Auditoria Outsourcing

5/11/2018 Auditoria Outsourcing - slidepdf.com

http://slidepdf.com/reader/full/auditoria-outsourcing 1/75

Universidad Tecnológica de Huejotzingo

Organismo Público Descentralizado del Estado de Puebla

Ingeniería en Tecnologías de la Información y Comunicación

INTEGRADORA II

Auditoria Outsourcing

“Servicio de Internet”

TSU. Angélica Cortés Cuahutencos

TSU. Carina Cuautle Ramos

TSU. Maria Esther Galícia Xochitemol

TSU. Guadalupe Jimenez Nieves

TSU. Areli Rojano Calixto

10° “A”

Noviembre-2010





AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo

Página 3

ÍNDICE

PLANEACIÓN ........................................................................................................................... 5

Planeación de la Auditoria Outsourcing .............................................................................. 6

Objetivos ................................................................................................................................ 7

Objetivos Generales ............................................................................................................ 7

Objetivos Específicos .......................................................................................................... 7

Estudio de la Evaluación del Control Interno ...................................................................... 8

Gestión Administrativa ......................................................................................................... 8

Gestión Informática.............................................................................................................. 9

Métodos Aplicables para su Documentación .....................................................................11

Planeación Detallada ............................................................................................................11

Cuestionario de Control Interno ..........................................................................................14

Encuesta del Servicio de Internet a Usuarios .....................................................................19

Listado de Verificación de Auditoria Outsourcing .............................................................21

Planilla de Decisiones Preliminares ....................................................................................26

Recursos a Utilizar en la Auditoria ......................................................................................30

Cronograma de Actividades ................................................................................................31

Peso Porcentualde cada Área a Evaluar .............................................................................32

Referencias de Auditoría ......................................................................................................33

Marcas de Auditoría ..............................................................................................................34

Metodología y Procedimientos ............................................................................................34

Métodos de Prueba ...............................................................................................................35

Situaciones Alternas ............................................................................................................35

Asignación de Recursos y Sistemas Computacionales para la Auditoría ........................35




Página 4

DESARROLLO ........................................................................................................................ 36

Cuestionario de Control Interno ..........................................................................................37

Listado de Verificación de Auditoria Outsourcing .............................................................42

Reporte de Hallazgos ...........................................................................................................47

Resultados de las Encuestas............................................................................................. 50

RECOMENDACIONES ............................................................................................................ 61

Evaluación de Unidad Informática Aplicando Modelo de Madurez para la

Administración y el Control de los Procesos de TI ............................................................63

Recomendaciones ................................................................................................................66

ANEXOS .................................................................................................................................. 75

ÍNDICE DE GRÁFICAS

Gráfica 1. Evaluación del Servicio de Internet (Alumnos) ......................................................... 51

Gráfica 2. Evaluación de Laboratorios (Alumnos)..................................................................... 52

Gráfica 3. Evaluación de Unidad Informática (Alumnos)........................................................... 53

Gráfica 4. Evaluación de Acceso a Internet (Alumnos) ............................................................. 54

Gráfica 5. Evaluación de Fallos en el Acceso a Internet (Alumnos) .......................................... 55

Gráfica 6. Evaluación del Servicio de Internet (Alumnos) ......................................................... 56

Gráfica 7. Evaluación de Laboratorios (Profesores) ................................................................. 57

Gráfica 8. Evaluación de Unidad Informática (Profesores) ....................................................... 58

Gráfica 9. Evaluación de Acceso a Internet (Profesores) ......................................................... 59

Gráfica 10. Evaluación de Fallos en el Acceso a Internet (Profesores) .................................... 60



Planeación




Página 6

PLANEACIÓN DE LA AUDITORIA OUTSOURCING

EMPRESAUniversidad Tecnológica De Huejotzingo

Departamento de Unidad Informática

R.F.C UTH981027

N.R.C UTH981027U28

FECHA DE AUDITORIA 12 de Octubre al 28 de Octubre 2010

DIRECCIÓN Camino Real a San Mateo s/n, Santa Ana Xalmimilulco, Huejotzingo, Puebla

TELÉFONO 01 (227) 27 5 9300.




Página 7

OBJETIVOS

OBJETIVOS GENERALES

Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes ala Universidad Tecnológica de Huejotzingo, lo cual nos permitirá identificar las deficiencias y ventajas

del mismo para la mejora del servicio.

OBJETIVOS ESPECÍFICOS

Conocer la situación actual del servicio de internet, a través de la identificación de deficiencias en el

servicio proveído.

Evaluar si la Universidad Tecnológica de Huejotzingo cubre las necesidades de los usuarios quereciben el servicio de Internet.

Diseñar los procedimientos adecuados a efectuar en el desarrollo de la auditoría outsourcing.

Evaluar el alcance de los procedimientos, y con ello logremos formular el informe de la auditoria

outsourcing adecuado, cumpliendo con los objetivos planteados.

Conocer las políticas y procedimientos para la contratación del servicio Outsourcing

Evaluar los contratos, ANS (Acuerdo de Nivel de Servicio ) e INS (Indicadores de Nivel de Servicio )

establecidos con el proveedor del servicio outsouring.

Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia

ITIL (IT Infraestructure Library ) y COBIT (Control Objectives for Information and Related Technology )

para la evaluación del servicio Outsourcing.




Página 8

ESTUDIO DE LA EVALUACIÓN DEL CONTROL INTERNO

Esta fase constituye el inicio de la planeación y nos permite establecer una relación específica entre la

calidad del control interno de la empresa y el alcance u objetivos de los procedimientos de la auditoria, debido

a que los resultados de esta fase son los que generan la verdadera orientación de las subsiguientes fases del

proceso, por lo que se deben considerar los siguientes aspectos:

GESTIÓN ADMINISTRATIVA

1. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa de

departamento de Unidad Informática.

2. Verificar si se cuenta con un Manual de organización y funciones del personal que se encuentran en e


3. Verificar si las contrataciones del personal del departamento de Unidad Informática se han realizado con

base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto.

4. Verificar si la administración provee oportunamente los recursos necesarios para la adquisición de

servicio de internet.

5. Verificar si la administración promueve la capacitación y adiestramiento constante del personal de


6. Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de

sistema de control de acceso a internet.

7. Verificar que las instalaciones donde labora el personal del departamento de Unidad Informática estén

adecuadas a las necesidades y no representen peligro para los empleados y el hardware.

8. Verificar el contrato, ANS e INS del servicio de internet.

9. Identificar como se realiza el monitoreo de los ANS, y si se generán reportes acerca de los logros y

criterios de desempeño de los problemas encontrados.

10. Validar la existencia de cláusulas que permitan la gestión de los contratos y ANS dentro de la

Universidad.




Página 9

GESTIÓN INFORMÁTICA

1. Examinar la información preliminar correspondiente al departamento de Unidad Informática, la cua

puede ser:

a. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnológica de Huejotzingo

para los cuales es utilizado el servicio de internet.

Se verificará si se lleva un control de las operaciones realizadas, si se lleva un respaldo de

información y un registro de los usuarios del departamento de unidad informática, los horarios y

áreas en los cuales han utilizado el servicio de internet. También se solicitará información

correspondiente si se ha realizado en otras ocasiones auditorías al servicio de internet.

b. Externa: Conocimiento e identificación de los usuarios de internet, así como de los proveedores dedicho servicio y los contratos.

2. Conocimiento de las áreas e instalaciones físicas (materiales, mobiliario, inmuebles, equipos de cómputo

laboratorios y otros) de la Universidad que tienen relación con el departamento de Unidad Informática.

3. Verificar si existe una política de seguridad de red bien concebida y efectiva que pueda proteger los

datos de la Universidad.

4. Verificar si dicha política de seguridad ha sido diseñada específicamente para la universidad y hasta quépunto satisface las necesidades del usuario.

5. Verificar el proceso realizado por medio de los sistemas de acceso a Internet.

6. Considerar otro punto de conocimiento general que involucre información sobre el servicio de internet

proporcionado a los usuarios de la universidad.

7. La revisión y verificación de las Seguridades.

a. Seguridad Lógica. Control de acceso.

Restricciones de Páginas Web.

Bloqueo de Puertos.

Integración de dominios.

Otros que se involucren dentro

del rubro.




Página 10

b. Seguridad Física.

Ubicación de equipos.

Infraestructura.

Instalaciones eléctricas.

Otros involucrados dentro de

rubro.

8. Verificar quienes están autorizados para realizar modificaciones en la red de la universidad y quien

autoriza cada una de estas modificaciones.

9. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones, verificar s

existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las órdenes se

efectúan solamente de manera verbal.

10. Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de lainformación más importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el

caso de darse situaciones anómalas dentro de la red.

11. Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección de los usuarios que

reciben el servicio de Internet.

12. Verificar la cantidad de usuarios que pueden tener acceso a la red inalámbrica.

13. Verificar si el usuario tiene una clave única para accesar a la red, y que la misma solo admita un usuario,es decir que nadie pueda tener acceso con la misma clave.

14. Verificar si existe una examinación periódicamente en la política de seguridad de red para ver si han

cambiado los objetivos y las circunstancias de la red.

15. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnológica de Huejotzingo,

así como la administración del mismo.

16. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad

Tecnológica de Huejotzingo.

17. Verificar cuales son los requerimientos que tiene la Universidad Tecnológica de Huejotzingo, referente al

servicio de acceso a internet.




Página 11

MÉTODOS APLICABLES PARA SU DOCUMENTACIÓN

El tipo de métodos que contempla la empresa Solution Corp para implementar la auditoría outsourcing

son los siguientes:

a) Descriptivo: La documentación utilizada durante la auditoría, será en primer lugar de tipo descriptiva o

sea basada en la narración verbal de los procedimientos, que son conocidas como cédulas narrativas.

b) Cuestionario: En segundo lugar, los procedimientos se documentarán a través del pre elaboración de

preguntas, contestadas personalmente por el personal encargado del departamento de la unidad

informática.

c) Encuestas : Aplicadas a los usuarios que reciben el servicio de Internet para conocer el grado de

satisfacción con respecto al mismo.

PLANEACIÓN DETALLADA

El objetivo principal de la planeación detallada es estructurar de manera ordenada y lógica las

actividades a ejecutar durante el proceso de auditoría, es decir, es un esquema previo que dirige los pasos a

seguir para realizar una auditoría de desempeño, contemplando los siguientes apartados:

1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditoría, es decir, establecer la

base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria, para que

la misma pueda llevarse a cabo de forma eficaz y efectiva; por lo tanto, la empresa Solution Corp tiene

como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el

mismo.

2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad

Informática en secciones manejables; facilitando con ello el análisis integral y exhaustivo, con el

propósito de obtener resultados correctos y claros.

a. Primera descomposición: Hardware, Red, Software, Personal, Instalaciones Eléctricas, Seguridad

Servicio.

b. Segunda descomposición o detalle: Computadoras y periféricos asociados, software para e

acceso a internet, personal del departamento de unidad informática, usuarios del servicio, red

eléctrica, seguridad física, seguridad lógica, seguridad del personal, seguridad de la información y

las bases de datos.

