DESARROLLO DE UNA AUDITORIA COMPUTACIONAL BAJO EL MARCO DE

REFERENCIA ITIL V3, ORIENTADA A LA USUARIOS DEL HOSPITAL MARIA

INMACULADA, HOSPITAL COMUNAL LAS MALVINAS E.S.E BAJO LA EMPRESA HOLA
CENTRO DE LLAMADAS

Presentado por:
JOSE ANTONIO MARIN ALVARADO
OSCAR JAVIER GUZMAN RODRIGUEZ

FACULTAD DE INGENIERA
PROGRAMA INGENIERA DE SISTEMAS
LNEA DE PROFUNDIZACIN AUDITORIA II
2015
 DESARROLLO DE UNA AUDITORIA COMPUTACIONAL BAJO EL MARCO DE
REFERENCIA ITIL V3, ORIENTADA A LA USUSARIOS DEL HOSPIAL MARIA
INMACULADA, HOSPITAL COMUNAL LAS MALVINAS E.S.E BAJO LA EMPRESA
HOLA CENTRO DE LLAMADAS

FREDY ANTONIO VERSTEGUI GONZALEZ

Ingeniero De Sistemas

Presentado por:
JOSE ANTONIO MARIN ALVARADO
OSCAR JAVIER GUZMAN RODRIGUEZ

FACULTAD DE INGENIERA.
PROGRAMA INGENIERA DE SISTEMAS.
LNEA DE PROFUNDIZACIN AUDITORIA II
2015

2
 1. Contexto

1.1 Presentacin de la Empresa.

Somos una compaa colombiana con dos aos de experiencia en el sector de

la Prestacin de servicios y asignacin de citas

1.2 Misin Institucional

HOLA CENTRO DE LLAMADAS S.A.S. fue creada para mejorar la competitividad

de las empresas y la infraestructura de las mismas ofreciendo servicios de
gestin telefnica a la vanguardia de la tecnologa como solucin y
contribucin al desarrollo de procesos eficientes en las organizaciones.

1.3 Visin Institucional

Nuestra visin es convertirnos en la solucin logstica para las empresas del

Caquet, en materia de gestin telefnica con mayor cobertura en el
departamento.

1.4 Polticas Calidad

La direccin de HOLA CENTRO DE LLAMADAS S.A.S es consciente del

compromiso que representa el apoyo a los procesos organizacionales de
nuestros clientes y por ello considera que la gestin que realice frente a lo
contratado, debe contribuir a la calidad de los servicios prestados por ellos.

HOLA CENTRO DE LLAMADAS S.A.S. entiende que debe ser considerada una
organizacin de referencia en los servicios de prstamos y por ello desarrolla
su gestin basada en la oportunidad, amabilidad, confiablidad y mejora
continua, como valores corporativos de referencia.

Para conseguir los fines propuestos ha desarrollado un modelo de gestin que

aporta valor a la organizacin y se ha establecido actuar en la siguiente
direccin:

1.5 Objetivos de calidad:

Evaluar constantemente nuestro desempeo en pro del mejoramiento

continuo para lograr la satisfaccin de nuestros clientes.
Mejorar la competitividad y la calidad frente a la competencia.
Promover un entorno positivo de desarrollo, participacin y de formacin
con los empleados.

3
1.6 OBJETIVOS ESTRATEGICOS
HOLA CENTRO DE LLAMADAD S.A.S. desarrolla su
direccionamiento organizacional a travs de los siguientes objetivos
estratgicos:
Conseguir unos resultados de negocio aceptables.
Lograr el reconocimiento de la sociedad caquetea y:
Ejercer el liderazgo frente al sector

1.7 Valores Corporativos

Oportunidad: los usuarios de nuestros servicios son atendidos

telefnicamente de manera inmediata o en su defecto por congestin
de las lneas, en un tiempo mximo de 30 segundos.
Amabilidad: El trato proporcionado por nuestros operadores para
con los usuarios siempre ser consideracin, cordialidad y respeto.
Confiabilidad: A travs de nuestra plataforma tecnolgica y a la
estandarizacin de nuestros procesos, les ofrecemos a nuestros
clientes a la seguridad de dar cobertura y la informacin requerida en
los servicios contratados.
Mejora Continua: A travs de la autoevaluacin constante a nuestro
desempeo, identificamos fallas y planeamos e implementamos
acciones de mejoramiento.

