológica.