Académique Documents
Professionnel Documents
Culture Documents
INTEGRADORA II
Noviembre-2010
PLANEACIN ........................................................................................................................... 5 Planeacin de la Auditoria Outsourcing .............................................................................. 6 Objetivos ................................................................................................................................ 7 Objetivos Generales ............................................................................................................ 7 Objetivos Especficos .......................................................................................................... 7 Estudio de la Evaluacin del Control Interno ...................................................................... 8 Gestin Administrativa ......................................................................................................... 8 Gestin Informtica.............................................................................................................. 9 Mtodos Aplicables para su Documentacin .....................................................................11 Planeacin Detallada ............................................................................................................11 Cuestionario de Control Interno ..........................................................................................14 Encuesta del Servicio de Internet a Usuarios .....................................................................19 Listado de Verificacin de Auditoria Outsourcing .............................................................21 Planilla de Decisiones Preliminares ....................................................................................26 Recursos a Utilizar en la Auditoria ......................................................................................30 Cronograma de Actividades ................................................................................................31 Peso Porcentualde cada rea a Evaluar .............................................................................32 Referencias de Auditora ......................................................................................................33 Marcas de Auditora..............................................................................................................34 Metodologa y Procedimientos ............................................................................................34 Mtodos de Prueba ...............................................................................................................35 Situaciones Alternas ............................................................................................................35 Asignacin de Recursos y Sistemas Computacionales para la Auditora........................35
Pgina 3
DESARROLLO ........................................................................................................................ 36 Cuestionario de Control Interno ..........................................................................................37 Listado de Verificacin de Auditoria Outsourcing .............................................................42 Reporte de Hallazgos ...........................................................................................................47 Resultados de las Encuestas ............................................................................................. 50
RECOMENDACIONES ............................................................................................................ 61 Evaluacin de Unidad Informtica Aplicando Modelo de Madurez para la Administracin y el Control de los Procesos de TI ............................................................63 Recomendaciones ................................................................................................................66
ANEXOS.................................................................................................................................. 75
NDICE DE GRFICAS
Grfica 1. Evaluacin del Servicio de Internet (Alumnos) ......................................................... 51 Grfica 2. Evaluacin de Laboratorios (Alumnos)..................................................................... 52 Grfica 3. Evaluacin de Unidad Informtica (Alumnos)........................................................... 53 Grfica 4. Evaluacin de Acceso a Internet (Alumnos) ............................................................. 54 Grfica 5. Evaluacin de Fallos en el Acceso a Internet (Alumnos) .......................................... 55 Grfica 6. Evaluacin del Servicio de Internet (Alumnos) ......................................................... 56 Grfica 7. Evaluacin de Laboratorios (Profesores) ................................................................. 57 Grfica 8. Evaluacin de Unidad Informtica (Profesores) ....................................................... 58 Grfica 9. Evaluacin de Acceso a Internet (Profesores) ......................................................... 59 Grfica 10. Evaluacin de Fallos en el Acceso a Internet (Profesores) .................................... 60
Pgina 4
Planeacin
Pgina 6
Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes a la Universidad Tecnolgica de Huejotzingo, lo cual nos permitir identificar las deficiencias y ventajas del mismo para la mejora del servicio.
OBJETIVOS ESPECFICOS
Conocer la situacin actual del servicio de internet, a travs de la identificacin de deficiencias en el servicio provedo.
Evaluar si la Universidad Tecnolgica de Huejotzingo cubre las necesidades de los usuarios que reciben el servicio de Internet.
Evaluar el alcance de los procedimientos, y con ello logremos formular el informe de la auditoria outsourcing adecuado, cumpliendo con los objetivos planteados.
Evaluar los contratos, ANS (Acuerdo de Nivel de Servicio) e INS (Indicadores de Nivel de Servicio) establecidos con el proveedor del servicio outsouring.
Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia ITIL (IT Infraestructure Library) y COBIT (Control Objectives for Information and Related Technology) para la evaluacin del servicio Outsourcing.
Pgina 7
GESTIN ADMINISTRATIVA
1. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa del departamento de Unidad Informtica.
2.
Verificar si se cuenta con un Manual de organizacin y funciones del personal que se encuentran en el departamento de Unidad Informtica.
3.
Verificar si las contrataciones del personal del departamento de Unidad Informtica se han realizado con base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto.
4.
Verificar si la administracin provee oportunamente los recursos necesarios para la adquisicin del servicio de internet.
5.
Verificar si la administracin promueve la capacitacin y adiestramiento constante del personal del departamento de Unidad Informtica.
6.
Verificar si la administracin ha establecido polticas claras con respecto a la adjudicacin de claves del sistema de control de acceso a internet.
7.
Verificar que las instalaciones donde labora el personal del departamento de Unidad Informtica estn adecuadas a las necesidades y no representen peligro para los empleados y el hardware.
8.
9.