3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento del departamento de

Unidad Informática y las especificaciones de cómo debería funcionar, para establecer si las actividades

que están realizando son adecuadas.




Página 12

4) Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la

emisión de una opinión e informe, la inspección de los documentos anexos a cada operación del

departamento de unidad informática, cuando por la naturaleza de las mismas exista un documento que

ampare las operaciones.

5) Margen de Importancia: Dentro de este apartado, se deben analizar y señalar aquellos conceptos

cuyo impacto de su inclusión, exclusión o revelación textual pueda modificar la opinión sobre ellas. Ello

requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios

de los sistemas informáticos.

6) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar

contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la

opinión sobre ellos. (entiéndase como error, la ocurrencia u omisión de datos originados en

circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informática; ylas irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican

de la siguiente manera:

a. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos, lo

anterior es de criterio potencial por parte del auditor, y pueden ser identificados como “eventos

presuntos”, su análisis parte de la naturaleza del Departamento de la Unidad Informática.

b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de

control interno adoptados, y se define como la posibilidad de que el control interno no detecte o

evite oportunamente errores o irregularidades de importancia.

c. Riesgo de Detección: Vinculado directamente con la función de auditoría, y se conoce como la

mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir

errores o irregularidades que en condiciones normales deberían ser visualizadas.

7) Elaboración de cuestionario de control interno: Para conocer el funcionamiento Departamento de la

Unidad Informática dentro de la Universidad, se diseñará un cuestionario de control interno, en el cual

se harán en su mayoría preguntas cerradas, con el propósito de conocer las actividades a las cuales se

dedica dicho departamento, quienes las efectúan, en qué momento se realizan los procesos y porquienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo

que presenten cada una de las operaciones y procedimientos. Dichos datos servirán en su conjunto

para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría.




Página 13

8) Planilla de decisiones preliminares: En este documento, luego de obtener los resultados del

cuestionario de control interno, se establecerá el tipo de riesgo (alto, medio o bajo) que tiene cada una

de las operaciones realizadas en el servicio de acceso a internet, y con base en ellos se podrá

establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicho

departamento.

9) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del departamento

y a la evaluación del control interno adoptado, se dejará constancia documental de los pasos a seguir

en las diferentes áreas involucradas en el departamento, las tareas programadas, quedan plasmadas

en una guía de procedimientos, cuya mayor especificación, facilita su ejecución y comprobación de la

misma.

10) Verificación de generalidades concernientes a los documentos emitidos.

11) Análisis y validación de los documentos anexados que soportan las adquisiciones del servicio de

internet a utilizarse por los diversos usuarios y del departamento de Unidad Informática.

12) Conocimiento sobre la existencia o ausencia del software, hardware y dispositivos de red involucrados

en el servicio de Internet.

13) Verificación documental de los servicios de internet.

14) Documentación adecuada de hallazgos.

15) Rendimiento de informes parciales o previos, ante la detección de errores cuyo impacto sea relevante.

16) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el

apartado anterior.

17) Preparación del informe final de auditoría.

Nota: Toda la metodología y procedimientos detallados, no inhiben de sostener reuniones periódicas o

eventuales con la administración, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos

que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuará de

forma escrita como constancia de realizado.




Página 14

CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA

1. ¿Existe dentro de la Universidad un área de

Unidad Informática?

SI LA RESPUESTA FUE SI:

2. ¿Existe una persona nombrada como

responsable de administrar las redes?

3. ¿Existe un área o alguien a quién le rinden

cuentas de su gestión?

4. ¿Está identificada dicha área dentro del

organigrama general de la empresa?

5. ¿Se tiene un organigrama específico?

6. ¿Hay un manual de organización y funciones

aplicables a dicha área?

7. ¿Existen procedimientos de contratación, para

el personal de este departamento?

8. ¿Están delimitadas las funciones de cada

integrante del área Unidad Informática?

9. ¿Cada empleado del área de Unidad

Informática conoce la persona ante la que

tiene que rendir cuentas de su labor?


Informática es especialista en diferentes áreas

de la red?

11. ¿Tiene muchos años laborando aquí?

12. ¿Han recibido capacitaciones en el último año?INFRAESTRUCTURA DE LA RED

13. ¿El personal revisa la infraestructura de la red?

14. ¿En el último año se han revisado toda la

infraestructura de la red?




Página 15

PREGUNTAS SI NO N/A OBSERVACIONES

15. ¿Existe un plan de infraestructura de redes?

16. ¿En alguna ocasión se ha generado algún

problema dentro de la infraestructura de lared?

17. ¿Considera usted que la infraestructura de la

red se encuentra en buenas condiciones?

18. ¿En alguna ocasión se ha generado

problemas con la conexión del internet?

19. ¿Usa protocolos?

20. ¿Tiene la Universidad contratado unespecialista en redes?

21. ¿La administración de redes implementa una

política en base a la tecnología de red?

22. ¿Esta política es acorde con el plan de

calidad de la organización?

23. ¿Existe un inventario de equipos y software

asociados a las redes?

24. ¿Existe un plan que permite modificar en

forma oportuna a largo plazo la tecnología

de redes, teniendo en cuenta los posibles

cambios tecnológicos o en la institución?

25. ¿ Están establecidos controles especiales

para salvaguardar la confidencialidad e

integridad del procesamiento de los datos

que pasan a través de redes públicas, y

para proteger los sistemas conectados?

26. ¿Existen controles y procedimientos de

gestión para proteger el acceso a las

conexiones y servicios de red?

27. ¿Existe una topología de red estandarizada?




Página 16

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS A LA SEGURIDAD

28. ¿Existen algunas restricciones para los

usuarios?

29. ¿Identifica el tipo de amenaza que afecta los

recursos de la red?

30. ¿Usted clasifica los riesgos por nivel de

importancia y gravedad de la perdida?

31. ¿Le han dado clave para ingresar al sistema?

32. ¿Existen limitantes para el acceso a

internet?

33. ¿Se han adoptado medidas de seguridad

en el departamento de sistemas de

información?

34. ¿Existe una persona responsable de la

seguridad?

35. ¿Existe una clara definición de funciones

entre los puestos clave?

36. ¿Se permite el acceso a la red por

personal no autorizado?

37. ¿Existen medidas de seguridad física?

38. ¿Existe un programa de mantenimiento

para la red?

39. ¿Se lleva a cabo tal programa?

40. ¿Existe protección ante algún robo?

41. ¿Existen medidas de seguridad respecto a

copias ilegales?

42. ¿Utilizan antivirus o alguna otra medida para

la protección de la información?




Página 17

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL OUTSOURCING

43. ¿Existe un contrato para el servicio de

internet?

44. ¿El contrato contempla cláusulas de servicio,

seguridad, costo, tipo de servicio y todos los

detalles inherentes a la prestación del

servicio?

45. ¿Dentro del contrato se establece ANS?

46. ¿Existen penalizaciones dentro del contrato?

47. ¿Tiene conocimiento de lo que es un Plan de

Retorno?

48. ¿Existe un plan de retorno en caso de que el

proveedor no cubra las necesidades del

servicio?

49. ¿Existe un análisis previo para el contrato de

servicio de internet que cubra las

necesidades de la institución?

50. ¿El departamento de unidad informática es el

encargado de efectuar la contratación del

servicio de internet?

51. ¿Ofrece calidad en el servicio la empresa

proveedora?

52. ¿La empresa proveedora ofrece una ventaja

económica para la universidad?

53. ¿La infraestructura de la red es la adecuada

para la prestación del servicio outsourcing?

54. ¿La administración y control de la red se

acoplan a la prestación de servicios

outsourcing?




Página 18


55. ¿La comunicación entre el proveedor y el

departamento de la unidad informática es

eficiente y eficaz?

56. ¿La empresa proveedora es confiable en

cuanto al servicio que está proporcionando a

la universidad?

57. ¿Se lleva a cabo un seguimiento del

funcionamiento del servicio de internet por

parte de la empresa proveedora?

58. ¿Se realiza periódicamente una evaluación

para determinar que el servicio outsourcingcubra las necesidades de la institución?

59. ¿Se realizan evidencias de los fallos que se

presentan en el servicio de internet?

60. ¿La empresa outsourcing proporciona equipo

adicional para brindar un buen servicio a la

universidad?

61. ¿Existe una renovación de contrato en

cuanto al servicio de internet?

62. ¿Los usuarios pueden opinar sobre el


63. ¿Se lleva a cabo un seguimiento de estas

sugerencias?

Nombre: ___________________________________________________________

Cargo: _____________________________________________________________




Página 19

ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS

Carrea o Área

La presente encuesta tiene como objetivo evaluar el servicio de internet proporcionado a los alumnos(usuarios) de la Universidad Tecnológica de Huejotzingo, y con ello identificar las deficiencias del mismo.

Contesta y califica en una escala del 1 al 5.

1. Excelente

2. Bueno

3. Regular

4. Deficiente

5. No Cumple

PREGUNTAS 1 2 3 4 5

1. ¿Cómo consideras el servicio de internet?

2. ¿Cuál es su grado de satisfacción general con el servicio?

3. ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico?

4. La página de inicio para obtener acceso a la red es:

5. ¿Cómo califica la conexión del Internet Inalámbrico?

6. ¿Consideras que la seguridad con la que cuenta es?

7. Considera que la cobertura del servicio de Internet Inalámbrico es:

8. ¿Cómo consideras la restricción al acceso a páginas web?

9. La velocidad utilizada en la transmisión de internet la consideras:

10. ¿Cubre tus necesidades académicas?

11. ¿Los tiempos de respuesta son?

12. ¿Cómo calificarías el equipo de cómputo de los laboratorios?

13. ¿Cómo calificas en número de equipos de cómputo existentes?

14. La disponibilidad con la cuentan los laboratorios es:

15. El antivirus con el que cuentan los equipos de cómputo lo consideras:

16. La instalación del cableado lo consideras:




Página 20

Contesta solo sí y no.

PREGUNTAS SI NO COMENTARIO

17. ¿Conoces el departamento de Unidad Informática?

18. ¿Sabes dónde se encuentra?

19. ¿Crees que la ubicación de la unidad informática es de fácil

acceso?

20. ¿Sabes quién es la persona responsable?

21. ¿Conoce el horario del personal responsable de la

administración de la red?

22. ¿Utilizas con frecuencia el servicio de Internet?

23. ¿Requiere una cuenta para acceder a este servicio?

24. ¿Conoce el proceso que se realiza para adquirir dicha cuenta?

25. ¿Conoce los servicios que tiene al adquirir una cuenta para el

acceso a Internet?

26. ¿Tiene conocimiento de las restricciones y privilegios que tiene al

adquirir una cuenta para el acceso a Internet?

27. ¿Solo usted tiene acceso a esta cuenta?

