Está en la página 1de 53

NOMBRE DE LA ASIGNATURA :AUDITORIA DE TI

TEMA DE INVESTIGACIN:PROYECTO FINAL

Auditoria De TI

Pgina 0

PERFIL DE LA EMPRESA.................................................................................................................................................................. 4
PERFIL DEL REA DE TI................................................................................................................................................................... 6
INTRODUCCION................................................................................................................................................................................. 8
OBJETIVO......................................................................................................................................................................................... 10
ALCANCE.......................................................................................................................................................................................... 12
ENFOQUE DE LA REVISIN............................................................................................................................................................ 13
Metodologa .................................................................................................................................................................................. 13
AREAS DE RIESGO....................................................................................................................................................................... 15
FORTALEZAS DEL REA DE TI....................................................................................................................................................... 16
Matrices de hallazgos por rea.......................................................................................................................................................... 18
reas de soporte............................................................................................................................................................................ 19
rea de desarrollo.......................................................................................................................................................................... 21
rea de redes................................................................................................................................................................................. 24
rea de operaciones...................................................................................................................................................................... 26
rea administrativa......................................................................................................................................................................... 30
Area estratgica........................................................................................................................................................................... 36

Auditoria De TI

Pgina 0

Aseguranza de calidad................................................................................................................................................................... 36
Cumplimientos del control interno...................................................................................................................................................... 40
Soporte......................................................................................................................................................................................... 40
Desarrollo....................................................................................................................................................................................... 41
Redes............................................................................................................................................................................................. 42
rea Administrativa........................................................................................................................................................................ 43
rea de Operaciones..................................................................................................................................................................... 44
rea Estratgica ............................................................................................................................................................................ 45
Aseguranza de Calidad ................................................................................................................................................................. 46
Por calificacin................................................................................................................................................................................... 47
Adecuado....................................................................................................................................................................................... 47
Media............................................................................................................................................................................................. 48
No aplica........................................................................................................................................................................................ 49
No adecuado.................................................................................................................................................................................. 50
Debilidades........................................................................................................................................................................................ 51
Recomendaciones............................................................................................................................................................................. 51
Conclusiones..................................................................................................................................................................................... 53

Auditoria De TI

Pgina 0

PERFIL DE LA EMPRESA

Esta empresa es un grupo editorial que pertenece al sector de servicios, ya que


se dedica al periodismo tanto digital como escrito de la ciudad de Chihuahua
chih. En el estricto cumplimiento de la investigacin, bajo los principios de
honestidad, disciplina y espritu de servicio a la comunidad.
La empresa Omnia Comunicaciones S. de R.L. de C.V. el servicio digital puede
ser localizado en el portal: www.omnia.com.mx, y el semanario escrito se
encuentra distribuido en ms de trescientos puntos en la ciudad.

Auditoria De TI

Pgina 0

Auditoria De TI

Pgina 0

PERFIL DEL REA DE TI

Administrar y supervisar el desarrollo y aplicacin de sistemas (software y hardware)


orientados a facilitar las operaciones administrativas, estableciendo las normas y
lineamientos para el diseo, la implantacin y el control de los mismos.

El rea de TI tiene los siguientes objetivos en torno al objetivo general de la dependencia:

Contar con equipo moderno y tecnologa de punta para la investigacin y actualizacin


pronta de la informacin concentrada.
Adquirir el equipo adecuado para el personal de periodismo, tanto en su intervencin
en los delitos como en su transportacin.
Incorporar los equipos que el departamento necesite para poder efectuar los
procedimientos y operaciones en una forma eficiente, y organizada.
Proporcionar el apoyo al equipo de la organizacin para dirigir las noticias a sus
respectivos lectores en lugar y momento adecuado.
Entre otros objetivos a concretar.

Auditoria De TI

Pgina 0

El rea de TI cuenta con las siguientes reas:

rea administrativa
rea de desarrollo
Redes
Soporte y mantenimiento

Las aplicaciones con que cuenta son las bsicas, Microsoft Office, mientras que las plataformas que se
utilizan para desarrollar son las propias para el lenguaje Java y PHP.

Auditoria De TI

Pgina 0

INTRODUCCION

El presente documento es un diagnstico realizado al Departamento de TI de Omnia comunicaciones,


efectuado con fundamento y gracias al vasto conocimiento adquirido en la materia de Auditora de TI,
impartida por el catedrtico Patricia Araceli Araiza Zapata con motivo de la culminacin del curso Enero
Junio 2012.
Durante tres sesiones y con la autorizacin del Lic. Antonio Payan Gmez, un equipo conformado por
cesar Leyva Len, Jorge Gabriel Irigoyen Andarzola, Nick Manuel Moreno Rodrguez y Briseida Itzel
Hernndez Zalapa, con el fin de conocer los procesos que se manejan dentro de la organizacin, as
como conocer las instalacin, uso y manejo de hardware y software. Por medio de evaluacin de distintos
procesos en distintas reas se fue corroborando el que el departamento est en las condiciones
necesarias para poder desempear las labores dentro de la empresa.