1.8 Estructura Organizacional.

4
 .

2. Planeacin de la auditoria

2.1 Origen de la auditoria.

La razn por la que se realiza la auditoria de sistemas computacionales a la

empresa HOLA CENTRO DE LLAMADAS ubicada en la ciudad de Florencia, es
solicitada por la UNIVERSIDAD DE LA AMAZONIA que es una organizacin
externa, a peticin del docente Fredy Antonio Verstegui Gonzalez con motivos
acadmicos de realizar prcticas de una auditoria externa a organizaciones que
se siten en la regin, de esta forma lograr evaluar exhaustivamente bajo el

5
marco de referencia ITIL v3.0 a la infraestructura tecnolgica que apoyan y
soportan la organizacin, con el propsito de hallar falencias que se estn
presentando actualmente en prestacin del servicio de registro en la central
citas mdicas. Es por ello que esta auditora externa busca identificar los
problemas, para que la organizacin adopte un plan de mejoramiento que les
ayude a mejorar los procesos y procedimientos informticos que se realizan en
el call center.

2.2 Visita Preliminar.

En la visita preliminar se logr identificar que la seguridad que se maneja para

el control de acceso se maneja por medio de un vigilante el cual pregunta al
administrador si autoriza el paso a la sala, se evidencia que la empresa maneja
en esta misma sala la caja de comunicaciones, se observ un panel de control
manual que administra todo lo relacionado con los operadores del call center,
el rea de trabajo de los funcionarios. Es de un rea aproximada 30 metros
cuadrados en el cual se distribuyen 11 equipos con sus correspondientes
operarios cada uno con su correspondiente usuarios y contraseas, se lo
identificar que los equipos utilizados son nuevos y de ltima tecnologa.

Al momento de ingresar a realizar la visita preliminar con el coordinador de la

empresa los operarios del call center se ofrecieron formalmente a responder
cualquier inquietud que se presente con respecto al funcionamiento del call
center hola.

Se logra identificar como problemtica que el en el rea de trabajo posee

Ethernet de acceso libre, y red inalmbrica con SSID visibles, lo cual conllevara
a que se pueda acceder a la red a la cual se encuentra conectado el equipo
que administra el servidor interno que maneja todas las operaciones de
emendacin de citas mdicas .

Objetivos preliminares.

Examinar la gestin de incidentes en el call center para de

determinar la afeccin del servicio normal del usuario y de la
empresa.
Estudiar si se presenta la gestin de problemas en la organizacin
para encontrar la causa raz y reducir los riesgos en el call center.
Identificar las polticas y normatividades de los call center para
as dimensionar el cumplimiento del reglamento interno.
Identificar si existen manuales de usuario del sistema para apoyar
o capacitar a los operarios en cualquier anomala que se pueda
presentar.
Realizar encuestas, entrevistas o cuestionarios a los operarios del
call center.

6
 Analizar la afectacin de los factores de ruidos internos y ruidos
ambientales que puedan afectar la prestacin del servicio.

2.3 Caracterizacin de procesos a auditar de la sala de del call

center HOLA.

Gestin de incidentes.
Gestin de problemas.
Gestin de cambios.
Control de acceso a la sala de operadores en el call center.
Talento humano.

2.4 Ambiente Personal.

A cargo del Ingeniero FREDY ANTONIO VERSTEGUI como auditor snior, el

grupo de auditores junior JOSE ANTONIO MARIN ALVARADO, OSCAR JAVIER
GUZMAN RODRIGUEZ, se busca realizar una auditoria externa de tipo
acadmico para establecer cules seran las falencias que se presentan en la
sala del call center HOLA. Bajo el marco de referencial de ITIL v3.0. De igual
manera se ha contado con total disponibilidad de la informacin por parte de
los operadores del call center para prestarse a acceder a contestar encuestas,
entrevistas o cualquier tipo de herramienta que el equipo auditor utilice con el
fin de recolectar informacin e indagar acerca de los procesos, normas,
acuerdo y polticas de la administracin en la sala de call center.

2.5 objetivos de la auditoria.

2.5.1 objetivo general.

Realizar una auditora de sistemas computacionales bajo el marco referencial

de ITIL v3.0 en hola centro de llamadas, empresa de prestadora de servicio y
ubicada en el barrio siete de agosto de la ciudad de Florencia, Caquet.

2.5.2 objetivos especficos.