28. Su cuenta siempre está disponible

29. Tiene acceso a cualquier tipo de página web, con la cuenta que

ha adquirido

30. ¿Consideras que el servicio de internet debe estar disponible a

cualquier hora y para cualquier usuario?

31. ¿Existen problemas al conectarse a internet?

32. ¿Los problemas existentes afectan la realización de su trabajo?

33. Si tuvieras alguna queja ¿sabes con quien y donde presentarla?

34. ¿Tienen la suficiente confianza como para presentar su queja

sobre fallas en el acceso de internet?




Página 21

LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING

Acuerdo del Nivel de Servicios en la Adquisición de Internet

Evaluar y calificar el cumplimiento de lossiguientes aspectos:

100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo Nocumple

El nivel de servicio de internet es el requerido

para cubrir con las necesidades de la

institución.

Se identifican políticas que definan acuerdos

del nivel del servicio.

Se cumplen con los acuerdos externos e

internos establecidos en el contrato.

Se encuentran documentados los servicios

prestados a los distintos tipos de usuarios.

Supervisión y control continúa de los

servicios prestados a usuarios.

Se consideran la participación de los

usuarios en cuanto al nivel del servicio

percibido por los mismos.

Se encuentran definidos los derechos y

responsabilidades de tanto a usuarios como

personal administrativo.

Se encuentran definidos los servicios que

deben percibir los usuarios y administrativos.

Existe la evidencia de los problemas que se

presentan en cuanto a la prestación del

servicio.

Se establecen las funciones para cada rol en

el área de unidad informática.

Se tienen establecidos los modelos de

elaboración para la percepción de servicios.

El contrato puede replantearse para mejoras

de recepción de servicio.




Página 22


100% 80% 60% 40% 20%

Excelente Bueno Regular MínimoNo

cumple

Se tienen modelos de evaluación para la

obtención de la calidad de los servicios de

internet.

Se identificaron medidas encaminadas al

funcionamiento de las normas.

Verificación de los Componentes para el Servicio de Internet


100% 80% 60% 40% 20%


El objetivo de la red cumple con loestablecido para brindar un buen servicio.

Las características de la Red para el servicio

de internet son:

Los componentes físicos de la red cumplen

con las características para brindar servicio

de internet.

La conectividad y las comunicaciones de la

red son adecuadas para el servicio de

internet.

El servicio de internet que proporciona y

cubre las expectativas de los usuarios.

Las configuraciones, topologías, tipos y

cobertura de las redes están adecuadas para

el servicio de internet.

Los protocolos de comunicación interna de la

red permiten un servicio de internet.

La administración de la red de Cómputo es

adecuada para el brindar el servicio de

internet.

La seguridad de acceso al servicio de

internet.




Página 23

Evaluación de la Seguridad en el Acceso al Servicio de Internet


100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No

cumple

La distribución del direccionamiento de IP.

Seguridad de direccionamiento de IP.

Se monitorean los atributos de acceso al

servicio de internet.

Los niveles de acceso al servicio de

internet son evaluados.

La administración de contraseñas al servicio

de internet lleva a cabo un proceso de

monitoreo.

El monitoreo en el acceso al servicio de

internet es evaluado.

Las funciones del administrador del

acceso al servicio de internet se evalúan.

Evaluar las medidas preventivas ocorrectivas en caso de siniestros en el

acceso.

Evaluación de la Seguridad en el Acceso al Área Física


100% 80% 60% 40% 20%


Evaluar el acceso restringido de personal al

centro de cómputo.

Evaluar las medidas preventivas o

correctivas en caso de siniestro en el centro

de cómputo.

Analizar las políticas de la instalación en

relación con los accesos al departamento.




Página 24

Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet


100% 80% 60% 40% 20%


cumple

Evaluar el rendimiento y uso del sistema

computacional y de sus periféricos

asociados.

Evaluar la existencia, protección y

periodicidad de los respaldos de bases de

datos, software e información importante

de la institución.

Evaluar la configuración, instalaciones y

seguridad del equipo de cómputo,mobiliario y demás equipos.

Evaluar el rendimiento, aplicación y utilidad

del equipo de cómputo, mobiliario y demás

equipos.

Evaluar la seguridad en el procesamiento

de información.

Evaluación de la Protección de la Información


100% 80% 60% 40% 20%


Medidas preventivas.

Limitación de accesos.

Protección contra robos

Protección ante copias ilegales

Evaluación de la Protección contra Virus Informáticos


100% 80% 60% 40% 20%


Medidas preventivas y correctivas.




Página 25


100% 80% 60% 40% 20%


Uso de vacunas y buscadores de virus.

Protección de archivos, programas e

información.

Evaluación de la Seguridad del Hardware


100% 80% 60% 40% 20%


cumple

Realización de inventarios de hardware,

equipos y periféricos asociados.

Evaluar la configuración del equipo de

cómputo (hardware).


computacional y sus periféricos asociados.

Evaluar el estado físico del hardware,

periféricos y equipos asociados

Evaluación de la Seguridad del Software


100% 80% 60% 40% 20%


cumple

Realización de inventarios de software,

paqueterías y desarrollos empresariales.

Evaluar las licencias permisos y usos de

los sistemas computacionales.

Evaluar el rendimiento y uso del software

de los sistemas computacionales.

Verificar que la instalación del software,

paqueterías y sistemas desarrollados en la

empresa sea la adecuada para cubrir las

necesidades de esta última.




Página 26

PLANILLA DE DECISIONES PRELIMINARES

SOLUTION CORP

NOMBRE DEL CLIENTE: Universidad Tecnológica de Huejotzingo, Departamento de la Unidad Informática

PERÍODO A AUDITAR : 12 de Octubre al 28 de Octubre de 2010

RUBRO ÁREA FACTORES DE RIESGOEVALUACIÓN DE RIESGOS PROCEDIMIENTOS SEGÚN

FACTORES DE RIESGOALCANCE DE LOSPROCEDIMIENTOSINHERENTE CONTROL DETECCIÓN

Hardware

Computadoras y

Periféricos

Asociados

Que haya extravío.

Revisar que el hardware que se

encuentra inventariado como

adquisiciones de la universidad, se

encuentre en el lugar correspondiente.

Se revisará el 100% de

los bienes inventariados

como parte del

hardware.

Que se esté utilizando

con los fines para los

cuales fue adquirido.

Verificar que los diversos componentes

del hardware, estén siendo

aprovechados al máximo y utilizando

como corresponde.

Redes Dispositivos

Que haya extravío.

Revisar que los dispositivos

inventariados como adquisiciones de la

Universidad, se encuentre en el lugar

correspondiente.

Se revisará el 100% de

los bienes inventariados

como parte de

dispositivos de red.

Que se esté utilizando

con los fines para los

cuales fue adquirido.

Verificar que los dispositivos estén

siendo aprovechados al máximo y se

estén utilizando como corresponde.




Página 27



Personal

Personal delDepartamento

de Unidad

Informática

Que los empleados del área

de informática no estén

recibiendo las capacitacionesnecesarias con el propósito

de actualizarlos y se vayan

quedando desactualizados

frente a los nuevos avances

tecnológicos.

Se verificarán los registros que laempresa tiene sobre las respectivas

capacitaciones recibidas por los

empleados del área de informática.

En las revisiones se

verificará si en las

capacitaciones se ha

incluido a todo el personal

del área.

Software

Software para la

administraciónde la red

Los métodos, rutina,

procedimientos y medidas de

seguridad y protección de los

sistemas operativos,

paquetería, y demás software

del sistema no estén

funcionando adecuadamente.

Identificar en cada uno de los

elementos los factores de riesgos,

para mitigarlos.

Mejorar los procedimientos

implementados en la

realización de las

diferentes tareas, para

obtener mayor seguridad

en las aplicaciones.

Que el software usado por la

entidad esté resguardado en

un lugar libre de humedad o

de mucho calor para evitar

que se deteriore y se

convierta en inservible.

Revisar las condiciones del lugar en

que se encuentra resguardado el

software.

La verificación se hará por

una sola vez y con la

autorización del encargado

del departamento.




Página 28



I n s t a l a c i o n e s E l é c t r i c a s

Red Eléctrica

Que los tomas eléctricos no

estén debidamentepolarizados.

Verificar que los tomas a los cuales

se encuentra conectado el equipo

informático estén debidamentepolarizados con el fin de evitar

sobrecargas eléctricas.

Se aplicará al 100% de los

tomas.

Que las instalaciones

eléctricas ya no estén en

óptimas condiciones de uso o

ya sean obsoletas.

Se verificará con la ayuda de un

electricista que las instalaciones

eléctricas cumplan con las

condiciones mínimas de

funcionamiento y que todavía no

sean obsoletas.

Se aplicará a un 15% de

las instalaciones a las que

está conectado el equipo

del sistema informático de

la entidad.

Seguridad

Seguridad

Física

Que los componentes de la

red estén ubicados en un

área que no cumplen con las

condiciones mínimasambientales.

Verificar que los equipos no estén

ubicados muy cerca de espacios

húmedos o que el calor sea mucho.

Se efectuará al 100% de

los computadores.

Seguridad

Lógica

El acceso a usuarios no

válidos.

Verificar que el ingreso a usuarios

sea solo aquellos que estén

registrados.

Robo de información

Verificar que solo el personal

autorizado pueda tener acceso a la

información.




Página 29



Seguridad

Seguridad en la

Operación de

los Dispositivos

Que el equipo esté mal

conectado y en algún

momento pueda originarse en

él un corto circuito u otro

siniestro.

Se verificará que los equipos estén

correctamente conectados y que

sean funcionales.

Se aplicará al 100% de losequipos.

Seguridad en

las

Telecomunicaci

ones

Que el internet se esté

utilizando para fines

personales de los usuarios.

Se verificará si las máquinas se

encuentran en red, si todas tienen

acceso a internet y si se puede

monitorear en algún momento lo

que están haciendo los usuarios.

Se harán los

procedimientos a un 5% de

las máquinas.




Página 30

RECURSOS A UTILIZAR EN LA AUDITORIA

HUMANOSAuditor Senior

Auditor Junior

Auditores auxiliares

Especialista en redes informáticas

MATERIALES

Folders

Lapiceros

Lápiz

Computadoras (Laptop)

Impresiones

TIEMPO

Se espera realizar la auditoría en el departamento de unidad informática, debido a que es donde se

encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet. Dicha auditoria

se llevara en un periodo de 13 días.