Auditoria De TI

Pgina 0

As pues conociendo los procedimientos que utilizan para el manejo de la informacin y la seguridad de la
misma se busc encontrar las principales fortalezas y debilidades, como oportunidades de mejora.
Es de vital importancia tomar en cuenta que toda la informacin que se maneja en este organismo es
controversial para la ciudadana chihuahuense dado que manejan las noticias e informes de los sucesos
que acontecen da a da en nuestra poblacin, por lo cual es nuestra responsabilidad sealar que el
equipo se someti a todos los lineamientos y polticas de la misma para llevar a cabo un estudio que
busca sea beneficioso tanto para nosotros, equipo de diagnstico con el fin de enriquecer nuestros
conocimientos as como para el Departamento de TI ofreciendo un reporte con todos los hallazgos e
incidencias encontrados de tal manera que dicha evaluacin sea una herramienta que permita a dicho
sector cumplir con un mejor servicio a la audiencia en general.

Auditoria De TI

Pgina 0

OBJETIVO

Evaluar el cumplimiento de los procedimientos de TI, dada la importancia que tiene el uso de TI en
Omnia Comunicaciones, se han establecido los siguientes objetivos dentro del diagnstico realizado a
dicha dependencia, para de esta manera descubrir y potencializar las fortalezas y oportunidades dentro
de la empresa, tomar acciones ante las debilidades y reducir los riesgos potenciales de las amenazas
tales como:

Verificar que existan los planes, polticas y procedimientos relativos a


la seguridad dentro de la organizacin.

Confirmar que exista un anlisis de los controles y procedimientos de


seguridad antes de ser implantados.

Auditoria De TI

Pgina 0

Asegurar la disponibilidad y continuidad del equipo de cmputo el


tiempo que requieran los usuarios para el procesamiento oportuno de
sus aplicaciones.

Asegurar que las polticas y procedimientos brinden la confiabilidad


sobre

la

informacin

manejada

en

el

medio de

desarrollo,

implantacin, operacin y mantenimiento.

Constatar que se brinde la seguridad necesaria a los diferentes


equipos de cmputo que existen en la organizacin.

Comprobar que existan los contratos de seguro necesarios para el


hardware y software de la empresa (elementos requeridos para el
funcionamiento continuo de las aplicaciones bsicas).

Evaluar los recursos humanos, materiales y financieros relacionados


con la tecnologa de informtica.

Evaluar los recursos tecnolgicos de informtica.

Revisin del mantenimiento y soporte que se ofrece a los equipos as


como a las aplicaciones utilizadas dentro de la empresa.

Auditoria De TI

Pgina 0

ALCANCE
El alcance del diagnstico se enfoca en revisar y evaluar los controles, sistemas, procedimientos de
informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos
alternativos se logre una utilizacin ms eficiente y segura de la informacin. Adems se realizar una
comparativa del cumplimiento global de los procesos para brindar una perspectiva amplia del
desempeo propio de cada uno de los procedimientos evaluados, es importante sealar que la
evaluacin no incluye las aplicaciones en produccin, ya que slo se trata de una evaluacin
estratgica.

Auditoria De TI

Pgina 0

ENFOQUE DE LA REVISIN
Metodologa

La metodologa que fue utilizada para llevar a cabo la revisin contempla 4 principales etapas:

Auditoria De TI

Pgina 0

1. Definicin. Se parte de la necesidad de desarrollar una revisin, se detalla la descripcin de la


empresa, los objetivos, metas y factores, el enfoque que se utiliz fue Delos, en esta etapa se
defini tambin el objetivo de la revisin.

2. Anlisis. Se inici con los productos obtenidos en la fase anteriormente descrita, en la fase de
anlisis se identificaron los procedimientos de control, se detectaron los atributos de calidad de
dichos procedimientos y se recopilaron las validaciones de los procedimientos de control.

3. Evaluacin. Durante esta fase se seleccionaron y aplicaron las pruebas de diagnstico que se
consideraron pertinentes en las distintas reas que conforman al departamento de TI. Habiendo
realizado dichas pruebas, se procedi a la calificacin de las mismas y a la generacin de
resultados.

Auditoria De TI

Pgina 0

4. Conclusin. En la ltima parte de la metodologa se realiz la culminacin del trabajo de


diagnstico al departamento de TI. Es en esta etapa donde se determina el impacto que las
deficiencias o fortalezas tienen en el objetivo de la organizacin. Tambin se generaron
recomendaciones y propuestas de valor para que la dependencia pueda aplicar medidas correctivas
para subsanar las deficiencias detectadas por el presente diagnstico.

AREAS DE RIESGO
Integridad.
La informacin puede carecer de atributos bsicos debido a que los datos pueden haber sido
modificados, estn incompletos o inexactos.

Auditoria De TI

Pgina 0

Confidencialidad.
Divulgacin indebida de la informacin sensitiva para la empresa.

