informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula - Juan Mendoza

Vista previa del material en texto

Studocu no está patrocinado ni avalado por ningún colegio o universidad.
Informe final - Un sistema es un elemento completo donde
cada uno de sus componentes se vincula
ADSI (Servicio Nacional de Aprendizaje)
Studocu no está patrocinado ni avalado por ningún colegio o universidad.
Informe final - Un sistema es un elemento completo donde
cada uno de sus componentes se vincula
ADSI (Servicio Nacional de Aprendizaje)
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
https://www.studocu.com/co/document/servicio-nacional-de-aprendizaje/adsi/informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula/45772225?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
https://www.studocu.com/co/course/servicio-nacional-de-aprendizaje/adsi/5131262?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
https://www.studocu.com/co/document/servicio-nacional-de-aprendizaje/adsi/informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula/45772225?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
https://www.studocu.com/co/course/servicio-nacional-de-aprendizaje/adsi/5131262?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Bogotá Abril 10 de 2013
Señores
Revisor Fiscal 
Designado por Grant Thornton Ulloa Garzón.
Instituto de Ortopedia Infantil Roosevelt
La Ciudad
Respetados señores:
Les agradecemos por el tiempo destinado al Instituto Roosevelt en el procesos
de auditoría de sistemas adelantado en días interiores, igualmente por su
apoyo al desarrollo tecnológico de nuestra organización mediante sus valiosas
y profesionales recomendaciones dejadas como resultado de este ejercicio.
Anexamos documento con la respuesta a cada una de las recomendaciones,
las cuales serán incluidas en un plan de mejoramiento institucional para
garantizar su implementación en el transcurso del presente año.
Cordial saludo,
José Ignacio Zapata Sánchez
Director General
Instituto de Ortopedia Infantil Roosevelt.
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora Recomendación
Gobierno de T.I.
Plan estratégico de tecnología
La dirección de tecnología de IOIR tiene 
documentado el plan estratégico de 
tecnología, el plan estratégico de tecnología 
hace parte del plan estratégico corporativo. 
El PETI es de gran importancia para el IOIR 
que como herramienta a la gerencia sirve 
para definir la situación actual de tecnología 
en la organización, este documento debe 
incluir el análisis y plan de acción para la 
evolución de la infraestructura tecnológica, 
orientado a evitar la obsolescencia 
tecnológica y evaluar las nuevas tecnologías 
que pueden ser integradas a la compañía.
Una vez desarrollado el plan estratégico de 
tecnología se debe elaborar un plan de 
capacidad de TI. 
Un aspecto esencial de la Gestión de la 
Capacidad es el de asignar recursos 
adecuados de hardware, software y personal 
adecuado para cada servicio prestado por el 
área de tecnología con el fin de minimizar la 
segregación de funciones.
Potencializar el Plan 
Estratégico de Tecnología 
con el plan de capacidad, 
este plan debe estar 
aprobado por la gerencia y 
permitir una supervisión 
continúa que asegure el 
logro de las metas y 
actividades del área 
tecnológica.
Sugerimos el marco de 
referencia ITIL para la 
documentación del plan de 
capacidad
RESPUESTA 
Se realizara el plan de capacidad para potencializar el Plan Estratégico 
teniendo en cuenta el marco de referencia ITIL, de acuerdo con las 
recomendaciones realizadas por el auditor.
Plan de capacitación
No se evidencia un plan de capacitación del 
personal de tecnología, el cual asegure la 
correcta administración de la infraestructura 
tecnológica actual y futura. 
La dirección de Tecnología 
del IOIR en conjunto con 
Recursos Humanos debe 
identificar, organizar, 
capacitar y desarrollar a los 
empleados que administran 
la infraestructura de 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
Oportunidad de Mejora Recomendación
Riesgo
 Pérdida de competitividad
 Supervisión alta en las labores del 
empleado
 Disminución de la productividad
tecnología, con el fin de 
reducir los riesgos en la 
integridad y seguridad de la 
información.
RESPUESTA 
Este plan si existe y en la actualidad ya se está ejecutando con el apoyo de 
un auxilio económico por parte de instituto. 
Seguridad de la Información.
Desempeño de la función:
La función de seguridad de la información 
actualmente está a cargo de la Coordinación 
de sistemas, y aunque cuenta con personal 
que dispone de los conocimientos necesarios 
para desempeñar la función, no es una 
práctica segura la asignación de esta función 
en esta Coordinación como en ninguna otra 
que tenga responsabilidades de 
administración de T.I.
Riesgo.