PRESUPUESTO PARA LA AUDITORIA

No. RECURSO VALOR POR

HORA VALOR TOTAL

VALOR TOTALRUBRO

HUMANOS

1 Auditor Senior (30 horas hombre) $ 50.00 $ 1500.00

2 Auditor Junior $ 35.00 $ 800.003 Auditores Auxiliares (2 personas) $ 30.00 $ 400.00

4 Especialista en redes $ 6.25 $ 500.00 TOTAL RUBRO $ 3,200.00

MATERIALES

1 Folders $ 5.00 $ 5.00

2 Lápiz $ 3.00 $ 3.00

4 Lapiceros $ 2.00 $ 2.00

5 Computadoras (Laptop) $ 100.00 $ 100.00

6 Impresiones $ 1.00 $ 50.00

TOTAL RUBRO $ 160.00

TOTAL GENERAL $ 3,360.00



AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzin

Página 31

CRONOGRAMA DE ACTIVIDADES

SERVICIO DE INTERNET DE LA

UNIVERSIDAD TECNOLÓGICA DE HUEJOTZINGO

No. ACTIVIDAD O TAREA RESPONSABLES

OCTUBRE

1 2

1 3

1 4

1 5

1 8

1 9

2 0

2 1

2 2

2 5

2 6

2 7

1 Elaboración del Plan de Auditoría. Auditor Senior

2 Elaboración de Cuestionario de Control Interno. Auditor Junior

3 Visita al encargado de control interno paracontestar el cuestionario.

Auditor Auxiliar

Especialista en Redes

4 Evaluación de la auditoria del control interno. Auditor Auxiliar

5 Desarrollo del Informe de Auditoría. Auditor Senior, Auditor Auxiliar

6 Recomendaciones de la auditoria. Auditor Auxiliar, Especialista en Redes

7 Entrega de resultados de la auditoria. Auditor Senior

PUESTO NOMBRE DE LA PERSONA

Auditor Senior TSU Areli Rojano Calixto Auditor Junior TSU María Esther Galicia Xochitemol

Auditor Auxiliar TSU Angélica Cortes Cuahutencos

Especialista en Redes TSU Carina Cuautle Ramos

Auditor Auxiliar TSU Guadalupe Jiménez Martínez




Página 32

PESO PORCENTUAL DE CADA ÁREA A EVALUAR

No. ÁREA A EVALUAR PONDERACIÓN

DEPARTAMENTO DE UNIDAD INFORMÁTICA

1. Laboratorios de computo 1%

2. Políticas de seguridad (Estándares) 2%

3. Infraestructura (localización del cableado) 2%

4. Encriptación 2%

5. Protocolos de comunicación 2%

6. Restricción en el uso del Internet 10%

7. Seguridad del Personal del departamento de Unidad Informática 3%

8. Usuarios del sistema informático (Para cuantas personas es la red inalámbrica)capacidad de la red

2%

9. Seguridad de Aplicaciones. 4%

10. Seguridad física de los sistemas informáticos y ambiental 4%

11. Seguridad lógica del sistema 4%

12. Seguridad de la información y las bases de datos 4%

13. Seguridad en el acceso y uso del software 4%

14. Seguridad en la operación del hardware 4%

15. Seguridad en la Red inalámbrica 4%

16. Seguridad de Sistema Operativo 2%

17. Seguridad de Base de Datos. 4%

18. Seguridad de cumplimiento de normas y estándares. 3%

19.Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los

elementos, tanto redes como terminales.4%

20. Seguridad de Comunicaciones y operaciones 4%

21. Monitoreo de eventos y alarmas 2%

FINANZAS

22. Clasificación y control de recursos 2%

23. Plan de continuidad del negocio 2%

24. Cumplimiento de normatividad legal 25%

TOTAL 100%

http://www.monografias.com/Computacion/Internet/





Página 33

REFERENCIAS DE AUDITORÍA

REFERENCIAS DE

AUDITORÍADESCRIPCIÓN DE LA MARCA

A Laboratorios de computo

B Políticas de seguridad (Estándares)

C Infraestructura (localización del cableado)

D Encriptación

E Protocolos de comunicación

F Restricción en el uso del Internet

G Seguridad del Personal del departamento de Unidad informática

H Usuarios del sistema informático (Para cuantas personas es la red inalámbrica)capacidad de la red

I Seguridad de Aplicaciones.

J Seguridad física de los sistemas informáticos y ambiental

K Seguridad lógica del sistema

L Seguridad de la información y las bases de datos

M Seguridad en el acceso y uso del software

N Seguridad en la operación del hardware

O Seguridad en la Red inalámbrica

P Seguridad de Sistema Operativo

Q Seguridad de Base de Datos.

R Seguridad de cumplimiento de normas y estándares.

SSistemas de seguridad (de equipos y de sistemas, incluyendo todos los

elementos, tanto redes como terminales.

T Seguridad de Comunicaciones y operaciones

U Monitoreo de eventos y alarmas

V Clasificación y control de recursos

W Plan de continuidad del negocio

X Cumplimiento de normatividad legal






Página 34

MARCAS DE AUDITORÍA

MARCAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA

₤ Obtenido por el encargado del departamento

∫ Obtenido de otros documentos

∆ Obtenido de terceros

¥ Obtenido de empleados del área de informática

ℓ Cotejado con el inventario

£ Verificado por el auditor

₣ Verificado por el Técnico en Redes

METODOLOGÍA Y PROCEDIMIENTOS

El análisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de

Huejotzingo, a través de lo siguiente:

1. En primer lugar se visitará al cliente, en el lugar donde se realizará la auditoria, para identificar la

magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en

administración e infraestructura de la red, quienes brindan el servicio de internet a usuario de la

institución.

2. Se elaborará un plan de auditoría sobre el servicio de internet que brinda la institución, para identificar

las posibles áreas que presenten riesgos dentro de la organización y que afecten el servicio de internet.

Además se elaborara el cuestionario para la evaluación de servicios de internet, con el cual se buscará

recabar información, que nos ayude a identificar riesgos, vulnerabilidades que puedan presentarse en

algunas de las áreas a evaluar.

3. Se llevará a cabo la evaluación de servicio de internet que existe en la institución, en el lugar de trabajo

con el propósito de solicitar al personal involucrado, que respondan el cuestionario.

4. Con los resultados obtenidos de la evaluación del servicio de internet, se elaborará una planilla de

decisiones preliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunosprocedimientos que serán necesario realizar.

5. Se visitará los centros de trabajo para realizar los procedimientos de auditoría necesarios, con el fin de

obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría.

6. Se analizarán los datos, y se elaborará el informe de auditoría que será presentado al cliente.




Página 35

MÉTODOS DE PRUEBA

Se solicitará a los auditores que desarrollen los procedimientos expresados en el plan de auditoría. En

ellos se verificará que los auditores contratados para las diferentes áreas pongan a prueba los servicios de

internet brindados por la institución, realizando operación que verifiquen la que la administración de la red, asícomo también la infraestructura física y lógica de la red.

A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el

servicio de internet. Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.

Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar

que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su vulnerabilidad

Se tratará desde una computadora, accesar a otras que no se debiera tener acceso con el fin de verificar su

vulnerabilidad.

SITUACIONES ALTERNAS

En el caso de que todos los equipos estén constantemente ocupados, se buscará la forma de que se

autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan

realizar fuera de la jornada laboral, con el propósito de no entorpecer las labores cotidianas.

En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificará si existe

alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.

En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan

contratado, se les pedirá que nombren a una persona, de preferencia del área de informática para que, dé fe

del trabajo que se está realizando y se mantenga la transparencia.

ASIGNACIÓN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA

Las laptop de nuestra empresa, serán asignadas a los dos auditores, senior de nuestra empresa para

que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de los aspectos

importantes, así como el registro de la evidencia en su orden. También servirá para el análisis de los resultados

y la elaboración del informe de auditoría.

La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en manos

del auditor senior TSU. Areli Rojano Calixto, quien será responsable de su custodia.



Desarrollo




Página 37

CUESTIONARIO DE CONTROL INTERNO

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA

1. ¿Existe dentro de la Universidad un área de

Unidad Informática? xPero internamente se

conoce como Centro de TI

SI LA RESPUESTA FUE SI:

2. ¿Existe una persona nombrada como

responsable de administrar las redes?x

Lic. OLaff Hernández

Juárez IT Manager

3. ¿Existe un área o alguien a quién le rinden

cuentas de su gestión?x

Dir. de Administración de

Finanzas Ernesto Aguirre

4. ¿Está identificada dicha área dentro del

organigrama general de la empresa?x

5. ¿Se tiene un organigrama específico? x

6. ¿Hay un manual de organización y funciones

aplicables a dicha área?x

7. ¿Existen procedimientos de contratación, para

el personal de este departamento?x Recursos Humanos

8. ¿Están delimitadas las funciones de cada

integrante del área Unidad Informática?x Verbalmente


Informática conoce la persona ante la que

tiene que rendir cuentas de su labor?

x Verbalmente


Informática es especialista en diferentes áreas

de la red?

xMantenimiento, redes

telefonía

11. ¿Tiene muchos años laborando aquí? x 7 años

12. ¿Han recibido capacitaciones en el último año? x No enfocadas al áreaINFRAESTRUCTURA DE LA RED

13. ¿El personal revisa la infraestructura de la red? x 2 veces al año

14. ¿En el último año se han revisado toda la

infraestructura de la red?x Junio, realizan evidencias




Página 38


15. ¿Existe un plan de infraestructura de redes? x Planeación

16. ¿En alguna ocasión se ha generado algún

problema dentro de la infraestructura de lared?

x

Saturación de servicios

(daños en el cableado) yataques a la red

17. ¿Considera usted que la infraestructura de la

red se encuentra en buenas condiciones?x No son optimas

18. ¿En alguna ocasión se ha generado

problemas con la conexión del internet?x

Daños locales (85%) y del

proveedor (15%) Anual

19. ¿Usa protocolos? x TCP/IP, HTTP, HTTPS FTP

20. ¿Tiene la Universidad contratado unespecialista en redes?

Ingeniero en Sistemas, TSUen Informática

21. ¿La administración de redes implementa una

política en base a la tecnología de red?x

Políticas de Seguridad y de

Administración

22. ¿Esta política es acorde con el plan de

calidad de la organización?x

23. ¿Existe un inventario de equipos y software

asociados a las redes?x

Área de recursos

Materiales

24. ¿Existe un plan que permite modificar en

forma oportuna a largo plazo la tecnología

de redes, teniendo en cuenta los posibles

cambios tecnológicos o en la institución?

x Plan de Mantenimiento

25. ¿ Están establecidos controles especiales

para salvaguardar la confidencialidad e

integridad del procesamiento de los datos

que pasan a través de redes públicas, y

para proteger los sistemas conectados?

x

Control de acceso al sitio,

contraseñas en servidores,

Distribución Lógica

26. ¿Existen controles y procedimientos de

gestión para proteger el acceso a las

conexiones y servicios de red?

x Verbalmente

27. ¿Existe una topología de red estandarizada? x Estrella




Página 39

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS A LA SEGURIDAD

28. ¿Existen algunas restricciones para los

usuarios?x Firewall, acceso y filtrado

29. ¿Identifica el t ipo de amenaza que afecta los

recursos de la red?x Análisis lógico y físico

30. ¿Usted clasifica los riesgos por nivel de

importancia y gravedad de la perdida?x Prioridad

31. ¿Le han dado clave para ingresar al sistema? x

32. ¿Existen limitantes para el acceso a internet? xAncho de banda y

Servicios

33. ¿Se han adoptado medidas de seguridad

en el departamento de sistemas de

información?

xSeñalética, Seguridad

Física y lógica

34. ¿Existe una persona responsable de la

seguridad?x

Personal perteneciente a la

Unidad Informática

35. ¿Existe una clara definición de funciones

entre los puestos clave?x

36. ¿Se permite el acceso a la red porpersonal no autorizado?

x

37. ¿Existen medidas de seguridad física? x

38. ¿Existe un programa de mantenimiento

para la red?x

Cada año y se aplica dos

veces.