Identificar como se realiza el monitoreo de los ANS, y si se genern reportes acerca de los logros y criterios de desempeo de los problemas encontrados.
10. Validar la existencia de clusulas que permitan la gestin de los contratos y ANS dentro de la Universidad.
Pgina 8
1. Examinar la informacin preliminar correspondiente al departamento de Unidad Informtica, la cual puede ser:
a. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnolgica de Huejotzingo para los cuales es utilizado el servicio de internet.
Se verificar si se lleva un control de las operaciones realizadas, si se lleva un respaldo de informacin y un registro de los usuarios del departamento de unidad informtica, los horarios y reas en los cuales han utilizado el servicio de internet. Tambin se solicitar informacin correspondiente si se ha realizado en otras ocasiones auditoras al servicio de internet.
b. Externa: Conocimiento e identificacin de los usuarios de internet, as como de los proveedores de dicho servicio y los contratos.
2. Conocimiento de las reas e instalaciones fsicas (materiales, mobiliario, inmuebles, equipos de cmputo, laboratorios y otros) de la Universidad que tienen relacin con el departamento de Unidad Informtica.
3. Verificar si existe una poltica de seguridad de red bien concebida y efectiva que pueda proteger los datos de la Universidad.
4. Verificar si dicha poltica de seguridad ha sido diseada especficamente para la universidad y hasta qu punto satisface las necesidades del usuario.
6. Considerar otro punto de conocimiento general que involucre informacin sobre el servicio de internet proporcionado a los usuarios de la universidad.
7. La revisin y verificacin de las Seguridades. a. Seguridad Lgica. Control de acceso. Restricciones de Pginas Web. Bloqueo de Puertos. Integracin de dominios. Otros que se involucren dentro del rubro.
Pgina 9
8. Verificar quienes estn autorizados para realizar modificaciones en la red de la universidad y quien autoriza cada una de estas modificaciones.
9. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones, verificar si existe algn documento escrito por medio del cual se autoricen dichas modificaciones o si las rdenes se efectan solamente de manera verbal.
10. Verificar si en la entidad se han establecido polticas con respecto a la creacin de respaldos de la informacin ms importante, cuyo dao pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anmalas dentro de la red.
11. Verificar si existen procedimientos y polticas en cuanto a la seguridad y proteccin de los usuarios que reciben el servicio de Internet.
12. Verificar la cantidad de usuarios que pueden tener acceso a la red inalmbrica.
13. Verificar si el usuario tiene una clave nica para accesar a la red, y que la misma solo admita un usuario, es decir que nadie pueda tener acceso con la misma clave.
14. Verificar si existe una examinacin peridicamente en la poltica de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red.
15. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnolgica de Huejotzingo, as como la administracin del mismo.
16. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad Tecnolgica de Huejotzingo.
17. Verificar cuales son los requerimientos que tiene la Universidad Tecnolgica de Huejotzingo, referente al servicio de acceso a internet.
Pgina 10
PLANEACIN DETALLADA
El objetivo principal de la planeacin detallada es estructurar de manera ordenada y lgica las actividades a ejecutar durante el proceso de auditora, es decir, es un esquema previo que dirige los pasos a seguir para realizar una auditora de desempeo, contemplando los siguientes apartados: 1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditora, es decir, establecer la base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria, para que la misma pueda llevarse a cabo de forma eficaz y efectiva; por lo tanto, la empresa Solution Corp tiene como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el mismo. 2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad Informtica en secciones manejables; facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros. a. Primera descomposicin: Hardware, Red, Software, Personal, Instalaciones Elctricas, Seguridad, Servicio. b. Segunda descomposicin o detalle: Computadoras y perifricos asociados, software para el acceso a internet, personal del departamento de unidad informtica, usuarios del servicio, red elctrica, seguridad fsica, seguridad lgica, seguridad del personal, seguridad de la informacin y las bases de datos. 3) Comparaciones: Se establecern comparaciones sobre el actual funcionamiento del departamento de Unidad Informtica y las especificaciones de cmo debera funcionar, para establecer si las actividades que estn realizando son adecuadas.
Pgina 11
Examen documental: se consolida como la base de la auditora y el enlace entre la investigacin y la emisin de una opinin e informe, la inspeccin de los documentos anexos a cada operacin del departamento de unidad informtica, cuando por la naturaleza de las mismas exista un documento que ampare las operaciones.
5)
Margen de Importancia: Dentro de este apartado, se deben analizar y sealar aquellos conceptos cuyo impacto de su inclusin, exclusin o revelacin textual pueda modificar la opinin sobre ellas. Ello requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios de los sistemas informticos.
6)
Riesgos: Toda auditora se encuentra impregnada por la posibilidad de que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informtica; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera: a. Riesgo Inherente: Asociado con la generacin de estimaciones sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del Departamento de la Unidad Informtica. b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia. c. Riesgo de Deteccin: Vinculado directamente con la funcin de auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas.