 Inadecuada segregación de funciones.
 Conflictos de interés.
 Inoportunidad en la detección de 
situaciones de riesgo.
 Incumplimiento de normatividad 
Disponer de un área o 
cargo específico con 
independencia de la 
administración de T.I., que 
pueda monitorear e 
implementar controles sobre
esta área funcional. Una 
adecuada segregación de la 
función de Seguridad de la 
Información permitiría la 
verificación independiente 
de la aplicación de políticas 
de seguridad en las 
diferentes plataformas y 
componentes clave de TI, 
incluyendo la 
administración de usuarios. 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora Recomendación
interna vigente Contemplar la opción de 
apoyo en esta actividad de 
los órganos de control 
interno de IOIR, por ejemplo
crear el cargo de Oficial de 
Seguridad de la Información
o Auditoría interna.
 
RESPUESTA 
Se realizará el estudio y contratación con una entidad externa especializada 
en seguridad de TI para garantizar adecuada administración de los riesgos 
respectivos y la seguridad de la información institucional.
Documentación de la política de seguridad de
la información
Se evidencia en la documentación del 
proceso de TI y en particular de los procesos 
anexos donde se definen y/o describen 
controles, que estos documentos no tienen 
control de versión y fecha de vigencia, 
aprobación y quien es el responsable de la 
elaboración de la política ej. “Política de 
seguridad de la información”
La política no se encuentra potencializada 
pues describe registro de usuarios, 
administración de acceso y contraseñas, pero 
no contiene descripción de políticas de correo
electrónico ejemplo trasmisión de datos,políticas de uso de internet, confidencialidad 
de la información, derechos de autor y 
sanciones.
Riesgo.
 Ejecución de procedimientos no 
autorizados.
 Dificultad para establecer 
responsabilidades.
 Incumplimiento de normatividad 
interna.
Implementar 
procedimientos de 
administración de versiones
y fechas de publicación y 
actualización de la 
documentación claves de 
T.I., así como, identificación 
clara en todos los casos de 
los responsables de su 
elaboración y aprobación.
Potencializar la política de 
seguridad de la información 
incluyendo: políticas de 
correo electrónico 
“trasmisión de información”,
políticas de uso de internet, 
confidencialidad de la 
información, propiedad 
intelectual “ Derechos de 
autor” y sanciones por 
violación a la política de 
seguridad de la información.
Implementar control de 
lectura y aceptación por 
parte de todos los 
funcionarios de la entidad.
Fortalecer los mecanismos 
de control de actualización 
con el fin de garantizar que 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
Oportunidad de Mejora Recomendación
la que se encuentre 
publicada oficialmente.
RESPUESTA 
Se realizarán los ajustes respectivos al procedimiento de control de 
versiones de tal forma que permita identificar las fechas de las 
actualizaciones respectivas así como los responsables, igualmente se 
ajustara la política de seguridad de la Información incluyendo las 
recomendaciones y los tópicos realizados por el auditor.
 
No se evidencia procedimiento documentado 
sobre monitoreo periódico de políticas de 
seguridad de la información con el fin de 
garantizar su permanencia y actualización 
oportuna.
Riesgo.
 Pérdida de confidencialidad de la 
información.
Implementar y/o 
documentar procedimiento 
de monitoreo periódico a las
políticas de seguridad de la 
información, así como, los 
hallazgos y los planes de 
acción consecuentes.
Los procedimientos de 
monitoreo se pueden 
ejecutar por ejemplo sobre: 
roles y perfiles, bloqueo de 
servicios como puertos USB,
cambio periódico de claves 
de acceso, no reutilización 
de las mismas, bloqueo de 
instalación, desactualización
de software y hardware, etc.
RESPUESTA 
Una vez ajustada e implementada la política de seguridad de la información,
se diseñara e implementará un mecanismos de seguimiento y cumplimiento
con las directrices de la política de seguridad de la información.
Pruebas de Hacking Ético: 
No se evidencia la ejecución de pruebas de 
intrusión a la red de Instituto Ortopedia 
Infantil Roosevelt.
El objetivo fundamental del Ethical Hacking 
(hackeo ético) es explotar las 
vulnerabilidades existentes en los sistemas 
valiéndose de test de intrusión, que verifican 
y evalúan la seguridad física y lógica de los 
sistemas de información, redes de 
computadoras, aplicaciones web, bases de 
datos, servidores, etc. Con la intención de 
ganar acceso y "demostrar" que un sistema es
vulnerable, esta información es de gran 
ayuda a las organizaciones al momento de 
 
Evaluar la posibilidad de 
realizar un Hacking Ético, 
con el fin de evaluar las 
vulnerabilidades, una vez 
evaluadas tomar medidas 
preventivas en contra de 
posibles fallas de seguridad 
y así minimizar los riesgos 
sobre confidencialidad de la 
información del instituto de 
Ortopedia Roosevelt. 