39. ¿Se lleva a cabo tal programa? x

40. ¿Existe protección ante algún robo? x

41. ¿Existen medidas de seguridad respecto a

copias ilegales?x

42. ¿Utilizan antivirus o alguna otra medida para

la protección de la información?x Firewall




Página 40

PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL OUTSOURCING

43. ¿Existe un contrato para el servicio de

internet?x

Contratos anuales. Gemtel

proveedor actual

44. ¿El contrato contempla cláusulas de servicio,

seguridad, costo, tipo de servicio y todos los

detalles inherentes a la prestación del

servicio?

x

45. ¿Dentro del contrato se establece ANS? x

46. ¿Existen penalizaciones dentro del contrato? xPor cada día sin servicio

se gratifica 5% mensual

47. ¿Tiene conocimiento de lo que es un Plan deRetorno?

x Cheques cruzados 20% ypenalizaciones

48. ¿Existe un plan de retorno en caso de que el

proveedor no cubra las necesidades del

servicio?

x

49. ¿Existe un análisis previo para el contrato de

servicio de internet que cubra las

necesidades de la institución?

x Materiales

50. ¿El departamento de unidad informática es el

encargado de efectuar la contratación del


xSolo sugiere o realiza una

petición

51. ¿Ofrece calidad en el servicio la empresa

proveedora?x

Tiempos de Respuesta,

Disponibilidad

52. ¿La empresa proveedora ofrece una ventaja

económica para la universidad?x Economía

53. ¿La infraestructura de la red es la adecuadapara la prestación del servicio outsourcing?

x

54. ¿La administración y control de la red se

acoplan a la prestación de servicios

outsourcing?

x




Página 41


55. ¿La comunicación entre el proveedor y el

departamento de la unidad informática es

eficiente y eficaz?

x

No siempre es eficaz. Olaff

tiene comunicación con el

proveedor

56. ¿La empresa proveedora es confiable en

cuanto al servicio que está proporcionando a

la universidad?

x Hace 2 años

57. ¿Se lleva a cabo un seguimiento del

funcionamiento del servicio de internet por

parte de la empresa proveedora?

xCada 3 meses y si no se

anota en un ticket

58. ¿Se realiza periódicamente una evaluación

para determinar que el servicio outsourcingcubra las necesidades de la institución?

x Cada 3 meses

59. ¿Se realizan evidencias de los fallos que se

presentan en el servicio de internet?x

Ticket soporte externo y

reporte escrito cuando el

proveedor interviene

60. ¿La empresa outsourcing proporciona equipo

adicional para brindar un buen servicio a la

universidad?

x Antenas de recepción

61. ¿Existe una renovación de contrato en

cuanto al servicio de internet?x Anualmente

62. ¿Los usuarios pueden opinar sobre el

servicio de internet?x

Buzón de quejas, solo los

que son importantes

63. ¿Se lleva a cabo un seguimiento de estas

sugerencias?x

Nombre: Lic. Olaff Hernández Juárez

Cargo: Manager IT- Administrador de TI




Página 42

LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING

Acuerdo del Nivel de Servicios en la Adquisición de Internet


100% 80% 60% 40% 20%


El nivel de servicio de internet es el requerido

para cubrir con las necesidades de la

institución.

X

Se identifican políticas que definan acuerdos

del nivel del servicio.X

Se cumplen con los acuerdos externos e

internos establecidos en el contrato.X

Se encuentran documentados los servicios

prestados a los distintos tipos de usuarios.X

Supervisión y control continúa de los

servicios prestados a usuarios.X

Se consideran la participación de los

usuarios en cuanto al nivel del servicio

percibido por los mismos.

X

Se encuentran definidos los derechos y

responsabilidades de tanto a usuarios como

personal administrativo.

X

Se encuentran definidos los servicios que

deben percibir los usuarios y administrativos.X

Existe la evidencia de los problemas que se

presentan en cuanto a la prestación del

servicio.

X

Se establecen las funciones para cada rol en

el área de unidad informática. X

Se tienen establecidos los modelos de

elaboración para la percepción de servicios.X

El contrato puede replantearse para mejoras

de recepción de servicio.X




Página 43


100% 80% 60% 40% 20%


cumple

Se tienen modelos de evaluación para la

obtención de la calidad de los servicios de

internet.

X

Se identificaron medidas encaminadas al

funcionamiento de las normas.X

Verificación de los Componentes para el Servicio de Internet


100% 80% 60% 40% 20%


El objetivo de la red cumple con loestablecido para brindar un buen servicio.

X

Las características de la Red para el servicio

de internet son:X

Los componentes físicos de la red cumplen

con las características para brindar servicio

de internet.

X

La conectividad y las comunicaciones de la

red son adecuadas para el servicio de

internet.

X

El servicio de internet que proporciona y

cubre las expectativas de los usuarios.X

Las configuraciones, topologías, tipos y

cobertura de las redes están adecuadas para

el servicio de internet.

X

Los protocolos de comunicación interna de la

red permiten un servicio de internet.X

La administración de la red de Cómputo es

adecuada para el brindar el servicio de

internet.

X

La seguridad de acceso al servicio de

internet.X




Página 44

Evaluación de la Seguridad en el Acceso al Servicio de Internet


100% 80% 60% 40% 20%

Excelente Bueno Regular Mínimo No

cumple

La distribución del direccionamiento de IP1. X

Seguridad de direccionamiento de IP. X

Se monitorean los atributos de acceso al

servicio de internet.X

Los niveles de acceso al servicio de

internet son evaluados.X

La administración de contraseñas al servicio

de internet lleva a cabo un proceso de

monitoreo.

X

El monitoreo en el acceso al servicio de

internet es evaluado.X

Las funciones del administrador del

acceso al servicio de internet se evalúan.X

Evaluación de la Seguridad en el Acceso al Área Física


100% 80% 60% 40% 20%


Evaluar el acceso restringido de personal al

centro de cómputo.X

Evaluar las medidas preventivas o

correctivas en caso de siniestro en el centro

de cómputo.

X

Analizar las políticas de la instalación en

relación con los accesos al departamento.X

1 Se realiza mediante la implementación de un software, el cual también apoya en la administración deservicios.




Página 45

Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet


100% 80% 60% 40% 20%


cumple


computacional y de sus periféricos

asociados.

X

Evaluar la existencia, protección y

periodicidad de los respaldos de bases de

datos, software e información importante

de la institución.

X

Evaluar la configuración, instalaciones y

seguridad del equipo de cómputo,mobiliario y demás equipos.

X

Evaluar el rendimiento, aplicación y utilidad

del equipo de cómputo, mobiliario y demás

equipos.

X

Evaluar la seguridad en el procesamiento

de información.X

Evaluación de la Protección de la Información


100% 80% 60% 40% 20%


Medidas preventivas. X

Limitación de accesos. X

Protección contra robos X

Protección ante copias ilegales X

Evaluación de la Protección contra Virus Informáticos


100% 80% 60% 40% 20%


Medidas preventivas y correctivas. X




Página 46


100% 80% 60% 40% 20%


Uso de vacunas y buscadores de virus. X

Protección de archivos, programas e

información.X

Evaluación de la Seguridad del Hardware


100% 80% 60% 40% 20%


cumple

Realización de inventarios de hardware,

equipos y periféricos asociados.X

Evaluar la configuración del equipo de

cómputo (hardware).X


computacional y sus periféricos asociados.X

Evaluar el estado físico del hardware,

periféricos y equipos asociadosX

Evaluación de la Seguridad del Software


100% 80% 60% 40% 20%


cumple

Realización de inventarios de software,

paqueterías y desarrollos empresariales.X

Evaluar las licencias permisos y usos de

los sistemas computacionales.X

Evaluar el rendimiento y uso del software

de los sistemas computacionales.

X

Verificar que la instalación del software,

paqueterías y sistemas desarrollados en la

empresa sea la adecuada para cubrir las

necesidades de esta última.

X




Página 47

REPORTE DE HALLAZGOS

De acuerdo al checklist, y el cuestionario de control interno aplicado al Lic. Olaff Hernández Juárez IT

Manager del Departamento de Unidad Informática, se determinó que el servicio de internet proporcionado por

la empresa Gemtel a la Universidad Tecnológica de Huejotzingo, carece de los siguientes elementos:

REPORTE DE AUDITORIA OUTSOURCING

Auditoria Número: 01 Fecha de AuditoríaDel 12 a 28 de Octubre

de 2010

Fecha de Elaboración

del Reporte:22 de Octubre de 2010

Fecha de Reunión de

Apertura:12 de Octubre de 2010

No. De Resultados: 110 Fecha de Cierre: 28 de Octubre de 2010

ÁREA AUDITADAS PROCESOS AUDITADOS

Departamento de Unidad Informática Servicio Outsourcing

Finanzas Servicios Outsourcing

HALLAZGOS

FOLIO

DESCRIPCIÓN DE LA NO CONFORMIDAD

Especificar: Requerimientos (R), Incumplimiento (I),

Evidencia (E)

COBIT

v4.1

ITIL

v3

NO CONFORMIDAD

MAYOR MENOR


01

R. El departamento de Unidad Informática no se encuentra en

el organigrama de la Institución, lo que ocasiona que dicha

área sea desconocida.

PO X

02

R. El departamento de Unidad Informática es controlado por

del Área de Administración de Finanzas, el cual no estácompletamente relacionada con dicho departamento, ya que

dichas áreas son totalmente distintas.

PO X

03

R. Internamente en el departamento no existe un organigrama

que indique los puestos del personal perteneciente a dicha

área y por lo tanto también carece de un Manual de

Organización y Funciones.

PO X




Página 48

FOLIO



Evidencia (E)

COBIT

v4.1

ITIL

v3

NO CONFORMIDAD

MAYOR MENOR

04

R. Las funciones de cada integrante del área de Unidad

Informática están especificadas, sin embargo no existe un

documento que sustente dichas funciones ya que estas se

establecieron verbalmente.

PO X

05

R. El personal de Unidad Informática recibe capacitación 2

veces al año si embargo dichas capacitaciones no están

enfocadas a la función que ellos desempeñan en la


PO X

INFRAESTRUCTURA DE LA RED

06 E. No existe un Plan de Infraestructura de Redes. PO X

07

R., I. La infraestructura de red se encuentra en buenas

condiciones sin embargo no son óptimas para que se

establezca un buen servicio de internet a los usuarios.

PO ICT X

SEGURIDAD

08

R. La mayoría de los problemas ocasionados en la conexión a

Internet son daños locales, es decir originados en la

universidad.

