UNIVERSIDAD PERUANA UNIÓN

Facultad de Ingeniería y Arquitectura

E.P. de Ingeniería de Sistemas

PLAN DE AUDITORÍA DE SISTEMAS

Laura Cullanco Julio

Villa Unión, junio del 2016

 INDICE
INTRODUCCIÓN ..................................................................................................................................4
La Organización ..........................................................................................................................5
1.1. Datos generales de la organización .......................................................................................6
1.2. Descripción de las principales actividades de la organización ..............................................6
1.3. Visión .....................................................................................................................................6
1.4. Misión ....................................................................................................................................6
1.5. Organigrama ..........................................................................................................................6
Auditoría de Sistemas ........................................................................................................................7
2.1.1. Objetivo general ...........................................................................................................8
2.1.2. Objetivos específicos .....................................................................................................8
2.2. Descripción de la situación actual del área a evaluar ........................................................8
2.2.1. Nombre del área ...........................................................................................................8
2.2.2. Descripción de las principales actividades / funciones ...............................................8
2.2.3. Relación de puestos y principales funciones por puesto ............................................8
2.2.4. Descripción de los sistemas, equipos e instalaciones ..................................................9
2.3. Descripción de las áreas (puntos de evaluación) que contempla la Auditoría de sistemas
9
2.3.1. Administración de la mesa de ayuda y los incidentes. ...............................................9
2.3.2. Administración de la Configuración. ........................................................................10
2.3.3. Administración de los Problemas. .............................................................................10
2.4. Guía de ponderación. .........................................................................................................11
2.5. Cronograma de la auditoría. .............................................................................................13
2.6. Plan de auditoría para Evaluar la Administración de la mesa de ayuda y los incidentes.
13
2.6.1. Alcance: .......................................................................................................................13
2.6.2. Limitaciones ................................................................................................................13
2.6.3. Guía de auditoría ........................................................................................................13
2.6.4. Herramientas de Obtención de Datos. ......................................................................15
2.7. Plan de auditoría para Evaluación de la Administración de la Configuración de SYM.
16
2.7.1. Alcance: .......................................................................................................................16

2
 2.7.2. Limitaciones ................................................................................................................16
2.7.3. Guía de auditoría ........................................................................................................17
2.7.4. Herramientas de Obtención de Datos. ......................................................................18
2.8. Plan de auditoría para Evaluación de la Administración de los problemas de SYM. ...20
2.8.1. Alcance: .......................................................................................................................20
2.8.2. Limitaciones ................................................................................................................20
2.8.3. Guía de auditoría ........................................................................................................20
2.8.4. Herramientas de Obtención de Datos. ......................................................................21

3
INTRODUCCIÓN

Este estudio tiene por objetivo, realizar una auditoría de Técnicas de sistemas para ver si
la organización está cumpliendo de manera adecuada con las metas estratégicas trazadas y las
políticas bien establecidas y definidas con cada miembro de la organización.

El trabajo consistirá en evaluar tres puntos de evaluación tomados del COBIT:

DOMINIO 3: Entregar y Dar Soporte: Recibe las soluciones y las hace utilizables para los usuarios
finales.

 DS8 Administrar la mesa de servicio y los incidentes.

 DS9 Administrar la configuración.
 DS10 Administrar los problemas.

Esto se aplicara en el área de SyM (Soporte y Mesa de Ayuda) - DIGESI (Dirección

General de Sistemas) de la UPeU (Universidad Peruana Unión).

El trabajo permitirá identificar las falencias del servicio, así mismo el estándar COBIT 5
ayudara para el buen control y medición de las mismas, permitiendo al área de SYM entender los
servicios a través de una planificación operativa, saber el valor del servicio respecto a los objetivos
estratégicos del negocio y tener un mejor control de los servicios que se brinda, ver tendencias a
futuro sobre cada actividad operativa, logrando así una ayuda en la toma de decisiones.