7)
Elaboracin de cuestionario de control interno: Para conocer el funcionamiento Departamento de la Unidad Informtica dentro de la Universidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con el propsito de conocer las actividades a las cuales se dedica dicho departamento, quienes las efectan, en qu momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora.
Pgina 12
Planilla de decisiones preliminares: En este documento, luego de obtener los resultados del cuestionario de control interno, se establecer el tipo de riesgo (alto, medio o bajo) que tiene cada una de las operaciones realizadas en el servicio de acceso a internet, y con base en ellos se podr establecer la profundidad con la que se examinarn cada uno de los rubros que componen dicho departamento.
9)
Elaboracin del programa de auditora: Con posterioridad al conocimiento general del departamento y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a seguir en las diferentes reas involucradas en el departamento, las tareas programadas, quedan plasmadas en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la misma.
11) Anlisis y validacin de los documentos anexados que soportan las adquisiciones del servicio de internet a utilizarse por los diversos usuarios y del departamento de Unidad Informtica.
12) Conocimiento sobre la existencia o ausencia del software, hardware y dispositivos de red involucrados en el servicio de Internet.
15) Rendimiento de informes parciales o previos, ante la deteccin de errores cuyo impacto sea relevante.
16) Adicin de notas oportunas sobre la atencin u omisin de las observaciones a que se refiere el apartado anterior.
Nota: Toda la metodologa y procedimientos detallados, no inhiben de sostener reuniones peridicas o eventuales con la administracin, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuar de forma escrita como constancia de realizado.
Pgina 13
SI
NO
N/A
OBSERVACIONES
responsable de administrar las redes? 3. Existe un rea o alguien a quin le rinden cuentas de su gestin? 4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico? 6. Hay un manual de organizacin y funciones aplicables a dicha rea? 7. Existen procedimientos de contratacin, para el personal de este departamento? 8. Estn delimitadas las funciones de cada integrante del rea Unidad Informtica? 9. Cada empleado del rea de Unidad
Informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 10. Cada empleado del rea de Unidad
Informtica es especialista en diferentes reas de la red? 11. Tiene muchos aos laborando aqu? 12. Han recibido capacitaciones en el ltimo ao? INFRAESTRUCTURA DE LA RED 13. El personal revisa la infraestructura de la red? 14. En el ltimo ao se han revisado toda la infraestructura de la red?
Pgina 14
SI
NO
N/A
OBSERVACIONES
problemas con la conexin del internet? 19. Usa protocolos? 20. Tiene la Universidad contratado un
especialista en redes? 21. La administracin de redes implementa una poltica en base a la tecnologa de red? 22. Esta poltica es acorde con el plan de calidad de la organizacin? 23. Existe un inventario de equipos y software asociados a las redes? 24. Existe un plan que permite modificar en forma oportuna a largo plazo la tecnologa de redes, teniendo en cuenta los posibles
cambios tecnolgicos o en la institucin? 25. Estn establecidos controles especiales para salvaguardar la confidencialidad e
integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? 26. Existen controles gestin para y procedimientos de
proteger
el acceso a las
SI
NO
N/A
OBSERVACIONES
usuarios?
29. Identifica el tipo de amenaza que afecta los recursos de la red? 30. Usted clasifica los riesgos por nivel de
importancia y gravedad de la perdida? 31. Le han dado clave para ingresar al sistema?
informacin?
personal no autorizado? 37. Existen medidas de seguridad fsica? 38. Existe un programa de mantenimiento para la red? 39. Se lleva a cabo tal programa? 40. Existe proteccin ante algn robo? 41. Existen medidas de seguridad respecto a copias ilegales? 42. Utilizan antivirus o alguna otra medida para la proteccin de la informacin?
Pgina 16
SI
NO
N/A
OBSERVACIONES
necesidades de la institucin? 50. El departamento de unidad informtica es el encargado de efectuar la contratacin del servicio de internet? 51. Ofrece calidad en el servicio la empresa proveedora? 52. La empresa proveedora ofrece una ventaja econmica para la universidad? 53. La infraestructura de la red es la adecuada para la prestacin del servicio outsourcing? 54. La administracin y control de la red se acoplan a la prestacin de servicios
outsourcing?
Pgina 17
SI
NO
N/A
OBSERVACIONES
Nombre: ___________________________________________________________
Cargo: _____________________________________________________________
Pgina 18
Contesta y califica en una escala del 1 al 5. 1. Excelente 2. Bueno 3. Regular 4. Deficiente 5. No Cumple
PREGUNTAS 1. 2. 3. 4. 5. 6. 7. 8. 9. Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico? La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras:
10. Cubre tus necesidades acadmicas? 11. Los tiempos de respuesta son? 12. Cmo calificaras el equipo de cmputo de los laboratorios? 13. Cmo calificas en nmero de equipos de cmputo existentes? 14. La disponibilidad con la cuentan los laboratorios es: 15. El antivirus con el que cuentan los equipos de cmputo lo consideras: 16. La instalacin del cableado lo consideras:
Pgina 19
SI
NO
COMENTARIO
administracin de la red? 22. Utilizas con frecuencia el servicio de Internet? 23. Requiere una cuenta para acceder a este servicio? 24. Conoce el proceso que se realiza para adquirir dicha cuenta? 25. Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. Solo usted tiene acceso a esta cuenta? 28. Su cuenta siempre est disponible 29. Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido 30. Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. Existen problemas al conectarse a internet? 32. Los problemas existentes afectan la realizacin de su trabajo? 33. Si tuvieras alguna queja sabes con quien y donde presentarla? 34. Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet?
