Vous êtes sur la page 1sur 75

Universidad Tecnolgica de Huejotzingo

Organismo Pblico Descentralizado del Estado de Puebla

Ingeniera en Tecnologas de la Informacin y Comunicacin

INTEGRADORA II

Auditoria Outsourcing Servicio de Internet


TSU. Anglica Corts Cuahutencos TSU. Carina Cuautle Ramos TSU. Maria Esther Galcia Xochitemol TSU. Guadalupe Jimenez Nieves TSU. Areli Rojano Calixto 10 A

Noviembre-2010

AUDITORIA OUTSOURCING SERVICIO DE INTERNET NDICE

Universidad Tecnolgica de Huejotzingo

PLANEACIN ........................................................................................................................... 5 Planeacin de la Auditoria Outsourcing .............................................................................. 6 Objetivos ................................................................................................................................ 7 Objetivos Generales ............................................................................................................ 7 Objetivos Especficos .......................................................................................................... 7 Estudio de la Evaluacin del Control Interno ...................................................................... 8 Gestin Administrativa ......................................................................................................... 8 Gestin Informtica.............................................................................................................. 9 Mtodos Aplicables para su Documentacin .....................................................................11 Planeacin Detallada ............................................................................................................11 Cuestionario de Control Interno ..........................................................................................14 Encuesta del Servicio de Internet a Usuarios .....................................................................19 Listado de Verificacin de Auditoria Outsourcing .............................................................21 Planilla de Decisiones Preliminares ....................................................................................26 Recursos a Utilizar en la Auditoria ......................................................................................30 Cronograma de Actividades ................................................................................................31 Peso Porcentualde cada rea a Evaluar .............................................................................32 Referencias de Auditora ......................................................................................................33 Marcas de Auditora..............................................................................................................34 Metodologa y Procedimientos ............................................................................................34 Mtodos de Prueba ...............................................................................................................35 Situaciones Alternas ............................................................................................................35 Asignacin de Recursos y Sistemas Computacionales para la Auditora........................35

Pgina 3

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

DESARROLLO ........................................................................................................................ 36 Cuestionario de Control Interno ..........................................................................................37 Listado de Verificacin de Auditoria Outsourcing .............................................................42 Reporte de Hallazgos ...........................................................................................................47 Resultados de las Encuestas ............................................................................................. 50

RECOMENDACIONES ............................................................................................................ 61 Evaluacin de Unidad Informtica Aplicando Modelo de Madurez para la Administracin y el Control de los Procesos de TI ............................................................63 Recomendaciones ................................................................................................................66

ANEXOS.................................................................................................................................. 75

NDICE DE GRFICAS
Grfica 1. Evaluacin del Servicio de Internet (Alumnos) ......................................................... 51 Grfica 2. Evaluacin de Laboratorios (Alumnos)..................................................................... 52 Grfica 3. Evaluacin de Unidad Informtica (Alumnos)........................................................... 53 Grfica 4. Evaluacin de Acceso a Internet (Alumnos) ............................................................. 54 Grfica 5. Evaluacin de Fallos en el Acceso a Internet (Alumnos) .......................................... 55 Grfica 6. Evaluacin del Servicio de Internet (Alumnos) ......................................................... 56 Grfica 7. Evaluacin de Laboratorios (Profesores) ................................................................. 57 Grfica 8. Evaluacin de Unidad Informtica (Profesores) ....................................................... 58 Grfica 9. Evaluacin de Acceso a Internet (Profesores) ......................................................... 59 Grfica 10. Evaluacin de Fallos en el Acceso a Internet (Profesores) .................................... 60

Pgina 4

Planeacin

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

PLANEACIN DE LA AUDITORIA OUTSOURCING


Universidad Tecnolgica De Huejotzingo EMPRESA Departamento de Unidad Informtica R.F.C N.R.C FECHA DE AUDITORIA DIRECCIN TELFONO UTH981027 UTH981027U28 12 de Octubre al 28 de Octubre 2010 Camino Real a San Mateo s/n, Santa Ana Xalmimilulco, Huejotzingo, Puebla 01 (227) 27 5 9300.

Pgina 6

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


OBJETIVOS
OBJETIVOS GENERALES

Universidad Tecnolgica de Huejotzingo

Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes a la Universidad Tecnolgica de Huejotzingo, lo cual nos permitir identificar las deficiencias y ventajas del mismo para la mejora del servicio.

OBJETIVOS ESPECFICOS
Conocer la situacin actual del servicio de internet, a travs de la identificacin de deficiencias en el servicio provedo.

Evaluar si la Universidad Tecnolgica de Huejotzingo cubre las necesidades de los usuarios que reciben el servicio de Internet.

Disear los procedimientos adecuados a efectuar en el desarrollo de la auditora outsourcing.

Evaluar el alcance de los procedimientos, y con ello logremos formular el informe de la auditoria outsourcing adecuado, cumpliendo con los objetivos planteados.

Conocer las polticas y procedimientos para la contratacin del servicio Outsourcing

Evaluar los contratos, ANS (Acuerdo de Nivel de Servicio) e INS (Indicadores de Nivel de Servicio) establecidos con el proveedor del servicio outsouring.

Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia ITIL (IT Infraestructure Library) y COBIT (Control Objectives for Information and Related Technology) para la evaluacin del servicio Outsourcing.

Pgina 7

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

ESTUDIO DE LA EVALUACIN DEL CONTROL INTERNO


Esta fase constituye el inicio de la planeacin y nos permite establecer una relacin especfica entre la calidad del control interno de la empresa y el alcance u objetivos de los procedimientos de la auditoria, debido a que los resultados de esta fase son los que generan la verdadera orientacin de las subsiguientes fases del proceso, por lo que se deben considerar los siguientes aspectos:

GESTIN ADMINISTRATIVA
1. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa del departamento de Unidad Informtica.

2.

Verificar si se cuenta con un Manual de organizacin y funciones del personal que se encuentran en el departamento de Unidad Informtica.

3.

Verificar si las contrataciones del personal del departamento de Unidad Informtica se han realizado con base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto.

4.

Verificar si la administracin provee oportunamente los recursos necesarios para la adquisicin del servicio de internet.

5.

Verificar si la administracin promueve la capacitacin y adiestramiento constante del personal del departamento de Unidad Informtica.

6.

Verificar si la administracin ha establecido polticas claras con respecto a la adjudicacin de claves del sistema de control de acceso a internet.

7.

Verificar que las instalaciones donde labora el personal del departamento de Unidad Informtica estn adecuadas a las necesidades y no representen peligro para los empleados y el hardware.

8.

Verificar el contrato, ANS e INS del servicio de internet.

9.

Identificar como se realiza el monitoreo de los ANS, y si se genern reportes acerca de los logros y criterios de desempeo de los problemas encontrados.

10. Validar la existencia de clusulas que permitan la gestin de los contratos y ANS dentro de la Universidad.

Pgina 8

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


GESTIN INFORMTICA

Universidad Tecnolgica de Huejotzingo

1. Examinar la informacin preliminar correspondiente al departamento de Unidad Informtica, la cual puede ser:

a. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnolgica de Huejotzingo para los cuales es utilizado el servicio de internet.

Se verificar si se lleva un control de las operaciones realizadas, si se lleva un respaldo de informacin y un registro de los usuarios del departamento de unidad informtica, los horarios y reas en los cuales han utilizado el servicio de internet. Tambin se solicitar informacin correspondiente si se ha realizado en otras ocasiones auditoras al servicio de internet.

b. Externa: Conocimiento e identificacin de los usuarios de internet, as como de los proveedores de dicho servicio y los contratos.

2. Conocimiento de las reas e instalaciones fsicas (materiales, mobiliario, inmuebles, equipos de cmputo, laboratorios y otros) de la Universidad que tienen relacin con el departamento de Unidad Informtica.

3. Verificar si existe una poltica de seguridad de red bien concebida y efectiva que pueda proteger los datos de la Universidad.

4. Verificar si dicha poltica de seguridad ha sido diseada especficamente para la universidad y hasta qu punto satisface las necesidades del usuario.

5. Verificar el proceso realizado por medio de los sistemas de acceso a Internet.

6. Considerar otro punto de conocimiento general que involucre informacin sobre el servicio de internet proporcionado a los usuarios de la universidad.

7. La revisin y verificacin de las Seguridades. a. Seguridad Lgica. Control de acceso. Restricciones de Pginas Web. Bloqueo de Puertos. Integracin de dominios. Otros que se involucren dentro del rubro.

Pgina 9

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


b. Seguridad Fsica. Ubicacin de equipos. Infraestructura. Instalaciones elctricas.

Universidad Tecnolgica de Huejotzingo

Otros involucrados dentro del rubro.

8. Verificar quienes estn autorizados para realizar modificaciones en la red de la universidad y quien autoriza cada una de estas modificaciones.

9. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones, verificar si existe algn documento escrito por medio del cual se autoricen dichas modificaciones o si las rdenes se efectan solamente de manera verbal.

10. Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anmalas dentro de la red.

11. Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin de los usuarios que reciben el servicio de Internet.

12. Verificar la cantidad de usuarios que pueden tener acceso a la red inalmbrica.

13. Verificar si el usuario tiene una clave nica para accesar a la red, y que la misma solo admita un usuario, es decir que nadie pueda tener acceso con la misma clave.

14. Verificar si existe una examinacin peridicamente en la poltica de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red.

15. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnolgica de Huejotzingo, as como la administracin del mismo.

16. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad Tecnolgica de Huejotzingo.

17. Verificar cuales son los requerimientos que tiene la Universidad Tecnolgica de Huejotzingo, referente al servicio de acceso a internet.

Pgina 10

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

MTODOS APLICABLES PARA SU DOCUMENTACIN


El tipo de mtodos que contempla la empresa Solution Corp para implementar la auditora outsourcing son los siguientes: a) Descriptivo: La documentacin utilizada durante la auditora, ser en primer lugar de tipo descriptiva o sea basada en la narracin verbal de los procedimientos, que son conocidas como cdulas narrativas. b) Cuestionario: En segundo lugar, los procedimientos se documentarn a travs del pre elaboracin de preguntas, contestadas personalmente por el personal encargado del departamento de la unidad informtica. c) Encuestas: Aplicadas a los usuarios que reciben el servicio de Internet para conocer el grado de satisfaccin con respecto al mismo.

