P. 1
Auditoria Outsourcing

Auditoria Outsourcing

|Views: 3.969|Likes:
Publicado porElizabeth Rojas

More info:

Published by: Elizabeth Rojas on Oct 31, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/18/2013

pdf

text

original

Sections

  • PLANEACIÓN DE LA AUDITORIA OUTSOURCING
  • OBJETIVOS
  • OBJETIVOS GENERALES
  • OBJETIVOS ESPECÍFICOS
  • ESTUDIO DE LA EVALUACIÓN DEL CONTROL INTERNO
  • GESTIÓN ADMINISTRATIVA
  • MÉTODOS APLICABLES PARA SU DOCUMENTACIÓN
  • PLANEACIÓN DETALLADA
  • CUESTIONARIO DE CONTROL INTERNO
  • ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS
  • LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING
  • PLANILLA DE DECISIONES PRELIMINARES
  • RECURSOS A UTILIZAR EN LA AUDITORIA
  • CRONOGRAMA DE ACTIVIDADES
  • PESO PORCENTUAL DE CADA ÁREA A EVALUAR
  • REFERENCIAS DE AUDITORÍA
  • MARCAS DE AUDITORÍA
  • METODOLOGÍA Y PROCEDIMIENTOS
  • MÉTODOS DE PRUEBA
  • SITUACIONES ALTERNAS
  • ASIGNACIÓN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA
  • Desarrollo
  • REPORTE DE HALLAZGOS
  • RESULTADOS DE LAS ENCUESTAS
  • Gráfica 1. Evaluación del Servicio de Internet (Alumnos)
  • Gráfica 2. Evaluación de Laboratorios (Alumnos)
  • Gráfica 3. Evaluación de Unidad Informática (Alumnos)
  • Gráfica 4. Evaluación de Acceso a Internet (Alumnos)
  • Gráfica 5. Evaluación de Fallos en el Acceso a Internet (Alumnos)
  • Gráfica 6. Evaluación del Servicio de Internet (Alumnos)
  • Gráfica 7. Evaluación de Laboratorios (Profesores)
  • Gráfica 8. Evaluación de Unidad Informática (Profesores)
  • Gráfica 9. Evaluación de Acceso a Internet (Profesores)
  • Gráfica 10. Evaluación de Fallos en el Acceso a Internet (Profesores)
  • Recomendaciones
  • EVALUACIÓN DE UNIDAD INFORMÁTICA APLICANDO MODELO DE MADUREZ PARA LA
  • ADMINISTRACIÓN Y EL CONTROL DE LOS PROCESOS DE TI
  • RECOMENDACIONES
  • Anexos

Universidad Tecnológica de Huejotzingo

Organismo Público Descentralizado del Estado de Puebla

Ingeniería en Tecnologías de la Información y Comunicación

INTEGRADORA II

Auditoria Outsourcing “Servicio de Internet”
TSU. Angélica Cortés Cuahutencos TSU. Carina Cuautle Ramos TSU. Maria Esther Galícia Xochitemol TSU. Guadalupe Jimenez Nieves TSU. Areli Rojano Calixto 10° “A”

Noviembre-2010

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” ÍNDICE

Universidad Tecnológica de Huejotzingo

PLANEACIÓN ........................................................................................................................... 5 Planeación de la Auditoria Outsourcing .............................................................................. 6 Objetivos ................................................................................................................................ 7 Objetivos Generales ............................................................................................................ 7 Objetivos Específicos .......................................................................................................... 7 Estudio de la Evaluación del Control Interno ...................................................................... 8 Gestión Administrativa ......................................................................................................... 8 Gestión Informática.............................................................................................................. 9 Métodos Aplicables para su Documentación .....................................................................11 Planeación Detallada ............................................................................................................11 Cuestionario de Control Interno ..........................................................................................14 Encuesta del Servicio de Internet a Usuarios .....................................................................19 Listado de Verificación de Auditoria Outsourcing .............................................................21 Planilla de Decisiones Preliminares ....................................................................................26 Recursos a Utilizar en la Auditoria ......................................................................................30 Cronograma de Actividades ................................................................................................31 Peso Porcentualde cada Área a Evaluar .............................................................................32 Referencias de Auditoría ......................................................................................................33 Marcas de Auditoría..............................................................................................................34 Metodología y Procedimientos ............................................................................................34 Métodos de Prueba ...............................................................................................................35 Situaciones Alternas ............................................................................................................35 Asignación de Recursos y Sistemas Computacionales para la Auditoría........................35

Página 3

.............................................................................................................................................................47 Resultados de las Encuestas ................................................................................66 ANEXOS............................................................... 58 Gráfica 9.................................. 51 Gráfica 2.......... 53 Gráfica 4....................................................................................................................................... 54 Gráfica 5.................... 55 Gráfica 6..............................................AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo DESARROLLO ........ 75 ÍNDICE DE GRÁFICAS Gráfica 1.............42 Reporte de Hallazgos ................................................................................................................................................ Evaluación de Laboratorios (Alumnos).................................... 52 Gráfica 3......................... Evaluación de Acceso a Internet (Profesores) .......................................................... Evaluación del Servicio de Internet (Alumnos) ................................... 56 Gráfica 7................................................................................................................................ 59 Gráfica 10.......................................................... Evaluación de Laboratorios (Profesores) .............................................................................................. 61 Evaluación de Unidad Informática Aplicando Modelo de Madurez para la Administración y el Control de los Procesos de TI ................................................................................... Evaluación de Unidad Informática (Alumnos)......... 36 Cuestionario de Control Interno ............. Evaluación de Acceso a Internet (Alumnos) ................................................ Evaluación de Fallos en el Acceso a Internet (Alumnos) . 57 Gráfica 8.................................................................. 60 Página 4 ........63 Recomendaciones .37 Listado de Verificación de Auditoria Outsourcing ...................... Evaluación de Unidad Informática (Profesores) ..... 50 RECOMENDACIONES ... Evaluación del Servicio de Internet (Alumnos) ............... Evaluación de Fallos en el Acceso a Internet (Profesores) ................................

Planeación .

Huejotzingo.R.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PLANEACIÓN DE LA AUDITORIA OUTSOURCING Universidad Tecnológica De Huejotzingo EMPRESA Departamento de Unidad Informática R.C N.C FECHA DE AUDITORIA DIRECCIÓN TELÉFONO UTH981027 UTH981027U28 12 de Octubre al 28 de Octubre 2010 Camino Real a San Mateo s/n.F. Página 6 . Puebla 01 (227) 27 5 9300. Santa Ana Xalmimilulco.

Evaluar si la Universidad Tecnológica de Huejotzingo cubre las necesidades de los usuarios que reciben el servicio de Internet. Diseñar los procedimientos adecuados a efectuar en el desarrollo de la auditoría outsourcing. ANS (Acuerdo de Nivel de Servicio) e INS (Indicadores de Nivel de Servicio) establecidos con el proveedor del servicio outsouring. Página 7 . Conocer las políticas y procedimientos para la contratación del servicio Outsourcing Evaluar los contratos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” OBJETIVOS OBJETIVOS GENERALES Universidad Tecnológica de Huejotzingo Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes a la Universidad Tecnológica de Huejotzingo. Evaluar el alcance de los procedimientos. Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia ITIL (IT Infraestructure Library) y COBIT (Control Objectives for Information and Related Technology) para la evaluación del servicio Outsourcing. y con ello logremos formular el informe de la auditoria outsourcing adecuado. OBJETIVOS ESPECÍFICOS Conocer la situación actual del servicio de internet. lo cual nos permitirá identificar las deficiencias y ventajas del mismo para la mejora del servicio. a través de la identificación de deficiencias en el servicio proveído. cumpliendo con los objetivos planteados.

Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves del sistema de control de acceso a internet. Verificar el contrato. por lo que se deben considerar los siguientes aspectos: GESTIÓN ADMINISTRATIVA 1. Verificar si las contrataciones del personal del departamento de Unidad Informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto. 7.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo ESTUDIO DE LA EVALUACIÓN DEL CONTROL INTERNO Esta fase constituye el inicio de la planeación y nos permite establecer una relación específica entre la calidad del control interno de la empresa y el alcance u objetivos de los procedimientos de la auditoria. Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del servicio de internet. ANS e INS del servicio de internet. Verificar si se cuenta con un Manual de organización y funciones del personal que se encuentran en el departamento de Unidad Informática. 10. Validar la existencia de cláusulas que permitan la gestión de los contratos y ANS dentro de la Universidad. Verificar que las instalaciones donde labora el personal del departamento de Unidad Informática estén adecuadas a las necesidades y no representen peligro para los empleados y el hardware. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa del departamento de Unidad Informática. 9. 6. 3. 4. 2. y si se generán reportes acerca de los logros y criterios de desempeño de los problemas encontrados. 5. Identificar como se realiza el monitoreo de los ANS. Página 8 . Verificar si la administración promueve la capacitación y adiestramiento constante del personal del departamento de Unidad Informática. 8. debido a que los resultados de esta fase son los que generan la verdadera orientación de las subsiguientes fases del proceso.

los horarios y áreas en los cuales han utilizado el servicio de internet. así como de los proveedores de dicho servicio y los contratos. Página 9 . Se verificará si se lleva un control de las operaciones realizadas. 7. Examinar la información preliminar correspondiente al departamento de Unidad Informática.    Control de acceso. inmuebles. Verificar el proceso realizado por medio de los sistemas de acceso a Internet. Verificar si dicha política de seguridad ha sido diseñada específicamente para la universidad y hasta qué punto satisface las necesidades del usuario. Seguridad Lógica. Conocimiento de las áreas e instalaciones físicas (materiales. 2. 6. 3. Bloqueo de Puertos. 5. laboratorios y otros) de la Universidad que tienen relación con el departamento de Unidad Informática. También se solicitará información correspondiente si se ha realizado en otras ocasiones auditorías al servicio de internet. b. la cual puede ser: a. si se lleva un respaldo de información y un registro de los usuarios del departamento de unidad informática.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” GESTIÓN INFORMÁTICA Universidad Tecnológica de Huejotzingo 1. Considerar otro punto de conocimiento general que involucre información sobre el servicio de internet proporcionado a los usuarios de la universidad. La revisión y verificación de las Seguridades. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnológica de Huejotzingo para los cuales es utilizado el servicio de internet. Externa: Conocimiento e identificación de los usuarios de internet. equipos de cómputo. Restricciones de Páginas Web. mobiliario. 4.   Integración de dominios. Otros que se involucren dentro del rubro. Verificar si existe una política de seguridad de red bien concebida y efectiva que pueda proteger los datos de la Universidad. a.