Identificar las gestiones y las actividades del marco de referencia ITIL

v3.0, pertinentes para la prestacin del servicio de llamadas en la
empresa hola centro de llamadas, para hallar irregularidades que se
presenten.

7
 Elaborar el plan de auditoria para la empresa hola centro de llamadas
para tener unos parmetros en los cuales nos podamos basar para la
realizacin de la auditoria.

Ejecutar la auditoria de sistemas computacional en la empresa hola

centro de llamadas para dar cumplimiento a la planeacin y recoleccin
de informacin prxima a analizar.

Analizar el resultado de la auditoria para as organizar las evidencias o

pruebas que soportan los hallazgos de las posibles irregularidades o
inconformidades de esta forma realizar el pre-informe.

Presentar el pre-informe con el fin de exponer los hallazgos e

irregularidades presentadas adems de esta forma realizar una
controversia con el auditado, que logre demostrar con soportes sus
descargos.

Presentar de informe final de la auditoria de tal forma que la

organizacin Hola Centro de llamadas. Quede informada de los hallazgos
de tal forma que permita realizar su plan de mejoramiento.

2.6 Metodologa.

La metodologa que se va a utilizar para realizar la auditoria en la empresa

Hola Centro de Llamadas se compone de 6 Fases:

Fase 1: Estudio Preliminar o Toma del contrato.

Conocer la visin, misin, objetivos, polticas de la organizacin,
organigrama y toda la informacin posible de la empresa Hola Centro de
Llamadas S .A.

Fase 2: Planeacin.
Identificar el origen de la auditoria.
Realizar una visita preliminar.
Establecer los objetivos de la auditoria.
Determinar los puntos que sern evaluados segn el modelo COBIT.

8
 Elaborar planes, programas y presupuestos para realizar la auditoria.
Identificar y seleccionar los mtodos, herramientas, instrumentos y
procedimientos necesarios para la auditoria.
Asignar recursos fsicos y econmicos para la auditoria.

Fase 3: Ejecucin de la auditoria.

Aplicar los instrumentos, herramientas, recursos y actividades conforme
a lo establecido en la planeacin.

Fase 4: Sntesis y Diagnostico.

Identificar y elaborar los documentos de desviaciones, donde se
relacionan los procesos dbiles del sistema, puntos fuertes, riesgos
eventuales y las posibles soluciones y mejorar.

Fase 5: Presentacin Del Pre-informe.

Elaborar la documentacin del pre-informe y presentarlos a discusin
con las personas directamente implicadas.

Fase 6: Presentacin Del Informe Final.

Elaborar el dictamen final y presentarlo a las partes interesadas.

2.7 Alcance.

Esta auditora de sistemas computacionales se realizara para examinar el

servicio de la empresa Hola Centro de Llamadas S.A en la ciudad de Florencia
Caquet bajo el marco referencial de ITIL v3.0.

9
 Comportamiento de la informacin en la empresa.

Dada esta caracterstica del modelo general del negocio el plan de trabajo se
enfocara al rea de atencin al cliente puesto que es con los usuarios finales a
los cuales se desarrolla el fuerte de trabajo de la empresa. A medida que la
informacin se esta moviendo dentro de la organizacin esta va tomando el
valor que permite ser cuantificable por consiguiente se le debe garantizar los
procesos de seguridad y otros elementos que intervienen en dicho movimiento.

2.8 Planes, Programas y Presupuesto para la Auditoria

2.8.1 Planes de auditoria

Elaborar el plan de auditoria de Hola centro de Llamadas S.A donde el

encargado de realizarla ser el auditor Junior, Oscar Javier Guzmn Rodrguez,
en esta actividad el auditor debe tener en cuenta los parmetros y las
actividades que se van a llevar a cabo en la auditoria.

Los documentos de remisin sern llevados a cabo por el auditor Snior Jose
Antonio Marin Alvarado , donde se encargara de documentar y dar soporte a
las decisiones que se plantean en las reuniones. El auditor Junior realizara los
preparativos en el Da 12 y 14 de la semana 1 donde recopilara los materiales
o herramientas que se implementaran para la realizar la auditoria.

En la Semana 2 el auditor Snior realizara una visita a la Empresa Hola Centro

d Llamadas donde realizara un inspeccin ocular de la sala donde se ubica,
teniendo en cuenta que los das 23 y 24 se dar inicio al proceso de auditora
donde se contara con una revisin exhaustiva a las redes, control de acceso,
talento humano y a equipos de cmputo.