Pgina 20
usuarios en cuanto al nivel del servicio percibido por los mismos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Existe la evidencia de los problemas que se presentan en cuanto a la prestacin del servicio. Se establecen las funciones para cada rol en el rea de unidad informtica. Se tienen establecidos los modelos de elaboracin para la percepcin de servicios. El contrato puede replantearse para mejoras de recepcin de servicio.
Pgina 21
60% Regular
40% Mnimo
20% No cumple
Verificacin de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
establecido para brindar un buen servicio. Las caractersticas de la Red para el servicio de internet son: Los componentes fsicos de la red cumplen con las caractersticas para brindar servicio de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios. Las configuraciones, topologas, tipos y cobertura de las redes estn adecuadas para el servicio de internet. Los protocolos de comunicacin interna de la red permiten un servicio de internet. La administracin de la red de Cmputo es adecuada para el brindar el servicio de internet. La seguridad de acceso al servicio de internet.
Pgina 22
Evaluacin de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
La distribucin del direccionamiento de IP. Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de
internet son evaluados. La administracin de contraseas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del
correctivas en caso de siniestros en el acceso. Evaluacin de la Seguridad en el Acceso al rea Fsica Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cmputo. Evaluar las medidas preventivas o 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
correctivas en caso de siniestro en el centro de cmputo. Analizar las polticas de la instalacin en relacin con los accesos al departamento.
Pgina 23
Evaluacin de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, proteccin y y de sus perifricos 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
periodicidad de los respaldos de bases de datos, software e informacin importante de la institucin. Evaluar seguridad la configuracin, instalaciones del equipo de y
cmputo,
mobiliario y dems equipos. Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario y dems equipos. Evaluar la seguridad en el procesamiento de informacin. Evaluacin de la Proteccin de la Informacin Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitacin de accesos. Proteccin contra robos Proteccin ante copias ilegales Evaluacin de la Proteccin contra Virus Informticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Pgina 24
100% Excelente
80% Bueno
60% Regular
40% Mnimo
20% No cumple
100% Excelente
80% Bueno
60% Regular
40% Mnimo
20% No cumple
Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Proteccin de informacin. archivos, programas e
60% Regular
40% Mnimo
20% No cumple
Evaluacin de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
cmputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados. Evaluar el estado fsico del hardware,
perifricos y equipos asociados Evaluacin de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de software, 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
paqueteras y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalacin del software, paqueteras y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta ltima.
Pgina 25
inventariado
como
Que haya extravo. Computadoras y Hardware Perifricos Asociados Que se est utilizando con los fines para los cuales fue adquirido.
adquisiciones de la universidad, se encuentre en el lugar correspondiente. Verificar que los diversos componentes del hardware, estn siendo
aprovechados al mximo y utilizando como corresponde. Revisar que los dispositivos Se revisar el 100% de
inventariados como adquisiciones de la los bienes inventariados Que haya extravo. Redes Dispositivos Que se est utilizando Universidad, se encuentre en el lugar como correspondiente. Verificar que los dispositivos estn parte de
dispositivos de red.
Pgina 26
Se verificarn los registros que la empresa tiene sobre las respectivas capacitaciones recibidas por los
En
las
revisiones si en se
se las ha
Departamento de
verificar
capacitaciones
Informtica
frente a los nuevos avances tecnolgicos. Los mtodos, rutina, procedimientos y medidas de seguridad y proteccin de los sistemas operativos, paquetera, y dems software Software para la del sistema no estn Software administracin de la red Que el software usado por la entidad est resguardado en un lugar libre de humedad o de mucho calor para evitar que se deteriore y se Revisar las condiciones del lugar en que se encuentra resguardado el software. funcionando adecuadamente. Identificar en cada uno de los elementos los factores de riesgos, para mitigarlos.
Mejorar los procedimientos implementados en la realizacin de las diferentes tareas, para obtener mayor seguridad en las aplicaciones.
La verificacin se har por una sola vez y con la autorizacin del encargado del departamento.
convierta en inservible.