17. Infraestructura. referente al servicio de acceso a internet. 8. Página 10 . Verificar si existe una examinación periódicamente en la política de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red. Verificar la cantidad de usuarios que pueden tener acceso a la red inalámbrica. Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más importante. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnológica de Huejotzingo. Verificar cuales son los requerimientos que tiene la Universidad Tecnológica de Huejotzingo. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad Tecnológica de Huejotzingo. Universidad Tecnológica de Huejotzingo  Otros involucrados dentro del rubro. 9. 13. verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las órdenes se efectúan solamente de manera verbal.    Ubicación de equipos. Verificar quienes están autorizados para realizar modificaciones en la red de la universidad y quien autoriza cada una de estas modificaciones. 14. es decir que nadie pueda tener acceso con la misma clave. 12. Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección de los usuarios que reciben el servicio de Internet. Instalaciones eléctricas. 16. 10. cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro de la red. y que la misma solo admita un usuario. 11. así como la administración del mismo.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” b. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones. Verificar si el usuario tiene una clave única para accesar a la red. 15. Seguridad Física.

personal del departamento de unidad informática. contemplando los siguientes apartados: 1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditoría. por lo tanto. es decir. seguridad de la información y las bases de datos. para que la misma pueda llevarse a cabo de forma eficaz y efectiva. Seguridad. Red. facilitando con ello el análisis integral y exhaustivo.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo MÉTODOS APLICABLES PARA SU DOCUMENTACIÓN El tipo de métodos que contempla la empresa Solution Corp para implementar la auditoría outsourcing son los siguientes: a) Descriptivo: La documentación utilizada durante la auditoría. seguridad física. es decir. los procedimientos se documentarán a través del pre elaboración de preguntas. es un esquema previo que dirige los pasos a seguir para realizar una auditoría de desempeño. seguridad del personal. c) Encuestas: Aplicadas a los usuarios que reciben el servicio de Internet para conocer el grado de satisfacción con respecto al mismo. Segunda descomposición o detalle: Computadoras y periféricos asociados. contestadas personalmente por el personal encargado del departamento de la unidad informática. Servicio. será en primer lugar de tipo descriptiva o sea basada en la narración verbal de los procedimientos. b) Cuestionario: En segundo lugar. Primera descomposición: Hardware. con el propósito de obtener resultados correctos y claros. 2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad Informática en secciones manejables. software para el acceso a internet. Instalaciones Eléctricas. que son conocidas como cédulas narrativas. Software. b. establecer la base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria. para establecer si las actividades que están realizando son adecuadas. Personal. 3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento del departamento de Unidad Informática y las especificaciones de cómo debería funcionar. seguridad lógica. Página 11 . usuarios del servicio. a. la empresa Solution Corp tiene como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el mismo. PLANEACIÓN DETALLADA El objetivo principal de la planeación detallada es estructurar de manera ordenada y lógica las actividades a ejecutar durante el proceso de auditoría. red eléctrica.

exclusión o revelación textual pueda modificar la opinión sobre ellas. c. su análisis parte de la naturaleza del Departamento de la Unidad Informática. se deben analizar y señalar aquellos conceptos cuyo impacto de su inclusión. en qué momento se realizan los procesos y por quienes se realizan. 5) Margen de Importancia: Dentro de este apartado. (entiéndase como error. cuando por la naturaleza de las mismas exista un documento que ampare las operaciones. Estos riesgos se clasifican de la siguiente manera: a. en el cual se harán en su mayoría preguntas cerradas. lo anterior es de criterio potencial por parte del auditor. detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberían ser visualizadas. 7) Elaboración de cuestionario de control interno: Para conocer el funcionamiento Departamento de la Unidad Informática dentro de la Universidad. cuyo conocimiento haga cambiar la opinión sobre ellos. con el fin de detectar posibles fallas y con base en ello. Dichos datos servirán en su conjunto para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría. y las irregularidades. Página 12 . y pueden ser identificados como “eventos presuntos”. quienes las efectúan. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos. son las circunstancias voluntarias por parte del mismo). la inspección de los documentos anexos a cada operación del departamento de unidad informática. con el propósito de conocer las actividades a las cuales se dedica dicho departamento.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 4) Universidad Tecnológica de Huejotzingo Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la emisión de una opinión e informe. se diseñará un cuestionario de control interno. y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. la capacidad de generar opiniones similares a la suya. Riesgo de Detección: Vinculado directamente con la función de auditoría. b. Ello requiere de parte del auditor. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de control interno adoptados. 6) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados. la ocurrencia u omisión de datos originados en circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informática. entre los usuarios de los sistemas informáticos.

se dejará constancia documental de los pasos a seguir en las diferentes áreas involucradas en el departamento. 17) Preparación del informe final de auditoría. 12) Conocimiento sobre la existencia o ausencia del software. Página 13 . quedan plasmadas en una guía de procedimientos. 9) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del departamento y a la evaluación del control interno adoptado. Nota: Toda la metodología y procedimientos detallados.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 8) Universidad Tecnológica de Huejotzingo Planilla de decisiones preliminares: En este documento. ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir. 14) Documentación adecuada de hallazgos. hardware y dispositivos de red involucrados en el servicio de Internet. y con base en ellos se podrá establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicho departamento. a efectos de discutir. cuya mayor especificación. 16) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el apartado anterior. luego de obtener los resultados del cuestionario de control interno. se establecerá el tipo de riesgo (alto. ante la detección de errores cuyo impacto sea relevante. medio o bajo) que tiene cada una de las operaciones realizadas en el servicio de acceso a internet. 13) Verificación documental de los servicios de internet. facilita su ejecución y comprobación de la misma. 11) Análisis y validación de los documentos anexados que soportan las adquisiciones del servicio de internet a utilizarse por los diversos usuarios y del departamento de Unidad Informática. no inhiben de sostener reuniones periódicas o eventuales con la administración. asimismo cualquier consulta o requerimiento se efectuará de forma escrita como constancia de realizado. las tareas programadas. 10) Verificación de generalidades concernientes a los documentos emitidos. 15) Rendimiento de informes parciales o previos.

para el personal de este departamento? 8. ¿Existe un área o alguien a quién le rinden cuentas de su gestión? 4. ¿Han recibido capacitaciones en el último año? INFRAESTRUCTURA DE LA RED 13. ¿Cada empleado del área de Unidad Informática conoce la persona ante la que tiene que rendir cuentas de su labor? 10. ¿Existe una persona nombrada como SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA responsable de administrar las redes? 3. ¿Tiene muchos años laborando aquí? 12. ¿Existen procedimientos de contratación.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo CUESTIONARIO DE CONTROL INTERNO PREGUNTAS 1. ¿Se tiene un organigrama específico? 6. ¿Están delimitadas las funciones de cada integrante del área Unidad Informática? 9. ¿Está identificada dicha área dentro del organigrama general de la empresa? 5. ¿El personal revisa la infraestructura de la red? 14. ¿En el último año se han revisado toda la infraestructura de la red? Página 14 . ¿Existe dentro de la Universidad un área de Unidad Informática? SI LA RESPUESTA FUE SI: 2. ¿Cada empleado del área de Unidad Informática es especialista en diferentes áreas de la red? 11. ¿Hay un manual de organización y funciones aplicables a dicha área? 7.

¿Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. ¿Tiene la Universidad contratado un especialista en redes? 21. ¿En alguna ocasión se ha generado algún problema dentro de la infraestructura de la red? 17. teniendo en cuenta los posibles cambios tecnológicos o en la institución? 25. ¿La administración de redes implementa una política en base a la tecnología de red? 22.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 15. ¿ Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas. ¿Usa protocolos? 20. ¿Existe una topología de red estandarizada? Página 15 . ¿En alguna ocasión se ha generado Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES problemas con la conexión del internet? 19. ¿Existe un inventario de equipos y software asociados a las redes? 24. ¿Existe un plan de infraestructura de redes? 16. ¿Existen controles gestión para y procedimientos de proteger el acceso a las conexiones y servicios de red? 27. ¿Esta política es acorde con el plan de calidad de la organización? 23. ¿Existe un plan que permite modificar en forma oportuna a largo plazo la tecnología de redes. y para proteger los sistemas conectados? 26.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 28. ¿Le han dado clave para ingresar al sistema? 32. ¿Existen medidas de seguridad física? 38. ¿Se lleva a cabo tal programa? 40. ¿Existen algunas restricciones para los Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS A LA SEGURIDAD usuarios? 29. ¿Existe una persona responsable de la seguridad? 35. ¿Identifica el tipo de amenaza que afecta los recursos de la red? 30. ¿Usted clasifica los riesgos por nivel de importancia y gravedad de la perdida? 31. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? 34. ¿Utilizan antivirus o alguna otra medida para la protección de la información? Página 16 . ¿Existen medidas de seguridad respecto a copias ilegales? 42. ¿Se permite el acceso a la red por personal no autorizado? 37. ¿Existe una clara definición de funciones entre los puestos clave? 36. ¿Existen limitantes para el acceso a internet? 33. ¿Existe protección ante algún robo? 41. ¿Existe un programa de mantenimiento para la red? 39.

seguridad. ¿La empresa proveedora ofrece una ventaja económica para la universidad? 53. tipo de servicio y todos los detalles inherentes a la prestación del servicio? 45. ¿Tiene conocimiento de lo que es un Plan de Retorno? 48. ¿Existe un análisis previo para el contrato de servicio de internet que cubra las Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL OUTSOURCING necesidades de la institución? 50. ¿Dentro del contrato se establece ANS? 46. costo. ¿La infraestructura de la red es la adecuada para la prestación del servicio outsourcing? 54. ¿Existe un contrato para el servicio de internet? 44. ¿La administración y control de la red se acoplan a la prestación de servicios outsourcing? Página 17 . ¿Existen penalizaciones dentro del contrato? 47. ¿El departamento de unidad informática es el encargado de efectuar la contratación del servicio de internet? 51. ¿Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. ¿Ofrece calidad en el servicio la empresa proveedora? 52. ¿El contrato contempla cláusulas de servicio.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 43.

¿Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. ¿La empresa proveedora es confiable en cuanto al servicio que está proporcionando a la universidad? 57. ¿Se realiza periódicamente una evaluación para determinar que el servicio outsourcing cubra las necesidades de la institución? 59. ¿Los usuarios pueden opinar sobre el servicio de internet? 63. ¿Existe una renovación de contrato en cuanto al servicio de internet? 62. ¿La comunicación entre el proveedor y el departamento de la unidad informática es eficiente y eficaz? 56.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 55. ¿Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. ¿Se lleva a cabo un seguimiento de estas sugerencias? Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES Nombre: ___________________________________________________________ Cargo: _____________________________________________________________ Página 18 . ¿La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61.