PLANEACIN DETALLADA
El objetivo principal de la planeacin detallada es estructurar de manera ordenada y lgica las actividades a ejecutar durante el proceso de auditora, es decir, es un esquema previo que dirige los pasos a seguir para realizar una auditora de desempeo, contemplando los siguientes apartados: 1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditora, es decir, establecer la base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria, para que la misma pueda llevarse a cabo de forma eficaz y efectiva; por lo tanto, la empresa Solution Corp tiene como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el mismo. 2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad Informtica en secciones manejables; facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros. a. Primera descomposicin: Hardware, Red, Software, Personal, Instalaciones Elctricas, Seguridad, Servicio. b. Segunda descomposicin o detalle: Computadoras y perifricos asociados, software para el acceso a internet, personal del departamento de unidad informtica, usuarios del servicio, red elctrica, seguridad fsica, seguridad lgica, seguridad del personal, seguridad de la informacin y las bases de datos. 3) Comparaciones: Se establecern comparaciones sobre el actual funcionamiento del departamento de Unidad Informtica y las especificaciones de cmo debera funcionar, para establecer si las actividades que estn realizando son adecuadas.

Pgina 11

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


4)

Universidad Tecnolgica de Huejotzingo

Examen documental: se consolida como la base de la auditora y el enlace entre la investigacin y la emisin de una opinin e informe, la inspeccin de los documentos anexos a cada operacin del departamento de unidad informtica, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones.

5)

Margen de Importancia: Dentro de este apartado, se deben analizar y sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informticos.

6)

Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informtica; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera: a. Riesgo Inherente: Asociado con la generacin de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del Departamento de la Unidad Informtica. b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. c. Riesgo de Deteccin: Vinculado directamente con la funcin de auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas.

7)

Elaboracin de cuestionario de control interno: Para conocer el funcionamiento Departamento de la Unidad Informtica dentro de la Universidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con el propsito de conocer las actividades a las cuales se dedica dicho departamento, quienes las efectan, en qu momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora.

Pgina 12

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


8)

Universidad Tecnolgica de Huejotzingo

Planilla de decisiones preliminares: En este documento, luego de obtener los resultados del cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones realizadas en el servicio de acceso a internet, y con base en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros que componen dicho departamento.

9)

Elaboracin del programa de auditora: Con posterioridad al conocimiento general del departamento y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a seguir en las diferentes reas involucradas en el departamento, las tareas programadas, quedan plasmadas en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la misma.

10) Verificacin de generalidades concernientes a los documentos emitidos.

11) Anlisis y validacin de los documentos anexados que soportan las adquisiciones del servicio de internet a utilizarse por los diversos usuarios y del departamento de Unidad Informtica.

12) Conocimiento sobre la existencia o ausencia del software, hardware y dispositivos de red involucrados en el servicio de Internet.

13) Verificacin documental de los servicios de internet.

14) Documentacin adecuada de hallazgos.

15) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea relevante.

16) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere el apartado anterior.

17) Preparacin del informe final de auditora.

Nota: Toda la metodologa y procedimientos detallados, no inhiben de sostener reuniones peridicas o eventuales con la administracin, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuar de forma escrita como constancia de realizado.

Pgina 13

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

CUESTIONARIO DE CONTROL INTERNO


PREGUNTAS
1. Existe dentro de la Universidad un rea de Unidad Informtica? SI LA RESPUESTA FUE SI: 2. Existe una persona nombrada como

SI

NO

N/A

OBSERVACIONES

ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMTICA

responsable de administrar las redes? 3. Existe un rea o alguien a quin le rinden cuentas de su gestin? 4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico? 6. Hay un manual de organizacin y funciones aplicables a dicha rea? 7. Existen procedimientos de contratacin, para el personal de este departamento? 8. Estn delimitadas las funciones de cada integrante del rea Unidad Informtica? 9. Cada empleado del rea de Unidad

Informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 10. Cada empleado del rea de Unidad

Informtica es especialista en diferentes reas de la red? 11. Tiene muchos aos laborando aqu? 12. Han recibido capacitaciones en el ltimo ao? INFRAESTRUCTURA DE LA RED 13. El personal revisa la infraestructura de la red? 14. En el ltimo ao se han revisado toda la infraestructura de la red?

Pgina 14

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
15. Existe un plan de infraestructura de redes? 16. En alguna ocasin se ha generado algn problema dentro de la infraestructura de la red? 17. Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. En alguna ocasin se ha generado

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES

problemas con la conexin del internet? 19. Usa protocolos? 20. Tiene la Universidad contratado un

especialista en redes? 21. La administracin de redes implementa una poltica en base a la tecnologa de red? 22. Esta poltica es acorde con el plan de calidad de la organizacin? 23. Existe un inventario de equipos y software asociados a las redes? 24. Existe un plan que permite modificar en forma oportuna a largo plazo la tecnologa de redes, teniendo en cuenta los posibles

cambios tecnolgicos o en la institucin? 25. Estn establecidos controles especiales para salvaguardar la confidencialidad e

integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? 26. Existen controles gestin para y procedimientos de

proteger

el acceso a las

conexiones y servicios de red? 27. Existe una topologa de red estandarizada?


Pgina 15

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
28. Existen algunas restricciones para los

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES

ASPECTOS RELACIONADOS A LA SEGURIDAD

usuarios?
29. Identifica el tipo de amenaza que afecta los recursos de la red? 30. Usted clasifica los riesgos por nivel de

importancia y gravedad de la perdida? 31. Le han dado clave para ingresar al sistema?

32. Existen limitantes para el acceso a internet?


33. Se han adoptado medidas de seguridad en el departamento de sistemas de

informacin?

34. Existe una persona responsable de la


seguridad? 35. Existe una clara definicin de funciones entre los puestos clave? 36. Se permite el acceso a la red por

personal no autorizado? 37. Existen medidas de seguridad fsica? 38. Existe un programa de mantenimiento para la red? 39. Se lleva a cabo tal programa? 40. Existe proteccin ante algn robo? 41. Existen medidas de seguridad respecto a copias ilegales? 42. Utilizan antivirus o alguna otra medida para la proteccin de la informacin?

Pgina 16

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
43. Existe un contrato para el servicio de internet? 44. El contrato contempla clusulas de servicio, seguridad, costo, tipo de servicio y todos los detalles inherentes a la prestacin del servicio? 45. Dentro del contrato se establece ANS? 46. Existen penalizaciones dentro del contrato? 47. Tiene conocimiento de lo que es un Plan de Retorno? 48. Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. Existe un anlisis previo para el contrato de servicio de internet que cubra las

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES

ASPECTOS RELACIONADOS AL OUTSOURCING

necesidades de la institucin? 50. El departamento de unidad informtica es el encargado de efectuar la contratacin del servicio de internet? 51. Ofrece calidad en el servicio la empresa proveedora? 52. La empresa proveedora ofrece una ventaja econmica para la universidad? 53. La infraestructura de la red es la adecuada para la prestacin del servicio outsourcing? 54. La administracin y control de la red se acoplan a la prestacin de servicios

outsourcing?

Pgina 17

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
55. La comunicacin entre el proveedor y el departamento de la unidad informtica es eficiente y eficaz? 56. La empresa proveedora es confiable en cuanto al servicio que est proporcionando a la universidad? 57. Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. Se realiza peridicamente una evaluacin para determinar que el servicio outsourcing cubra las necesidades de la institucin? 59. Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61. Existe una renovacin de contrato en cuanto al servicio de internet? 62. Los usuarios pueden opinar sobre el servicio de internet? 63. Se lleva a cabo un seguimiento de estas sugerencias?

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES

Nombre: ___________________________________________________________

Cargo: _____________________________________________________________

Pgina 18

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS


Carrea o rea La presente encuesta tiene como objetivo evaluar el servicio de internet proporcionado a los alumnos (usuarios) de la Universidad Tecnolgica de Huejotzingo, y con ello identificar las deficiencias del mismo.

Contesta y califica en una escala del 1 al 5. 1. Excelente 2. Bueno 3. Regular 4. Deficiente 5. No Cumple

PREGUNTAS 1. 2. 3. 4. 5. 6. 7. 8. 9. Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico? La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras:

10. Cubre tus necesidades acadmicas? 11. Los tiempos de respuesta son? 12. Cmo calificaras el equipo de cmputo de los laboratorios? 13. Cmo calificas en nmero de equipos de cmputo existentes? 14. La disponibilidad con la cuentan los laboratorios es: 15. El antivirus con el que cuentan los equipos de cmputo lo consideras: 16. La instalacin del cableado lo consideras:

Pgina 19

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


Contesta solo s y no. PREGUNTAS 17. Conoces el departamento de Unidad Informtica? 18. Sabes dnde se encuentra? 19. Crees que la ubicacin de la unidad informtica es de fcil acceso? 20. Sabes quin es la persona responsable? 21. Conoce el horario del personal responsable de la

Universidad Tecnolgica de Huejotzingo

SI

NO

COMENTARIO

administracin de la red? 22. Utilizas con frecuencia el servicio de Internet? 23. Requiere una cuenta para acceder a este servicio? 24. Conoce el proceso que se realiza para adquirir dicha cuenta? 25. Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. Solo usted tiene acceso a esta cuenta? 28. Su cuenta siempre est disponible 29. Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido 30. Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. Existen problemas al conectarse a internet? 32. Los problemas existentes afectan la realizacin de su trabajo? 33. Si tuvieras alguna queja sabes con quien y donde presentarla? 34. Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet?