Disponibilidad.
Falta de informacin requerida en la forma, tiempo o lugar necesario. La disponibilidad de los datos
se ha convertido en un aspecto cada vez ms relevante, bajo los esquemas de comunicacin por
redes y procesamiento cliente/ servidor.

Relevancia.
Poca o nula utilidad de la informacin que es procesada, creada y/o obtenida por una aplicacin del
sistema.

FORTALEZAS DEL REA DE TI


Dentro de la evaluacin de los procesos de control se encontraron las siguientes fortalezas:

Auditoria De TI

Pgina 0

Adecuado mantenimiento preventivo de TI

Adecuado manejo de herramientas CASE

Adecuada contabilidad de costos

Adecuada descripcin y perfiles de puestos del rea de TI

Adecuado equipo de regulacin de energa elctrica

Adecuada separacin de programas fuente y objeto

Adecuada proteccin de acceso a programas

Adecuada bitcora de accesos al sistema

Adecuada evaluacin del impacto de nueva tecnologa

Adecuada bitcora de operaciones de red

Adecuado reporte de evaluacin del desempeo de TI

Auditoria De TI

Pgina 0

Matrices de hallazgos por rea

A continuacin se hace una descripcin detallada de cada uno de los procesos de control realizados por rea, se podr
encontrar adems de dicha descripcin el rea de riesgo correspondiente a dicho proceso de control evaluado, sugerencias
respecto a la situacin actual calificada as como la identificacin del puesto responsable de dicha rea.

Auditoria De TI

Pgina 0

Soporte
Acuerdo de mantenimiento preventivo
Hallazgo
rea de riesgo
Sugerencia
Incluye a todos los equipos crticos ya que en Integridad
Que se supervise y se de
todas las areas es indispensable que funcionen al
seguimiento al anlisis y
100% pues se encuentran interconectados, todo el
actualizacin de la
registr es documentado pero no es supervisado,
documentacin
cualquier falla es atendida inmediatamente, todo el
personal
responsable
del
equipo
tiene
conocimiento del mantenimiento preventivo, y es
efectivo

Responsable
Jefe de soporte

reas de soporte

Herramientas de modelado para la configuracin del equipo


Hallazgos
rea de riesgo
La mayora de los equipos son estables, ms no
Disponibilidad
confiables, si estn bajo seguridad, pero no
restringido, ya que se podra publicar informacin
falsa o carente de veracidad.

Sugerencia
Que exista mas control en los
accesos del personal hacia las
herramientas

Responsable
Jefe del rea de
informtica

Auditoria De TI

Pgina 0

Procedimiento de configuracin del software


Hallazgo
rea de riesgo
Sugerencia
Se basa en un procedimiento documentado, sin integridad
Se sugiere se cree una
embargo el personal no lo ha visto, contiene
bitcora de actualizaciones, y
controles, parmetros e indicaciones suficientes,
se d a conocer al personal
se modifican solo por el personal autorizado pues
involucrado de dicha
solo el jefe es el que puede modificar aunque se
documentacin
admiten sugerencias de los dems. No cuenta con
asesora
especializada
ni
bitcora
de
actualizaciones, no incluye pruebas de aceptacin
y esta asignada al responsable de soporte y
mantenimiento. No est actualizada ni completa, el
personal
tiene
conocimiento
de
dicho
procedimiento sin embargo no se encuentra al
alcance

Responsable
Jefe del rea de
informtica

Auditoria De TI

Pgina 0

rea de desarrollo
Desarrollo
Areas independientes para la prueba de paquetes y sistemas en desarrollo
Hallazgos
rea de riesgo
Sugerencia
Responsable
No son independientes, ya que todo se prueba Confidencialidad
Es recomendable que el rea Jefe del rea de
dentro de la misma rea por lo que cuenta con
de prueba de paquetes y el de informtica
proteccin de acceso, solamente el desarrollador
sistemas en desarrollo se
puede realizar las pruebas y proporciona un
encuentren
en
distintas
ambiente
de
prueba
realistas,
dichos
areas, as mismo se dar
desarrolladores estn bajo la responsabilidad del
lugar a un mejor control de
encargado de TI
acceso
Herramienta CASE
Hallazgos
Cubre todas las fases del ciclo de vida del sistema,
no se hace un plan de desarrollo por lo que no
integra por completo las fases de desarrollo. Existe
un repositorio de informacin, se tiene la capacidad
de generar cdigo de diferentes plataformas. Cuando
se va a desarrollar un nuevo sistema se basa en los
modelos anteriores para dicho sistema, existe una
metodologa que documenta, sin embargo no se
sigue al pie de la letra. Se cuenta con control de
acceso a las herramientas CASE, es multiusuario y
multiplataforma, no se cuenta con soporte por parte
del proveedor ya que dicho soporte se da de manera
interna, el cdigo que se genera es eficiente. Se
cuenta con 4 polticas de desarrollo de las cuales se
siguen solamente 2. Estas herramientas estn bajo

rea de riesgo
Integridad

Sugerencia
Responsable
Se sugiere que se haga un Jefe de desarrollo
plan de desarrollo para
integrar todas las fases de
desarrollo,
tambin
es
recomendable que se siga la
metodologa establecida al pie
de la letra, es importante que
el personal de TI conozca las
herramientas CASE para que
puedan aprovechar al mximo
estos sistemas de apoyo al
desarrollo