La instalación del cableado lo consideras: Página 19 . 9. ¿Cómo calificas en número de equipos de cómputo existentes? 14. Regular 4. 8. No Cumple PREGUNTAS 1. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: 1 2 3 4 5 10. 3. ¿Cubre tus necesidades académicas? 11. El antivirus con el que cuentan los equipos de cómputo lo consideras: 16.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS Carrea o Área La presente encuesta tiene como objetivo evaluar el servicio de internet proporcionado a los alumnos (usuarios) de la Universidad Tecnológica de Huejotzingo. La disponibilidad con la cuentan los laboratorios es: 15. Contesta y califica en una escala del 1 al 5. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 13. 2. y con ello identificar las deficiencias del mismo. Deficiente 5. ¿Los tiempos de respuesta son? 12. 1. Bueno 3. 5. 6. 4. 7. Excelente 2.

¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. ¿Solo usted tiene acceso a esta cuenta? 28. Su cuenta siempre está disponible 29. ¿Sabes quién es la persona responsable? 21. ¿Requiere una cuenta para acceder a este servicio? 24. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 25. ¿Conoces el departamento de Unidad Informática? 18. ¿Utilizas con frecuencia el servicio de Internet? 23. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. con la cuenta que ha adquirido 30. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 20. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 34.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Contesta solo sí y no. Tiene acceso a cualquier tipo de página web. ¿Existen problemas al conectarse a internet? 32. ¿Los problemas existentes afectan la realización de su trabajo? 33. ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? Página 20 . ¿Sabes dónde se encuentra? 19. PREGUNTAS 17. ¿Conoce el horario del personal responsable de la Universidad Tecnológica de Huejotzingo SI NO COMENTARIO administración de la red? 22.

Se tienen establecidos los modelos de elaboración para la percepción de servicios. Se identifican políticas que definan acuerdos del nivel del servicio. Se establecen las funciones para cada rol en el área de unidad informática. Supervisión y control continúa de los 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple servicios prestados a usuarios. Existe la evidencia de los problemas que se presentan en cuanto a la prestación del servicio. Página 21 . El contrato puede replantearse para mejoras de recepción de servicio. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Se consideran la participación de los usuarios en cuanto al nivel del servicio percibido por los mismos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING Acuerdo del Nivel de Servicios en la Adquisición de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institución. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos.

Las características de la Red para el servicio de internet son: Los componentes físicos de la red cumplen con las características para brindar servicio de internet. Se identificaron medidas encaminadas al funcionamiento de las normas. tipos y cobertura de las redes están adecuadas para el servicio de internet. 100% Excelente 80% Bueno Universidad Tecnológica de Huejotzingo 60% Regular 40% Mínimo 20% No cumple Verificación de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple establecido para brindar un buen servicio. topologías.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluación para la obtención de la calidad de los servicios de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios. Los protocolos de comunicación interna de la red permiten un servicio de internet. La seguridad de acceso al servicio de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. La administración de la red de Cómputo es adecuada para el brindar el servicio de internet. Las configuraciones. Página 22 .

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”

Universidad Tecnológica de Huejotzingo

Evaluación de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

La distribución del direccionamiento de IP. Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de

internet son evaluados. La administración de contraseñas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del

acceso al servicio de internet se evalúan. Evaluar las medidas preventivas o

correctivas en caso de siniestros en el acceso. Evaluación de la Seguridad en el Acceso al Área Física Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cómputo. Evaluar las medidas preventivas o 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

correctivas en caso de siniestro en el centro de cómputo. Analizar las políticas de la instalación en relación con los accesos al departamento.

Página 23

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”

Universidad Tecnológica de Huejotzingo

Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, protección y y de sus periféricos 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

periodicidad de los respaldos de bases de datos, software e información importante de la institución. Evaluar seguridad la configuración, instalaciones del equipo de y

cómputo,

mobiliario y demás equipos. Evaluar el rendimiento, aplicación y utilidad del equipo de cómputo, mobiliario y demás equipos. Evaluar la seguridad en el procesamiento de información. Evaluación de la Protección de la Información Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitación de accesos. Protección contra robos Protección ante copias ilegales Evaluación de la Protección contra Virus Informáticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Página 24

100% Excelente

80% Bueno

60% Regular

40% Mínimo

20% No cumple

100% Excelente

80% Bueno

60% Regular

40% Mínimo

20% No cumple

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET”
100% Excelente 80% Bueno

Universidad Tecnológica de Huejotzingo

Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Protección de información. archivos, programas e

60% Regular

40% Mínimo

20% No cumple

Evaluación de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

equipos y periféricos asociados. Evaluar la configuración del equipo de

cómputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. Evaluar el estado físico del hardware,

periféricos y equipos asociados Evaluación de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de software, 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple

paqueterías y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalación del software, paqueterías y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta última.

Página 25

Página 26 . estén siendo aprovechados al máximo y utilizando como corresponde. Redes Dispositivos Que se esté utilizando Universidad. se encuentre en el lugar correspondiente. Verificar que los diversos componentes del hardware. Revisar que los dispositivos Se revisará el 100% de inventariados como adquisiciones de la los bienes inventariados Que haya extravío. parte del Que haya extravío. Departamento de la Unidad Informática 12 de Octubre al 28 de Octubre de 2010 EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Revisar encuentra que el hardware que se ALCANCE DE LOS PROCEDIMIENTOS inventariado como Se revisará el 100% de los bienes inventariados como hardware. con los fines para los cuales fue adquirido. Computadoras y Hardware Periféricos Asociados Que se esté utilizando con los fines para los cuales fue adquirido. se encuentre en el lugar como correspondiente.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PLANILLA DE DECISIONES PRELIMINARES SOLUTION CORP NOMBRE DEL CLIENTE: PERÍODO A AUDITAR : RUBRO ÁREA FACTORES DE RIESGO Universidad Tecnológica de Huejotzingo Universidad Tecnológica de Huejotzingo. adquisiciones de la universidad. Verificar que los dispositivos estén parte de dispositivos de red. siendo aprovechados al máximo y se estén utilizando como corresponde.

incluido a todo el personal del área. frente a los nuevos avances tecnológicos. funcionando adecuadamente. La verificación se hará por una sola vez y con la autorización del encargado del departamento. Página 27 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO Que los empleados del área de Personal Personal informática no estén EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO ALCANCE DE LOS PROCEDIMIENTOS del recibiendo las capacitaciones necesarias con el propósito Se verificarán los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los En las revisiones si en se se las ha Departamento de verificará Unidad de actualizarlos y se vayan quedando desactualizados capacitaciones Informática empleados del área de informática. Mejorar los procedimientos implementados en la realización de las diferentes tareas. convierta en inservible. para obtener mayor seguridad en las aplicaciones. y demás software Software para la del sistema no estén Software administración de la red Que el software usado por la entidad esté resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se Revisar las condiciones del lugar en que se encuentra resguardado el software. paquetería. Los métodos. procedimientos y medidas de seguridad y protección de los sistemas operativos. para mitigarlos. rutina. Identificar en cada uno de los elementos los factores de riesgos.

debidamente se encuentra conectado el equipo informático estén debidamente Se aplicará al 100% de los tomas. Verificar que solo el personal autorizado pueda tener acceso a la información. Red Eléctrica Que las instalaciones Se verificará con la ayuda de un electricista que las instalaciones eléctricas condiciones cumplan con las de Se aplicará a un 15% de las instalaciones a las que está conectado el equipo del sistema informático de la entidad. Se efectuará al 100% de los computadores.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO Verificar que los tomas a los cuales ALCANCE DE LOS PROCEDIMIENTOS Que los tomas eléctricos no Instalaciones Eléctricas estén polarizados. registrados. eléctricas ya no estén en óptimas condiciones de uso o ya sean obsoletas. mínimas funcionamiento y que todavía no sean obsoletas. Página 28 . Seguridad Seguridad Lógica Robo de información El acceso a usuarios no Verificar que el ingreso a usuarios sea solo aquellos que estén mínimas Verificar que los equipos no estén ubicados muy cerca de espacios húmedos o que el calor sea mucho. válidos. Que los componentes de la Seguridad Física red estén ubicados en un área que no cumplen con las condiciones ambientales. polarizados con el fin de evitar sobrecargas eléctricas.

momento pueda originarse en Se aplicará al 100% de los equipos. que están haciendo los usuarios. personales de los usuarios. Página 29 . si todas tienen Se harán los utilizando acceso a internet y si se puede procedimientos a un 5% de monitorear en algún momento lo las máquinas. los Dispositivos él un corto circuito u otro siniestro. Seguridad Seguridad en las Telecomunicaci ones Se verificará si las máquinas se Que el internet para se esté fines encuentran en red.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RUBRO ÁREA FACTORES DE RIESGO Que el equipo y esté en mal algún EVALUACIÓN DE RIESGOS INHERENTE CONTROL DETECCIÓN Universidad Tecnológica de Huejotzingo PROCEDIMIENTOS SEGÚN FACTORES DE RIESGO ALCANCE DE LOS PROCEDIMIENTOS Seguridad en la conectado Operación de Se verificará que los equipos estén correctamente conectados y que sean funcionales.

00 50.00 $ $ 160.00 100.360.00 800.00 400.00 35.00 $ TOTAL RUBRO $ $ $ $ $ TOTAL RUBRO TOTAL GENERAL MATERIALES 1 2 4 5 6 Folders Lápiz Lapiceros Computadoras (Laptop) Impresiones 5. debido a que es donde se encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet.00 $ 3.00 500.00 2. RECURSO VALOR POR HORA HUMANOS VALOR TOTAL VALOR TOTAL RUBRO 1 2 3 4 Auditor Senior (30 horas hombre) Auditor Junior Auditores Auxiliares (2 personas) Especialista en redes $ $ $ 50.00 3.00 1.00 100.200.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo RECURSOS A UTILIZAR EN LA AUDITORIA HUMANOS Auditor Senior Auditor Junior Auditores auxiliares Especialista en redes informáticas MATERIALES Folders Lapiceros Lápiz Computadoras (Laptop) Impresiones TIEMPO Se espera realizar la auditoría en el departamento de unidad informática.00 $ $ $ $ $ 5. Dicha auditoria se llevara en un periodo de 13 días.00 3.00 3.25 $ $ $ $ 1500.00 2.00 Página 30 . PRESUPUESTO PARA LA AUDITORIA No.00 30.00 6.