Pgina 27
PROCEDIMIENTOS SEGN FACTORES DE RIESGO Verificar que los tomas a los cuales
Se verificar con la ayuda de un electricista que las instalaciones elctricas condiciones cumplan con las de
Se aplicar a un 15% de las instalaciones a las que est conectado el equipo del sistema informtico de la entidad.
mnimas
Que los componentes de la Seguridad Fsica red estn ubicados en un rea que no cumplen con las condiciones ambientales. Seguridad Seguridad Lgica Robo de informacin El acceso a usuarios no Verificar que el ingreso a usuarios sea solo aquellos que estn mnimas Verificar que los equipos no estn ubicados muy cerca de espacios hmedos o que el calor sea mucho. Se efectuar al 100% de los computadores.
vlidos.
Pgina 28
Se verificar que los equipos estn correctamente conectados y que sean funcionales.
los Dispositivos l un corto circuito u otro siniestro. Seguridad Seguridad en las Telecomunicaci ones
Se verificar si las mquinas se Que el internet para se est fines encuentran en red, si todas tienen Se harn los
utilizando
acceso a internet y si se puede procedimientos a un 5% de monitorear en algn momento lo las mquinas. que estn haciendo los usuarios.
Pgina 29
MATERIALES
TIEMPO Se espera realizar la auditora en el departamento de unidad informtica, debido a que es donde se encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet. Dicha auditoria se llevara en un periodo de 13 das.
No.
RECURSO
VALOR TOTAL
1 2 3
4
Auditor Senior (30 horas hombre) Auditor Junior Auditores Auxiliares (2 personas) Especialista en redes
$ $ $
$ $ $ $
MATERIALES
1 2 4 5 6
$ $ $ $ $
Pgina 30
PUESTO Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar
NOMBRE DE LA PERSONA TSU Areli Rojano Calixto TSU Mara Esther Galicia Xochitemol TSU Anglica Cortes Cuahutencos TSU Carina Cuautle Ramos TSU Guadalupe Jimnez Martnez
12
13
14
15
18
19
20
21
22
25
26
27
1 2 3 4 5 6 7
Elaboracin del Plan de Auditora. Elaboracin de Cuestionario de Control Interno. Visita al encargado de control interno para contestar el cuestionario. Evaluacin de la auditoria del control interno. Desarrollo del Informe de Auditora. Recomendaciones de la auditoria. Entrega de resultados de la auditoria.
Auditor Senior Auditor Junior Auditor Auxiliar Especialista en Redes Auditor Auxiliar Auditor Senior, Auditor Auxiliar Auditor Auxiliar, Especialista en Redes Auditor Senior
Pgina 31
28
No .
PONDERACIN
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21.
Laboratorios de computo Polticas de seguridad (Estndares) Infraestructura (localizacin del cableado) Encriptacin Protocolos de comunicacin Restriccin en el uso del Internet Seguridad del Personal del departamento de Unidad Informtica Usuarios del sistema informtico (Para cuantas personas es la red inalmbrica) capacidad de la red Seguridad de Aplicaciones. Seguridad fsica de los sistemas informticos y ambiental Seguridad lgica del sistema Seguridad de la informacin y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operacin del hardware Seguridad en la Red inalmbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. Seguridad de cumplimiento de normas y estndares. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas
FINANZAS
1% 2% 2% 2% 2% 10% 3% 2% 4% 4% 4% 4% 4% 4% 4% 2% 4% 3% 4% 4% 2%
Clasificacin y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal TOTAL Pgina 32
2% 2% 25% 100%
DESCRIPCIN DE LA MARCA Laboratorios de computo Polticas de seguridad (Estndares) Infraestructura (localizacin del cableado) Encriptacin Protocolos de comunicacin Restriccin en el uso del Internet Seguridad del Personal del departamento de Unidad informtica Usuarios del sistema informtico (Para cuantas personas es la red inalmbrica) capacidad de la red Seguridad de Aplicaciones. Seguridad fsica de los sistemas informticos y ambiental Seguridad lgica del sistema Seguridad de la informacin y las bases de datos Seguridad en el acceso y uso del software Seguridad en la operacin del hardware Seguridad en la Red inalmbrica Seguridad de Sistema Operativo Seguridad de Base de Datos. Seguridad de cumplimiento de normas y estndares. Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Seguridad de Comunicaciones y operaciones Monitoreo de eventos y alarmas Clasificacin y control de recursos Plan de continuidad del negocio Cumplimiento de normatividad legal
Pgina 33
DESCRIPCIN DE LA MARCA Obtenido por el encargado del departamento Obtenido de otros documentos Obtenido de terceros Obtenido de empleados del rea de informtica Cotejado con el inventario Verificado por el auditor Verificado por el Tcnico en Redes
METODOLOGA Y PROCEDIMIENTOS
El anlisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de Huejotzingo, a travs de lo siguiente: 1. En primer lugar se visitar al cliente, en el lugar donde se realizar la auditoria, para identificar la magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en administracin e infraestructura de la red, quienes brindan el servicio de internet a usuario de la institucin. 2. Se elaborar un plan de auditora sobre el servicio de internet que brinda la institucin, para identificar las posibles reas que presenten riesgos dentro de la organizacin y que afecten el servicio de internet. Adems se elaborara el cuestionario para la evaluacin de servicios de internet, con el cual se buscar recabar informacin, que nos ayude a identificar riesgos, vulnerabilidades que puedan presentarse en algunas de las reas a evaluar. 3. Se llevar a cabo la evaluacin de servicio de internet que existe en la institucin, en el lugar de trabajo con el propsito de solicitar al personal involucrado, que respondan el cuestionario. 4. Con los resultados obtenidos de la evaluacin del servicio de internet, se elaborar una planilla de decisiones preliminares, evaluando el tipo de riesgo que presenta cada rea y definiendo algunos procedimientos que sern necesario realizar. 5. Se visitar los centros de trabajo para realizar los procedimientos de auditora necesarios, con el fin de obtener la evidencia suficiente y competente que sirva para la elaboracin del informe de auditora. 6. Se analizarn los datos, y se elaborar el informe de auditora que ser presentado al cliente.