Auditoria De TI

Pgina 0

la responsabilidad de todos los desarrolladores mas


no todo el personal de ti lo conoce y lo utiliza. Las
herramientas estn actualizadas y completas

Separacin de programas fuente y objeto


Hallazgos
rea de riesgo
Existe una separacin de programas fuente y Integridad
objeto, tambin se tiene control de versiones, los
programas fuente se encuentran resguardados y
respaldados, la mayora de estos programas se
encuentran debidamente documentados esta
accin esta asignada a un responsable (la
separacin de programas fuente y objeto)
Funcin de investigacin tecnolgica
Hallazgos
La funcin de investigacin tecnolgica no existe
formalmente en la organizacin

rea de riesgo
Integridad

Sugerencia
Que
se
lleve
rigurosamente
documentacin
programas

a
de

Responsable
cabo Jefe del rea de
la informtica: Luis
los Carmona G.

Sugerencia
Responsable
Se recomienda que la funcin No aplica
de investigacin tecnolgica
exista formalmente en la
organizacin de la empresa,
orientada a la definicin de la
empresa,
orientarse
a
la
definicin de la direccin
tecnolgica, as mismo sea
consistente con la estrategia de
la
organizacin
y
sea
desarrollada de forma efectiva.
es
importante
incluir
consideraciones
para
contingencias, que fundamente
los planes de adquisicin de
tecnologa, que se asigne a un
responsable y sea conocida por

Auditoria De TI

Pgina 0

el personal pertinente

Administracin de desempeo de tecnologa


Hallazgos
rea de riesgo
El monitoreo de los recursos es llevado a cabo por Relevancia
sector, no incluye indicadores o factores crticos de
xito adecuados para medir su desempeo. Existe
una bsqueda permanente de vulnerabilidades
ms no de problemas de seguridad. No se rinde
controles que permitan una confiable y oportuna
retroalimentacin, sin embargo existen iniciativas
de mejora para el desempeo, aunque no siempre
se llevan a cabo, estas iniciativas son realizadas
por auditara interna. Se monitorea mediante
herramientas de modelado llevadas a cabo por el
centro de calidad. Esta monitorizacin se
encuentra
documentada,
mayoritariamente
actualizada y completa, es conocida por el
personal de desarrollo.

Sugerencia
Que tambin se tomen a
consideracin las
recomendaciones hechas por
auditora externa

Responsable
Jefe de desarrollo

Auditoria De TI

Pgina 0

rea de redes
Hallazgos
La estrategia cliente servidor es la adecuada para
la empresa, pues se justifica su empleo en los
sistemas de la empresa, se promueve el
aprovechamiento de sus capacidades, se informa
de haber dicha documentacin son embargo se
desconoce el paradero de la misma

Redes
Estrategias cliente servidor
rea de riesgo
Sugerencia
Responsable
Disponibilidad
Que se haga del conocimiento Jefe del rea de redes.
de dicha estrategia al personal
involucrado y tener que hacer
un
inventario
de
la
documentacin por todo lo que
se maneja en el mismo

Diseo topolgico de la red


Hallazgos
rea de riesgo
En lo que se refiere a la topologa se maneja un Integridad
esquema de tipo anillo cuando la empresa por
estar centrada. Los elementos de respaldo
solamente se hacen en areas crticas, la mayora
de personal de TI conoce este diseo. Existe un
responsable del diseo de la topologa de la red

Sugerencia
Responsable
Se recomienda usar mas una Jefe del rea de redes.
topologa tipo estrella dado
que los nodos se encuentran
adversos el uno al otro pero
comparten el fin comn y se
documente como tal para as
tener facilidad de opciones
correctivas dado el caso.

Auditoria De TI

Pgina 0

Zona desmilitarizada
Hallazgos
Se genera una bitcora pero esta desactualizada,
es decir, hay un desfase de 2 a 3 das entonces se
desconoce el estado actual de dicha zona

rea de riesgo
Relevancia

Procedimiento de conexin y desconexin de puntos remotos


Hallazgos
rea de riesgo
Aunque no se encuentra documentado o no esta Integridad
automatizado los procedimiento de conexin
remotos se hace manualmente, se cuanta con
mecanismos de supervisin de irregularidades, no
est asignado a un responsable, ya que todo el
personal de TI lo conoce y lo aplica de igual
manera no est totalmente actualizado y completo
pero si es aplicado en forma consistente y
adecuado.

Sugerencia
Tener actualizada el estado de
la zona desmilitarizada para
tener un conocimiento
adecuado y oportuno.