ICT X

09

E. Los controles y procedimientos que protegen el acceso a

conexiones y servicios de red se establecieron verbalmente, es

decir, no existe algún documento que sustente dichos controles

y procedimientos.

PO X

10

R. Una de las limitantes para el acceso de internet es el ancho

de banda, debido que la Universidad Tecnológica no cuenta

con el ancho de banda suficiente para que el servicio de

internet cumpla las necesidades del usuario.

ES X

11

R. Los componentes físicos de la red no cubren todas las

características de la red debido a que estos son adquiridos por

que ofrecen una ventaja económica.

AI X

SERVICIO OUTSOURCING

12R, I. No existe una comunicación eficaz entre el proveedor de

servicios y la Universidad Tecnológica de Huejotzingo.PO X




Página 49

FOLIO



Evidencia (E)

COBIT

v4.1

ITIL

v3

NO CONFORMIDAD

MAYOR MENOR

13

R. Gemtel es una empresa dedicada a redes inalámbricas,

hosting, internet de alta velocidad y acceso remoto dial up;

dicha empresa tiene 4 años ofreciendo el servicio a la

Universidad Tecnológica de Huejotzingo, sin embargo es

confiable desde hace dos años, debido a que mejoro el servicio

ofrecido a la universidad.

DS X

MARCO DE REFERENCIA A COBIT v4.1:

Planear y Organizar (PO)Adquirir e Implementar (AI)

Entregar y Dar Soporte (DS)

Monitorear y Evaluar (ME)

MARCO DE REFERENCIA A ITIL v3:

Soporte de Servicio (SS)

Entrega de Servicio (ES)

Planes para Implantar la Gestión del Servicio (PIGS)

Gestión de la Infraestructura y Comunicaciones de TI ( ICT)Gestión de las Aplicaciones (GA)

Perspectiva de Negocio (PN)

Seguridad (S)




Página 50

RESULTADOS DE LAS ENCUESTAS

Se llevó a cabo la aplicación de encuestas a los usuarios del servicio outsourcing, los cuales son

clasificados de la siguiente manera:

Administrativos (Servicios Escolares, Biblioteca).

Profesores de Tiempo Completo (PTC) y Profesores de Asignatura (PA).

Laboratoristas.

Alumnos.

Contemplando que se cuenta con una población aproximada de 2000 usuarios que reciben el servicio deinternet, la empresa Solution Corp decidió encuestar al 5% de la población total estipulada con anterioridad,

que se distribuye de la siguiente forma:

TIPO DE USUARIOS PORCENTAJE JUSTIFICACIÓN

Administrativos 2%

Se eligió este porcentaje debido a que este tipo de

usuarios recibe un mejor servicio por las funciones que

desempeñan.

PTC y PA 8%

Este tipo de usuarios utiliza el servicio en menor

cantidad, por lo que la afectación que les provoca el

servicio outsourcing tiene menor impacto en el

desarrollo de su actividades.

Laboratoristas 10%

Son los usuarios que proporcionan el servicio de

internet local al alumnado y que por lo tanto conocen

con mayor facilidad las deficiencias que el servicio

presenta.

Alumnos 80%

Debido a que es la población que utiliza con mayor

frecuencia el servicio de internet tanto inalámbrico

como local.




Página 51

Los resultados obtenidos de las encuestas son los siguientes:

EVALUACIÓN DEL SERVICIO DE INTERNET (ALUMNOS)

No. RUBRO

E X C E L E N

T E

B U E N O

R E G U L A

R

D E F I C I E N

T E

N O C

U M P

L E

35. ¿Cómo consideras el servicio de internet? 4 22 32 15 7

36. ¿Cuál es su grado de satisfacción general con el servicio? 2 18 41 17 2

37. ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? 6 21 30 17 6

38. La página de inicio para obtener acceso a la red es: 7 25 27 15 6

39. ¿Cómo califica la conexión del Internet Inalámbrico? 6 18 30 20 6

40. ¿Consideras que la seguridad con la que cuenta es? 3 26 37 11 3

41. Considera que la cobertura del servicio de Internet Inalámbrico es: 4 14 40 18 4

42. ¿Cómo consideras la restricción al acceso a páginas web? 7 24 26 19 4

43. La velocidad utilizada en la transmisión de internet la consideras: 4 18 26 23 9

44. ¿Cubre tus necesidades académicas? 6 29 28 11 6

45. ¿Los tiempos de respuesta son? 4 19 30 20 7

46. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 6 23 25 20 6

Gráfica 1. Evaluación del Servicio de Internet (Alumnos)

0

5

10

15

20

25

30

35

40

45

1 2 3 4 5 6 7 8 9 10 11 12

N o .

R e s u l t a d o s

No. de Rubro

Excelente

Bueno

Regular

Deficiente

No Cumple




Página 52

De acuerdo a los datos estadísticos obtenidos en la siguiente grafica se concluyó que el servicio de

internet proporcionado a los alumnos es regular, es decir, no cubre las necesidades de los usuarios al 100%

sin embrago les permite llevar acabo la realización de sus actividades básicas, tales como la búsqueda de

información a través de la navegación de internet.

EVALUACIÓN DE LABORATORIOS (ALUMNOS)

No. RUBRO

E X C E L E N T E

B U E N O

R E G U L A R

D E F I C I E N T E

N O C

U M P L E

47. ¿Cómo calificas en número de equipos de cómputo existentes? 6 16 35 19 4

48. La disponibilidad con la cuentan los laboratorios es: 5 21 29 23 2

49. El antivirus con el que cuentan los equipos de cómputo lo consideras: 11 14 26 19 10

50. La instalación del cableado lo consideras: 7 21 28 18 6

Gráfica 2. Evaluación de Laboratorios (Alumnos)

Hallar mejoras en laboratorios para brindar un mejor servicio de internet, donde como resultado final se

observa que el usuario logra cubrir la mayoría de sus necesidades con el servicio de internet con el que cuenta

actualmente la institución.

0

5

10

15

20

25

30

35

13 14 15 16

N o .

R e s u l t a d o s

No. Rubro

Excelente

Bueno

Regular

Deficiente

No Cumple




Página 53

EVALUACIÓN DE UNIDAD INFORMÁTICA (ALUMNOS)

No. RUBRO SI NO

51. ¿Conoces el departamento de Unidad Informática? 45 35

52. ¿Sabes dónde se encuentra? 47 33

53. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 39 41

54. ¿Sabes quién es la persona responsable? 32 48

55. ¿Conoce el horario del personal responsable de la administración de la red? 18 62

Gráfica 3. Evaluación de Unidad Informática (Alumnos)

Con el objetivo de identificar si el usuario conoce el área Cetro de TI, para cualquier duda o fallo en el

servicio de internet que se le brinda.

EVALUACIÓN DE ACCESO A INTERNET (ALUMNOS)

No. RUBRO SI NO

56. ¿Utilizas con frecuencia el servicio de Internet? 54 26

57. ¿Requiere una cuenta para acceder a este servicio? 49 31

58. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 39 41

59. ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 35 45

0

10

20

30

40

50

60

70

17 18 19 20 21

N o .

d e R e s p u e s t a

No. de Rubro

SI

NO




Página 54

No. RUBRO SI NO

60. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta

para el acceso a Internet?

34 46

61. ¿Solo usted tiene acceso a esta cuenta? 42 38

62. Su cuenta siempre está disponible 30 50

63. Tiene acceso a cualquier tipo de página web, con la cuenta que ha adquirido 30 50

Gráfica 4. Evaluación de Acceso a Internet (Alumnos)

Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contraseña para el

acceso a internet, además de los derechos y obligaciones que adquiera al hacer uso de la misma.

EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS)

No. RUBRO SI NO

64. ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para

cualquier usuario?63 17

65. ¿Existen problemas al conectarse a internet? 57 23

66. ¿Los problemas existentes afectan la realización de su trabajo? 54 26

67. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 25 55

68. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de

internet?43 37

0

10

20

30

40

50

60

22 23 24 25 26 27 28 29

N o .

d e R e s p u e

s t a

No. de Rubro

SI

NO




Página 55

Gráfica 5. Evaluación de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo

haga en el lugar correcto, con la persona correcta.

EVALUACIÓN DEL SERVICIO DE INTERNET (PROFESORES)

No. RUBRO

E X C E L E N T E

B U E N O

R E G U L A R

D E F I C I E N T E

N O C

U M P L E

N / A

1. ¿Cómo consideras el servicio de internet? 0 6 14 7 3 0

2. ¿Cuál es su grado de satisfacción general con el servicio? 1 8 11 9 1 0

3. ¿Cómo califica el proceso para obtener una cuenta de Internet

Inalámbrico?2 11 9 6 0 2

4. La página de inicio para obtener acceso a la red es: 1 11 9 7 2 0

5. ¿Cómo califica la conexión del Internet Inalámbrico? 2 6 11 7 3 1

6. ¿Consideras que la seguridad con la que cuenta es? 0 6 13 7 3 1

7. Considera que la cobertura del servicio de Internet Inalámbrico es: 2 9 9 6 3 1

8. ¿Cómo consideras la restricción al acceso a páginas web? 3 9 8 5 5 0

9. La velocidad utilizada en la transmisión de internet la consideras: 1 7 8 9 4 1

10. ¿Cubre tus necesidades académicas? 1 9 12 6 2 0

0

10

20

30

40

50

60

70

30 31 32 33 34

N o .

d e R e s p u e s t a

No. de Rubro

SI

NO




Página 56

No. RUBRO

E X

C E L E N T E

B U E N O

R

E G U L A R

D E F I C I E N T E

N O C

U M P L E

N / A

11. ¿Los tiempos de respuesta son? 0 8 14 7 1 0

12. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 1 10 11 5 1 2

Gráfica 6. Evaluación del Servicio de Internet (Alumnos)

Con el objetivo de conocer el grado de satisfacción que tienen los profesores en cuanto al servicio de

internet, donde se logra observar que el nivel de satisfacción es regular.

EVALUACIÓN DE LABORATORIOS (ALUMNOS)

No. RUBRO

E X C E L E N

T E

B U E N O

R E G U L A

R

D E F I C I E N

T E

N O C

U M P

L E

N / A

13. ¿Cómo calificas en número de equipos de cómputo existentes? 2 7 11 10 0 0

14. La disponibilidad con la cuentan los laboratorios es: 2 8 14 4 0 2

0

2

4

6

8

10

12

14

1 2 3 4 5 6 7 8 9 10 11 12

N o .

d e R e s p u e s t a s

No. de Rubro

Excelente

Bueno

Regular

Deficiente

No Cumple

No Aplica




Página 57

No. RUBRO

E X

C E L E N T E

B U E N O

R

E G U L A R

D E

F I C I E N T E

N O

C U M P L E

N / A

15. El antivirus con el que cuentan los equipos de cómputo lo consideras: 2 4 12 8 4 0

16. La instalación del cableado lo consideras: 3 8 11 7 1 0

Gráfica 7. Evaluación de Laboratorios (Profesores)

Obtener el grado de satisfacción que tienen los laboratoristas en cuando el servicio de internet, el cual se

observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfacción.