La principal conclusión del estudio es que es posible gestionar los servicios de

infraestructura TI de una manera eficiente y eficaz al área de Soporte y Mesa de Ayuda para así
brindar un servicio de calidad a los usuarios y que nuestros usuarios queden satisfechos.

4
 CAPÍTULO I

La
Organización

5
1.1. Datos generales de la organización

1.1.1. Razón social:

Universidad Peruana Unión – DIGESI (Dirección General de Sistemas)
1.1.2. Rubro:
Educación- DIGESI (Soporte y Mesa de Ayuda (SYM))
1.1.3. Dirección:

Carretera Central Km. 19 - Ñaña

1.1.4. Representante legal:

Rectora Dra. Maximina Contreras Castro

1.2. Descripción de las principales actividades de la organización

1.3. Visión
“Ser un departamento sostenible, reconocido por su excelente servicio de tecnologías de
información, alineado a la visión de la Universidad Peruana Unión.”

1.4. Misión
“La dirección general de sistemas provee soluciones proactivas e innovadoras a las necesidades
estratégicas y operativas de la Universidad Peruana Unión mediante gestión eficiente de las
tecnologías de información.”

1.5. Organigrama

Direccion
General de
Sistemas (DIGESI)

Soporte y mesa Desarrollo de Redes y

Laboratorios.
de Ayuda (SYM). sistemas. conectividad.

6
 CAPÍTULO II

Auditoría de
Sistemas
7
2.1. Objetivos y Alcance de la Auditoría de Sistemas

2.1.1. Objetivo general

El objetivo principal es evaluar el servicio que brinda Soporte y mesa de Ayuda (SYM)
de la Dirección general de Sistemas (DIGESI). Realizando una auditoria de Técnicas de
Sistemas basado en los procesos del COBIT 5. Para poder medir y así dictaminar
como resuelven los problemas y las incidencias que ocurren en el área.

2.1.2.Objetivos específicos
- Verificar los registros de incidencias que se presentan y como lo solucionan.
- Verificar si cumplen con la solución a los problemas si los documentan o
simplemente apagan fuegos y no hacen nada para mejorar el servicio.
- Verificar los registros de configuración debidamente registrados.

2.2. Descripción de la situación actual del área a evaluar

2.2.1.Nombre del área

- Mesa de ayuda y Soporte Técnico. (SYM)
2.2.2.Descripción de las principales actividades / funciones

- Mesa de Ayuda:
- Asistencia remota dentro de la Universidad Peruana Unión.
- Soluciones mediante línea telefónica dentro y fuera de la Universidad
Peruana Unión.
- Soporte Técnico:
- Reparación, mantenimiento, diagnostico de todos los equipos en toda la
Universidad Peruana Unión.

2.2.3.Relación de puestos y principales funciones por puesto

- Operador de mesa de ayuda: Se encarga de dar asistencia remota y soluciones a

través de la línea telefónica, configuración de equipos de los usuarios esto puede
ser vía telefónica o de manera remota dentro y fuera de la universidad hay áreas.
- Operador de soporte técnico: Se encarga de dar soluciones en sitio, en oficinas
o laboratorios. Reparación y diagnóstico.
- Supervisor de soporte y mesa de ayuda: Se encarga de la gestión y el control de
soporte y mesa de ayuda para evaluar si cumplen con el trabajo.

8
 2.2.4.Descripción de los sistemas, equipos e instalaciones

 Sistemas:

o Team Viewer.
o Servidor de instaladores.
o Servidor de correos.
o Backups el Acronis.
o Hiren´s boot.
o VNS para acceso remoto.

 Equipos:
- 5pc.
- 3 Teléfonos VoIP.

 Instalaciones
o Internet mediante Cable de red.

2.3. Descripción de las áreas (puntos de evaluación) que contempla la Auditoría de sistemas

2.3.1.Administración de la mesa de ayuda y los incidentes.