Responsable
Jefe del rea de redes

Sugerencia
Que se documente y se
nombre un responsable de
dicho procedimiento. Adems
se sugiere que se mantenga
actualizado

Responsable
Jefe del rea de redes

Auditoria De TI

Pgina 0

rea de operaciones
Operaciones
Registro de fallas en los sistemas de produccin
Hallazgos
rea de riesgo
Sugerencia
Responsable
No se tiene ningn registro en los sistemas de
Integridad
Que se documente las fallas Jefe de departamento de
produccin
en los sistemas de produccin operaciones
para poder llevar un control
adecuado de los sistemas y
poder tomas decisiones en
cuanto actualizacin y compra
de equipo

Bitcora de acceso al sistema


Hallazgos
La bitcora de acceso al sistema no se conserva
en un medio protegido completamente contra
accesos indebidos, no se genera un reporte de
actividad totalmente adecuado

rea de riesgo
Integridad

Sugerencia
Responsable
Que la bitcora de accesos al Jefe del departamento
sistema se conserve en un de operaciones
medio
protegido
completamente
pues
los
accesos es informacin vital
que puede ser requerida en
caso de que ocurra alguna
situacin crucial para la
empresa. Es recomendable
que se genere un reporte de

Auditoria De TI

Pgina 0

actividad totalmente adecuado


por la misma razn

Administracin de cintas y cartuchos magnticos


Hallazgos
rea de riesgo
Los Cd que se utilizan para respaldar informacin Confidencial
as como USB no contienen etiquetas externa de
identificacin, no se tiene control totalmente
adecuado sobre dispositivos scratch, tampoco o se
restringe la capacidad de copiar informacin a
unidades externas. No se cuenta con soporte
automatizado ni se encuentra conocida por el
personal de TI y tampoco es actualizada como
incompleta

Inventario de cintas y cartuchos magnticos


Hallazgos
No se encuentran totalmente documentados

rea de riesgo
Integridad

Sugerencia
Responsable
Que
se
identifique Jefe del departamento
correctamente
aquellos de operaciones
dispositivos
de
almacenamiento para tener un
mejor control sobre ellos, que
adems se controle de una
manera ms rigurosa el
copiado
de
informacin,
adems es recomendable que
se encuentre documentacin
al respecto y se d a conocer
al personal involucrado en ello

Sugerencia
Responsable
Aunque se realiza de manera Jefe del departamento
peridica y se sugiere que de operaciones
todo el inventario sea incluido
en los reportes y bitcoras
apropiadas, teniendo dicha
documentacin completa, esta
herramienta podr ser utilizada
satisfactoriamente
en
los

Auditoria De TI

Pgina 0

casos en que se requiera

Relacin de usuarios autorizados


Hallazgos
No se encuentra formalmente documentada

Bitcora de operacin de computo


Hallazgos
La bitcora de operaciones de computo no xito
por lo cual no es posible compararlo con el
calendario de operaciones

rea de riesgo
Integridad,
confidencialidad

Sugerencia
Responsable
La documentacin de los Jefe del departamento
usuarios
que
estn de operaciones
autorizados a las distintas
reas y sus respectivas
actividades
deben
estar
apropiadamente
documentadas y dadas a
conocer, as no se dar lugar a
confusiones
y
acciones
realizadas por el personal no
autorizado, en caso de que
ocurra se tendr la evidencia
tanto documental como de
conocimiento del usuario que
fingi algn permiso

rea de riesgo
Integridad

Sugerencia
Responsable
Es importante contar con la Jefe del departamento
bitcora de operacin de de operaciones
computo, en caso de que se
presente alguna oportunidad
de mejora en cuanto al uso de
los equipos, ser difcil saber

Auditoria De TI

Pgina 0

dnde o quienes hay que


optimizar las habilidades para
el uso correcto de este equipo

Inventario de aplicaciones de TI
Hallazgos
El inventario de aplicaciones de TI no es conocido
por la totalidad del personal de la empresa, pues
se limita a ser divulgado al personal de TI

rea de riesgo
Disponibilidad

Sugerencia
Cabe de sealar que aunque
no todo el personal de la
empresa requiere saber el
inventario de aplicaciones,
sera conveniente que tuvieran
un conocimiento general de
cmo se trabaja en la empresa
en cuanto aplicaciones

Responsable
Jefe del departamento
de operaciones

Auditoria De TI

Pgina 0

rea administrativa
Hallazgos
No se cuenta con certificaciones o
especializaciones, sin embargo dicha accin se
tiene contemplada para ser iniciada en unos
cuantos meses en la empresa

Administrativo
Personal de TI calificado
rea de riesgo
Sugerencia
Responsable
Relevancia
Que se lleve a cabo el contar Administrador general
con
certificaciones
y
especializaciones del personal
en tiempo y forma profesional,
es de vital importancia que se
realice estas acciones, as se
favorecer a la empresa tanto
en desempeo como en
calificacin personal