Visita al encargado de control interno para contestar el cuestionario. Elaboración de Cuestionario de Control Interno.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” CRONOGRAMA DE ACTIVIDADES SERVICIO DE INTERNET DE LA UNIVERSIDAD TECNOLÓGICA DE HUEJOTZINGO Universidad Tecnológica de Huejotzingo PUESTO Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar NOMBRE DE LA PERSONA TSU Areli Rojano Calixto TSU María Esther Galicia Xochitemol TSU Angélica Cortes Cuahutencos TSU Carina Cuautle Ramos TSU Guadalupe Jiménez Martínez 12 13 14 15 18 19 20 21 22 25 26 27 1 2 3 4 5 6 7 Elaboración del Plan de Auditoría. Auditor Auxiliar Auditor Auxiliar. Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar Auditor Senior. Evaluación de la auditoria del control interno. Recomendaciones de la auditoria. Especialista en Redes Auditor Senior Página 31 28 No . OCTUBRE ACTIVIDAD O TAREA RESPONSABLES . Desarrollo del Informe de Auditoría. Entrega de resultados de la auditoria.

Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas FINANZAS 1% 2% 2% 2% 2% 10% 3% 2% 4% 4% 4% 4% 4% 4% 4% 2% 4% 3% 4% 4% 2% 22. 20. 16. 5. 8. 7. 2. 10. 17. 19. 11. 9. 14. 24. 18. ÁREA A EVALUAR DEPARTAMENTO DE UNIDAD INFORMÁTICA PONDERACIÓN 1. Clasificación y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal TOTAL Página 32 2% 2% 25% 100% .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PESO PORCENTUAL DE CADA ÁREA A EVALUAR No. 13. Seguridad física de los sistemas informáticos y ambiental Seguridad lógica del sistema Seguridad de la información y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operación del hardware Seguridad en la Red inalámbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. 21. Seguridad de cumplimiento de normas y estándares. incluyendo todos los elementos. tanto redes como terminales. 23. 15. 3. Sistemas de seguridad (de equipos y de sistemas. 6. 12. Laboratorios de computo Políticas de seguridad (Estándares) Infraestructura (localización del cableado) Encriptación Protocolos de comunicación Restricción en el uso del Internet Seguridad del Personal del departamento de Unidad Informática Usuarios del sistema informático (Para cuantas personas es la red inalámbrica) capacidad de la red Seguridad de Aplicaciones. 4.

incluyendo todos los elementos. Seguridad física de los sistemas informáticos y ambiental Seguridad lógica del sistema Seguridad de la información y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operación del hardware Seguridad en la Red inalámbrica Seguridad de Sistema Operativo Seguridad de Base de Datos.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” REFERENCIAS DE AUDITORÍA REFERENCIAS DE AUDITORÍA A B C D E F G H I J K L M N O P Q R S T U V W X Universidad Tecnológica de Huejotzingo DESCRIPCIÓN DE LA MARCA Laboratorios de computo Políticas de seguridad (Estándares) Infraestructura (localización del cableado) Encriptación Protocolos de comunicación Restricción en el uso del Internet Seguridad del Personal del departamento de Unidad informática Usuarios del sistema informático (Para cuantas personas es la red inalámbrica) capacidad de la red Seguridad de Aplicaciones. tanto redes como terminales. Sistemas de seguridad (de equipos y de sistemas. Seguridad de cumplimiento de normas y estándares. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas Clasificación y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal Página 33 .

que respondan el cuestionario. 5. que nos ayude a identificar riesgos. 3. 2. para identificar las posibles áreas que presenten riesgos dentro de la organización y que afecten el servicio de internet. Se llevará a cabo la evaluación de servicio de internet que existe en la institución. con el cual se buscará recabar información. a través de lo siguiente: 1. En primer lugar se visitará al cliente. y se elaborará el informe de auditoría que será presentado al cliente.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” MARCAS DE AUDITORÍA MARCAS DE AUDITORÍA ₤ ∫ ∆ ¥ ℓ £ ₣ Universidad Tecnológica de Huejotzingo DESCRIPCIÓN DE LA MARCA Obtenido por el encargado del departamento Obtenido de otros documentos Obtenido de terceros Obtenido de empleados del área de informática Cotejado con el inventario Verificado por el auditor Verificado por el Técnico en Redes METODOLOGÍA Y PROCEDIMIENTOS El análisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de Huejotzingo. Con los resultados obtenidos de la evaluación del servicio de internet. con el fin de obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría. Se visitará los centros de trabajo para realizar los procedimientos de auditoría necesarios. Se elaborará un plan de auditoría sobre el servicio de internet que brinda la institución. se elaborará una planilla de decisiones preliminares. Página 34 . en el lugar de trabajo con el propósito de solicitar al personal involucrado. en el lugar donde se realizará la auditoria. quienes brindan el servicio de internet a usuario de la institución. 4. 6. evaluando el tipo de riesgo que presenta cada área y definiendo algunos procedimientos que serán necesario realizar. vulnerabilidades que puedan presentarse en algunas de las áreas a evaluar. Se analizarán los datos. para identificar la magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en administración e infraestructura de la red. Además se elaborara el cuestionario para la evaluación de servicios de internet.

Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema. por otro lado en lo concerniente a las instalaciones eléctricas. senior de nuestra empresa para que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de los aspectos importantes. así como el registro de la evidencia en su orden. SITUACIONES ALTERNAS En el caso de que todos los equipos estén constantemente ocupados. En el caso de no haber vigilante. Página 35 . así como también la infraestructura física y lógica de la red. A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el servicio de internet. con el propósito de no entorpecer las labores cotidianas. con el fin de verificar que estén en buen estado y se tratará de provocar fallas al sistema eléctrico. serán asignadas a los dos auditores. se les pedirá que nombren a una persona. con la presencia de un funcionario o empleado de confianza. En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan contratado. quien será responsable de su custodia. Se tratará desde una computadora. dé fe del trabajo que se está realizando y se mantenga la transparencia. realizando operación que verifiquen la que la administración de la red. Se harán pruebas. Areli Rojano Calixto. La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en manos del auditor senior TSU. para verificar su vulnerabilidad. que algunos procedimientos se puedan realizar fuera de la jornada laboral. que pueda revisar los bienes de los empleados. de preferencia del área de informática para que. ASIGNACIÓN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA Las laptop de nuestra empresa.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” MÉTODOS DE PRUEBA Universidad Tecnológica de Huejotzingo Se solicitará a los auditores que desarrollen los procedimientos expresados en el plan de auditoría. se verificará si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa. En ellos se verificará que los auditores contratados para las diferentes áreas pongan a prueba los servicios de internet brindados por la institución. También servirá para el análisis de los resultados y la elaboración del informe de auditoría. accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad. se buscará la forma de que se autorice.

Desarrollo .

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo CUESTIONARIO DE CONTROL INTERNO PREGUNTAS 1. ¿Tiene muchos años laborando aquí? 12. redes telefonía 7 años x No enfocadas al área x INFRAESTRUCTURA DE LA RED 13. ¿Están delimitadas las funciones de cada integrante del área Unidad Informática? 9. ¿Existe dentro de la Universidad un área de Unidad Informática? SI NO N/A OBSERVACIONES Pero internamente se conoce como Centro de TI ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA x SI LA RESPUESTA FUE SI: 2. ¿En el último año se han revisado toda la infraestructura de la red? x x 2 veces al año Junio. ¿Hay un manual de organización y funciones aplicables a dicha área? 7. ¿Cada empleado del área de Unidad x Verbalmente Informática es especialista en diferentes áreas de la red? 11. ¿Existe un área o alguien a quién le rinden cuentas de su gestión? 4. ¿Cada empleado del área de Unidad x x Recursos Humanos x Verbalmente Informática conoce la persona ante la que tiene que rendir cuentas de su labor? 10. ¿El personal revisa la infraestructura de la red? 14. ¿Está identificada dicha área dentro del organigrama general de la empresa? 5. realizan evidencias Página 37 . OLaff Hernández Juárez IT Manager Dir. ¿Han recibido capacitaciones en el último año? x Mantenimiento. ¿Existe una persona nombrada como x Lic. de Administración de Finanzas Ernesto Aguirre x x x responsable de administrar las redes? 3. ¿Existen procedimientos de contratación. ¿Se tiene un organigrama específico? 6. para el personal de este departamento? 8.

HTTPS FTP Ingeniero en Sistemas. ¿Tiene la Universidad contratado un x x especialista en redes? 21. ¿Existen controles gestión para y procedimientos de x contraseñas en servidores. integridad del procesamiento de los datos que pasan a través de redes públicas. TSU en Informática problemas con la conexión del internet? 19. ¿En alguna ocasión se ha generado algún problema dentro de la infraestructura de la red? 17. ¿Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. ¿La administración de redes implementa una política en base a la tecnología de red? 22. ¿Existe un plan que permite modificar en forma oportuna a largo plazo la tecnología de redes. ¿Esta política es acorde con el plan de calidad de la organización? 23.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 15. teniendo en cuenta los posibles x Políticas de Seguridad y de Administración x Área de recursos Materiales x x Plan de Mantenimiento cambios tecnológicos o en la institución? 25. ¿Existe un inventario de equipos y software asociados a las redes? 24. ¿Usa protocolos? 20. ¿Existe un plan de infraestructura de redes? 16. ¿Existe una topología de red estandarizada? x Página 38 Estrella . ¿ Están establecidos controles especiales para salvaguardar la confidencialidad e Control de acceso al sitio. y para proteger los sistemas conectados? 26. Distribución Lógica proteger el acceso a las x Verbalmente conexiones y servicios de red? 27. ¿En alguna ocasión se ha generado Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES Planeación Saturación de servicios x x (daños en el cableado) y ataques a la red x No son optimas Daños locales (85%) y del proveedor (15%) Anual TCP/IP. HTTP.