Responder de manera oportuna y efectiva a las consultas y problemas de los

usuarios de TI. Requiere de una mesa de servicios bien diseñada y bien ejecutada y
de un proceso de administración de incidentes. Este proceso incluye la creación
de una función de mesa de servicio con registro, escalamiento de incidentes,
análisis de tendencias, análisis de causa-raíz y resolución. Los beneficios del
negocio influyen el incremento de la productividad gracias a la resolución rápida de
consultas. Además el negocio puede identificar la causa- raíz tales como un pobre
entrenamiento de los usuarios a través de un proceso de reporte efectivo.

El saber si esta cumpliendo con las actividades de este proceso ayudaran en el área
de SYM a tener procedimientos bien definidos, monitorear el cumplimiento y así
lograr la satisfacción de los usuarios y brindar un servicio de calidad.

9
2.3.2.Administración de la Configuración.

Garantizar la integridad de las configuraciones de hardware y software requiere de

establecer y mantener un repositorio de configuraciones completo y preciso. Este
proceso incluye la recolección de información de la configuración inicial, el
establecimiento de normas, la verificación de auditoria de la información de la
configuración y la actualización del repositorio de configuración conforme se
necesite. Una efectiva administración de la configuración facilita una mayor
disponibilidad, minimiza los problemas de producción y resuelve los problemas
más rápido.

Podrá facilitar y llevar un buen control si suceden cambios en la configuración s por

ello que debe de contar con una gestión de cambio y también tener un registro de
configuración actual y también un historial de este para saber dónde hubo
modificaciones o cambios de configuración así facilitar a los usuarios.

2.3.3.Administración de los Problemas.

Una efectiva administración de problemas requiere la identificación y

clasificación de problemas, el análisis de las causas desde su raíz y la resolución
de problemas. El proceso de administración de problemas también incluye la
identificación de recomendaciones para la mejora, el mantenimiento de registros
de problemas y la revisión del estatus de las acciones correctivas. Un efectivo
proceso de administración de problemas mejora los niveles de servicio, reduce
costos y mejora la conveniencia y satisfacción del usuario.

Esto ayudara a SYM a registrar, rastrar y resolver problemas operativos si SYM

(Soporte y mesa de ayuda) hace el cumplimentó de este proceso.

10
2.4. Guía de ponderación.

COLUMNA 1 COLUMNA 2 COLUMNA 3

Factores primarios que serán ponderados Peso por factor Valor %

específico

Evaluación de la Gestión de Mesa de 100 %

ayuda y Soporte de DIGESI-UPeU.

1. Evaluar la Administración de la 40%

mesa de ayuda y los incidentes.

2. Evaluar la Administración de la 30%

Configuración de SYM.

3. Evaluar la Administración de los 30 %

problemas de SYM.

Peso por
Actividades que van a ser evaluadas y Peso por Valor de
factor a
ponderadas actividad ponderación
ponderar
1. Evaluar la Administración de la mesa de
ayuda y los incidentes. 40%

1.1. Evaluación de la Mesa de servicios. 35% 12%

1.2. Evaluación de Registro de Consultas de

35% 12%
Clientes.

1.3. Evaluación del Escalamiento de Incidentes. 15% 8%

1.4. Evaluación del Cierre de Incidentes. 15% 8%

TOTALES 100% 40%

11
 Peso por
Actividades que van a ser evaluadas y Peso por Valor de
factor a
ponderadas actividad ponderación
ponderar

2. Evaluar la Administración de la configuración. 30%

1.1. Evaluación del Repositorio y Línea base de
20% 8%
Configuración.

1.2. Evaluación de la Identificación y mantenimiento

45% 12%
de elementos de configuración.

1.3. Revisión de Integridad de la Configuración. 35% 10%

TOTALES 100% 30%

Peso por
Actividades que van a ser evaluadas y Peso por Valor de
factor a
ponderadas actividad ponderación
ponderar

3. Evaluar la administración de los problemas. 30%

1.1. Evaluación de la Identificación y clasificación
30% 8%
de problemas.

1.2. Rastreo y Resolución de Problemas. 30% 8%

1.3. Evaluación del Cierre de Problemas. 40% 14%

TOTALES 100% 30%

12
2.5. Cronograma de la auditoría.