Contabilidad de costos de TI

Auditoria De TI

Pgina 0

Hallazgos
La contabilidad de costos no es conocida por el
comit de informtica, sino que este solo sabe su
existencia, mientras que el jefe de sistemas tiene
acceso a l

rea de riesgo
disponibilidad

Definicin de propiedad y custodia de recursos de TI


Hallazgos
rea de riesgo
La definicin de propiedad y custodia de recursos
integridad
de TI no es formal ni se encuentra documentada

Licencias de software comercial


Hallazgos
No existen licencias para todo el software
instalado

rea de riesgo
Disponibilidad

Sugerencia
Que el comit tenga ms
acceso a la contabilidad, pues
es de importancia que al
menos tengan una nocin
acerca de la contabilidad de
costos de TI y as poder
apoyarlos y tal vez facilitar el
proceso del mismo.

Responsable
Administrado general

Sugerencia
Responsable
Aun y cuando se indique la Administrador general
propiedad de sistemas y datos
en
la
organizacin
es
sumamente necesario tener
formalizada
la
documentacin , actualizada y
completa, esto abrir paso a
mejores estadsticas de la
situacin de propiedad y
custodia de los recursos TI

Sugerencia
Responsable
Se
recomienda
tener Administrador general
absolutamente
todas
las
licencias
necesarias
para

Auditoria De TI

Pgina 0

poder hacer uso legal del


software instalado. As se
evitara posibles problemas
legales con el proveedor de
dicho software

Base de conocimientos de la empresa


Hallazgos
No existe dicha base

Aceptacin de instalaciones y tecnologa adquirida


Hallazgos
No se verifica adecuadamente el cumplimiento de
clausulas convenidas

rea de riesgo
disponibilidad

Sugerencia
Responsable
Una base de conocimiento Administrador general
puede ser una herramienta
bastante
til.
La
documentacin
y
almacenamiento
de
conocimientos que puede ser
utilicen en el futuro pueden
representar para la empresa
menos costos y gastos

rea de riesgo
Disponibilidad

Sugerencia
Responsable
Es recomendable que las Administrador general
clausulas convenidas sean
revisadas correctamente y

Auditoria De TI

Pgina 0

oportuna, para evitar posibles


equivocaciones en lo que
respecta a tecnologa e
instalaciones
adquiridas,
logrando as contar en lo que
realmente necesita la empresa

Inventario de TI
Hallazgos
No incluye todo el software instalado dentro de la
documentacin de inventarios

Poltica de rotacin de turnos


Hallazgos

rea de riesgo
Integridad

Sugerencia
Responsable
Se sugiere se documente Administrador general
tambin el inventario de
software pues as como el
hardware est expuesto a
futuro
cambios
o
actualizaciones, un inventario
de software ser requerido al
momento de hacer una
inversin en versiones nuevas
o bien en valuacin de costos
de licencias obtenidas o por
obtener.

rea de riesgo

Sugerencia

Responsable

Auditoria De TI

Pgina 0

La poltica de rotacin de turnos no se encuentra


documentase ni se supervisa su aplicacin por lo
que tampoco se aplica de forma consistente a todo
el personal que corresponde

disponibilidad

Presupuesto para la funcin de TI


Hallazgos
rea de riesgo
El presupuesto no se
disponibilidad
encuentra actualizado

Procedimiento de supervisin de costos de rea de TI


Hallazgos
rea de riesgo
El procedimiento no se
Integridad
encuentra automatizado ni es
conocido por el comit de
informtica

Es importante que la poltica


de rotacin de turnos se
encuentre documentarse y
supervisada as como que se
considere la duracin de las
horas de trabajo y los niveles
de competencia del personal.

Administrador general

Sugerencia
Responsable
Haciendo una verificacin y Administrador general
revisin a las necesidades por
parte del departamento de TI,
se
podr
modificar
el
presupuesto existente por el
que realmente necesite la
empresa para la funcin de TI

Sugerencia
Responsable
Si este proceso de supervisin Administrador general
de costos se automatiza, ser
mucho ms fcil llevar un
control de costos de TI as

Auditoria De TI

Pgina 0

poderlo dar a conocer a la alta


gerencia, as como al comit
de informtica
Procedimiento de coordinacin externa del rea de TI
Hallazgos
Area de riesgo
No se encuentra documentada Integridad
ni incluye a todos los usuarios
de sus servicios

Recisin de contrato con el proveedor de servicios


Hallazgos
Area de riesgo
La recisin de contratos con
Integridad
proveedores, no siempre
incluye aspectos legales,
adems de que la recisin del
contrato no es conocida por el
comit de informtica

Sugerencia
Responsable
Es recomendable que el Administrador general
procedimiento de coordinacin
externa se documente, as
podr ser ms sencillo hacer
de su conocimiento a todos los
usuarios de sus servicios