Pgina 20

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

LISTADO DE VERIFICACIN DE AUDITORIA OUTSOURCING


Acuerdo del Nivel de Servicios en la Adquisicin de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institucin. Se identifican polticas que definan acuerdos del nivel del servicio. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios. Supervisin y control contina de los 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

servicios prestados a usuarios. Se consideran la participacin de los

usuarios en cuanto al nivel del servicio percibido por los mismos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Existe la evidencia de los problemas que se presentan en cuanto a la prestacin del servicio. Se establecen las funciones para cada rol en el rea de unidad informtica. Se tienen establecidos los modelos de elaboracin para la percepcin de servicios. El contrato puede replantearse para mejoras de recepcin de servicio.
Pgina 21

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluacin para la obtencin de la calidad de los servicios de internet. Se identificaron medidas encaminadas al funcionamiento de las normas. 100% Excelente 80% Bueno

Universidad Tecnolgica de Huejotzingo

60% Regular

40% Mnimo

20% No cumple

Verificacin de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

establecido para brindar un buen servicio. Las caractersticas de la Red para el servicio de internet son: Los componentes fsicos de la red cumplen con las caractersticas para brindar servicio de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios. Las configuraciones, topologas, tipos y cobertura de las redes estn adecuadas para el servicio de internet. Los protocolos de comunicacin interna de la red permiten un servicio de internet. La administracin de la red de Cmputo es adecuada para el brindar el servicio de internet. La seguridad de acceso al servicio de internet.
Pgina 22

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

Evaluacin de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

La distribucin del direccionamiento de IP. Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de

internet son evaluados. La administracin de contraseas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del

acceso al servicio de internet se evalan. Evaluar las medidas preventivas o

correctivas en caso de siniestros en el acceso. Evaluacin de la Seguridad en el Acceso al rea Fsica Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cmputo. Evaluar las medidas preventivas o 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

correctivas en caso de siniestro en el centro de cmputo. Analizar las polticas de la instalacin en relacin con los accesos al departamento.

Pgina 23

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

Evaluacin de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, proteccin y y de sus perifricos 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

periodicidad de los respaldos de bases de datos, software e informacin importante de la institucin. Evaluar seguridad la configuracin, instalaciones del equipo de y

cmputo,

mobiliario y dems equipos. Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario y dems equipos. Evaluar la seguridad en el procesamiento de informacin. Evaluacin de la Proteccin de la Informacin Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitacin de accesos. Proteccin contra robos Proteccin ante copias ilegales Evaluacin de la Proteccin contra Virus Informticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Pgina 24

100% Excelente

80% Bueno

60% Regular

40% Mnimo

20% No cumple

100% Excelente

80% Bueno

60% Regular

40% Mnimo

20% No cumple

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


100% Excelente 80% Bueno

Universidad Tecnolgica de Huejotzingo

Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Proteccin de informacin. archivos, programas e

60% Regular

40% Mnimo

20% No cumple

Evaluacin de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

equipos y perifricos asociados. Evaluar la configuracin del equipo de

cmputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados. Evaluar el estado fsico del hardware,

perifricos y equipos asociados Evaluacin de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de software, 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

paqueteras y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalacin del software, paqueteras y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta ltima.

Pgina 25

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PLANILLA DE DECISIONES PRELIMINARES SOLUTION CORP
NOMBRE DEL CLIENTE: PERODO A AUDITAR :
RUBRO REA FACTORES DE RIESGO

Universidad Tecnolgica de Huejotzingo

Universidad Tecnolgica de Huejotzingo, Departamento de la Unidad Informtica 12 de Octubre al 28 de Octubre de 2010


EVALUACIN DE RIESGOS
INHERENTE CONTROL DETECCIN

PROCEDIMIENTOS SEGN FACTORES DE RIESGO Revisar encuentra que el hardware que se

ALCANCE DE LOS PROCEDIMIENTOS

inventariado

como

Se revisar el 100% de los bienes inventariados como hardware. parte del

Que haya extravo. Computadoras y Hardware Perifricos Asociados Que se est utilizando con los fines para los cuales fue adquirido.

adquisiciones de la universidad, se encuentre en el lugar correspondiente. Verificar que los diversos componentes del hardware, estn siendo

aprovechados al mximo y utilizando como corresponde. Revisar que los dispositivos Se revisar el 100% de

inventariados como adquisiciones de la los bienes inventariados Que haya extravo. Redes Dispositivos Que se est utilizando Universidad, se encuentre en el lugar como correspondiente. Verificar que los dispositivos estn parte de

dispositivos de red.

con los fines para los cuales fue adquirido.

siendo aprovechados al mximo y se estn utilizando como corresponde.

Pgina 26

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


RUBRO REA FACTORES DE RIESGO Que los empleados del rea de Personal Personal informtica no estn EVALUACIN DE RIESGOS
INHERENTE CONTROL DETECCIN

Universidad Tecnolgica de Huejotzingo

PROCEDIMIENTOS SEGN FACTORES DE RIESGO

ALCANCE DE LOS PROCEDIMIENTOS

del recibiendo las capacitaciones necesarias con el propsito

Se verificarn los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los

En

las

revisiones si en se

se las ha

Departamento de

verificar

Unidad de actualizarlos y se vayan quedando desactualizados

capacitaciones

Informtica

empleados del rea de informtica.

incluido a todo el personal del rea.

frente a los nuevos avances tecnolgicos. Los mtodos, rutina, procedimientos y medidas de seguridad y proteccin de los sistemas operativos, paquetera, y dems software Software para la del sistema no estn Software administracin de la red Que el software usado por la entidad est resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se Revisar las condiciones del lugar en que se encuentra resguardado el software. funcionando adecuadamente. Identificar en cada uno de los elementos los factores de riesgos, para mitigarlos.

Mejorar los procedimientos implementados en la realizacin de las diferentes tareas, para obtener mayor seguridad en las aplicaciones.

La verificacin se har por una sola vez y con la autorizacin del encargado del departamento.

convierta en inservible.

Pgina 27

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


RUBRO REA FACTORES DE RIESGO EVALUACIN DE RIESGOS
INHERENTE CONTROL DETECCIN

Universidad Tecnolgica de Huejotzingo

PROCEDIMIENTOS SEGN FACTORES DE RIESGO Verificar que los tomas a los cuales

ALCANCE DE LOS PROCEDIMIENTOS

Que los tomas elctricos no Instalaciones Elctricas estn polarizados. debidamente

se encuentra conectado el equipo informtico estn debidamente

Se aplicar al 100% de los tomas.

polarizados con el fin de evitar sobrecargas elctricas.

Red Elctrica Que las instalaciones

Se verificar con la ayuda de un electricista que las instalaciones elctricas condiciones cumplan con las de

Se aplicar a un 15% de las instalaciones a las que est conectado el equipo del sistema informtico de la entidad.

elctricas ya no estn en ptimas condiciones de uso o ya sean obsoletas.

mnimas

funcionamiento y que todava no sean obsoletas.

Que los componentes de la Seguridad Fsica red estn ubicados en un rea que no cumplen con las condiciones ambientales. Seguridad Seguridad Lgica Robo de informacin El acceso a usuarios no Verificar que el ingreso a usuarios sea solo aquellos que estn mnimas Verificar que los equipos no estn ubicados muy cerca de espacios hmedos o que el calor sea mucho. Se efectuar al 100% de los computadores.

vlidos.

registrados. Verificar que solo el personal

autorizado pueda tener acceso a la informacin.

Pgina 28

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


RUBRO REA FACTORES DE RIESGO Que el equipo y est en mal algn EVALUACIN DE RIESGOS
INHERENTE CONTROL DETECCIN

Universidad Tecnolgica de Huejotzingo

PROCEDIMIENTOS SEGN FACTORES DE RIESGO

ALCANCE DE LOS PROCEDIMIENTOS

Seguridad en la conectado Operacin de

Se verificar que los equipos estn correctamente conectados y que sean funcionales.

momento pueda originarse en

Se aplicar al 100% de los equipos.

los Dispositivos l un corto circuito u otro siniestro. Seguridad Seguridad en las Telecomunicaci ones

Se verificar si las mquinas se Que el internet para se est fines encuentran en red, si todas tienen Se harn los

utilizando

acceso a internet y si se puede procedimientos a un 5% de monitorear en algn momento lo las mquinas. que estn haciendo los usuarios.

personales de los usuarios.

Pgina 29

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

RECURSOS A UTILIZAR EN LA AUDITORIA


HUMANOS Auditor Senior Auditor Junior Auditores auxiliares Especialista en redes informticas

MATERIALES

Folders Lapiceros Lpiz

Computadoras (Laptop) Impresiones

TIEMPO Se espera realizar la auditora en el departamento de unidad informtica, debido a que es donde se encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet. Dicha auditoria se llevara en un periodo de 13 das.

PRESUPUESTO PARA LA AUDITORIA

No.

RECURSO

VALOR POR HORA


HUMANOS

VALOR TOTAL

VALOR TOTAL RUBRO

1 2 3
4

Auditor Senior (30 horas hombre) Auditor Junior Auditores Auxiliares (2 personas) Especialista en redes

$ $ $

50.00 35.00 30.00 6.25

$ $ $ $

1500.00 800.00 400.00 500.00 $ 3,200.00

$ TOTAL RUBRO $ $ $ $ $ TOTAL RUBRO TOTAL GENERAL

MATERIALES

1 2 4 5 6

Folders Lpiz Lapiceros Computadoras (Laptop) Impresiones

5.00 3.00 2.00 100.00 1.00

$ $ $ $ $

5.00 3.00 2.00 100.00 50.00 $ $ 160.00 3,360.00

Pgina 30

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


CRONOGRAMA DE ACTIVIDADES SERVICIO DE INTERNET DE LA UNIVERSIDAD TECNOLGICA DE HUEJOTZINGO

Universidad Tecnolgica de Huejotzingo

PUESTO Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar

NOMBRE DE LA PERSONA TSU Areli Rojano Calixto TSU Mara Esther Galicia Xochitemol TSU Anglica Cortes Cuahutencos TSU Carina Cuautle Ramos TSU Guadalupe Jimnez Martnez

12

13

14

15

18

19

20

21

22

25

26

27

1 2 3 4 5 6 7

Elaboracin del Plan de Auditora. Elaboracin de Cuestionario de Control Interno. Visita al encargado de control interno para contestar el cuestionario. Evaluacin de la auditoria del control interno. Desarrollo del Informe de Auditora. Recomendaciones de la auditoria. Entrega de resultados de la auditoria.

Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar Auditor Senior, Auditor Auxiliar Auditor Auxiliar, Especialista en Redes Auditor Senior

Pgina 31

28

No .

OCTUBRE ACTIVIDAD O TAREA RESPONSABLES

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

PESO PORCENTUAL DE CADA REA A EVALUAR


No. REA A EVALUAR
DEPARTAMENTO DE UNIDAD INFORMTICA

PONDERACIN

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.

Laboratorios de computo Polticas de seguridad (Estndares) Infraestructura (localizacin del cableado) Encriptacin Protocolos de comunicacin Restriccin en el uso del Internet Seguridad del Personal del departamento de Unidad Informtica Usuarios del sistema informtico (Para cuantas personas es la red inalmbrica) capacidad de la red Seguridad de Aplicaciones. Seguridad fsica de los sistemas informticos y ambiental Seguridad lgica del sistema Seguridad de la informacin y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operacin del hardware Seguridad en la Red inalmbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. Seguridad de cumplimiento de normas y estndares. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas
FINANZAS

1% 2% 2% 2% 2% 10% 3% 2% 4% 4% 4% 4% 4% 4% 4% 2% 4% 3% 4% 4% 2%

22. 23. 24.

Clasificacin y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal TOTAL Pgina 32

2% 2% 25% 100%

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


REFERENCIAS DE AUDITORA
REFERENCIAS DE AUDITORA A B C D E F G H I J K L M N O P Q R S T U V W X

Universidad Tecnolgica de Huejotzingo

DESCRIPCIN DE LA MARCA Laboratorios de computo Polticas de seguridad (Estndares) Infraestructura (localizacin del cableado) Encriptacin Protocolos de comunicacin Restriccin en el uso del Internet Seguridad del Personal del departamento de Unidad informtica Usuarios del sistema informtico (Para cuantas personas es la red inalmbrica) capacidad de la red Seguridad de Aplicaciones. Seguridad fsica de los sistemas informticos y ambiental Seguridad lgica del sistema Seguridad de la informacin y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operacin del hardware Seguridad en la Red inalmbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. Seguridad de cumplimiento de normas y estndares. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas Clasificacin y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal

Pgina 33

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


MARCAS DE AUDITORA
MARCAS DE AUDITORA

Universidad Tecnolgica de Huejotzingo

DESCRIPCIN DE LA MARCA Obtenido por el encargado del departamento Obtenido de otros documentos Obtenido de terceros Obtenido de empleados del rea de informtica Cotejado con el inventario Verificado por el auditor Verificado por el Tcnico en Redes

METODOLOGA Y PROCEDIMIENTOS
El anlisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de Huejotzingo, a travs de lo siguiente: 1. En primer lugar se visitar al cliente, en el lugar donde se realizar la auditoria, para identificar la magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en administracin e infraestructura de la red, quienes brindan el servicio de internet a usuario de la institucin. 2. Se elaborar un plan de auditora sobre el servicio de internet que brinda la institucin, para identificar las posibles reas que presenten riesgos dentro de la organizacin y que afecten el servicio de internet. Adems se elaborara el cuestionario para la evaluacin de servicios de internet, con el cual se buscar recabar informacin, que nos ayude a identificar riesgos, vulnerabilidades que puedan presentarse en algunas de las reas a evaluar. 3. Se llevar a cabo la evaluacin de servicio de internet que existe en la institucin, en el lugar de trabajo con el propsito de solicitar al personal involucrado, que respondan el cuestionario. 4. Con los resultados obtenidos de la evaluacin del servicio de internet, se elaborar una planilla de decisiones preliminares, evaluando el tipo de riesgo que presenta cada rea y definiendo algunos procedimientos que sern necesario realizar. 5. Se visitar los centros de trabajo para realizar los procedimientos de auditora necesarios, con el fin de obtener la evidencia suficiente y competente que sirva para la elaboracin del informe de auditora. 6. Se analizarn los datos, y se elaborar el informe de auditora que ser presentado al cliente.

Pgina 34

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


MTODOS DE PRUEBA

Universidad Tecnolgica de Huejotzingo

Se solicitar a los auditores que desarrollen los procedimientos expresados en el plan de auditora. En ellos se verificar que los auditores contratados para las diferentes reas pongan a prueba los servicios de internet brindados por la institucin, realizando operacin que verifiquen la que la administracin de la red, as como tambin la infraestructura fsica y lgica de la red. A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el servicio de internet. Por lo tanto lo que se verificar es la seguridad que ofrezca el sistema. Se harn pruebas, por otro lado en lo concerniente a las instalaciones elctricas, con el fin de verificar que estn en buen estado y se tratar de provocar fallas al sistema elctrico, para verificar su vulnerabilidad. Se tratar desde una computadora, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.

SITUACIONES ALTERNAS
En el caso de que todos los equipos estn constantemente ocupados, se buscar la forma de que se autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan realizar fuera de la jornada laboral, con el propsito de no entorpecer las labores cotidianas.

En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificar si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.

En el caso de que al momento de la auditora no se encuentren los funcionarios que nos hayan contratado, se les pedir que nombren a una persona, de preferencia del rea de informtica para que, d fe del trabajo que se est realizando y se mantenga la transparencia.

ASIGNACIN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORA


Las laptop de nuestra empresa, sern asignadas a los dos auditores, senior de nuestra empresa para que puedan en ellas realizar los respectivos procedimientos de auditora y la anotacin de los aspectos importantes, as como el registro de la evidencia en su orden. Tambin servir para el anlisis de los resultados y la elaboracin del informe de auditora.

La papelera ser utilizada para la elaboracin y resguardo de los papeles de trabajo y estarn en manos del auditor senior TSU. Areli Rojano Calixto, quien ser responsable de su custodia.

Pgina 35

Desarrollo

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

CUESTIONARIO DE CONTROL INTERNO


PREGUNTAS
1. Existe dentro de la Universidad un rea de Unidad Informtica?

SI

NO

N/A

OBSERVACIONES
Pero internamente se conoce como Centro de TI

ASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMTICA x

SI LA RESPUESTA FUE SI: 2. Existe una persona nombrada como x Lic. OLaff Hernndez Jurez IT Manager Dir. de Administracin de Finanzas Ernesto Aguirre x x x

responsable de administrar las redes? 3. Existe un rea o alguien a quin le rinden cuentas de su gestin? 4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico? 6. Hay un manual de organizacin y funciones aplicables a dicha rea? 7. Existen procedimientos de contratacin, para el personal de este departamento? 8. Estn delimitadas las funciones de cada integrante del rea Unidad Informtica? 9. Cada empleado del rea de Unidad

Recursos Humanos

Verbalmente

Informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 10. Cada empleado del rea de Unidad

Verbalmente

Informtica es especialista en diferentes reas de la red? 11. Tiene muchos aos laborando aqu? 12. Han recibido capacitaciones en el ltimo ao?

Mantenimiento, redes telefona 7 aos x No enfocadas al rea

INFRAESTRUCTURA DE LA RED 13. El personal revisa la infraestructura de la red? 14. En el ltimo ao se han revisado toda la infraestructura de la red? x x 2 veces al ao Junio, realizan evidencias

Pgina 37

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
15. Existe un plan de infraestructura de redes? 16. En alguna ocasin se ha generado algn problema dentro de la infraestructura de la red? 17. Considera usted que la infraestructura de la red se encuentra en buenas condiciones? 18. En alguna ocasin se ha generado

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES
Planeacin Saturacin de servicios

(daos en el cableado) y ataques a la red

No son optimas Daos locales (85%) y del proveedor (15%) Anual TCP/IP, HTTP, HTTPS FTP Ingeniero en Sistemas, TSU en Informtica

problemas con la conexin del internet? 19. Usa protocolos? 20. Tiene la Universidad contratado un

x x

especialista en redes? 21. La administracin de redes implementa una poltica en base a la tecnologa de red? 22. Esta poltica es acorde con el plan de calidad de la organizacin? 23. Existe un inventario de equipos y software asociados a las redes? 24. Existe un plan que permite modificar en forma oportuna a largo plazo la tecnologa de redes, teniendo en cuenta los posibles

Polticas de Seguridad y de Administracin

x
rea de recursos Materiales

Plan de Mantenimiento

cambios tecnolgicos o en la institucin? 25. Estn establecidos controles especiales para salvaguardar la confidencialidad e Control de acceso al sitio,

integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? 26. Existen controles gestin para y procedimientos de

contraseas en servidores, Distribucin Lgica

proteger

el acceso a las

Verbalmente

conexiones y servicios de red? 27. Existe una topologa de red estandarizada?

x
Pgina 38

Estrella

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS A LA SEGURIDAD


28. Existen usuarios? 29. Identifica el tipo de amenaza que afecta los recursos de la red? 30. Usted clasifica los riesgos por nivel de x x x Ancho de banda y Servicios Sealtica, Seguridad Fsica y lgica Personal perteneciente a la Unidad Informtica Prioridad x Anlisis lgico y fsico algunas restricciones para los x Firewall, acceso y filtrado

importancia y gravedad de la perdida? 31. Le han dado clave para ingresar al sistema? 32. Existen limitantes para el acceso a internet? 33. Se han adoptado medidas de seguridad en el departamento de sistemas de x

informacin? 34. Existe una persona responsable de la seguridad? 35. Existe una clara definicin de funciones entre los puestos clave? 36. Se permite el acceso a la red por x

personal no autorizado? 37. Existen medidas de seguridad fsica? 38. Existe un programa de mantenimiento para la red? 39. Se lleva a cabo tal programa? 40. Existe proteccin ante algn robo? 41. Existen medidas de seguridad respecto a copias ilegales? 42. Utilizan antivirus o alguna otra medida para la proteccin de la informacin? x x x x

Cada ao y se aplica dos veces.