10
Para finalizar en la semana 3 los primeros 3 das se realizara el pre-informe
dando as el dictamen preliminar de la auditoria, teniendo como seguido el da
26 se realizara la presentacin de dicho pre-informe. Y los das 28 y 29 se
realizaran el informe final de la auditoria para ser presentado y sustentado el
da 30 de mayo de la semana 3.

2.8.2 Programa de actividades

Actividades semana 1
n Respons D D D D D D D D
Nombre
able 1 2 3 4 5 6 7 8
Aud.
1 elaborar el plan de auditoria x x x x
Junior
elaborar los documentos de Aud.
2 x x
remisin Snior
Aud.
3 Iniciar preparativos. x x
Junior

Actividades semana 2
n Respons D D D D D D D D
Nombre
able 1 2 3 4 5 6 7 8
Aud.
4 Realizar visita x x
Snior
Aud.
5 iniciar auditoria x x
Snior
Aud.
6 auditoria redes x x
Junior
Aud.
7 auditoria control de acceso x x
snior
Aud.
8 auditoria a talento humano x x
Junior
Aud.
9 auditoria a equipos de computo x x
Junior

Actividades semana 3
n Respons D D D D D D D D
Nombre
able 1 2 3 4 5 6 7 8
1 Aud.
elaborar el pre-informe x x x
0 Junior
1 Aud.
presentar el pre-informe x
1 Snior
1 Aud.
ajustar informe final x x
2 Junior
1 presentar y sustentar informe Aud.
3 final Snior x

11
Auditor Snior: Jose Antonio Marin Alvarado
Auditor Junior: Oscar Javier Guzmn Rodrguez

2.8.3 Presupuesto

N Recursos cantidad costo

3.000.00
equipos de computo
1 2 0
1.000.00
Software
2 3 0
3 papelera(resma de papel) 1 15.000
4 Impresiones 100 30.000
5 memorias USB (8Gb) 2 40.000
6 cmara fotogrfica 1 400.000
4.485.00
Total 0

tiempo Costo costo

talento humano
N (das) da total
1.650.00
auditor Snior
1 9 183.333 0
1.750.00
auditor Junior
2 15 116.666 0
auxilio de transporte a auditor
3 Snior 8 2400 19200
auxilio de transporte a auditor
4 Junior 8 2400 19.200
3.438.4
Total 00

2.9 Identificar y seleccionar herramientas, mtodos, tcnicas y

procedimientos.

2.9.1 Establecer gua de ponderacin de los puntos que sern

evaluados

2.9.1.1 Definir las reas y puntos del sistema que sern auditados

Gestin de incidentes
Gestin de problemas
Gestin de cambios

12
 Talento humano

2.9.1.2 definir el peso de la ponderacin por las reas y puntos de

sern evaluados.

Peso
N Factores primarios que sern ponderados especifico
1 Servicio de Estrategia 20%
2 Servicio de Diseo 30%
3 Servicio de Transicin 30%
4 Servicio de Operacin 20%
total ponderacin 100%

2.9.2 Elaboracin de la gua de la auditoria

2.9.2.1 Determinar las reas y puntos concretos que sern

evaluados en el ambiente de sistemas.

rea de Auditoria Puntos a Evaluar

Gestin de Estrategia
SALA DE CIRCUITO CERRADO DE Gestin de la Seguridad
TELEVISION
Gestin de la Continuidad
Gestin de Cambios
Gestin de Acceso
Gestin de Problemas

2.9.2.2 Seleccionar los mtodos, procedimientos, herramientas e

instrumentos de evaluacin.

Para evaluar el rea a auditar hemos escogido examinar, inspeccionar y

confirmar como tcnicas o mtodos para detallar la manera en que se van a
evaluar los puntos de ponderacin.

13
Teniendo en cuenta que examinar consiste en analizar y poner a prueba la
calidad y el cumplimiento de las funciones, actividades y operaciones que se
realizan en una empresa, y se aplica en un rea o actividad especfica o en una
unidad administrativa completa. De esta forma la tcnica de inspeccin est
relacionada con la aplicacin de los exmenes que se realizan para evaluar el
funcionamiento de dichos sistemas; y as confirmar los aspectos fundamentales
para la credibilidad de una auditora es la confirmacin de los hechos y la
certificacin de los datos obtenidos durante la revisin, ya que el resultado
final de una auditora es la emisin de un dictamen en el que el auditor vierte
sus opiniones; pero, para que el dictamen sea plenamente aceptado, es
necesario que los datos sean veraces y confiables, y que las tcnicas y
mtodos utilizados para la auditora sean los adecuados.