2.6. Plan de auditoría para Evaluar la Administración de la mesa de ayuda y los incidentes.

2.6.1.Alcance:
o Evaluar el cumplimiento de la administración de mesa de ayuda.
o Evaluar los incidentes.

2.6.2.Limitaciones
o No se evaluara a todo el personal de SYM.
o No se evaluara el Plan operativo minuciosamente.

2.6.3.Guía de auditoría

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1 1
06 1 a 20
5 6
Actividad que Procedimientos de Herramientas que
REF. Recursos Observaciones
será evaluada auditoría serán utilizadas
1. Solicitar la Función Humano: Verificar los
de mesa de servicio. Laura Cullanco documentos.
2. Verificar Los 1. Revisión Julio
procedimientos de documental. Verificar los
Evaluación de Mesa de ayuda. reportes.
Mesa de 3. Revisar los 2. Entrevista a Tecnológico:
DS8.1 Servicios. documentos de la jefa del Una PC. Verificar
sugerencias y servicio. Un USB. sugerencias y
recomendaciones. recomendaciones
Tiempo: de los usuarios.
1 Día.

13
 ISC Consultores. DIGESI- Área SYM Fecha Hoja
1 1
06 1 a 20
5 6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
Humano: Verificar los
Julio Laura documentos.
1. Verificar el Cullanco.
registro de 1. Revisión Verificar los
solicitudes de documental. reportes.
Evaluar el registro de servicio. Tecnológico:
DS8.2 consultas de Clientes. 2. Verificar el 2. Entrevista Una PC. Verificar
reporte de con la jefa del Un USB. sugerencias y
incidentes a los servicio. recomendaciones
clientes. 3. Encuesta a de los usuarios.
los Usuarios. Tiempo:
1 Día. reclamaciones

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1
15 06 1 a 20
6
Actividad que Procedimientos de Herramientas que
REF. Recursos Observaciones
será evaluada auditoría serán utilizadas
1. Evaluar los Humano: Verificar los
procedimien 1. Revisión Huichi Documentos.
tos de documental. Quequejana
solución de Oscar.
Evaluar el incidentes 2. Entrevista con la
Escalamiento de resueltos jefa del servicio.
DS8.3 Incidentes. inmediatam Tecnológico:
ente. Una PC
2. Verificar
documento Tiempo:
de 1 Día.
incidentes
por
Solucionar.

14
 ISC Consultores. DIGESI- Área SYM Fecha Hoja
1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
1. Verificar el Humano: Verificar los
procedimiento de Laura Cullanco documentos.
monitoreo 1. Revisión Julio
puntual de la documental. Verificar los
resolución de reportes.
Evaluar El cierre de consultas de los 2. Entrevista con Tecnológico:
DS8.4 Incidentes. usuarios. la jefa del Una PC Verificar
2. Registro de las servicio. sugerencias y
causas de los Tiempo: recomendaciones
incidentes. 1 Día. de los usuarios.
3. Registro de
Incidentes
resueltos.

2.6.4. Herramientas de Obtención de Datos.

o Entrevistas.
o Documentos.
o Cuestionarios.

SYM DIGESI
Cuestionario de Control C1
Dominio Mesa y Soporte
Proceso DS 08: Administración de la mesa de ayuda y los incidentes.
Objetivo de Control DS8.01 , DS8.02, DS8.03, DS8.04
CUESTIONARIO
Pregunta SI NO
DS8.01 Evaluación de Mesa de Servicios.
1. ¿La empresa Cuenta con políticas de administración de la mesa de ayuda y los
incidentes?
2. ¿Es consciente de la importancia de realizar una correcta administración de
incidentes?
3. ¿Existe personal asignado a el monitoreo y administración de los incidentes?
4. ¿Cree que su organización lleva una buena Administración de mesa de ayuda?
DS8.02 Evaluar el registro de consultas del Cliente.
5. ¿Verifican si el cliente queda satisfecho con la manera en que solucionan el
incidente?
6. ¿Tiene un registro de los incidentes a los clientes?
7. ¿Realizan el registro de solicitudes al servicio de los clientes?
DS8.03 Evaluar el Escalamiento de Incidentes.
8. ¿Realizan registros de los incidentes que no se puede resolver y que tiene que
escalar?