¿Existe una clara definición de funciones entre los puestos clave? 36. ¿Utilizan antivirus o alguna otra medida para la protección de la información? x x x x x Cada año y se aplica dos veces. acceso y filtrado importancia y gravedad de la perdida? 31. ¿Se permite el acceso a la red por x x personal no autorizado? 37. ¿Existe un programa de mantenimiento para la red? 39. x x Firewall Página 39 . ¿Usted clasifica los riesgos por nivel de x x x Ancho de banda y Servicios Señalética. ¿Existen medidas de seguridad respecto a copias ilegales? 42. ¿Existe una persona responsable de la seguridad? 35. ¿Existen medidas de seguridad física? 38. Seguridad Física y lógica Personal perteneciente a la Unidad Informática Prioridad x Análisis lógico y físico algunas restricciones para los x Firewall. ¿Existe protección ante algún robo? 41. ¿Existen usuarios? 29. ¿Se lleva a cabo tal programa? 40. ¿Le han dado clave para ingresar al sistema? 32. ¿Existen limitantes para el acceso a internet? 33. ¿Identifica el tipo de amenaza que afecta los recursos de la red? 30.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS A LA SEGURIDAD 28. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de x información? 34.

Disponibilidad x Economía x outsourcing? Página 40 . tipo de servicio y todos los detalles inherentes a la prestación del servicio? 45. ¿La empresa proveedora ofrece una ventaja económica para la universidad? 53. ¿La administración y control de la red se acoplan a la prestación de servicios x x x Solo sugiere o realiza una petición Tiempos de Respuesta. ¿La infraestructura de la red es la adecuada para la prestación del servicio outsourcing? 54. ¿Existen penalizaciones dentro del contrato? 47. seguridad. ¿Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. ¿Existe un contrato para el servicio de internet? 44. ¿Existe un análisis previo para el contrato de servicio de internet que cubra las x Materiales x x x Por cada día sin servicio se gratifica 5% mensual Cheques cruzados 20% y penalizaciones x x Contratos anuales. ¿El departamento de unidad informática es el encargado de efectuar la contratación del servicio de internet? 51. ¿El contrato contempla cláusulas de servicio. ¿Ofrece calidad en el servicio la empresa proveedora? 52. costo.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL OUTSOURCING 43. Gemtel proveedor actual x necesidades de la institución? 50. ¿Tiene conocimiento de lo que es un Plan de Retorno? 48. ¿Dentro del contrato se establece ANS? 46.

¿Se lleva a cabo un seguimiento de estas sugerencias? x x x x x x Universidad Tecnológica de Huejotzingo SI NO N/A OBSERVACIONES No siempre es eficaz. ¿Se realiza periódicamente una evaluación para determinar que el servicio outsourcing cubra las necesidades de la institución? 59. ¿La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61. Olaff tiene comunicación con el proveedor Hace 2 años Cada 3 meses y si no se anota en un ticket Cada 3 meses Ticket soporte externo y x reporte escrito cuando el proveedor interviene Antenas de recepción Anualmente Buzón de quejas. solo los que son importantes x x Nombre: Cargo: Lic.Administrador de TI Página 41 . ¿Existe una renovación de contrato en cuanto al servicio de internet? 62.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” PREGUNTAS 55. ¿La empresa proveedora es confiable en cuanto al servicio que está proporcionando a la universidad? 57. ¿Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. ¿Los usuarios pueden opinar sobre el servicio de internet? 63. ¿Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. Olaff Hernández Juárez Manager IT. ¿La comunicación entre el proveedor y el departamento de la unidad informática es eficiente y eficaz? 56.

Supervisión y control continúa de los X X X 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple X servicios prestados a usuarios.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING Acuerdo del Nivel de Servicios en la Adquisición de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institución. Existe la evidencia de los problemas que se presentan en cuanto a la prestación del servicio. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios. Se identifican políticas que definan acuerdos del nivel del servicio. Se consideran la participación de los X usuarios en cuanto al nivel del servicio percibido por los mismos. Se establecen las funciones para cada rol en el área de unidad informática. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Se tienen establecidos los modelos de elaboración para la percepción de servicios. X X X X X X X Página 42 . El contrato puede replantearse para mejoras de recepción de servicio.

El servicio de internet que proporciona y cubre las expectativas de los usuarios. Se identificaron medidas encaminadas al funcionamiento de las normas. Las características de la Red para el servicio de internet son: Los componentes físicos de la red cumplen con las características para brindar servicio de internet. La seguridad de acceso al servicio de internet. topologías. X 100% Excelente 80% Bueno Universidad Tecnológica de Huejotzingo 60% Regular 40% Mínimo 20% No cumple X Verificación de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular X 40% Mínimo 20% No cumple establecido para brindar un buen servicio.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluación para la obtención de la calidad de los servicios de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. Página 43 X X X X X X X X . La administración de la red de Cómputo es adecuada para el brindar el servicio de internet. Las configuraciones. tipos y cobertura de las redes están adecuadas para el servicio de internet. Los protocolos de comunicación interna de la red permiten un servicio de internet.

Evaluación de la Seguridad en el Acceso al Área Física Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cómputo. Evaluar las medidas preventivas o X 100% Excelente 80% Bueno X 60% Regular 40% Mínimo 20% No cumple correctivas en caso de siniestro en el centro de cómputo. Seguridad de direccionamiento de IP. X 1 Se realiza mediante la implementación de un software. Las funciones del administrador del X X X acceso al servicio de internet se evalúan. Página 44 . Analizar las políticas de la instalación en relación con los accesos al departamento. La administración de contraseñas al servicio de internet lleva a cabo un proceso de monitoreo. Se monitorean los atributos de acceso al servicio de internet.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo Evaluación de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 1 100% Excelente 80% Bueno X X X 60% Regular 40% Mínimo 20% No cumple La distribución del direccionamiento de IP . el cual también apoya en la administración de servicios. Los niveles de acceso al servicio de X internet son evaluados. El monitoreo en el acceso al servicio de internet es evaluado.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. software e información importante de la institución. Página 45 100% Excelente 80% Bueno X 60% Regular 40% Mínimo 20% No cumple . mobiliario y demás equipos. X mobiliario y demás equipos. protección y X y de sus periféricos X 100% Excelente 80% Bueno 60% Regular 40% Mínimo 20% No cumple periodicidad de los respaldos de bases de datos. Protección contra robos Protección ante copias ilegales 100% Excelente 80% Bueno X X X X 60% Regular 40% Mínimo 20% No cumple Evaluación de la Protección contra Virus Informáticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas. Evaluar la existencia. instalaciones del equipo de y cómputo. Limitación de accesos. Evaluar la seguridad en el procesamiento de información. X X Evaluación de la Protección de la Información Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Evaluar el rendimiento. Evaluar seguridad la configuración. aplicación y utilidad del equipo de cómputo.

Evaluar el rendimiento y uso del software de los sistemas computacionales. X periféricos y equipos asociados Evaluación de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de software.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 100% Excelente 80% Bueno X X Universidad Tecnológica de Huejotzingo Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. archivos. Evaluar el estado físico del hardware. Evaluar la configuración del equipo de X cómputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus periféricos asociados. programas e 60% Regular 40% Mínimo 20% No cumple Evaluación de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realización de inventarios de hardware. 100% Excelente 80% Bueno X 60% Regular X 40% Mínimo 20% No cumple paqueterías y desarrollos empresariales. Verificar que la instalación del software. Evaluar las licencias permisos y usos de los sistemas computacionales. Protección de información. 100% Excelente 80% Bueno 60% Regular X 40% Mínimo 20% No cumple equipos y periféricos asociados. paqueterías y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta última. X X X Página 46 .

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” REPORTE DE HALLAZGOS Universidad Tecnológica de Huejotzingo De acuerdo al checklist. Internamente en el departamento no existe un organigrama 03 que indique los puestos del personal perteneciente a dicha área y por lo tanto también carece de un Manual de Organización y Funciones. Incumplimiento (I). ya que dichas áreas son totalmente distintas. Olaff Hernández Juárez IT Manager del Departamento de Unidad Informática. Página 47 PO X PO X PO X v4. El departamento de Unidad Informática es controlado por 02 del Área de Administración de Finanzas. El departamento de Unidad Informática no se encuentra en 01 el organigrama de la Institución.1 v3 MAYOR MENOR NO CONFORMIDAD . Evidencia (E) DEPARTAMENTO DE UNIDAD INFORMÁTICA R. el cual no está completamente relacionada con dicho departamento. y el cuestionario de control interno aplicado al Lic. carece de los siguientes elementos: REPORTE DE AUDITORIA OUTSOURCING Auditoria Número: Fecha de Elaboración del Reporte: No. De Resultados: 01 Fecha de Auditoría Fecha de Reunión de Apertura: Fecha de Cierre: Del 12 a 28 de Octubre de 2010 12 de Octubre de 2010 28 de Octubre de 2010 22 de Octubre de 2010 110 ÁREA AUDITADAS Departamento de Unidad Informática Finanzas PROCESOS AUDITADOS Servicio Outsourcing Servicios Outsourcing HALLAZGOS DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO COBIT ITIL Especificar: Requerimientos (R). R. R. se determinó que el servicio de internet proporcionado por la empresa Gemtel a la Universidad Tecnológica de Huejotzingo. lo que ocasiona que dicha área sea desconocida.

. R. La mayoría de los problemas ocasionados en la conexión a PO ICT X 08 Internet son daños locales. Los controles y procedimientos que protegen el acceso a ICT X 09 conexiones y servicios de red se establecieron verbalmente. SEGURIDAD R.1 v3 MAYOR MENOR Especificar: Requerimientos (R). Las funciones de cada integrante del área de Unidad 04 Informática están especificadas. es decir. sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. No existe un Plan de Infraestructura de Redes. E. es decir originados en la universidad. R. Incumplimiento (I). R. SERVICIO OUTSOURCING AI X 12 R. Los componentes físicos de la red no cubren todas las ES X 11 características de la red debido a que estos son adquiridos por que ofrecen una ventaja económica. debido que la Universidad Tecnológica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. La infraestructura de red se encuentra en buenas PO X 07 condiciones sin embargo no son óptimas para que se establezca un buen servicio de internet a los usuarios. Evidencia (E) R. I. R. no existe algún documento que sustente dichos controles y procedimientos. No existe una comunicación eficaz entre el proveedor de servicios y la Universidad Tecnológica de Huejotzingo.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO Universidad Tecnológica de Huejotzingo NO CONFORMIDAD COBIT ITIL v4. Una de las limitantes para el acceso de internet es el ancho PO X 10 de banda. El personal de Unidad Informática recibe capacitación 2 PO X 05 veces al año si embargo dichas capacitaciones no están enfocadas a la función que ellos desempeñan en la Universidad Tecnológica de Huejotzingo INFRAESTRUCTURA DE LA RED PO X 06 E. I. Página 48 PO X .

hosting. DS X MARCO DE REFERENCIA A COBIT v4.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” DESCRIPCIÓN DE LA NO CONFORMIDAD FOLIO Universidad Tecnológica de Huejotzingo NO CONFORMIDAD COBIT ITIL v4.1 v3 MAYOR MENOR Especificar: Requerimientos (R).1: Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME) MARCO DE REFERENCIA A ITIL v3: Soporte de Servicio (SS) Entrega de Servicio (ES) Planes para Implantar la Gestión del Servicio (PIGS) Gestión de la Infraestructura y Comunicaciones de TI (ICT) Gestión de las Aplicaciones (GA) Perspectiva de Negocio (PN) Seguridad (S) Página 49 . Gemtel es una empresa dedicada a redes inalámbricas. Incumplimiento (I). Evidencia (E) R. 13 dicha empresa tiene 4 años ofreciendo el servicio a la Universidad Tecnológica de Huejotzingo. sin embargo es confiable desde hace dos años. debido a que mejoro el servicio ofrecido a la universidad. internet de alta velocidad y acceso remoto dial up.