EVALUACIÓN DE UNIDAD INFORMÁTICA (PROFESORES)

No. RUBRO SI NO ALGUNASVECES

N/A

17. ¿Conoces el departamento de Unidad Informática? 28 2 0 0

18. ¿Sabes dónde se encuentra? 27 3 0 0

19. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 24 6 0 0

20. ¿Sabes quién es la persona responsable? 27 3 0 0

21. ¿Conoce el horario del personal responsable de la administración de la

red?21 9 0 0

0

2

4

6

8

10

12

14

13 14 15 16

N o .

d e R e s p u e s t a s

No. de Rubro

Excelente

Bueno

Regular

Deficiente

No Cumple

No Aplica




Página 58

Gráfica 8. Evaluación de Unidad Informática (Profesores)

Con el objetivo de identificar si el profesor conoce el área Cetro de TI, para cualquier duda o fallo en el

servicio de internet que se le brinda.

EVALUACIÓN DE ACCESO A INTERNET (PROFESORES)

No. RUBRO SI NO ALGUNASVECES

N/A

22. ¿Utilizas con frecuencia el servicio de Internet? 28 2 0 0

23. ¿Requiere una cuenta para acceder a este servicio? 21 8 0 1

24. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 21 7 0 2

25. ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a

Internet?20 8 0 2

26. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir

una cuenta para el acceso a Internet?13 15 0 2

27. ¿Solo usted tiene acceso a esta cuenta? 19 8 0 3

28. Su cuenta siempre está disponible 17 10 0 3

29. Tiene acceso a cualquier tipo de página web, con la cuenta que ha

adquirido14 13 0 3

0

5

10

15

20

25

30

17 18 19 20 21

N o .

d e R e s p u e s

t a s

No. de Rubro

SI

NO

Algunas

Veces

NA




Página 59

Gráfica 9. Evaluación de Acceso a Internet (Profesores)

Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contraseña para

el acceso a internet, además de los derechos y obligaciones que adquiera al hacer uso de la misma.

EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES)

No. RUBRO SI NOALGUNAS

VECESN/A

30. ¿Consideras que el servicio de internet debe estar disponible a cualquier

hora y para cualquier usuario? 23 7 0 0

31. ¿Existen problemas al conectarse a internet? 25 3 1 1

32. ¿Los problemas existentes afectan la realización de su trabajo? 21 8 1 0

33. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 23 7 0 0

34. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas

en el acceso de internet?22 8 0 0

0

5

10

15

20

25

30

22 23 24 25 26 27 28 29

N o .

d e R e s u l t a d o

s

No. de Rubro

SI

NO

Algunas

Veces

NA




Página 60

Gráfica 10. Evaluación de Fallos en el Acceso a Internet (Profesores)

Identificar si el profesor tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo

haga en el lugar correcto, con la persona correcta.

0

5

10

15

20

25

30

35

30 31 32 33 34

N o .

d e R e s u l t a d o s

No. de Rubro

SI

NO

Algunas

Veces

NA



Recomendaciones



Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010

Lic. Karina Gómez Puerto

Universidad Tecnológica Huejotzingo

P R E S E N T E

Me permito informarle a Usted el Informe de Resultados de la auditoría practicada al Servicio

Outsourcing administrado por el departamento de Unidad Informática de la Universidad Tecnológica de

Huejotzingo, que se realizó del 12 al 28 de octubre del presente año.

La revisión realizada fue de carácter integral y comprendió la evaluación, de la estructura organizacional

del departamento, la operación de la red tanto física como lógica, el cumplimiento de las actividades y

funciones asignadas al personal, el estado del hardware y software y la revisión de la gestión informática.

En el citado informe encontrará el dictamen y las condiciones a las cuales se llegaron después de la

aplicación de las técnicas y procedimientos de la auditoría de sistemas.

Quedo a usted para cualquier aclaración al respecto.

____________________________


AUDITOR SENIOR




Página 63

EVALUACIÓN DE UNIDAD INFORMÁTICA APLICANDO MODELO DE MADUREZ PARA LA

ADMINISTRACIÓN Y EL CONTROL DE LOS PROCESOS DE TI

En la actualidad la evaluación de la capacidad de los procesos basada en los Modelos de Madurez deCOBIT2 es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y

controles críticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en

la capacidad. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de

capacidad deseado.

Por la tanto la empresa Solution Corp utilizó el Modelo de Madurez para la Administración y Control de

los procesos de TI para llevar a cabo la evaluación de los procesos del servicio de Internet, el cual es

administrado por el departamento de Unidad Informática perteneciente a la Universidad Tecnológica de

Huejotzingo. Este Modelo Genérico de Madurez de COBIT se compone de los siguientes niveles:

Nivel 0 - No Existente: Carencia completa de cualquier proceso reconocible.

Nivel 1 – Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no

existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma

individual o caso por caso.

Nivel 2 - Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos

similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal

de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de

confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.

Nivel 3 – Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a

través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco

probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las

prácticas existentes.

Nivel 4 – Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar

medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante

mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera

limitada o fragmentada.

Nivel 5 – Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los

resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma

integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la

efectividad, haciendo que la empresa se adapte de manera rápida.

2 El modelo de madurez de COBIT se deriva de CMMI




Página 64

A continuación se presenta el resultado de la evaluación de dichos procesos:

ASPECTOS

RELACIONADOS

AL

NIVELES DEL

MODELO

GENÉRICODE MADUREZ

JUSTIFICACIÓN

Departamento de

Unidad

Informática

Repetible

El departamento de Unidad informática, no cuenta con un manual de

organizacional el cual le impide saber las funciones de trabajo que

deberán llevar a cabo, además de las responsabilidades y

expectativas del puesto; se logra cubrir la gran mayoría de

necesidades de los usuarios en el servicio de internet; existen

procesos que llevan a cabo pero no se tiene un programa o

metodología que permita cumplir con las metas establecidas, el cual

genera incumplimiento en un menor porcentaje, por lo cual requiere

de establecer mejoras en el proceso y de establecer procesos que

sean sometidos a mejora continua para llegar a la Calidad

satisfactoria.

Infraestructura de

la Red Repetible

La Universidad de Tecnológica de Huejotzingo cuenta con una

infraestructura de red no adecuada a las necesidades (no para todos

los edificios), debido a que no existió contemplar la instalación de una

red , ya sea por cableado o inalámbrica, lo que género que sé que se

adecuara una infraestructura red de acuerdo al inmueble existente.Esto ha provocado problemas para un buen servicio de internet. Cabe

mencionar que existen procesos para contra restar anomalías de la

red, porque no se llevan a cabo en un 100%, por ende la satisfacción

del usuario no es cubierta en el servicio de internet.

Seguridad Definido

Existen medidas de seguridad estandarizadas sin embrago en

ocasiones estás medidas pueden ser aplicadas o no por el personal y

por lo tanto ocasionan que el servicio a internet sea más vulnerable.

Outsourcing Administrado

El servicio outsourcing brindado por Gemtel es bueno, sin embargoexisten deficiencias en el mismo debido a que no existe una

comunicación eficaz entre el proveedor y la Universidad. Cabe

mencionar que existe un contrato donde se establecen los

lineamientos del servicio entre el proveedor y la universidad.




Página 65

ASPECTOS

RELACIONADOS

AL

NIVELES DEL

MODELO

GENÉRICO

DE MADUREZ

JUSTIFICACIÓN

Personal Repetible

El departamento de Unidad Informático tiene personal capaz de

responder a las necesidades del área, sin embargo la demanda por

parte de los usuarios no es cubierta al 100%, debido a que no se

cuenta con el personal suficiente para cubrir estas necesidades,

además de que no existe un documento donde se establezcan las

funciones del personal generando deficiencia en el seguimiento de los

procesos.

Instalación

EléctricaRepetible

La instalación eléctrica con la que cuenta la unidad informática seadaptada a las necesidades del área, sin embargo no se cuenta con

un mantenimiento constante a la misma. Cabe mencionar que no es

sometida a un monitoreo o seguimiento, lo que con lleva a que no se

detecten las deficiencias o problemas que puedan presentarse en la

instalación.

Hardware Administrado

El equipo de con el que cuenta la unidad de informática provee un

servicio de internet estable sin embrago existen mejores equipos que

pueden ser implementados para proporcionar un servicio de internet

de alto rendimiento.




Página 66

RECOMENDACIONES

No. DETALLENIVEL

RIESGOREF. INFORME


1

Condición: El departamento de Unidad Informática no se

encuentra en el organigrama de la Institución, lo que ocasiona

que dicha área sea desconocida.

Criterio: PO4.4 Ubicación Organizacional de la Función de TI,

PO4.5 Estructura Organizacional de COBIT v4.1

Causa: Se debe llevar a una reunión donde se establezca la

importancia a contar un Centro de Tecnologías de la

Información.

Efectos: Que no se lleven a cabo procesos en TI más

rigurosos, además desconocer a quien acudir cuando existe

una problemática en la conexión de internet.

Recomendaciones: Contemplar dentro del organigrama el

área de Unidad de Informática haciendo referencia al

responsable de dicha área, con el propósito de que todo a que

requiera servicios en TI sepa a quien dirigirse.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing

2

Condición: El departamento de Unidad Informática es

controlado por del Área de Administración de Finanzas, el cual

no está completamente relacionada con dicho departamento, ya

que dichas áreas son totalmente distintas.

Criterio: PO4.15 Relaciones de COBIT v4.1

Causa: Plantear ante autoridades la necesidad de contemplar

la Unidad de Informática, para darlo a conocer, haciendo

mención de los beneficios que se pueden obtener.

Efectos: Trabajar con las herramientas que se tienen; claro que

esto no impide que se adquiera mejoras en los procesos del

servicio de internet

Recomendaciones: Que la Unidad Informática lleve a cabo

estrategias planteadas (metas) para un mejor servicio al cliente.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 67

No. DETALLENIVEL

RIESGO REF. INFORME

3

Condición: Internamente en el departamento no existe un

organigrama que indique los puestos del personal perteneciente a

dicha área y por lo tanto también carece de un Manual de

Organización y Funciones.

Criterio: Estructura Organizacional de COBIT v4.1, PO4.6

Establecimiento de Roles y Responsabilidades de COBIT v4.1

Causa: Plantear la consideración de la Unidad informática en una

reunión en donde se establezcan las funciones que debe cubrir

dicha área, el cual permita cumplir con las expectativas del servicio

en TI en la universidad.

Efectos: A que el personal no realice funciones con

responsabilidad continua, solo lo haga para resolver problemas que

se ocasionan en el momento.

Recomendaciones: Que aunque no exista como tal el área de

Unidad Informática en el organigrama, que se establezcan un manual

organizacional y las funciones y el perfil que deben cubrir los puestos

en el área de Unidad Informática; el cual haga responsable al

personal de crear nuevas estrategias de trabajo (Plan de trabajo) que

mejoren el servicio.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing

4

Condición: La funciones de cada integrante del área de Unidad

Informática están especificadas, sin embargo no existe un

documento que sustente dichas funciones ya que estas se

establecieron verbalmente.