15
9. ¿Realizan un Historial de los incidentes escalados pendientes?
DS8.04 Evaluar el cierre de Incidentes.
10. ¿Realizan registros de las causas de los incidentes de raíz?
11. ¿Realizan un Historial de los incidentes resueltos y por resolver?
12. ¿Verificar si se logró solucionar todos los incidentes?

Cuestionario a los usuarios de SYM

Pregunta Siempre A veces Nunca
1. ¿Cómo calificas el servicio que te brinda soporte
y mesa de ayuda?
2. ¿Cuándo presentas algún incidente, resuelven el
incidente que tienes?
3. ¿El trato que te brindan cumple con tus
expectativas?
4. ¿En caso de solucionar tus incidentes te dan
alguna otra opción de solución?
5. ¿Todos tus incidentes son solucionados
instantáneamente?
6. ¿Confías en que soporte y mesa de ayuda ayudan
en tu organización?

2.7. Plan de auditoría para Evaluación de la Administración de la Configuración de SYM.

2.7.1.Alcance:
o Evaluar el cumplimiento de la administración de la configuración.
o Evaluar los incidentes.

2.7.2.Limitaciones
o No se evaluara todo el personal de SYM.
o No se evaluara el Plan operativo minuciosamente solo algunos puntos que
sean necesarios.

16
 2.7.3.Guía de auditoría

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
DS9.1 Evaluar El 1. Verificar la 1. Observación Humano: Verificar los
repositorio y Línea herramienta de directa. documentos.
Base de soporte y Laura Cullanco
Configuración. repositorio. 2.Revisión Julio Verificar las
documental herramientas.
2. Verificar la línea
base de Tecnológico:
configuración. Una PC

Tiempo:
1 Día.

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
1. Verificar los 1. Observación Humano: Verificar los
procedimientos directa. Laura Cullanco documentos.
Evaluar la de Julio
identificación y configuración. 2. Revisión Verificar los las
DS9.2 mantenimiento de 2. Verificar el documental. herramientas.
Elementos de Registro de 3. Encuesta. Tecnológico:
Configuración. cambios en la Una PC
configuración.
Tiempo:
1 Día.

17
 ISC Consultores. DIGESI- Área SYM Fecha Hoja
1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
Humano: Verificar los
Laura Cullanco documentos.
1. Revisar los datos 1. Observación Julio
Evaluar la revisión de configuración directa. . Verificar los
DS9.3 de Integridad de la actual. reportes.
Configuración. 2. Revisar el 2.Revisión
historial de la documental Tecnológico: .
configuración. Una PC

Tiempo:
1 Día.

2.7.4. Herramientas de Obtención de Datos.

o Cuestionarios.
o Entrevistas.
o Documentos.
o Observación directa.

18
SYM DIGESI
Cuestionario de Control C2
Dominio Mesa y Soporte
Proceso DS9: Administración de la Configuración.
Objetivo de Control DS9.1, DS9.2, DS9.3
CUESTIONARIO
Pregunta SI NO
DS9.01 Evaluar El repositorio y Línea Base de Configuración.
1. ¿La empresa cuenta con políticas de administración de la configuración tanto de
hardware y software?
2. ¿Posee un repositorio de ítems de configuración de los principales dispositivos y
programas que cuenta la empresa?
3. ¿Es consciente de la importancia de realizar una correcta gestión de la
configuración?
4. ¿Establece líneas base de los repositorios periódicamente?