Firewall

Pgina 39

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

PREGUNTAS SI NO N/A OBSERVACIONES ASPECTOS RELACIONADOS AL OUTSOURCING


43. Existe un contrato para el servicio de internet? 44. El contrato contempla clusulas de servicio, seguridad, costo, tipo de servicio y todos los detalles inherentes a la prestacin del servicio? 45. Dentro del contrato se establece ANS? 46. Existen penalizaciones dentro del contrato? 47. Tiene conocimiento de lo que es un Plan de Retorno? 48. Existe un plan de retorno en caso de que el proveedor no cubra las necesidades del servicio? 49. Existe un anlisis previo para el contrato de servicio de internet que cubra las x Materiales x x x Por cada da sin servicio se gratifica 5% mensual Cheques cruzados 20% y penalizaciones x x Contratos anuales. Gemtel proveedor actual

necesidades de la institucin? 50. El departamento de unidad informtica es el encargado de efectuar la contratacin del servicio de internet? 51. Ofrece calidad en el servicio la empresa proveedora? 52. La empresa proveedora ofrece una ventaja econmica para la universidad? 53. La infraestructura de la red es la adecuada para la prestacin del servicio outsourcing? 54. La administracin y control de la red se acoplan a la prestacin de servicios x x x Solo sugiere o realiza una peticin Tiempos de Respuesta, Disponibilidad

Economa

outsourcing?

Pgina 40

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


PREGUNTAS
55. La comunicacin entre el proveedor y el departamento de la unidad informtica es eficiente y eficaz? 56. La empresa proveedora es confiable en cuanto al servicio que est proporcionando a la universidad? 57. Se lleva a cabo un seguimiento del funcionamiento del servicio de internet por parte de la empresa proveedora? 58. Se realiza peridicamente una evaluacin para determinar que el servicio outsourcing cubra las necesidades de la institucin? 59. Se realizan evidencias de los fallos que se presentan en el servicio de internet? 60. La empresa outsourcing proporciona equipo adicional para brindar un buen servicio a la universidad? 61. Existe una renovacin de contrato en cuanto al servicio de internet? 62. Los usuarios pueden opinar sobre el servicio de internet? 63. Se lleva a cabo un seguimiento de estas sugerencias? x x x x x x

Universidad Tecnolgica de Huejotzingo

SI

NO

N/A

OBSERVACIONES
No siempre es eficaz. Olaff tiene comunicacin con el proveedor

Hace 2 aos

Cada 3 meses y si no se anota en un ticket

Cada 3 meses

Ticket soporte externo y x reporte escrito cuando el proveedor interviene

Antenas de recepcin

Anualmente Buzn de quejas, solo los que son importantes

Nombre: Cargo:

Lic. Olaff Hernndez Jurez Manager IT- Administrador de TI

Pgina 41

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

LISTADO DE VERIFICACIN DE AUDITORIA OUTSOURCING


Acuerdo del Nivel de Servicios en la Adquisicin de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El nivel de servicio de internet es el requerido para cubrir con las necesidades de la institucin. Se identifican polticas que definan acuerdos del nivel del servicio. Se cumplen con los acuerdos externos e internos establecidos en el contrato. Se encuentran documentados los servicios prestados a los distintos tipos de usuarios. Supervisin y control contina de los X X X 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

servicios prestados a usuarios. Se consideran la participacin de los

usuarios en cuanto al nivel del servicio percibido por los mismos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Existe la evidencia de los problemas que se presentan en cuanto a la prestacin del servicio. Se establecen las funciones para cada rol en el rea de unidad informtica. Se tienen establecidos los modelos de elaboracin para la percepcin de servicios. El contrato puede replantearse para mejoras de recepcin de servicio. X X X X X

Pgina 42

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


Evaluar y calificar el cumplimiento de los siguientes aspectos: Se tienen modelos de evaluacin para la obtencin de la calidad de los servicios de internet. Se identificaron medidas encaminadas al funcionamiento de las normas. X 100% Excelente 80% Bueno

Universidad Tecnolgica de Huejotzingo

60% Regular

40% Mnimo

20% No cumple

Verificacin de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular X 40% Mnimo 20% No cumple

establecido para brindar un buen servicio. Las caractersticas de la Red para el servicio de internet son: Los componentes fsicos de la red cumplen con las caractersticas para brindar servicio de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios. Las configuraciones, topologas, tipos y cobertura de las redes estn adecuadas para el servicio de internet. Los protocolos de comunicacin interna de la red permiten un servicio de internet. La administracin de la red de Cmputo es adecuada para el brindar el servicio de internet. La seguridad de acceso al servicio de internet.
Pgina 43

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

Evaluacin de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos:
1

100% Excelente

80% Bueno X X X

60% Regular

40% Mnimo

20% No cumple

La distribucin del direccionamiento de IP . Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de

internet son evaluados. La administracin de contraseas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del X X

acceso al servicio de internet se evalan.

Evaluacin de la Seguridad en el Acceso al rea Fsica Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cmputo. Evaluar las medidas preventivas o X 100% Excelente 80% Bueno X 60% Regular 40% Mnimo 20% No cumple

correctivas en caso de siniestro en el centro de cmputo. Analizar las polticas de la instalacin en relacin con los accesos al departamento.

Se realiza mediante la implementacin de un software, el cual tambin apoya en la administracin de servicios.


Pgina 44

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

Evaluacin de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, proteccin y X y de sus perifricos X 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple

periodicidad de los respaldos de bases de datos, software e informacin importante de la institucin. Evaluar seguridad la configuracin, instalaciones del equipo de y

cmputo,

mobiliario y dems equipos. Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario y dems equipos. Evaluar la seguridad en el procesamiento de informacin. X X

Evaluacin de la Proteccin de la Informacin Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitacin de accesos. Proteccin contra robos Proteccin ante copias ilegales 100% Excelente 80% Bueno X X X X 60% Regular 40% Mnimo 20% No cumple

Evaluacin de la Proteccin contra Virus Informticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Pgina 45

100% Excelente

80% Bueno X

60% Regular

40% Mnimo

20% No cumple

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


100% Excelente 80% Bueno X X

Universidad Tecnolgica de Huejotzingo

Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Proteccin de informacin. archivos, programas e

60% Regular

40% Mnimo

20% No cumple

Evaluacin de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular X 40% Mnimo 20% No cumple

equipos y perifricos asociados. Evaluar la configuracin del equipo de X

cmputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados. Evaluar el estado fsico del hardware,

perifricos y equipos asociados Evaluacin de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de software, 100% Excelente 80% Bueno

60% Regular X

40% Mnimo

20% No cumple

paqueteras y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalacin del software, paqueteras y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta ltima. X

Pgina 46

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


REPORTE DE HALLAZGOS

Universidad Tecnolgica de Huejotzingo

De acuerdo al checklist, y el cuestionario de control interno aplicado al Lic. Olaff Hernndez Jurez IT Manager del Departamento de Unidad Informtica, se determin que el servicio de internet proporcionado por la empresa Gemtel a la Universidad Tecnolgica de Huejotzingo, carece de los siguientes elementos:

REPORTE DE AUDITORIA OUTSOURCING Auditoria Nmero: Fecha de Elaboracin del Reporte: No. De Resultados: 01 Fecha de Auditora Fecha de Reunin de Apertura: Fecha de Cierre: Del 12 a 28 de Octubre de 2010 12 de Octubre de 2010 28 de Octubre de 2010

22 de Octubre de 2010 110

REA AUDITADAS Departamento de Unidad Informtica Finanzas

PROCESOS AUDITADOS Servicio Outsourcing Servicios Outsourcing

HALLAZGOS DESCRIPCIN DE LA NO CONFORMIDAD FOLIO COBIT ITIL Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) DEPARTAMENTO DE UNIDAD INFORMTICA R. El departamento de Unidad Informtica no se encuentra en 01 el organigrama de la Institucin, lo que ocasiona que dicha rea sea desconocida. R. El departamento de Unidad Informtica es controlado por 02 del rea de Administracin de Finanzas, el cual no est completamente relacionada con dicho departamento, ya que dichas reas son totalmente distintas. R. Internamente en el departamento no existe un organigrama 03 que indique los puestos del personal perteneciente a dicha rea y por lo tanto tambin carece de un Manual de Organizacin y Funciones. Pgina 47 PO X PO X PO X v4.1 v3 MAYOR MENOR NO CONFORMIDAD

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


DESCRIPCIN DE LA NO CONFORMIDAD FOLIO

Universidad Tecnolgica de Huejotzingo

NO CONFORMIDAD COBIT ITIL v4.1 v3 MAYOR MENOR

Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) R. Las funciones de cada integrante del rea de Unidad

04

Informtica estn especificadas, sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. R. El personal de Unidad Informtica recibe capacitacin 2

PO

05

veces al ao si embargo dichas capacitaciones no estn enfocadas a la funcin que ellos desempean en la Universidad Tecnolgica de Huejotzingo INFRAESTRUCTURA DE LA RED

PO

06

E. No existe un Plan de Infraestructura de Redes. R., I. La infraestructura de red se encuentra en buenas

PO

07

condiciones sin embargo no son ptimas para que se establezca un buen servicio de internet a los usuarios. SEGURIDAD R. La mayora de los problemas ocasionados en la conexin a

PO

ICT

08

Internet son daos locales, es decir originados en la universidad. E. Los controles y procedimientos que protegen el acceso a

ICT

09

conexiones y servicios de red se establecieron verbalmente, es decir, no existe algn documento que sustente dichos controles y procedimientos. R. Una de las limitantes para el acceso de internet es el ancho

PO

10

de banda, debido que la Universidad Tecnolgica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. R. Los componentes fsicos de la red no cubren todas las

ES

11

caractersticas de la red debido a que estos son adquiridos por que ofrecen una ventaja econmica. SERVICIO OUTSOURCING

AI

12

R, I. No existe una comunicacin eficaz entre el proveedor de servicios y la Universidad Tecnolgica de Huejotzingo. Pgina 48

PO

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


DESCRIPCIN DE LA NO CONFORMIDAD FOLIO

Universidad Tecnolgica de Huejotzingo

NO CONFORMIDAD COBIT ITIL v4.1 v3 MAYOR MENOR

Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) R. Gemtel es una empresa dedicada a redes inalmbricas, hosting, internet de alta velocidad y acceso remoto dial up;

13

dicha empresa tiene 4 aos ofreciendo el servicio a la Universidad Tecnolgica de Huejotzingo, sin embargo es confiable desde hace dos aos, debido a que mejoro el servicio ofrecido a la universidad.