Contemplando que se cuenta con una población aproximada de 2000 usuarios que reciben el servicio de internet. Página 50 . por lo que la afectación que les provoca el servicio outsourcing tiene menor impacto en el desarrollo de su actividades. Profesores de Tiempo Completo (PTC) y Profesores de Asignatura (PA).AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RESULTADOS DE LAS ENCUESTAS Universidad Tecnológica de Huejotzingo Se llevó a cabo la aplicación de encuestas a los usuarios del servicio outsourcing. la empresa Solution Corp decidió encuestar al 5% de la población total estipulada con anterioridad. los cuales son clasificados de la siguiente manera:     Administrativos (Servicios Escolares. Son los usuarios que proporcionan el servicio de Laboratoristas 10% internet local al alumnado y que por lo tanto conocen con mayor facilidad las deficiencias que el servicio presenta. Alumnos. Biblioteca). Laboratoristas. Este tipo de usuarios utiliza el servicio en menor PTC y PA 8% cantidad. Debido a que es la población que utiliza con mayor Alumnos 80% frecuencia el servicio de internet tanto inalámbrico como local. que se distribuye de la siguiente forma: TIPO DE USUARIOS PORCENTAJE JUSTIFICACIÓN Se eligió este porcentaje debido a que este tipo de Administrativos 2% usuarios recibe un mejor servicio por las funciones que desempeñan.

37. RUBRO 35. de Rubro Gráfica 1. 42. Resultados 30 25 20 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 No. 44. 45. 43. 46. 38.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Los resultados obtenidos de las encuestas son los siguientes: Universidad Tecnológica de Huejotzingo EVALUACIÓN DEL SERVICIO DE INTERNET (ALUMNOS) EXCELENTE NO CUMPLE 7 2 6 6 6 3 4 4 9 6 7 6 DEFICIENTE 15 17 17 15 20 11 18 19 23 11 20 20 REGULAR 32 41 30 27 30 37 40 26 26 28 30 25 No. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: ¿Cubre tus necesidades académicas? ¿Los tiempos de respuesta son? ¿Cómo calificarías el equipo de cómputo de los laboratorios? 4 2 6 7 6 3 4 7 4 6 4 6 22 18 21 25 18 26 14 24 18 29 19 23 45 40 35 No. 40. 36. 41. 39. Evaluación del Servicio de Internet (Alumnos) Página 51 Excelente Bueno Regular Deficiente No Cumple BUENO .

15 16 Excelente Bueno Regular Deficiente No Cumple Página 52 . RUBRO 47. 48. 50. es decir. ¿Cómo calificas en número de equipos de cómputo existentes? La disponibilidad con la cuentan los laboratorios es: El antivirus con el que cuentan los equipos de cómputo lo consideras: La instalación del cableado lo consideras: 6 5 16 21 BUENO 35 19 29 23 26 19 28 18 4 2 10 6 11 14 7 21 35 30 25 No. Resultados 20 15 10 5 0 13 14 No. 49. EVALUACIÓN DE LABORATORIOS (ALUMNOS) EXCELENTE NO CUMPLE DEFICIENTE REGULAR No. donde como resultado final se observa que el usuario logra cubrir la mayoría de sus necesidades con el servicio de internet con el que cuenta actualmente la institución. no cubre las necesidades de los usuarios al 100% sin embrago les permite llevar acabo la realización de sus actividades básicas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo De acuerdo a los datos estadísticos obtenidos en la siguiente grafica se concluyó que el servicio de internet proporcionado a los alumnos es regular. Evaluación de Laboratorios (Alumnos) Hallar mejoras en laboratorios para brindar un mejor servicio de internet. Rubro Gráfica 2. tales como la búsqueda de información a través de la navegación de internet.

59. 58. Evaluación de Unidad Informática (Alumnos) Con el objetivo de identificar si el usuario conoce el área Cetro de TI. 52. 55. para cualquier duda o fallo en el servicio de internet que se le brinda. de Rubro Gráfica 3. 20 21 SI NO EVALUACIÓN DE ACCESO A INTERNET (ALUMNOS) No. 54. RUBRO ¿Utilizas con frecuencia el servicio de Internet? ¿Requiere una cuenta para acceder a este servicio? ¿Conoce el proceso que se realiza para adquirir dicha cuenta? ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? SI 54 49 39 35 NO 26 31 41 45 Página 53 . RUBRO ¿Conoces el departamento de Unidad Informática? ¿Sabes dónde se encuentra? ¿Crees que la ubicación de la unidad informática es de fácil acceso? ¿Sabes quién es la persona responsable? ¿Conoce el horario del personal responsable de la administración de la red? SI 45 47 39 32 18 NO 35 33 41 48 62 70 60 No. 51.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EVALUACIÓN DE UNIDAD INFORMÁTICA (ALUMNOS) No. 57. 56. de Respuesta 50 40 30 20 10 0 17 18 19 No. 53.

63.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No. 66. de Respuesta 50 40 30 20 10 0 22 23 24 25 26 27 28 29 No. 68. de Rubro Gráfica 4. Evaluación de Acceso a Internet (Alumnos) Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contraseña para el acceso a internet. además de los derechos y obligaciones que adquiera al hacer uso de la misma. RUBRO Universidad Tecnológica de Huejotzingo SI NO ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 34 42 30 30 46 38 50 50 61. 60. ¿Existen problemas al conectarse a internet? ¿Los problemas existentes afectan la realización de su trabajo? Si tuvieras alguna queja ¿sabes con quien y donde presentarla? ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO 63 57 54 25 43 17 23 26 55 37 Página 54 . 67. 62. SI NO EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS) No. con la cuenta que ha adquirido 60 No. RUBRO ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 65. ¿Solo usted tiene acceso a esta cuenta? Su cuenta siempre está disponible Tiene acceso a cualquier tipo de página web. 64.

RUBRO 1. de Rubro Gráfica 5. de Respuesta 50 40 30 20 10 0 30 31 32 No. ¿Cómo consideras el servicio de internet? ¿Cuál es su grado de satisfacción general con el servicio? ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? 0 1 2 1 2 0 2 3 1 1 6 8 11 11 6 6 9 9 7 9 14 11 9 9 11 13 9 8 8 12 7 9 6 7 7 7 6 5 9 6 4. 7. 10. Evaluación de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo haga en el lugar correcto. 2. 8.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 70 60 No. 6. La página de inicio para obtener acceso a la red es: ¿Cómo califica la conexión del Internet Inalámbrico? ¿Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalámbrico es: ¿Cómo consideras la restricción al acceso a páginas web? La velocidad utilizada en la transmisión de internet la consideras: ¿Cubre tus necesidades académicas? Página 55 N/A 0 0 2 0 1 1 1 0 1 0 . 33 34 SI NO EVALUACIÓN DEL SERVICIO DE INTERNET (PROFESORES) EXCELENTE NO CUMPLE 3 1 0 2 3 3 3 5 4 2 DEFICIENTE REGULAR BUENO No. con la persona correcta. 3. 9. 5.

¿Cómo calificas en número de equipos de cómputo existentes? La disponibilidad con la cuentan los laboratorios es: 2 2 7 8 11 14 10 4 Página 56 N/A 0 2 N/A 0 2 . de Respuestas 10 8 6 4 2 0 1 2 3 4 5 6 7 8 9 10 11 12 No. 12. de Rubro Gráfica 6. Excelente Bueno Regular Deficiente No Cumple No Aplica EVALUACIÓN DE LABORATORIOS (ALUMNOS) EXCELENTE DEFICIENTE REGULAR BUENO No. RUBRO 11. donde se logra observar que el nivel de satisfacción es regular.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EXCELENTE NO CUMPLE 1 1 NO CUMPLE 0 0 DEFICIENTE REGULAR BUENO No. ¿Los tiempos de respuesta son? ¿Cómo calificarías el equipo de cómputo de los laboratorios? 0 1 8 10 14 11 7 5 14 12 No. Evaluación del Servicio de Internet (Alumnos) Con el objetivo de conocer el grado de satisfacción que tienen los profesores en cuanto al servicio de internet. 14. RUBRO 13.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EXCELENTE NO CUMPLE 4 1 DEFICIENTE REGULAR BUENO No. el cual se observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfacción. El antivirus con el que cuentan los equipos de cómputo lo consideras: La instalación del cableado lo consideras: 2 3 4 8 12 11 8 7 14 12 No. de Rubro Gráfica 7. RUBRO 15. 20. RUBRO ¿Conoces el departamento de Unidad Informática? ¿Sabes dónde se encuentra? ¿Crees que la ubicación de la unidad informática es de fácil acceso? ¿Sabes quién es la persona responsable? ¿Conoce el horario del personal responsable de la administración de la red? SI 28 27 24 27 21 NO 2 3 6 3 9 ALGUNAS VECES 0 0 0 0 0 N/A 0 0 0 0 0 Página 57 N/A 0 0 . 19. 16. 17. Excelente Bueno Regular Deficiente No Cumple No Aplica EVALUACIÓN DE UNIDAD INFORMÁTICA (PROFESORES) No. de Respuestas 10 8 6 4 2 0 13 14 15 16 No. 21. 18. Evaluación de Laboratorios (Profesores) Obtener el grado de satisfacción que tienen los laboratoristas en cuando el servicio de internet.