DS9.02 Evaluar la identificación y mantenimiento de Elementos de

Configuración.
5. ¿Tiene documentado las estrategias y planes de contingencia ante el daño de un
dispositivo o programa?
6. ¿Cuenta con manuales de instalación / desinstalación o configuración de
equipos?
7. ¿Realizan el registro de cambios de configuración en los equipos?
8. ¿Realizan el registro de mantenimientos preventivos y correctivos?
DS9.03 Evaluar la revisión de Integridad de la Configuración.
8. ¿Realizan registros de equipos con configuraciones actuales?
9. ¿Realizan un Historial de los equipos?
10. ¿Realizan la gestión del cambio?
11. ¿Realizan un Historial de los cambios?

19
2.8. Plan de auditoría para Evaluación de la Administración de los problemas de SYM.

2.8.1. Alcance:
o Evaluar el cumplimiento de la administración de los problemas.
o Evaluar el registro de los problemas.

2.8.2. Limitaciones
o No se evaluara el Plan operativo minuciosamente solo algunos puntos que
sean necesarios.

2.8.3. Guía de auditoría

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
DS10.1 Evaluar la 1. Evaluar los 1. Observación Humano: Verificar los
Identificación y reportes de directa. Laura Cullanco documentos.
clasificación de identificació Julio
Problemas. n de 2. Revisión Verificar los
problemas. documental. reportes.
2. Evaluar los Tecnológico:
reportes de 3. Entrevista a la Una PC Verificar
problemas. jefa del servicio. sugerencias y
3. Evaluar Tiempo: recomendaciones
documentos 1 Día. de los usuarios.
de
problemas
por
categoría.

20
 ISC Consultores. DIGESI- Área SYM Fecha Hoja
1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
1. Evaluar los 1. Observación Humano: Verificar los
procedimient directa. Laura Cullanco documentos.
os de rastreo Julio
Evaluar El rastreo y de 2. Revisión Verificar los
DS10.2 resolución de problemas. documental. reportes.
Problemas. 2. Revisar el Tecnológico:
reporte de 3. Entrevista a la Una PC Verificar
problemas jefa del servicio. sugerencias y
reportados. Tiempo: recomendaciones
1 Día. de los usuarios.

ISC Consultores. DIGESI- Área SYM Fecha Hoja

1
15 06 1 a 20
6
Herramientas
Actividad que será Procedimientos de
REF. que serán Recursos Observaciones
evaluada auditoría
utilizadas
1. Verificar el 1. Observación Humano: Verificar los
reporte de directa. Laura Cullanco documentos.
problemas Julio
solucionados. 2. Revisión Verificar los
Evaluar El cierre de 2. Verificar el documental. Tecnológico: reportes.
DS10.3 Problemas. reporte de Una PC
problemas en 3. Encuesta. Verificar
espera. Tiempo: sugerencias y
1 Día. recomendaciones
de los usuarios.

2.8.4. Herramientas de Obtención de Datos.

o Entrevistas.
o Documentos.
o Cuestionarios.
o Observación directa.

21
SYM DIGESI
Cuestionario de Control C3
Dominio Mesa y Soporte
Proceso DS10: Administración de los problemas.
Objetivo de Control DS10.01, DS10.2, DS10.3
CUESTIONARIO
Pregunta SI NO
DS10.01 Evaluación la identificación y clasificación de los problemas.
1. ¿La empresa Cuenta con políticas de administración de los problemas
2. ¿Es consciente de la importancia de realizar una correcta administración de
problemas?
3. ¿Existe personal asignado a el monitoreo y administración de los Problemas?
4. ¿Cree que su organización lleva una buena Administración de problemas?
5. ¿La empresa realiza el registro de los problemas?
6. ¿La empresa realiza la clasificación de problemas por tipo e importancia del
problema (Problema Critico)?
DS10.02 Evaluar El rastreo y resolución de Problemas.
7. ¿La empresa cuenta con procedimientos de rastreo de los problemas?
8. ¿Tiene un registro de los problemas encontrados y solucionados?
9. ¿Realizan el registro de problemas resueltos y los que están en espera?
DS10.03 Evaluar El cierre de Problemas.
10. ¿Realizan registros de las causas de los problemas de raíz?
11. ¿Realizan un Historial de los problemas por estado y tipo de problema?
12. ¿Verifican si se logró solucionar todos los problemas?

22