DS

MARCO DE REFERENCIA A COBIT v4.1: Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME)

MARCO DE REFERENCIA A ITIL v3: Soporte de Servicio (SS) Entrega de Servicio (ES) Planes para Implantar la Gestin del Servicio (PIGS) Gestin de la Infraestructura y Comunicaciones de TI (ICT) Gestin de las Aplicaciones (GA) Perspectiva de Negocio (PN) Seguridad (S)

Pgina 49

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


RESULTADOS DE LAS ENCUESTAS

Universidad Tecnolgica de Huejotzingo

Se llev a cabo la aplicacin de encuestas a los usuarios del servicio outsourcing, los cuales son clasificados de la siguiente manera:

Administrativos (Servicios Escolares, Biblioteca).

Profesores de Tiempo Completo (PTC) y Profesores de Asignatura (PA).

Laboratoristas.

Alumnos.

Contemplando que se cuenta con una poblacin aproximada de 2000 usuarios que reciben el servicio de internet, la empresa Solution Corp decidi encuestar al 5% de la poblacin total estipulada con anterioridad, que se distribuye de la siguiente forma:

TIPO DE USUARIOS

PORCENTAJE

JUSTIFICACIN Se eligi este porcentaje debido a que este tipo de

Administrativos

2%

usuarios recibe un mejor servicio por las funciones que desempean. Este tipo de usuarios utiliza el servicio en menor

PTC y PA

8%

cantidad, por lo que la afectacin que les provoca el servicio outsourcing tiene menor impacto en el desarrollo de su actividades. Son los usuarios que proporcionan el servicio de

Laboratoristas

10%

internet local al alumnado y que por lo tanto conocen con mayor facilidad las deficiencias que el servicio presenta. Debido a que es la poblacin que utiliza con mayor

Alumnos

80%

frecuencia el servicio de internet tanto inalmbrico como local.

Pgina 50

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


Los resultados obtenidos de las encuestas son los siguientes:

Universidad Tecnolgica de Huejotzingo

EVALUACIN DEL SERVICIO DE INTERNET (ALUMNOS) EXCELENTE NO CUMPLE 7 2 6 6 6 3 4 4 9 6 7 6 DEFICIENTE 15 17 17 15 20 11 18 19 23 11 20 20 REGULAR 32 41 30 27 30 37 40 26 26 28 30 25

No.

RUBRO

35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46.

Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico? La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras: Cubre tus necesidades acadmicas? Los tiempos de respuesta son? Cmo calificaras el equipo de cmputo de los laboratorios?

4 2 6 7 6 3 4 7 4 6 4 6

22 18 21 25 18 26 14 24 18 29 19 23

45 40 35 No. Resultados 30 25 20 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 No. de Rubro Grfica 1. Evaluacin del Servicio de Internet (Alumnos) Pgina 51 Excelente Bueno Regular Deficiente No Cumple

BUENO

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

De acuerdo a los datos estadsticos obtenidos en la siguiente grafica se concluy que el servicio de internet proporcionado a los alumnos es regular, es decir, no cubre las necesidades de los usuarios al 100% sin embrago les permite llevar acabo la realizacin de sus actividades bsicas, tales como la bsqueda de informacin a travs de la navegacin de internet.

EVALUACIN DE LABORATORIOS (ALUMNOS) EXCELENTE NO CUMPLE DEFICIENTE REGULAR

No.

RUBRO

47. 48. 49. 50.

Cmo calificas en nmero de equipos de cmputo existentes? La disponibilidad con la cuentan los laboratorios es: El antivirus con el que cuentan los equipos de cmputo lo consideras: La instalacin del cableado lo consideras:

6 5

16 21

BUENO

35 19 29 23 26 19 28 18

4 2 10 6

11 14 7 21

35 30 25 No. Resultados 20 15 10 5 0 13 14 No. Rubro Grfica 2. Evaluacin de Laboratorios (Alumnos) Hallar mejoras en laboratorios para brindar un mejor servicio de internet, donde como resultado final se observa que el usuario logra cubrir la mayora de sus necesidades con el servicio de internet con el que cuenta actualmente la institucin. 15 16 Excelente Bueno Regular Deficiente No Cumple

Pgina 52

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

EVALUACIN DE UNIDAD INFORMTICA (ALUMNOS) No. 51. 52. 53. 54. 55. RUBRO Conoces el departamento de Unidad Informtica? Sabes dnde se encuentra? Crees que la ubicacin de la unidad informtica es de fcil acceso? Sabes quin es la persona responsable? Conoce el horario del personal responsable de la administracin de la red? SI 45 47 39 32 18 NO 35 33 41 48 62

70 60 No. de Respuesta 50 40 30 20 10 0 17 18 19 No. de Rubro Grfica 3. Evaluacin de Unidad Informtica (Alumnos) Con el objetivo de identificar si el usuario conoce el rea Cetro de TI, para cualquier duda o fallo en el servicio de internet que se le brinda. 20 21 SI NO

EVALUACIN DE ACCESO A INTERNET (ALUMNOS) No. 56. 57. 58. 59. RUBRO Utilizas con frecuencia el servicio de Internet? Requiere una cuenta para acceder a este servicio? Conoce el proceso que se realiza para adquirir dicha cuenta? Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? SI 54 49 39 35 NO 26 31 41 45

Pgina 53

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


No. 60. RUBRO

Universidad Tecnolgica de Huejotzingo

SI

NO

Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet?

34 42 30 30

46 38 50 50

61. 62. 63.

Solo usted tiene acceso a esta cuenta? Su cuenta siempre est disponible Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido

60 No. de Respuesta 50 40 30 20 10 0 22 23 24 25 26 27 28 29 No. de Rubro Grfica 4. Evaluacin de Acceso a Internet (Alumnos) Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contrasea para el acceso a internet, adems de los derechos y obligaciones que adquiera al hacer uso de la misma. SI NO

EVALUACIN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS) No. 64. RUBRO Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 65. 66. 67. 68. Existen problemas al conectarse a internet? Los problemas existentes afectan la realizacin de su trabajo? Si tuvieras alguna queja sabes con quien y donde presentarla? Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO

63 57 54 25 43

17 23 26 55 37

Pgina 54

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

70 60 No. de Respuesta 50 40 30 20 10 0 30 31 32 No. de Rubro Grfica 5. Evaluacin de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dnde acudir cuando este se le presente algn fallo y lo haga en el lugar correcto, con la persona correcta. 33 34 SI NO

EVALUACIN DEL SERVICIO DE INTERNET (PROFESORES) EXCELENTE NO CUMPLE 3 1 0 2 3 3 3 5 4 2 DEFICIENTE REGULAR

BUENO

No.

RUBRO

1. 2. 3.

Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico?

0 1 2 1 2 0 2 3 1 1

6 8 11 11 6 6 9 9 7 9

14 11 9 9 11 13 9 8 8 12

7 9 6 7 7 7 6 5 9 6

4. 5. 6. 7. 8. 9. 10.

La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras: Cubre tus necesidades acadmicas?

Pgina 55

N/A 0 0 2 0 1 1 1 0 1 0

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

EXCELENTE

NO CUMPLE 1 1 NO CUMPLE 0 0

DEFICIENTE

REGULAR

BUENO

No.

RUBRO

11. 12.

Los tiempos de respuesta son? Cmo calificaras el equipo de cmputo de los laboratorios?

0 1

8 10

14 11

7 5

14 12 No. de Respuestas 10 8 6 4 2 0 1 2 3 4 5 6 7 8 9 10 11 12 No. de Rubro Grfica 6. Evaluacin del Servicio de Internet (Alumnos) Con el objetivo de conocer el grado de satisfaccin que tienen los profesores en cuanto al servicio de internet, donde se logra observar que el nivel de satisfaccin es regular. Excelente Bueno Regular Deficiente No Cumple No Aplica

EVALUACIN DE LABORATORIOS (ALUMNOS) EXCELENTE DEFICIENTE REGULAR

BUENO

No.

RUBRO

13. 14.

Cmo calificas en nmero de equipos de cmputo existentes? La disponibilidad con la cuentan los laboratorios es:

2 2

7 8

11 14

10 4

Pgina 56

N/A 0 2

N/A 0 2

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

EXCELENTE

NO CUMPLE 4 1

DEFICIENTE

REGULAR

BUENO

No.

RUBRO

15. 16.

El antivirus con el que cuentan los equipos de cmputo lo consideras: La instalacin del cableado lo consideras:

2 3

4 8

12 11

8 7

14 12 No. de Respuestas 10 8 6 4 2 0 13 14 15 16 No. de Rubro Grfica 7. Evaluacin de Laboratorios (Profesores) Obtener el grado de satisfaccin que tienen los laboratoristas en cuando el servicio de internet, el cual se observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfaccin. Excelente Bueno Regular Deficiente No Cumple No Aplica

EVALUACIN DE UNIDAD INFORMTICA (PROFESORES) No. 17. 18. 19. 20. 21. RUBRO Conoces el departamento de Unidad Informtica? Sabes dnde se encuentra? Crees que la ubicacin de la unidad informtica es de fcil acceso? Sabes quin es la persona responsable? Conoce el horario del personal responsable de la administracin de la red? SI 28 27 24 27 21 NO 2 3 6 3 9 ALGUNAS VECES 0 0 0 0 0 N/A 0 0 0 0 0

Pgina 57

N/A 0 0

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

30 No. de Respuestas 25 20 15 10 5 0 17 18 19 No. de Rubro 20 21 SI NO Algunas Veces NA

Grfica 8. Evaluacin de Unidad Informtica (Profesores) Con el objetivo de identificar si el profesor conoce el rea Cetro de TI, para cualquier duda o fallo en el servicio de internet que se le brinda.