2.9.2.3 Elaborar el documento formal de gua de auditoria

N Ponderaci Calificaci Observacione

Actividad a evaluar Tcnica de evaluacin
n n s

Examen,
Gestin de
1 Inspeccin y 20%
incidentes
Confirmacin

Examen,
Gestin de
2 Inspeccin y 30%
problemas
Confirmacin

Examen,
Gestin de
3 Inspeccin y 30%
cambios
Confirmacin

Examen,
4 Talento Humano Inspeccin y 20%
Confirmacin

14
 2.10 asignar los recursos y sistemas computacionales para la
auditoria.

2.10.1 Recursos humanos

El talento humanos que trabajara en esta auditoria sern los auditores:

Jose Antonio Marin Alvarado que efectuara como auditor Snior
Oscar Javier Guzmn Rodrguez como auditor Junior

Teniendo en cuenta que el auditor Snior realizara las auditoras a las reas de
control de acceso,
Y el auditor Junior realizara la auditoria a las redes, al talento humano que
labora en Hola Centro de Llamadas S.A, y a los equipos de cmputo que se
implementan en la sala.

2.10.2 Recursos informticos y tecnolgicos

Los recursos informticos que se implementaran en la auditoria son las

computadoras que utilizaran los auditores, algunos software especializados
como son Nessus que es un programa de escaneo de vulnerabilidades del
sistema operativo, otro software ser Foca, Netscan y estos programa permite
escanear los puertos IP del rea de trabajo. Tambin se implementar
herramientas ofimticas para realizar los informes, actas, documentaciones
que se llevaran a cabo en la auditoria, la cmara fotogrfica para tomar fotos y
tenerlas como evidencias de los hallazgos vistos en la auditoria.

2.10.3 Recursos Materiales y de consumo

Se utilizara memorias USB donde se llevaran los instaladores y ejecutables del

software que se implementara, tambin para almacenar documentacin
levantada en la auditoria, resma de papel tamao carta para realizar en ellas
las impresiones, lapiceros para las anotaciones, ganchos de cocedora para
grapar las hojas.

15
2.11 Anlisis de riesgos
CODIG
CATEGORIA RIESGO P I R
O
Daos en las aplicaciones y S.O por causas de virus
SW_1 2 3 6
informticos.
Software
Acceso login no autorizado para modificaciones
SW_2 1 3 3
malintencionas a los sistemas de cmputo.
HW_1 Daos en equipo de cmputo y comunicacin. 2 4 8
Mantenimiento no oportuno a los equipos de cmputo y
HW_2 2 3 6
Hardware comunicacin.
HW_3 Corto circuito en equipos de cmputo y comunicacin. 1 4 4
HW_4 La manipulacin no autorizada de perifricos 3 3 9
ACC_1 Acceso de personal no autorizado 2 3 6

Acceso ACC_2 Bloqueo no autorizado o planeado. 2 4 8

Falta de cumplimientos estrictos de las polticas para el
ACC_3 3 3 9
acceso a elementos no permitidos.
Personal no especializado en perfiles de manejo de
RH_1 1 3 3
cmaras.
Talento Humano RH_2 No cumplimiento estricto de las funciones asignadas 2 3 6
RH_3 Uso indebido del tiempo laboral del personal 2 3 6
Mala adecuacin en algunos elementos en la
INF_1 1 3 3
infraestructura de comunicacin.
INF_2 Incendios 1 3 3
Infraestructura INF_3 Desastres naturales (inundaciones, sismos) 1 3 3
INF_4 Falla en el fluido elctrico 1 3 3
INF_5 Fallas de conectividad de red de comunicacin 1 4 4

16
2.11.1 Valores de la tabla de anlisis de riesgo.

Rangos escala de
riesgo
bajo riego 1a4
medio riesgo 6a8
alto riesgo 9 a 16

Escalas de
probabilidad
Insignificante 1
Bajo 2
Medio 3
Alto 4

Escalas de impacto
Insignificante 1
Bajo 2
Medio 3
Alto 4

17