29. EVALUACIÓN DE ACCESO A INTERNET (PROFESORES) No. 22. de Respuestas 25 20 15 10 5 0 17 18 19 No. 23.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 30 No. RUBRO ¿Utilizas con frecuencia el servicio de Internet? ¿Requiere una cuenta para acceder a este servicio? ¿Conoce el proceso que se realiza para adquirir dicha cuenta? ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. 28. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. con la cuenta que ha adquirido SI 28 21 21 20 NO 2 8 7 8 ALGUNAS N/A VECES 0 0 0 0 0 1 2 2 13 19 17 14 15 8 10 13 0 0 0 0 2 3 3 3 Página 58 . 24. 25. ¿Solo usted tiene acceso a esta cuenta? Su cuenta siempre está disponible Tiene acceso a cualquier tipo de página web. para cualquier duda o fallo en el servicio de internet que se le brinda. Evaluación de Unidad Informática (Profesores) Con el objetivo de identificar si el profesor conoce el área Cetro de TI. de Rubro 20 21 SI NO Algunas Veces NA Gráfica 8.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” 30 25 No. RUBRO ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. ¿Existen problemas al conectarse a internet? ¿Los problemas existentes afectan la realización de su trabajo? Si tuvieras alguna queja ¿sabes con quien y donde presentarla? ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO ALGUNAS N/A VECES 23 25 21 23 22 7 3 8 7 8 0 1 1 0 0 0 1 0 0 0 Página 59 . de Resultados Universidad Tecnológica de Huejotzingo SI 20 NO 15 10 5 0 22 23 24 25 26 No. 32. Evaluación de Acceso a Internet (Profesores) Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contraseña para el acceso a internet. de Rubro 27 28 29 Algunas Veces NA Gráfica 9. EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES) No. 33. además de los derechos y obligaciones que adquiera al hacer uso de la misma. 30. 34.

de Rubro 33 34 NO Algunas Veces NA Gráfica 10. con la persona correcta. Página 60 . de Resultados 25 20 15 10 5 0 30 31 32 No. Evaluación de Fallos en el Acceso a Internet (Profesores) Identificar si el profesor tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo haga en el lugar correcto.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo 35 30 SI No.

Recomendaciones .

que se realizó del 12 al 28 de octubre del presente año. En el citado informe encontrará el dictamen y las condiciones a las cuales se llegaron después de la aplicación de las técnicas y procedimientos de la auditoría de sistemas. Karina Gómez Puerto Universidad Tecnológica Huejotzingo P R E S E N T E Me permito informarle a Usted el Informe de Resultados de la auditoría practicada al Servicio Outsourcing administrado por el departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo. la operación de la red tanto física como lógica.Santa Ana Xalmimilulco Hue. La revisión realizada fue de carácter integral y comprendió la evaluación. ____________________________ TSU. el cumplimiento de las actividades y funciones asignadas al personal. Areli Rojano Calixto AUDITOR SENIOR . de la estructura organizacional del departamento. el estado del hardware y software y la revisión de la gestión informática. a 28 de Octubre de 2010 Lic. Pue. Quedo a usted para cualquier aclaración al respecto.

2 Por la tanto la empresa Solution Corp utilizó el Modelo de Madurez para la Administración y Control de los procesos de TI para llevar a cabo la evaluación de los procesos del servicio de Internet. y se deja la responsabilidad al individuo. no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de capacidad deseado. TI se usa de forma integrada para automatizar el flujo de trabajo. brindando herramientas para mejorar la calidad y la efectividad.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo EVALUACIÓN DE UNIDAD INFORMÁTICA APLICANDO MODELO DE MADUREZ PARA LA ADMINISTRACIÓN Y EL CONTROL DE LOS PROCESOS DE TI En la actualidad la evaluación de la capacidad de los procesos basada en los Modelos de Madurez de COBIT es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y controles críticos de TI. y se han difundido a través de entrenamiento.  Nivel 3 – Definido: Los procedimientos se han estandarizado y documentado. se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. Este Modelo Genérico de Madurez de COBIT se compone de los siguientes niveles:  Nivel 0 . No hay entrenamiento o comunicación formal de los procedimientos estándar. Existe un alto grado de confianza en el conocimiento de los individuos y.  Nivel 4 – Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. se deja que el individuo decida utilizar estos procesos.Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea.  Nivel 1 – Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. los errores son muy probables. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.No Existente: Carencia completa de cualquier proceso reconocible. Sin embargo. haciendo que la empresa se adapte de manera rápida. Sin embargo. por lo tanto.  Nivel 2 . y es poco probable que se detecten desviaciones. Los procesos están bajo constante mejora y proporcionan buenas prácticas. 2 El modelo de madurez de COBIT se deriva de CMMI Página 63 . el cual es administrado por el departamento de Unidad Informática perteneciente a la Universidad Tecnológica de Huejotzingo. el modelado de la madurez permite identificar y demostrar a la dirección las brechas en la capacidad. Se usa la automatización y herramientas de una manera limitada o fragmentada.  Nivel 5 – Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica.

por ende la satisfacción del usuario no es cubierta en el servicio de internet. Existen medidas de seguridad estandarizadas sin embrago en Seguridad Definido ocasiones estás medidas pueden ser aplicadas o no por el personal y por lo tanto ocasionan que el servicio a internet sea más vulnerable. Página 64 . el cual genera incumplimiento en un menor porcentaje. La Universidad de Tecnológica de Huejotzingo cuenta con una infraestructura de red no adecuada a las necesidades (no para todos los edificios). lo que género que sé que se Repetible adecuara una infraestructura red de acuerdo al inmueble existente. se logra cubrir la gran mayoría de Departamento de Unidad Informática Repetible necesidades de los usuarios en el servicio de internet. El servicio outsourcing brindado por Gemtel es bueno. porque no se llevan a cabo en un 100%. ya sea por cableado o inalámbrica. Cabe mencionar que existe un contrato donde se establecen los lineamientos del servicio entre el proveedor y la universidad. sin embargo existen deficiencias en el mismo debido a que no existe una Outsourcing Administrado comunicación eficaz entre el proveedor y la Universidad. no cuenta con un manual de organizacional el cual le impide saber las funciones de trabajo que deberán llevar a cabo. Esto ha provocado problemas para un buen servicio de internet.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo A continuación se presenta el resultado de la evaluación de dichos procesos: ASPECTOS RELACIONADOS AL NIVELES DEL MODELO GENÉRICO DE MADUREZ El departamento de Unidad informática. debido a que no existió contemplar la instalación de una Infraestructura de la Red red . Cabe mencionar que existen procesos para contra restar anomalías de la red. existen procesos que llevan a cabo pero no se tiene un programa o JUSTIFICACIÓN metodología que permita cumplir con las metas establecidas. por lo cual requiere de establecer mejoras en el proceso y de establecer procesos que sean sometidos a mejora continua para llegar a la Calidad satisfactoria. además de las responsabilidades y expectativas del puesto.

La instalación eléctrica con la que cuenta la unidad informática se adaptada a las necesidades del área. sin embargo la demanda por parte de los usuarios no es cubierta al 100%. Cabe mencionar que no es sometida a un monitoreo o seguimiento. El equipo de con el que cuenta la unidad de informática provee un Hardware Administrado servicio de internet estable sin embrago existen mejores equipos que pueden ser implementados para proporcionar un servicio de internet de alto rendimiento. debido a que no se Personal Repetible cuenta con el personal suficiente para cubrir estas necesidades.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” NIVELES DEL MODELO GENÉRICO DE MADUREZ Universidad Tecnológica de Huejotzingo ASPECTOS RELACIONADOS AL JUSTIFICACIÓN El departamento de Unidad Informático tiene personal capaz de responder a las necesidades del área. lo que con lleva a que no se detecten las deficiencias o problemas que puedan presentarse en la instalación. Página 65 . además de que no existe un documento donde se establezcan las funciones del personal generando deficiencia en el seguimiento de los procesos. sin embargo no se cuenta con Instalación Eléctrica Repetible un mantenimiento constante a la misma.

PO4. Criterio: PO4.4 Ubicación Organizacional de la Función de TI. DETALLE Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF. Criterio: PO4.1 Causa: Plantear ante autoridades la necesidad de contemplar 2 la Unidad de Informática. lo que ocasiona que dicha área sea desconocida. para darlo a conocer.15 Relaciones de COBIT v4. haciendo mención de los beneficios que se pueden obtener. con el propósito de que todo a que requiera servicios en TI sepa a quien dirigirse. ya que dichas áreas son totalmente distintas.5 Estructura Organizacional de COBIT v4. Condición: El departamento de Unidad Informática es controlado por del Área de Administración de Finanzas. INFORME DEPARTAMENTO DE UNIDAD INFORMÁTICA Condición: El departamento de Unidad Informática no se encuentra en el organigrama de la Institución.1 Causa: Se debe llevar a una reunión donde se establezca la importancia a contar un Centro de Tecnologías de la 1 Información. Efectos: Que no se lleven a cabo procesos en TI más rigurosos. Efectos: Trabajar con las herramientas que se tienen. además desconocer a quien acudir cuando existe una problemática en la conexión de internet. claro que esto no impide que se adquiera mejoras en los procesos del servicio de internet Recomendaciones: Que la Unidad Informática lleve a cabo estrategias planteadas (metas) para un mejor servicio al cliente. ALTA MEDIA BAJA  Encuestas aplicadas usuarios servicio Outsourcing a de  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno Página 66 . Recomendaciones: Contemplar dentro del organigrama el área de Unidad de Informática haciendo referencia al responsable de dicha área.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” RECOMENDACIONES No. el cual no está completamente relacionada con dicho departamento.

el cual permita cumplir con las expectativas del servicio 3 en TI en la universidad.1 Causa: Reunión para establecer las funciones por escrito para que 4 responda conforme a lo establecido. Página 67 ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno  Cuestionario de Control Interno responsabilidad continua. el cual haga responsable al personal de crear nuevas estrategias de trabajo (Plan de trabajo) que mejoren el servicio. . solo lo haga para resolver problemas que se ocasionan en el momento. PO4. sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. Condición: La funciones de cada integrante del área de Unidad Informática están especificadas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No.1 Causa: Plantear la consideración de la Unidad informática en una reunión en donde se establezcan las funciones que debe cubrir dicha área. INFORME Condición: Internamente en el departamento no existe un organigrama que indique los puestos del personal perteneciente a dicha área y por lo tanto también carece de un Manual de Organización y Funciones. Efectos: A que el personal no realice funciones con ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing Recomendaciones: Que aunque no exista como tal el área de Unidad Informática en el organigrama. DETALLE Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF. Efectos: No se tiene el interés de realizar actividades (como monitoreo de la red) de gran importancia que resuelvan o reduzcan problemas actuales. Criterio: Estructura Organizacional de COBIT v4.6 Establecimiento de Roles y Responsabilidades de COBIT v4. Criterio: Establecimiento de Roles y Responsabilidades COBIT 4. Recomendaciones: Análisis de actividades que se deben llevar a cabo para brindar un buen servicio de internet y establecer un Manual Organizacional. que se establezcan un manual organizacional y las funciones y el perfil que deben cubrir los puestos en el área de Unidad Informática.1.