EVALUACIN DE ACCESO A INTERNET (PROFESORES) No. 22. 23. 24. 25. RUBRO Utilizas con frecuencia el servicio de Internet? Requiere una cuenta para acceder a este servicio? Conoce el proceso que se realiza para adquirir dicha cuenta? Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. 28. 29. Solo usted tiene acceso a esta cuenta? Su cuenta siempre est disponible Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido SI 28 21 21 20 NO 2 8 7 8 ALGUNAS N/A VECES 0 0 0 0 0 1 2 2

13 19 17 14

15 8 10 13

0 0 0 0

2 3 3 3

Pgina 58

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


30 25 No. de Resultados

Universidad Tecnolgica de Huejotzingo

SI 20 NO 15 10 5 0 22 23 24 25 26 No. de Rubro 27 28 29 Algunas Veces NA

Grfica 9. Evaluacin de Acceso a Internet (Profesores) Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contrasea para el acceso a internet, adems de los derechos y obligaciones que adquiera al hacer uso de la misma.

EVALUACIN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES) No. 30. RUBRO Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. 32. 33. 34. Existen problemas al conectarse a internet? Los problemas existentes afectan la realizacin de su trabajo? Si tuvieras alguna queja sabes con quien y donde presentarla? Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO ALGUNAS N/A VECES

23 25 21 23 22

7 3 8 7 8

0 1 1 0 0

0 1 0 0 0

Pgina 59

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

35 30 SI No. de Resultados 25 20 15 10 5 0 30 31 32 No. de Rubro 33 34 NO Algunas Veces NA

Grfica 10. Evaluacin de Fallos en el Acceso a Internet (Profesores)

Identificar si el profesor tiene conocimiento de dnde acudir cuando este se le presente algn fallo y lo haga en el lugar correcto, con la persona correcta.

Pgina 60

Recomendaciones

Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010

Lic. Karina Gmez Puerto Universidad Tecnolgica Huejotzingo P R E S E N T E

Me permito informarle a Usted el Informe de Resultados de la auditora practicada al Servicio Outsourcing administrado por el departamento de Unidad Informtica de la Universidad Tecnolgica de Huejotzingo, que se realiz del 12 al 28 de octubre del presente ao.

La revisin realizada fue de carcter integral y comprendi la evaluacin, de la estructura organizacional del departamento, la operacin de la red tanto fsica como lgica, el cumplimiento de las actividades y funciones asignadas al personal, el estado del hardware y software y la revisin de la gestin informtica.

En el citado informe encontrar el dictamen y las condiciones a las cuales se llegaron despus de la aplicacin de las tcnicas y procedimientos de la auditora de sistemas.

Quedo a usted para cualquier aclaracin al respecto.

____________________________ TSU. Areli Rojano Calixto AUDITOR SENIOR

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

EVALUACIN DE UNIDAD INFORMTICA APLICANDO MODELO DE MADUREZ PARA LA ADMINISTRACIN Y EL CONTROL DE LOS PROCESOS DE TI
En la actualidad la evaluacin de la capacidad de los procesos basada en los Modelos de Madurez de COBIT es una parte clave de la implementacin del gobierno de TI. Despus de identificar los procesos y controles crticos de TI, el modelado de la madurez permite identificar y demostrar a la direccin las brechas en la capacidad. Entonces se pueden crear planes de accin para llevar estos procesos hasta el nivel objetivo de capacidad deseado.
2

Por la tanto la empresa Solution Corp utiliz el Modelo de Madurez para la Administracin y Control de los procesos de TI para llevar a cabo la evaluacin de los procesos del servicio de Internet, el cual es

administrado por el departamento de Unidad Informtica perteneciente a la Universidad Tecnolgica de Huejotzingo. Este Modelo Genrico de Madurez de COBIT se compone de los siguientes niveles: Nivel 0 - No Existente: Carencia completa de cualquier proceso reconocible. Nivel 1 Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. Nivel 2 - Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Nivel 3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Nivel 4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. Nivel 5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.

El modelo de madurez de COBIT se deriva de CMMI Pgina 63

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

A continuacin se presenta el resultado de la evaluacin de dichos procesos: ASPECTOS RELACIONADOS AL NIVELES DEL MODELO GENRICO DE MADUREZ El departamento de Unidad informtica, no cuenta con un manual de organizacional el cual le impide saber las funciones de trabajo que debern llevar a cabo, adems de las responsabilidades y expectativas del puesto; se logra cubrir la gran mayora de Departamento de Unidad Informtica Repetible necesidades de los usuarios en el servicio de internet; existen procesos que llevan a cabo pero no se tiene un programa o JUSTIFICACIN

metodologa que permita cumplir con las metas establecidas, el cual genera incumplimiento en un menor porcentaje, por lo cual requiere de establecer mejoras en el proceso y de establecer procesos que sean sometidos a mejora continua para llegar a la Calidad satisfactoria. La Universidad de Tecnolgica de Huejotzingo cuenta con una infraestructura de red no adecuada a las necesidades (no para todos los edificios), debido a que no existi contemplar la instalacin de una

Infraestructura de la Red

red , ya sea por cableado o inalmbrica, lo que gnero que s que se Repetible adecuara una infraestructura red de acuerdo al inmueble existente. Esto ha provocado problemas para un buen servicio de internet. Cabe mencionar que existen procesos para contra restar anomalas de la red, porque no se llevan a cabo en un 100%, por ende la satisfaccin del usuario no es cubierta en el servicio de internet. Existen medidas de seguridad estandarizadas sin embrago en

Seguridad

Definido

ocasiones ests medidas pueden ser aplicadas o no por el personal y por lo tanto ocasionan que el servicio a internet sea ms vulnerable. El servicio outsourcing brindado por Gemtel es bueno, sin embargo existen deficiencias en el mismo debido a que no existe una

Outsourcing

Administrado

comunicacin eficaz entre el proveedor y la Universidad. Cabe mencionar que existe un contrato donde se establecen los lineamientos del servicio entre el proveedor y la universidad.

Pgina 64

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


NIVELES DEL MODELO GENRICO DE MADUREZ

Universidad Tecnolgica de Huejotzingo

ASPECTOS RELACIONADOS AL

JUSTIFICACIN

El departamento de Unidad Informtico tiene personal capaz de responder a las necesidades del rea, sin embargo la demanda por parte de los usuarios no es cubierta al 100%, debido a que no se Personal Repetible cuenta con el personal suficiente para cubrir estas necesidades, adems de que no existe un documento donde se establezcan las funciones del personal generando deficiencia en el seguimiento de los procesos. La instalacin elctrica con la que cuenta la unidad informtica se adaptada a las necesidades del rea, sin embargo no se cuenta con Instalacin Elctrica Repetible un mantenimiento constante a la misma. Cabe mencionar que no es sometida a un monitoreo o seguimiento, lo que con lleva a que no se detecten las deficiencias o problemas que puedan presentarse en la instalacin. El equipo de con el que cuenta la unidad de informtica provee un Hardware Administrado servicio de internet estable sin embrago existen mejores equipos que pueden ser implementados para proporcionar un servicio de internet de alto rendimiento.

Pgina 65

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


RECOMENDACIONES
No. DETALLE

Universidad Tecnolgica de Huejotzingo

NIVEL RIESGO

REF. INFORME

DEPARTAMENTO DE UNIDAD INFORMTICA Condicin: El departamento de Unidad Informtica no se encuentra en el organigrama de la Institucin, lo que ocasiona que dicha rea sea desconocida. Criterio: PO4.4 Ubicacin Organizacional de la Funcin de TI, PO4.5 Estructura Organizacional de COBIT v4.1 Causa: Se debe llevar a una reunin donde se establezca la importancia a contar un Centro de Tecnologas de la 1 Informacin. Efectos: Que no se lleven a cabo procesos en TI ms rigurosos, adems desconocer a quien acudir cuando existe una problemtica en la conexin de internet. Recomendaciones: Contemplar dentro del organigrama el rea de Unidad de Informtica haciendo referencia al responsable de dicha rea, con el propsito de que todo a que requiera servicios en TI sepa a quien dirigirse. Condicin: El departamento de Unidad Informtica es controlado por del rea de Administracin de Finanzas, el cual no est completamente relacionada con dicho departamento, ya que dichas reas son totalmente distintas. Criterio: PO4.15 Relaciones de COBIT v4.1 Causa: Plantear ante autoridades la necesidad de contemplar 2 la Unidad de Informtica, para darlo a conocer, haciendo mencin de los beneficios que se pueden obtener. Efectos: Trabajar con las herramientas que se tienen; claro que esto no impide que se adquiera mejoras en los procesos del servicio de internet Recomendaciones: Que la Unidad Informtica lleve a cabo estrategias planteadas (metas) para un mejor servicio al cliente. ALTA MEDIA BAJA Encuestas aplicadas usuarios servicio Outsourcing a de Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno

Pgina 66

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


No. DETALLE

Universidad Tecnolgica de Huejotzingo

NIVEL RIESGO

REF. INFORME

Condicin: Internamente en el departamento no existe un organigrama que indique los puestos del personal perteneciente a dicha rea y por lo tanto tambin carece de un Manual de Organizacin y Funciones. Criterio: Estructura Organizacional de COBIT v4.1, PO4.6 Establecimiento de Roles y Responsabilidades de COBIT v4.1 Causa: Plantear la consideracin de la Unidad informtica en una reunin en donde se establezcan las funciones que debe cubrir dicha rea, el cual permita cumplir con las expectativas del servicio 3 en TI en la universidad. Efectos: A que el personal no realice funciones con ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Recomendaciones: Que aunque no exista como tal el rea de Unidad Informtica en el organigrama, que se establezcan un manual organizacional y las funciones y el perfil que deben cubrir los puestos en el rea de Unidad Informtica; el cual haga responsable al personal de crear nuevas estrategias de trabajo (Plan de trabajo) que mejoren el servicio. Condicin: La funciones de cada integrante del rea de Unidad Informtica estn especificadas, sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. Criterio: Establecimiento de Roles y Responsabilidades COBIT 4.1 Causa: Reunin para establecer las funciones por escrito para que 4 responda conforme a lo establecido. Efectos: No se tiene el inters de realizar actividades (como monitoreo de la red) de gran importancia que resuelvan o reduzcan problemas actuales. Recomendaciones: Anlisis de actividades que se deben llevar a cabo para brindar un buen servicio de internet y establecer un Manual Organizacional. Pgina 67 ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno Cuestionario de Control Interno

responsabilidad continua, solo lo haga para resolver problemas que se ocasionan en el momento.