 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora Recomendación
tomar las medidas preventivas en contra de 
posibles ataques malintencionados.
Riesgo.
 Inoportunidad en la identificación y/o 
cierre de vulnerabilidades en la red de 
la Instituto Roosevelt
 Perdida de confidencialidad.
RESPUESTA 
Se realizara la evaluación de proponentes para contratar las pruebas de 
Ethical Hacking y se autorizara su realización.
Operación de T.I.
Administración del Directorio Activo.
Se evidencia usuarios genéricos en el ingreso
al dominio de Windows del directorio activo.
De acuerdo a la política de seguridad de la
información el ítem a) “Utilizar
identificadores de usuario únicos, de manera
que se pueda identificar a los usuarios por
sus acciones evitando la existencia de
múltiples perfiles de acceso para un mismo
empleado. El uso de identificadores grupales
sólo debe ser permitido cuando sean
convenientes para el trabajo a desarrollar
debido a razones operativas”.
De acuerdo a lo anterior no es una práctica
segura. La seguridad de la información es
garantizar que los recursos reciban un
apropiado nivel de protección.
Riesgo: 
 Posibilidad de ejecución de actividades 
no autorizadas.
 Identificación inoportuna o dificultad 
para establecer responsabilidades.
Documentar la revisión 
general de la información de
los usuarios y grupos 
registrados en el Directorio 
Activo con el fin de 
garantizar la integridad y 
seguridad de la misma.
En lo posible omitir la 
utilización de usuarios 
genéricos, y en caso de 
requerirse por necesidades 
operativas, implementar 
controles que permitan 
garantizar la identificación 
clara del funcionario que lo 
esté utilizando en 
determinado momento. 
RESPUESTA 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
Oportunidad de Mejora Recomendación
De acuerdo a las necesidades del instituto, teniendo en cuenta que en
el área asistencial cada computador es usado por muchas personas en
diferentes horarios que no son fijos, el instituto ha requerido la
necesidad que crear usuarios genéricos con restricción máxima de
seguridad, es decir solamente pueden ejecutar el ícono de la
aplicación correspondiente. Garantizamos la seguridad de la
información mediante la asignación de perfiles y permisos a cada
usuario de acuerdo con su cargo para acceso a la aplicación de
historia clínica, en este caso.
Control de cambios.
Se observa un documento escrito por parte 
proveedor servinte el cual contiene el cambio.
Pero no se tiene centralizado la 
administración de cambios en un documento.
Riesgo. 
 Posibles pasos a producción de 
soluciones que no hayan surtido 
todos los pasos requeridos.
 Puesta en producción de 
soluciones que no cumplan los 
requerimientos y seguridades lo 
que va en detrimento de la 
eficiencia y seguridad de la 
operación.
 Dificultad para establecer 
responsabilidades.
Todos los cambios,
incluyendo los
mantenimientos de
emergencia en las
aplicaciones, parches
relacionados con las
aplicaciones dentro del
ambiente de bases de datos
y producción, deban
administrarse formalmente
y controladamente. 
Los cambios (incluyendo
procedimientos, procesos,
sistema y parámetros del
servicio) se deben registrar,
evaluar y autorizar previo a
la implantación y revisar
contra los resultados
planeados después de la
implantación, esto garantiza
la integridad del ambiente
de producción.
Toda la información sensible
en las tablas de datos de las
aplicaciones debe
identificarse mediante un
proceso formal
documentado, con el fin de
tener la propiedad de ser
auditadas en caso de
modificaciones, copia de
datos y eliminación de
registros.
Es importante efectuar y 
documentar monitoreo y 
verificación periódica con 
base a las fechas de 
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora Recomendación
catalogación de los objetos 
con el fin de garantizar que 
se ha cumplido con los 
pasos y controles definidos 
que apliquen según la 
topología del cambio y que 
la información está 
documentada y completa sin
excepción.RESPUESTA 
Se diseñara e implementará un mecanismos de control de cambios para la
actualización de las aplicaciones y las modificaciones a la base de datos.
Backup y Restauración.
Generar un cronograma de pruebas de 
restauración de las copias de seguridad.
Riesgo
 Pérdida de la información.
Hacer pruebas a los backup 
completos e incrementales. 