Sugerencia
Responsable
Se sugiere del conocimiento Administrador general
del comit de informtica la
recisin de los contratos con
proveedores de servicios, as
como el verificar si realmente
no es necesario que contemple
el aspecto legal, pues es de
destacar que es necesario
para proteger a la empresa de
un conflicto legal y en su caso
cuidar a los proveedores de
hosting
para
el
almacenamiento en la nube

Auditoria De TI

Pgina 0

Area estratgica
Estratgico
Plan estratgico de sistemas de informacin
Hallazgos
Area de riesgo
No se encuentra documentado Integridad

Sugerencia
Se sugiere que el plan
estratgico de sistemas de
informacin se encuentre
documentado, as como incluir
arquitecturas bsicas de TI, la
visin tecnolgica de la
empresa, se actualice y se
tenga formalmente
documentada

Responsable
Responsable de estadsticas

Aseguranza de calidad
Aseguranza de calidad
Estndares de tecnologa
Hallazgos
Los estndares se tienen
establecidos en la empresa, no
son conocidos por el personal
de la empresa

Area de riesgo
Disponibilidad

Sugerencia
Responsable
Que se haga del conocimiento Jefe de Aseguranza de calidad
de los involucrados que existen
estndares que deben
seguirse en cuanto a
tecnologa se refiere

Auditoria De TI

Pgina 0

Programa de mejoramiento de servicios a usuarios


Hallazgos
Area de riesgo
No es conocido por el personal Disponibilidad
de la empresa

Medicin de servicios a usuarios


Hallazgos
Area de riesgo
No se cuenta con una
Disponibilidad
medicin de servicios a
usuarios

Sugerencia
Cuando se tiene un programa
de mejoramiento, es de vital
importancia que se haga el
conocimiento al personal de la
empresa, as se podr ir
evaluando el desempeo del
programa desde la perspectiva
del personal en general

Responsable
Jefe de Aseguranza de calidad

Sugerencia
Se sugiere que se realicen
mediciones para detectar
oportunidades de mejora y as
brindar un servicio de calidad,
apoyando a los usuarios y
logrando un mejor rendimiento
como aprovechamiento de las
herramientas de TI con las que
cuenta la empresa

Responsable
Jefe de Aseguranza de calidad

Auditoria De TI

Pgina 0

Criterios de medicin de desempeo de tecnologa


Hallazgos
Area de riesgo
No estn relacionados con los
Integridad
indicadores de negocio, no son
conocidos por el personal de TI

Procedimiento para la evaluacin del desempeo de tecnologa


Hallazgos
Area de riesgo
El procedimiento para la
Disponibilidad
evaluacin del desempeo de
tecnologa no es conocido por
todo el personal de la
empresa, por lo mismo no se
reportan en forma oportuna
para responder a desviaciones
y excepciones

Sugerencia
Responsable
Es importante que los criterios
Jefe de Aseguranza de calidad
de medicin de desempeo de
tecnologa tenga una estrecha
relacin con los indicadores del
negocio, que de tal manera se
obtengan mediciones reales

Sugerencia
El procedimiento para la
evaluacin del desempeo de
tecnologa debe ser conocido
por toda aquella persona que
tenga contacto con TI de tal
manera que aquellos mismos
puedan detectar cualquier
anomala y dar aviso al
departamento de TI

Responsable
Jefe de Aseguranza de calidad

Plan de reciclaje ecolgico

Auditoria De TI

Pgina 0

Hallazgos
No es formal y no se encuentra
documentado

Area de riesgo
integridad

Sugerencia
El plan de reciclaje como todo
proceso debe de encontrarse
debidamente documentado y
llevado a cabo formalmente as
el plan ser seguido al pie de
la letra evitando errores
surgidos por el
desconocimiento de cmo se
debe llevar el proceso

Responsable
Jefe de Aseguranza de calidad

Auditoria De TI

Pgina 0

Cumplimientos del control interno.


Soporte

En el departamento de soporte puede apreciar que la mayora de los procesos evaluados son adecuados, mas no
obstante cabe destacar que el 33% de los procesos no cumplen con los requerimientos que la misma empresa
establece para s misma as hay que considerar la solidificacin de los mismos.

Auditoria De TI

Pgina 0

Desarrollo

A comparacin del rea de soporte el rea de desarrollo tiene un mejor uso de sus procesos generalmente hablando
reduciendo a un 17% por ciento los procesos inadecuados, sin embargo este rendimiento aun se puede optimizar
para reducirlo a un punto mucho ms bajo y de esta forma ser ms eficientes.

Auditoria De TI

Pgina 0

Redes

En este departamento se encontr que solamente el 50% de las tcnicas aplicadas son eficientes para el mismo por
otro lado se estn desarrollando tareas que no conciernen a este departamento lo cual produce que la productividad
del mismo sea mucho menor de lo que el mismo puede ofrecer.

Auditoria De TI

Pgina 0

rea Administrativa

Hablando de la evaluacin realizada al rea administrativa nos brinda un favorable resultado ya que nos muestra un
67% de efectividad dando un buen resultado mientras tanto solo un 5% por ciento del total de los procesos se hacen
de una forma inadecuada y cabe hacer mencin que hace tareas no propias de esta rea.