Pgina 34
Se solicitar a los auditores que desarrollen los procedimientos expresados en el plan de auditora. En ellos se verificar que los auditores contratados para las diferentes reas pongan a prueba los servicios de internet brindados por la institucin, realizando operacin que verifiquen la que la administracin de la red, as como tambin la infraestructura fsica y lgica de la red. A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el servicio de internet. Por lo tanto lo que se verificar es la seguridad que ofrezca el sistema. Se harn pruebas, por otro lado en lo concerniente a las instalaciones elctricas, con el fin de verificar que estn en buen estado y se tratar de provocar fallas al sistema elctrico, para verificar su vulnerabilidad. Se tratar desde una computadora, accesar a otras que no se debiera tener acceso con el fin de verificar su vulnerabilidad.
SITUACIONES ALTERNAS
En el caso de que todos los equipos estn constantemente ocupados, se buscar la forma de que se autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan realizar fuera de la jornada laboral, con el propsito de no entorpecer las labores cotidianas.
En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificar si existe alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.
En el caso de que al momento de la auditora no se encuentren los funcionarios que nos hayan contratado, se les pedir que nombren a una persona, de preferencia del rea de informtica para que, d fe del trabajo que se est realizando y se mantenga la transparencia.
La papelera ser utilizada para la elaboracin y resguardo de los papeles de trabajo y estarn en manos del auditor senior TSU. Areli Rojano Calixto, quien ser responsable de su custodia.
Pgina 35
Desarrollo
SI
NO
N/A
OBSERVACIONES
Pero internamente se conoce como Centro de TI
SI LA RESPUESTA FUE SI: 2. Existe una persona nombrada como x Lic. OLaff Hernndez Jurez IT Manager Dir. de Administracin de Finanzas Ernesto Aguirre x x x
responsable de administrar las redes? 3. Existe un rea o alguien a quin le rinden cuentas de su gestin? 4. Est identificada dicha rea dentro del organigrama general de la empresa? 5. Se tiene un organigrama especfico? 6. Hay un manual de organizacin y funciones aplicables a dicha rea? 7. Existen procedimientos de contratacin, para el personal de este departamento? 8. Estn delimitadas las funciones de cada integrante del rea Unidad Informtica? 9. Cada empleado del rea de Unidad
Recursos Humanos
Verbalmente
Informtica conoce la persona ante la que tiene que rendir cuentas de su labor? 10. Cada empleado del rea de Unidad
Verbalmente
Informtica es especialista en diferentes reas de la red? 11. Tiene muchos aos laborando aqu? 12. Han recibido capacitaciones en el ltimo ao?
INFRAESTRUCTURA DE LA RED 13. El personal revisa la infraestructura de la red? 14. En el ltimo ao se han revisado toda la infraestructura de la red? x x 2 veces al ao Junio, realizan evidencias
Pgina 37
SI
NO
N/A
OBSERVACIONES
Planeacin Saturacin de servicios
No son optimas Daos locales (85%) y del proveedor (15%) Anual TCP/IP, HTTP, HTTPS FTP Ingeniero en Sistemas, TSU en Informtica
problemas con la conexin del internet? 19. Usa protocolos? 20. Tiene la Universidad contratado un
x x
especialista en redes? 21. La administracin de redes implementa una poltica en base a la tecnologa de red? 22. Esta poltica es acorde con el plan de calidad de la organizacin? 23. Existe un inventario de equipos y software asociados a las redes? 24. Existe un plan que permite modificar en forma oportuna a largo plazo la tecnologa de redes, teniendo en cuenta los posibles
x
rea de recursos Materiales
Plan de Mantenimiento
cambios tecnolgicos o en la institucin? 25. Estn establecidos controles especiales para salvaguardar la confidencialidad e Control de acceso al sitio,
integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? 26. Existen controles gestin para y procedimientos de
proteger
el acceso a las
Verbalmente
x
Pgina 38
Estrella
importancia y gravedad de la perdida? 31. Le han dado clave para ingresar al sistema? 32. Existen limitantes para el acceso a internet? 33. Se han adoptado medidas de seguridad en el departamento de sistemas de x
informacin? 34. Existe una persona responsable de la seguridad? 35. Existe una clara definicin de funciones entre los puestos clave? 36. Se permite el acceso a la red por x
personal no autorizado? 37. Existen medidas de seguridad fsica? 38. Existe un programa de mantenimiento para la red? 39. Se lleva a cabo tal programa? 40. Existe proteccin ante algn robo? 41. Existen medidas de seguridad respecto a copias ilegales? 42. Utilizan antivirus o alguna otra medida para la proteccin de la informacin? x x x x
Firewall
Pgina 39
necesidades de la institucin? 50. El departamento de unidad informtica es el encargado de efectuar la contratacin del servicio de internet? 51. Ofrece calidad en el servicio la empresa proveedora? 52. La empresa proveedora ofrece una ventaja econmica para la universidad? 53. La infraestructura de la red es la adecuada para la prestacin del servicio outsourcing? 54. La administracin y control de la red se acoplan a la prestacin de servicios x x x Solo sugiere o realiza una peticin Tiempos de Respuesta, Disponibilidad
Economa
outsourcing?