Establecer el tiempo real de 
retorno a la operación 
cuando se presente un 
incidente de daño completo 
en el servidor. 
Para administrar
eficientemente los backup
(almacenaje externo e
interno) y la restauración de
la información,
recomendamos que:
 El procedimiento debe
estar documentado,
actualizado el control de
backups y evidencia de
las restauraciones
realizadas (certificación
del usuario).
 Las copias de respaldo
internas se deben
almacenar con las
seguridades físicas
necesarias como son el
acceso restringido al
área de sistemas y
gabinetes metálicos con
llave. 
 Realizar pruebas de 
backup y restauración en
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
Oportunidad de Mejora Recomendación
conjunto con diferentes 
áreas. 
 Identificar los tiempos de
rotación de las copias 
que se almacenan 
externamente por 
Sigesa, para establecer 
la perdida máxima de 
información en caso de 
un desastre.
 El procedimiento de 
recuperación o 
reinstalación de cada 
sistema debe incluir la 
información de 
configuración, 
parametrización y lista 
de chequeo funcional 
que debe realizar el 
usuario final.
RESPUESTA 
Se realizará revisión y ajuste al procedimiento de realización de copias de 
seguridad, teniendo en cuenta las recomendaciones hechas por el auditor.
En la actualidad estamos implementando un centro de datos alterno en
donde contaremos con la infraestructura necesaria para hacer las pruebas
recuperación de las copias de seguridad.
Segregación de funciones
No hay adecuada segregación de funciones,
el administrador del Clinical Suit es quién
actualiza, administra la base de datos,
realiza el mantenimiento de la base de datos,
programa y verifica copias de seguridad,
prueba, pone en producción y capacita a los
usuarios en la aplicación.
Adicionalmente también tiene funciones
sobre la seguridad de la información del IOIR.
Lo anterior no es una práctica segura de
seguridad de la información.
Realizar una evaluación
sobre la responsabilidad del
administrador de bases de
datos, el cual permita
identificar si existe sobre
carga de responsabilidades
frente a los procesos y así
tener una segregación de
funciones con el personal
necesario encaminados a
mejorar todos los procesos y
proyectos del IOIR.
Minimizar la exposición a
dependencias críticas sobre
individuos clave por medio
de la captura del
conocimiento
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora Recomendación
(documentación), compartir
el conocimiento, planeación
de la sucesión y respaldos
de personal.
RESPUESTA 
Se realizará la evaluación de las funciones y responsabilidades con el apoyo
de talento humano y se realizarán los ajustes necesarios.
Plan de Contingencia Tecnológico (DRP) 
El IOIR tiene procedimientos de contingencia a 
través de copias de seguridad, adicional cuenta 
con procedimientos generales incluidos en el 
documento MCFO – 0003 V3 con el nombre 
“Contingencia institucional ante interrupción de 
redes de apoyo de recursos físicos”, se evidencia 
procesos de restauración en las aplicaciones como
también procedimientos manuales en caso de no 
haber sistema.
No se evidencia pruebas de los diferentes 
escenarios y componentes críticos, solo se 
evidencias algunas pruebas de restauración en la 
base de datos de la aplicación core Clinical Suit.
El IOIR no tiene un Sito Alterno de 
Procesamiento. 
Riesgo
 Indisponibilidad de los servicios 
tecnológicos en caso de presentarse un 
evento de seguridad mayor.
Documentar el DRP con los 
resultados de las revisiones 
realizadas periódicamente que 
permiten hacer correcciones, 
ajustes, actualizaciones y 
ampliaciones al documento 
inicial. 
Definir y formalizar 
cronograma de pruebas para el
periodo 2013 en el cual se 
incluyan todos los escenarios y 
componentes críticos, alcance 
de las pruebas, resultados 
esperados y responsables de 
ejecución.
Incluir todos los componentes 
clave de TI en los planes de 
contingencia y Continuidad con
el fin de garantizar la 
oportunidad y disponibilidad 
de los servicios y la 
información crítica del 
negocio.
Evaluar la definición e 
implementación de centro 
alterno de procesamiento con 
el fin de garantizar la 
disponibilidad de servicio en 
caso de falla del centro de 
datos principal por desastres 
naturales.
RESPUESTA 
En la Actualidad estamos realizando las adecuaciones necesarias para 
implementar un sitio alterno como contingencia en el lugar en donde 
trasladaremos el Call Center. Una Vez realizado realizaremos y 
ejecutaremos el cronograma de pruebas documentando los resultados.