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

No. Condicin: El personal

DETALLE de Unidad Informtica recibe

NIVEL RIESGO

REF. INFORME

capacitacin 2 veces al ao si embargo dichas capacitaciones no estn enfocadas a la funcin que ellos desempean en la Universidad Tecnolgica de Huejotzingo. Criterio: PO4.12 Personal de TI de COBIT v4.1 5 Causa: Mediante una reunin llegar a un acuerdo en donde se planteen capacitaciones objetivas al rea, para formar personal competente y la vanguardia. Efectos: El personal presenta incompetencia al enfrentarse a situaciones que requieren del conocimiento para resolverlas. Recomendaciones: Capacitar al personal en temas que se relacionan al rea de trabajo. INFRAESTRUCTURA DE LA RED Condicin: No existe un Plan de Infraestructura de Redes. Criterio: PO3.2 Plan de Infraestructura Tecnolgica, PO3.4 Estndares Tecnolgicos de COBIT v4.1 Causa: 6 Programar una reunin con el director para ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno

reestructurar el diseo de red. Efectos: No existe un buen servicio de red (cableado e inalmbrico). Recomendaciones: Replantear un diseo eficiente y eficaz que cubra con los requerimientos que satisfagan las

necesidades del servicio de red.

Pgina 68

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

No.

DETALLE Condicin: La infraestructura de red se encuentra en buenas condiciones sin embargo no son ptimas para que se establezca un buen servicio de internet a los usuarios. Criterio: PO3.2 Plan de Infraestructura Tecnolgica de COBIT v4.1 y Gestin de la Infraestructura y Comunicaciones de TI de ITIL v3. Causa: La Universidad Tecnolgica de Huejotzingo no cuenta con los suficientes recursos econmicos para solventar los gastos de equipo de red ms actualizado y que ofrezca mejores servicios de red. Efectos: El servicio outsourcing no cubre las necesidades de los usuarios debido a que el mismo presenta deficiencias. Esto

NIVEL RIESGO

REF. INFORME

Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing

provoca que las actividades que utilizan dicho servicio se desarrollen con mayor tiempo y esfuerzo. Recomendaciones: Debido a que la Universidad no cuenta con un recurso econmico para adquirir equipo sofisticado, ser necesario: Restringir los servicios que no son de mayor relevancia para los usuarios, es decir, asignar privilegios en la utilizacin de los servicios los cuales debern ser asignados de acuerdo a las necesidades que los usuarios presenten, esto har que el servicio outsourcing ms ptimo. Establecer un plan de infraestructura de red que equilibre costos, riesgos y requerimientos. Definir estndares de Infraestructura de red basados en requerimientos de arquitectura de informacin.

Pgina 69

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

No.

DETALLE SEGURIDAD Condicin: La mayora de los problemas ocasionados en la conexin a Internet son daos locales, es decir originados en la universidad. Criterio: Gestin de la Infraestructura y Comunicaciones de TI de ITIL v3. Causa: Monitoreo no adecuado de la red, la infraestructura no es ptima para proveer el servicio y el personal del departamento no se encuentra siempre que se le requiere lo que ocasiona que los problemas no se resuelvan en un corto tiempo.

NIVEL RIESGO

REF. INFORME

Cuestionario de Control Interno ALTA Encuestas aplicadas a usuarios de servicio Outsourcing

Efectos: Deficiencias en el servicio de internet tales como: 8 No realizar actividades relevantes para el usuario: contestar exmenes en lnea, enviar algn trabajo, bsqueda de informacin, etc. Mayor tiempo en la consulta de pginas. BAJA MEDIA

Recomendaciones: Establecer nuevas estrategias para llevar un monitoreo optimizado de la red, logrando que los problemas que se presenten se han corregidos en menor tiempo. Al establecer un plan de infraestructura de red ptimo nos brindar mayor control sobre los riesgos que se presentan en la red.

Pgina 70

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


No. DETALLE Condicin: Los controles y procedimientos que protegen el acceso a conexiones y servicios de red se establecieron verbalmente, es decir, no existe algn documento que sustente dichos controles y procedimientos. Criterio: PO4.1 Marco de Trabajo de Procesos de TI COBIT4.1 Causa: El personal que pertenece al departamento de Unidad Informtica es reducido, por lo cual se cree que no es 9 conveniente establecer un documento de los controles y procedimientos que protejan el acceso a conexiones y servicios de red. Efectos: Al ingresar un nuevo personal, se le dificultar aprender los controles y procedimientos utilizados, lo cual provocar que existan deficiencias en su trabaja y un mal servicio al usuario. Recomendaciones: Elaborar el documento que establece los procedimientos y controles. Condicin: Una de las limitantes para el acceso de internet es el ancho de banda, debido que la Universidad Tecnolgica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. Criterio: Entrega de Servicio de ITIL v3 Causa: Falta de recursos econmicos para adquirir mayor ancho de banda, deficiencias en la distribucin del ancho de 10 banda. Efectos: Algunas aplicaciones que requieren el uso de este servicio tardan en cargar; existen actividades que requieren el uso de ms ancho de banda por lo que se suspende el servicio para los dems usuarios y deficiencias en el servicio. Recomendaciones: Realizar un anlisis que contemple los requerimientos de los usuarios y con ello distribuir

Universidad Tecnolgica de Huejotzingo

NIVEL RIESGO

REF. INFORME

Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing

Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing

adecuadamente el ancho de banda. Contemplar la adquisicin de ms ancho de banda. Pgina 71

AUDITORIA OUTSOURCING SERVICIO DE INTERNET


No. DETALLE Condicin: Los componentes fsicos de la red no cubren todas las caractersticas de la red debido a que estos son adquiridos por que ofrecen una ventaja econmica. Criterio: AI3.1 Plan de Adquisicin de Infraestructura

Universidad Tecnolgica de Huejotzingo

NIVEL RIESGO

REF. INFORME

Tecnolgica de COBIT v4.1 Causa: Falta de Recursos por parte de la Universidad Efectos: Infraestructura de red no adecuada provocando deficiencia en el servicio. 11 Recomendaciones: Establecer un Plan de Adquisicin de Equipo de red que se alinea con el Plan de Infraestructura de Red, es decir, el plan deber de satisfacer los requerimientos funcionales y tcnicos del servicio de internet establecidos. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica. SERVICIO OUTSOURCING Condicin: No existe una comunicacin eficaz entre el proveedor de servicios y la Universidad Tecnolgica de Huejotzingo. Criterio: PO4.15 Relaciones de COBIT v4.1 Causa: La comunicacin existente entre el proveedor y el departamento de unidad informtica no es contina, adems de 12 que dicha comunicacin no se establece entre el rea responsable de la unidad informtica que es el rea de Administracin de Finanzas Efectos: La solucin de problemas el servicio de internet ser resuelto en un periodo de tiempo mayor. Recomendaciones: Establecer y mantener una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y el proveedor, a travs de reuniones cada dos meses. ALTA MEDIA BAJA BAJA MEDIA ALTA

Cuestionario de Control Interno Encuestas aplicadas a usuarios de servicio Outsourcing

Cuestionario de Control Interno Encuestas aplicadas a usuarios de servicio Outsourcing

Pgina 72

AUDITORIA OUTSOURCING SERVICIO DE INTERNET

Universidad Tecnolgica de Huejotzingo

No.

DETALLE Condicin: Gemtel es una empresa dedicada a redes inalmbricas, hosting, internet de alta velocidad y acceso remoto dial up, sin embargo es confiable desde hace dos aos, debido a que mejoro el servicio ofrecido a la universidad. Criterio: DS1 Definir y Administrar los niveles de Servicio Causa: Establecer la confianza en un proveedor con lleva tiempo y esfuerzo. Efectos: El servicio puede presentar deficiencias y problemas para los usuarios. Recomendaciones:

NIVEL RIESGO

REF. INFORME

Cuestionario de Control Interno ALTA Encuestas aplicadas a usuarios de servicio Outsourcing

Establecer un proceso para monitorear la prestacin del 13 servicio para asegurar que el proveedor est cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeo es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. Revisar cada 2 meses con el proveedor, los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que estn actualizados y que se han tomado en cuenta los cambios en requerimientos. Contemplar la contratacin de otros proveedores que otorguen las mismas o mejores ventajas que la empresa establecida actualmente, por medio de una licitacin. MEDIA BAJA

Pgina 73

Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010

Lic. Karina Gmez Puerto Universidad Tecnolgica de Huejotzingo P R E S E N T E

Acorde con las instrucciones giradas por el consejo de administracin de la Universidad Tecnolgica de Huejotzingo, me permito remitir a usted el dictamen de la auditora aplicada al Servicio de Internet administrado por el Departamento de Unidad Informtica de la Universidad Tecnolgica de Huejotzingo, haciendo especial nfasis en la informacin sobre la estructura de la organizacional del departamento, Gestin Informtica y Redes, misma que se llev a cabo del da 12 al 28 de octubre del presente ao.

De los resultados obtenidos durante la evaluacin me permito informarle a usted las siguientes observaciones y no conformidades:

De acuerdo con las pruebas realizadas a la informacin sobre la estructura organizacional del Departamento de Unidad Informtica, Gestin Informtica y Redes, me permito dictaminar que la red inalmbrica que es una no conformidad mayor debido a que no es factible para la mayora de los usuarios, porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red.

Cabe mencionar que la Universidad Tecnolgica de Huejotzingo tiene muy poco ancho de banda para la red local, lo cual no es suficiente para los administradores, profesores y alumnos pertenecientes a la universidad, adems de que el encargado del rea del departamento de Unidad informtica no tiene el inventario de hardware y estos ocasiona dos no conformidades menores, debido a que pueden ser controladas y corregidas en muy poco tiempo.

Y por ltimo cabe recordar como una observacin que el Departamento de Unidad Informtica no se encuentra en la estructura organizacional de la institucin y es administrado por un rea que no est debidamente relacionada con este departamento, adems de que el personal perteneciente a este

departamento no es eficaz y eficiente para la solucin de los problemas que se presentan en la red.

ATENTAMENTE

____________________________ TSU. Areli Rojano Calixto AUDITOR SENIOR

Anexos