Auditoria De TI

Pgina 0

rea de Operaciones

La evaluacin de la realizacin de los procesos pertenecientes al rea de operaciones dio como resultado que ms del
50% de dichos procesos se lleva de manera adecuada, sin embargo casi un 30% de los procesos evaluados no se
llevan a cabo de la manera recomendable.

Auditoria De TI

Pgina 0

rea Estratgica

El rea estratgica es una de las zonas que mas deficiencia a denotado dado que del 100% de efectividad que podra
dar solo un 50 porciento esta realizada en forma adecuada mientras tanto la otra mitad est siendo a procesos
inadecuados o que no aplican a la misma haciendo vaga la productividad, hay que trabajar para que estas fallas o
situaciones se mejoren y desaparezcan como tal.

Auditoria De TI

Pgina 0

Aseguranza de Calidad

Los procesos en el rea de calidad se pueden considerar de forma correcta aunque no se puede calificar todo como
adecuado por lo menos el 89% es realizado de una forma que cumple con las demandas solicitadas a este
departamento.

Auditoria De TI

Pgina 0

Por calificacin
Adecuado

Donde:
1 Soporte
2 Estratgico
3 Administrativo

4
Aseguranza
Calidad

de

6 Desarrollo
7 Operaciones

5 Redes

En la presente grfica podemos observar que todas las reas de TI cuentan con niveles de procedimientos
adecuados convenientes.

Auditoria De TI

Pgina 0

Media

En esta calificacin podemos ver como todas las reas presentan un porcentaje en lo que son los procesos de
rendimientos medios todos por poco o mucho que cuenten tienen procesos con esta calidad, dando as un
rea de oportunidad para la mejora de la organizacin buscando la forma de disminuir el margen de estos
grficos y que incrementen a los procesos adecuados.

Auditoria De TI

Pgina 0

No aplica

Como se ha hecho mencin en estas graficas podemos confirmar que por lo menos 3 de las reas evaluadas
cuentan con procesos que no le conciernen a estas reas se recomienda reubicarlos para ser valorados
correctamente y apoyarse en los hallazgos detectados en este diagnostico.

Auditoria De TI

Pgina 0

No adecuado

Con esta grfica podemos notar que solamente el rea de estratgico y operaciones no cuentan con
procedimientos de control que sean llevados a cabo de una manera inadecuada, lo que presenta una
oportunidad de mejora en las dems reas. En las matrices de hallazgos se pueden encontrar dichos
procedimientos de control, as como la sugerencia para aplicar acciones correctivas a estos procedimientos.

Auditoria De TI

Pgina 0

Debilidades
Dentro de los procedimientos evaluados podemos concluir que los siguientes no son adecuados:

Funcin de investigacin tecnolgica


Procedimiento de configuracin del software
Relacin de usuarios autorizados
Base de conocimientos de la empresa
Bitcora de operacin de cmputo
Soporte del proveedor
Presupuesto para la funcin de TI
Procedimiento de conexin y desconexin a puntos remotos

Recomendaciones.

Auditoria De TI

Pgina 0

Se sugiere que todos los procesos que se realizan se formalicen mas debido a que se ha detectado
que muchos de los roles que se hacen son hecho de una forma definida pero no se hacen los
debidos reportes en las bitcoras correspondiente.
De esta forma se mantendra un histrico de los cambios y ajustes realizados y siendo el caso los
involucrados podran estar al tanto de lo que sucede y ha sucedido en el paso del tiempo.
Todo software y debidamente instalado debe de tener su propia licencia dado que si en un momento
la organizacin es sometida a una investigacin de mbito legal podran correr riesgos econmicos
por plagio y hurto de materia intelectual de autores registrados.

Auditoria De TI

Pgina 0

Conclusiones.
Como conclusin se puede resumir que el departamento de TI de la organizacin Omnia
comunicaciones cuenta con la mayora de los procedimientos de control evaluadas,
destacando que en cada una de sus reas el 50% o ms de los procedimientos se efectan de
manera media o adecuada, reflejando entonces que se ha alcanzado abarcar los
procedimientos vitales para el buen funcionamiento del departamento de TI pero sobre todo
reflejando que dichos procedimientos son llevados a cabo de una manera mayormente
adecuada. Sin embargo se detectaron algunos procedimientos de control que pueden
formalizarse, ofreciendo entonces una oportunidad de mejora importante, si dichos
procedimientos (Vase matrices de hallazgos) son formalizados, se obtendr an mayor
provecho de ellos, sera importante destacar que hacer del conocimiento a los involucrados de
la documentacin y procedimientos de control, abre la puerta a un mayor compromiso por
parte del personal, a la vez de una mayor conveniencia aportando entonces un resultado an
ms ptimo y til para el departamento de TI.

Auditoria De TI

Pgina 0