Criterio: Establecimiento de Roles y Responsabilidades COBIT 4.1

Causa: Reunión para establecer las funciones por escrito para que

responda conforme a lo establecido.

Efectos: No se tiene el interés de realizar actividades (como

monitoreo de la red) de gran importancia que resuelvan o reduzcan

problemas actuales.

Recomendaciones: Análisis de actividades que se deben llevar a

cabo para brindar un buen servicio de internet y establecer un

Manual Organizacional.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 68

No. DETALLENIVEL

RIESGOREF. INFORME

5

Condición: El personal de Unidad Informática recibe

capacitación 2 veces al año si embargo dichas capacitaciones

no están enfocadas a la función que ellos desempeñan en la

Universidad Tecnológica de Huejotzingo.

Criterio: PO4.12 Personal de TI de COBIT v4.1

Causa: Mediante una reunión llegar a un acuerdo en donde se

planteen capacitaciones objetivas al área, para formar personal

competente y la vanguardia.

Efectos: El personal presenta incompetencia al enfrentarse a

situaciones que requieren del conocimiento para resolverlas.

Recomendaciones: Capacitar al personal en temas que se

relacionan al área de trabajo.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicioOutsourcing

INFRAESTRUCTURA DE LA RED

6

Condición: No existe un Plan de Infraestructura de Redes.

Criterio: PO3.2 Plan de Infraestructura Tecnológica, PO3.4

Estándares Tecnológicos de COBIT v4.1

Causa: Programar una reunión con el director para

reestructurar el diseño de red.

Efectos: No existe un buen servicio de red (cableado e

inalámbrico).

Recomendaciones: Replantear un diseño eficiente y eficaz

que cubra con los requerimientos que satisfagan las

necesidades del servicio de red.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 69

No. DETALLENIVEL

RIESGOREF. INFORME

7

Condición: La infraestructura de red se encuentra en buenas

condiciones sin embargo no son óptimas para que se establezca

un buen servicio de internet a los usuarios.

Criterio: PO3.2 Plan de Infraestructura Tecnológica de COBIT

v4.1 y Gestión de la Infraestructura y Comunicaciones de TI de

ITIL v3.

Causa: La Universidad Tecnológica de Huejotzingo no cuenta

con los suficientes recursos económicos para solventar los

gastos de equipo de red más actualizado y que ofrezca mejores

servicios de red.

Efectos: El servicio outsourcing no cubre las necesidades de

los usuarios debido a que el mismo presenta deficiencias. Esto

provoca que las actividades que utilizan dicho servicio se

desarrollen con mayor tiempo y esfuerzo.

Recomendaciones: Debido a que la Universidad no cuenta con

un recurso económico para adquirir equipo sofisticado, será

necesario:

Restringir los servicios que no son de mayor relevancia para

los usuarios, es decir, asignar privilegios en la utilización de

los servicios los cuales deberán ser asignados de acuerdo a

las necesidades que los usuarios presenten, esto hará que el

servicio outsourcing más óptimo.

Establecer un plan de infraestructura de red que equilibre

costos, riesgos y requerimientos.

Definir estándares de Infraestructura de red basados en

requerimientos de arquitectura de información.

ALTA

MEDIA

BAJA

Cuestionariode Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 70

No. DETALLENIVEL

RIESGOREF. INFORME

SEGURIDAD

8

Condición: La mayoría de los problemas ocasionados en la

conexión a Internet son daños locales, es decir originados en la

universidad.

Criterio: Gestión de la Infraestructura y Comunicaciones de TI

de ITIL v3.

Causa: Monitoreo no adecuado de la red, la infraestructura no

es óptima para proveer el servicio y el personal del

departamento no se encuentra siempre que se le requiere lo

que ocasiona que los problemas no se resuelvan en un corto

tiempo.

Efectos: Deficiencias en el servicio de internet tales como:

No realizar actividades relevantes para el usuario:

contestar exámenes en línea, enviar algún trabajo,

búsqueda de información, etc.

Mayor tiempo en la consulta de páginas.

Recomendaciones:

Establecer nuevas estrategias para llevar un monitoreo

optimizado de la red, logrando que los problemas que se

presenten se han corregidos en menor tiempo.

Al establecer un plan de infraestructura de red óptimo nos

brindará mayor control sobre los riesgos que se presentan

en la red.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 71

No. DETALLENIVEL

RIESGO REF. INFORME

9

Condición: Los controles y procedimientos que protegen el

acceso a conexiones y servicios de red se establecieron

verbalmente, es decir, no existe algún documento que sustente

dichos controles y procedimientos.

Criterio: PO4.1 Marco de Trabajo de Procesos de TI COBIT4.1

Causa: El personal que pertenece al departamento de Unidad

Informática es reducido, por lo cual se cree que no es

conveniente establecer un documento de los controles y

procedimientos que protejan el acceso a conexiones y servicios

de red.

Efectos: Al ingresar un nuevo personal, se le dificultará

aprender los controles y procedimientos utilizados, lo cual

provocará que existan deficiencias en su trabaja y un mal

servicio al usuario.

Recomendaciones: Elaborar el documento que establece los

procedimientos y controles.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios deservicio

Outsourcing

10

Condición: Una de las limitantes para el acceso de internet es el

ancho de banda, debido que la Universidad Tecnológica no

cuenta con el ancho de banda suficiente para que el servicio de

internet cumpla las necesidades del usuario.

Criterio: Entrega de Servicio de ITIL v3

Causa: Falta de recursos económicos para adquirir mayor

ancho de banda, deficiencias en la distribución del ancho de

banda.

Efectos: Algunas aplicaciones que requieren el uso de este

servicio tardan en cargar; existen actividades que requieren eluso de más ancho de banda por lo que se suspende el servicio

para los demás usuarios y deficiencias en el servicio.

Recomendaciones: Realizar un análisis que contemple los

requerimientos de los usuarios y con ello distribuir

adecuadamente el ancho de banda. Contemplar la adquisición de

más ancho de banda.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios deservicio

Outsourcing




Página 72

No. DETALLENIVEL

RIESGO REF. INFORME

11

Condición: Los componentes físicos de la red no cubren todas

las características de la red debido a que estos son adquiridos

por que ofrecen una ventaja económica.

Criterio: AI3.1 Plan de Adquisición de Infraestructura

Tecnológica de COBIT v4.1

Causa: Falta de Recursos por parte de la Universidad

Efectos: Infraestructura de red no adecuada provocando

deficiencia en el servicio.

Recomendaciones: Establecer un Plan de Adquisición de

Equipo de red que se alinea con el Plan de Infraestructura deRed, es decir, el plan deberá de satisfacer los requerimientos

funcionales y técnicos del servicio de internet establecidos. El

plan debe considerar extensiones futuras para adiciones de

capacidad, costos de transición, riesgos tecnológicos y vida útil

de la inversión para actualizaciones de tecnología. Evaluar los

costos de complejidad y la viabilidad comercial del proveedor y el

producto al añadir nueva capacidad técnica.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing

SERVICIO OUTSOURCING

12

Condición: No existe una comunicación eficaz entre el

proveedor de servicios y la Universidad Tecnológica de

Huejotzingo.

Criterio: PO4.15 Relaciones de COBIT v4.1

Causa: La comunicación existente entre el proveedor y el

departamento de unidad informática no es continúa, además de

que dicha comunicación no se establece entre el área

responsable de la unidad informática que es el área de

Administración de Finanzas

Efectos: La solución de problemas el servicio de internet será

resuelto en un periodo de tiempo mayor.

Recomendaciones: Establecer y mantener una estructura

óptima de enlace, comunicación y coordinación entre la función

de TI y el proveedor, a través de reuniones cada dos meses.

ALTA

MEDIA

BAJA

Cuestionario

de Control

Interno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing




Página 73

No. DETALLENIVEL

RIESGOREF. INFORME

13

Condición: Gemtel es una empresa dedicada a redes

inalámbricas, hosting, internet de alta velocidad y acceso remoto

dial up, sin embargo es confiable desde hace dos años, debido a

que mejoro el servicio ofrecido a la universidad.

Criterio: DS1 Definir y Administrar los niveles de Servicio

Causa: Establecer la confianza en un proveedor con lleva tiempo

y esfuerzo.

Efectos: El servicio puede presentar deficiencias y problemas

para los usuarios.

Recomendaciones:

Establecer un proceso para monitorear la prestación del

servicio para asegurar que el proveedor está cumpliendo con

los requerimientos del negocio actuales y que se apega de

manera continua a los acuerdos del contrato y a los

convenios de niveles de servicio, y que el desempeño es

competitivo respecto a los proveedores alternativos y a las

condiciones del mercado.

Revisar cada 2 meses con el proveedor, los acuerdos de

niveles de servicio y los contratos de apoyo, para asegurar

que son efectivos, que están actualizados y que se han

tomado en cuenta los cambios en requerimientos.

Contemplar la contratación de otros proveedores que

otorguen las mismas o mejores ventajas que la empresa

establecida actualmente, por medio de una licitación.

ALTA

MEDIA

BAJA

Cuestionario

de ControlInterno

Encuestas

aplicadas a

usuarios de

servicio

Outsourcing



Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010

Lic. Karina Gómez Puerto


P R E S E N T E

Acorde con las instrucciones giradas por el consejo de administración de la Universidad Tecnológica de

Huejotzingo, me permito remitir a usted el dictamen de la auditoría aplicada al Servicio de Internet administrado

por el Departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo, haciendo especial

énfasis en la información sobre la estructura de la organizacional del departamento, Gestión Informática y

Redes, misma que se llevó a cabo del día 12 al 28 de octubre del presente año.

De los resultados obtenidos durante la evaluación me permito informarle a usted las siguientes

observaciones y no conformidades:

De acuerdo con las pruebas realizadas a la información sobre la estructura organizacional de

Departamento de Unidad Informática, Gestión Informática y Redes, me permito dictaminar que la red

inalámbrica que es una no conformidad mayor debido a que no es factible para la mayoría de los usuarios,

porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red.

Cabe mencionar que la Universidad Tecnológica de Huejotzingo tiene muy poco ancho de banda para la

red local, lo cual no es suficiente para los administradores, profesores y alumnos pertenecientes a la

universidad, además de que el encargado del área del departamento de Unidad informática no tiene el

inventario de hardware y estos ocasiona dos no conformidades menores, debido a que pueden ser controladas

y corregidas en muy poco tiempo.

Y por último cabe recordar como una observación que el Departamento de Unidad Informática no se

encuentra en la estructura organizacional de la institución y es administrado por un área que no está

debidamente relacionada con este departamento, además de que el personal perteneciente a este

departamento no es eficaz y eficiente para la solución de los problemas que se presentan en la red.

ATENTAMENTE

____________________________


AUDITOR SENIOR



Anexos

Documents

Auditoria Outsourcing