Inventario de Software
Se evidencia un archivo en Excel únicamente con 
el nombre de la aplicación y cantidades, pero no 
especifica el detalle de su control ejp. El 
El inventario de software se
debe integrar en un solo
documento y adicionalmente
dejar con mayor nivel de
detalle.
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
Oportunidad de Mejora Recomendación
inventario de hardware que contenga instalada la
licencia. 
El inventario de Hardware contiene la licencia de 
Windows, Ofimática y antivirus, pero no se 
evidencia ejp. Clinical Suit, Vmware, base de 
datos, aplicaciones que tiene instaladas los 
servidores etc.
Riesgo
 Incumplimiento sobre derechos de autor 
contenidas en el Informe de gestión de 
IOIR y avalado por Revisoria fiscal.
 Inadecuado control de instalaciones.
 Posible incumplimiento sobre derechos de 
autor
Realizar revisiones periódicas 
de los equipos para controlar 
que el software instalado sea el
autorizado por la alta gerencia.
El inventario de software debe 
tener un formato único y 
contener la siguiente 
información: 
Tipo de Inventario, Fecha de 
adquisición, Fecha de 
actualización, Firmas de 
responsables de elaborado-
revisado-aprobado, Fecha de 
vencimiento de las licencias y 
renovaciones, Descripción del 
software (utilitario, lenguaje, 
aplicativo, seguridad), Tipo de 
software (corporativo, libre), 
Versión, Número de parte, 
Número de licencia, Número 
de licencias instaladas, 
Número de licencias 
disponibles, Equipos en que se 
tienen instaladas, Nombre del 
proveedor.
Indicar en el inventario en 
que equipo se encuentra 
instalado el software 
(ubicación).
RESPUESTA 
En la actualidad contamos con una base de datos de inventario de hardware
a la cual le haremos los ajustes necesarios para incluir el software que tiene
instalado cada computador. Y de esta forma generar un informe de
inventario de software.
Centro de Datos
No se tiene bitácora de acceso al centro de
datos del Instituto, el cual se pueda
identificar las actividades realizados en el
centro de datos.
Riesgo
Dificultad para establecer responsabilidades 
ante incidentes en seguridad de la 
información
Documentar una bitácora de
entrada al centros de datos 
con el fin de realizar un 
seguimiento y control a las 
actividades realizadas por 
los administradores de 
centro de datos.
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368
https://www.studocu.com/co?utm_campaign=shared-document&utm_source=studocu-document&utm_medium=social_sharing&utm_content=informe-final-un-sistema-es-un-elemento-completo-donde-cada-uno-de-sus-componentes-se-vincula
Oportunidad de Mejora RecomendaciónRESPUESTA 
Se implemento la bitácora de control de acceso en donde se registra la 
entrada de las personas autorizadas y el motivo del acceso al centro de 
datos. 
Controles en el modulo de facturación
Se realizo una prueba de seguimiento a los 
controles generales de TI en el modulo de 
facturación del sistema Clinical Suit, en 
nuestras pruebas se evidencio un adecuado 
control de acceso a la aplicación, así mismo se
revisó los perfiles de los usuarios del modulo 
el cual no encontramos inconsistencias. 
Realizamos una prueba de integridad de la 
información tomando como muestra la factura
855113 y 861359, verificando sus valores y 
realizando cálculos de integridad la cual no 
presentaron inconsistencias.
Al revisar el archivo de facturación del mes de
diciembre se observa saltos en el consecutivo 
de las facturas así:
COLOMBIANA DE SALUD 
SA. 607452 15.562,00
CAFESALUD ARS 608511 52.900,00
Al investigar en el área de facturación del 
instituto este error de consecutivo es de la 
facturación manual elaborado por un 
estudiante, el cual fue reportado el incidente a
soporte de Tecnología, sin embargo no se 
pudo evidenciar el reporte en el área de 
tecnología.
Documentar el seguimiento 
al incidente presentado por 
consecutivo de facturación 
manual.
Sugerimos que los 
estudiantes de pasantías de
institutos educativos, no 
realicen procesos y 
funciones operativas de 
responsabilidad en este 
caso “facturación”. Los 
responsables de generar las
facturas son los jefes de 
área y los operarios del 
sistema Clinical Suit.
RESPUESTA 
Este caso lo tenemos en proceso de revisión y análisis con el proveedor del 
aplicativo, la solicitud es generar la restricción para que el consecutivo que 
genera el sistema por esta fuente documento no pueda ser manipulado por 
el usuario que ingresa la información.
Descargado por Juan Mendoza (juande031294@gmail.com)
lOMoARcPSD|15824368