Pgina 40
SI
NO
N/A
OBSERVACIONES
No siempre es eficaz. Olaff tiene comunicacin con el proveedor
Hace 2 aos
Cada 3 meses
Antenas de recepcin
Nombre: Cargo:
Pgina 41
usuarios en cuanto al nivel del servicio percibido por los mismos. Se encuentran definidos los derechos y responsabilidades de tanto a usuarios como personal administrativo. Se encuentran definidos los servicios que deben percibir los usuarios y administrativos. Existe la evidencia de los problemas que se presentan en cuanto a la prestacin del servicio. Se establecen las funciones para cada rol en el rea de unidad informtica. Se tienen establecidos los modelos de elaboracin para la percepcin de servicios. El contrato puede replantearse para mejoras de recepcin de servicio. X X X X X
Pgina 42
60% Regular
40% Mnimo
20% No cumple
Verificacin de los Componentes para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: El objetivo de la red cumple con lo 100% Excelente 80% Bueno 60% Regular X 40% Mnimo 20% No cumple
establecido para brindar un buen servicio. Las caractersticas de la Red para el servicio de internet son: Los componentes fsicos de la red cumplen con las caractersticas para brindar servicio de internet. La conectividad y las comunicaciones de la red son adecuadas para el servicio de internet. El servicio de internet que proporciona y cubre las expectativas de los usuarios. Las configuraciones, topologas, tipos y cobertura de las redes estn adecuadas para el servicio de internet. Los protocolos de comunicacin interna de la red permiten un servicio de internet. La administracin de la red de Cmputo es adecuada para el brindar el servicio de internet. La seguridad de acceso al servicio de internet.
Pgina 43
Evaluacin de la Seguridad en el Acceso al Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos:
1
100% Excelente
80% Bueno X X X
60% Regular
40% Mnimo
20% No cumple
La distribucin del direccionamiento de IP . Seguridad de direccionamiento de IP. Se monitorean los atributos de acceso al servicio de internet. Los niveles de acceso al servicio de
internet son evaluados. La administracin de contraseas al servicio de internet lleva a cabo un proceso de monitoreo. El monitoreo en el acceso al servicio de internet es evaluado. Las funciones del administrador del X X
Evaluacin de la Seguridad en el Acceso al rea Fsica Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el acceso restringido de personal al centro de cmputo. Evaluar las medidas preventivas o X 100% Excelente 80% Bueno X 60% Regular 40% Mnimo 20% No cumple
correctivas en caso de siniestro en el centro de cmputo. Analizar las polticas de la instalacin en relacin con los accesos al departamento.
Evaluacin de la Seguridad en los Sistemas Computacionales para el Servicio de Internet Evaluar y calificar el cumplimiento de los siguientes aspectos: Evaluar el rendimiento y uso del sistema computacional asociados. Evaluar la existencia, proteccin y X y de sus perifricos X 100% Excelente 80% Bueno 60% Regular 40% Mnimo 20% No cumple
periodicidad de los respaldos de bases de datos, software e informacin importante de la institucin. Evaluar seguridad la configuracin, instalaciones del equipo de y
cmputo,
mobiliario y dems equipos. Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario y dems equipos. Evaluar la seguridad en el procesamiento de informacin. X X
Evaluacin de la Proteccin de la Informacin Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas. Limitacin de accesos. Proteccin contra robos Proteccin ante copias ilegales 100% Excelente 80% Bueno X X X X 60% Regular 40% Mnimo 20% No cumple
Evaluacin de la Proteccin contra Virus Informticos Evaluar y calificar el cumplimiento de los siguientes aspectos: Medidas preventivas y correctivas.