Efectos: No existe un buen servicio de red (cableado e inalámbrico). INFORME capacitación 2 veces al año si embargo dichas capacitaciones no están enfocadas a la función que ellos desempeñan en la Universidad Tecnológica de Huejotzingo. Recomendaciones: Replantear un diseño eficiente y eficaz que cubra con los requerimientos que satisfagan las necesidades del servicio de red. Condición: El personal DETALLE de Unidad Informática recibe NIVEL RIESGO REF. PO3. INFRAESTRUCTURA DE LA RED Condición: No existe un Plan de Infraestructura de Redes.1 5 Causa: Mediante una reunión llegar a un acuerdo en donde se planteen capacitaciones objetivas al área. Página 68 . para formar personal competente y la vanguardia. Efectos: El personal presenta incompetencia al enfrentarse a situaciones que requieren del conocimiento para resolverlas.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No.1 Causa: 6 Programar una reunión con el director para ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno reestructurar el diseño de red. Criterio: PO4. Criterio: PO3. Recomendaciones: Capacitar al personal en temas que se relacionan al área de trabajo.4 Estándares Tecnológicos de COBIT v4.12 Personal de TI de COBIT v4.2 Plan de Infraestructura Tecnológica.

AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. será necesario:  Restringir los servicios que no son de mayor relevancia para los usuarios. Efectos: El servicio outsourcing no cubre las necesidades de los usuarios debido a que el mismo presenta deficiencias. Página 69 .2 Plan de Infraestructura Tecnológica de COBIT v4. Criterio: PO3. esto hará que el servicio outsourcing más óptimo. riesgos y requerimientos. es decir.1 y Gestión de la Infraestructura y Comunicaciones de TI de ITIL v3. asignar privilegios en la utilización de los servicios los cuales deberán ser asignados de acuerdo a las necesidades que los usuarios presenten. Causa: La Universidad Tecnológica de Huejotzingo no cuenta con los suficientes recursos económicos para solventar los gastos de equipo de red más actualizado y que ofrezca mejores servicios de red. INFORME  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing 7 provoca que las actividades que utilizan dicho servicio se desarrollen con mayor tiempo y esfuerzo. Esto NIVEL RIESGO REF. Recomendaciones: Debido a que la Universidad no cuenta con un recurso económico para adquirir equipo sofisticado.  Establecer un plan de infraestructura de red que equilibre costos. DETALLE Condición: La infraestructura de red se encuentra en buenas condiciones sin embargo no son óptimas para que se establezca un buen servicio de internet a los usuarios.  Definir estándares de Infraestructura de red basados en requerimientos de arquitectura de información.

Criterio: Gestión de la Infraestructura y Comunicaciones de TI de ITIL v3. Causa: Monitoreo no adecuado de la red. Página 70 . DETALLE SEGURIDAD Condición: La mayoría de los problemas ocasionados en la conexión a Internet son daños locales.  Mayor tiempo en la consulta de páginas. logrando que los problemas que se presenten se han corregidos en menor tiempo. la infraestructura no es óptima para proveer el servicio y el personal del departamento no se encuentra siempre que se le requiere lo que ocasiona que los problemas no se resuelvan en un corto tiempo. INFORME  Cuestionario de Control Interno ALTA  Encuestas aplicadas a usuarios de servicio Outsourcing Efectos: Deficiencias en el servicio de internet tales como: 8  No realizar actividades relevantes para el usuario: contestar exámenes en línea.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. enviar algún trabajo. es decir originados en la universidad. BAJA MEDIA Recomendaciones:  Establecer nuevas estrategias para llevar un monitoreo optimizado de la red.  Al establecer un plan de infraestructura de red óptimo nos brindará mayor control sobre los riesgos que se presentan en la red. etc. búsqueda de información. NIVEL RIESGO REF.

INFORME  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno ALTA MEDIA BAJA  Encuestas aplicadas a usuarios de servicio Outsourcing adecuadamente el ancho de banda. se le dificultará aprender los controles y procedimientos utilizados. debido que la Universidad Tecnológica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. Página 71 .AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No. es decir. DETALLE Condición: Los controles y procedimientos que protegen el acceso a conexiones y servicios de red se establecieron verbalmente.1 Causa: El personal que pertenece al departamento de Unidad Informática es reducido. por lo cual se cree que no es 9 conveniente establecer un documento de los controles y procedimientos que protejan el acceso a conexiones y servicios de red. no existe algún documento que sustente dichos controles y procedimientos. deficiencias en la distribución del ancho de 10 banda. Criterio: PO4. Condición: Una de las limitantes para el acceso de internet es el ancho de banda. Efectos: Algunas aplicaciones que requieren el uso de este servicio tardan en cargar. Criterio: Entrega de Servicio de ITIL v3 Causa: Falta de recursos económicos para adquirir mayor ancho de banda. Efectos: Al ingresar un nuevo personal. existen actividades que requieren el uso de más ancho de banda por lo que se suspende el servicio para los demás usuarios y deficiencias en el servicio. Contemplar la adquisición de más ancho de banda. Recomendaciones: Elaborar el documento que establece los procedimientos y controles. Recomendaciones: Realizar un análisis que contemple los requerimientos de los usuarios y con ello distribuir Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF.1 Marco de Trabajo de Procesos de TI COBIT4. lo cual provocará que existan deficiencias en su trabaja y un mal servicio al usuario.

Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al añadir nueva capacidad técnica. además de 12 que dicha comunicación no se establece entre el área responsable de la unidad informática que es el área de Administración de Finanzas Efectos: La solución de problemas el servicio de internet será resuelto en un periodo de tiempo mayor. SERVICIO OUTSOURCING Condición: No existe una comunicación eficaz entre el proveedor de servicios y la Universidad Tecnológica de Huejotzingo. riesgos tecnológicos y vida útil de la inversión para actualizaciones de tecnología. El plan debe considerar extensiones futuras para adiciones de capacidad. Recomendaciones: Establecer y mantener una estructura óptima de enlace. DETALLE Condición: Los componentes físicos de la red no cubren todas las características de la red debido a que estos son adquiridos por que ofrecen una ventaja económica. Criterio: PO4.1 Plan de Adquisición de Infraestructura Universidad Tecnológica de Huejotzingo NIVEL RIESGO REF.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” No. comunicación y coordinación entre la función de TI y el proveedor. costos de transición. es decir. el plan deberá de satisfacer los requerimientos funcionales y técnicos del servicio de internet establecidos. 11 Recomendaciones: Establecer un Plan de Adquisición de Equipo de red que se alinea con el Plan de Infraestructura de Red. INFORME Tecnológica de COBIT v4. Criterio: AI3.1 Causa: Falta de Recursos por parte de la Universidad Efectos: Infraestructura de red no adecuada provocando deficiencia en el servicio.1 Causa: La comunicación existente entre el proveedor y el departamento de unidad informática no es continúa. a través de reuniones cada dos meses.15 Relaciones de COBIT v4. ALTA MEDIA BAJA BAJA MEDIA ALTA  Cuestionario de Control Interno  Encuestas aplicadas a usuarios de servicio Outsourcing  Cuestionario de Control Interno  Encuestas aplicadas a usuarios de servicio Outsourcing Página 72 .

INFORME  Cuestionario de Control Interno ALTA  Encuestas aplicadas a usuarios de servicio Outsourcing  Establecer un proceso para monitorear la prestación del 13 servicio para asegurar que el proveedor está cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio. MEDIA BAJA Página 73 . para asegurar que son efectivos. y que el desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. Efectos: El servicio puede presentar deficiencias y problemas para los usuarios.  Revisar cada 2 meses con el proveedor. sin embargo es confiable desde hace dos años. que están actualizados y que se han tomado en cuenta los cambios en requerimientos. Recomendaciones: NIVEL RIESGO REF. internet de alta velocidad y acceso remoto dial up.AUDITORIA OUTSOURCING “SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo No. Criterio: DS1 Definir y Administrar los niveles de Servicio Causa: Establecer la confianza en un proveedor con lleva tiempo y esfuerzo. DETALLE Condición: Gemtel es una empresa dedicada a redes inalámbricas.  Contemplar la contratación de otros proveedores que otorguen las mismas o mejores ventajas que la empresa establecida actualmente. los acuerdos de niveles de servicio y los contratos de apoyo. por medio de una licitación. debido a que mejoro el servicio ofrecido a la universidad. hosting.

además de que el personal perteneciente a este departamento no es eficaz y eficiente para la solución de los problemas que se presentan en la red. Gestión Informática y Redes. me permito remitir a usted el dictamen de la auditoría aplicada al Servicio de Internet administrado por el Departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo. Areli Rojano Calixto AUDITOR SENIOR . Cabe mencionar que la Universidad Tecnológica de Huejotzingo tiene muy poco ancho de banda para la red local. me permito dictaminar que la red inalámbrica que es una no conformidad mayor debido a que no es factible para la mayoría de los usuarios. haciendo especial énfasis en la información sobre la estructura de la organizacional del departamento. a 28 de Octubre de 2010 Lic. De los resultados obtenidos durante la evaluación me permito informarle a usted las siguientes observaciones y no conformidades: De acuerdo con las pruebas realizadas a la información sobre la estructura organizacional del Departamento de Unidad Informática. misma que se llevó a cabo del día 12 al 28 de octubre del presente año. ATENTAMENTE ____________________________ TSU. además de que el encargado del área del departamento de Unidad informática no tiene el inventario de hardware y estos ocasiona dos no conformidades menores. lo cual no es suficiente para los administradores. Gestión Informática y Redes. profesores y alumnos pertenecientes a la universidad. Karina Gómez Puerto Universidad Tecnológica de Huejotzingo P R E S E N T E Acorde con las instrucciones giradas por el consejo de administración de la Universidad Tecnológica de Huejotzingo. Y por último cabe recordar como una observación que el Departamento de Unidad Informática no se encuentra en la estructura organizacional de la institución y es administrado por un área que no está debidamente relacionada con este departamento.Santa Ana Xalmimilulco Hue. porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red. Pue. debido a que pueden ser controladas y corregidas en muy poco tiempo.

Anexos .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->