Pgina 45
100% Excelente
80% Bueno X
60% Regular
40% Mnimo
20% No cumple
Evaluar y calificar el cumplimiento de los siguientes aspectos: Uso de vacunas y buscadores de virus. Proteccin de informacin. archivos, programas e
60% Regular
40% Mnimo
20% No cumple
Evaluacin de la Seguridad del Hardware Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de hardware, 100% Excelente 80% Bueno 60% Regular X 40% Mnimo 20% No cumple
cmputo (hardware). Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados. Evaluar el estado fsico del hardware,
perifricos y equipos asociados Evaluacin de la Seguridad del Software Evaluar y calificar el cumplimiento de los siguientes aspectos: Realizacin de inventarios de software, 100% Excelente 80% Bueno
60% Regular X
40% Mnimo
20% No cumple
paqueteras y desarrollos empresariales. Evaluar las licencias permisos y usos de los sistemas computacionales. Evaluar el rendimiento y uso del software de los sistemas computacionales. Verificar que la instalacin del software, paqueteras y sistemas desarrollados en la empresa sea la adecuada para cubrir las necesidades de esta ltima. X
Pgina 46
De acuerdo al checklist, y el cuestionario de control interno aplicado al Lic. Olaff Hernndez Jurez IT Manager del Departamento de Unidad Informtica, se determin que el servicio de internet proporcionado por la empresa Gemtel a la Universidad Tecnolgica de Huejotzingo, carece de los siguientes elementos:
REPORTE DE AUDITORIA OUTSOURCING Auditoria Nmero: Fecha de Elaboracin del Reporte: No. De Resultados: 01 Fecha de Auditora Fecha de Reunin de Apertura: Fecha de Cierre: Del 12 a 28 de Octubre de 2010 12 de Octubre de 2010 28 de Octubre de 2010
HALLAZGOS DESCRIPCIN DE LA NO CONFORMIDAD FOLIO COBIT ITIL Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) DEPARTAMENTO DE UNIDAD INFORMTICA R. El departamento de Unidad Informtica no se encuentra en 01 el organigrama de la Institucin, lo que ocasiona que dicha rea sea desconocida. R. El departamento de Unidad Informtica es controlado por 02 del rea de Administracin de Finanzas, el cual no est completamente relacionada con dicho departamento, ya que dichas reas son totalmente distintas. R. Internamente en el departamento no existe un organigrama 03 que indique los puestos del personal perteneciente a dicha rea y por lo tanto tambin carece de un Manual de Organizacin y Funciones. Pgina 47 PO X PO X PO X v4.1 v3 MAYOR MENOR NO CONFORMIDAD
Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) R. Las funciones de cada integrante del rea de Unidad
04
Informtica estn especificadas, sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. R. El personal de Unidad Informtica recibe capacitacin 2
PO
05
veces al ao si embargo dichas capacitaciones no estn enfocadas a la funcin que ellos desempean en la Universidad Tecnolgica de Huejotzingo INFRAESTRUCTURA DE LA RED
PO
06
PO
07
condiciones sin embargo no son ptimas para que se establezca un buen servicio de internet a los usuarios. SEGURIDAD R. La mayora de los problemas ocasionados en la conexin a
PO
ICT
08
Internet son daos locales, es decir originados en la universidad. E. Los controles y procedimientos que protegen el acceso a
ICT
09
conexiones y servicios de red se establecieron verbalmente, es decir, no existe algn documento que sustente dichos controles y procedimientos. R. Una de las limitantes para el acceso de internet es el ancho
PO
10
de banda, debido que la Universidad Tecnolgica no cuenta con el ancho de banda suficiente para que el servicio de internet cumpla las necesidades del usuario. R. Los componentes fsicos de la red no cubren todas las
ES
11
caractersticas de la red debido a que estos son adquiridos por que ofrecen una ventaja econmica. SERVICIO OUTSOURCING
AI
12
R, I. No existe una comunicacin eficaz entre el proveedor de servicios y la Universidad Tecnolgica de Huejotzingo. Pgina 48
PO
Especificar: Requerimientos (R), Incumplimiento (I), Evidencia (E) R. Gemtel es una empresa dedicada a redes inalmbricas, hosting, internet de alta velocidad y acceso remoto dial up;
13
dicha empresa tiene 4 aos ofreciendo el servicio a la Universidad Tecnolgica de Huejotzingo, sin embargo es confiable desde hace dos aos, debido a que mejoro el servicio ofrecido a la universidad.
DS
MARCO DE REFERENCIA A COBIT v4.1: Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Soporte (DS) Monitorear y Evaluar (ME)
MARCO DE REFERENCIA A ITIL v3: Soporte de Servicio (SS) Entrega de Servicio (ES) Planes para Implantar la Gestin del Servicio (PIGS) Gestin de la Infraestructura y Comunicaciones de TI (ICT) Gestin de las Aplicaciones (GA) Perspectiva de Negocio (PN) Seguridad (S)
Pgina 49
Se llev a cabo la aplicacin de encuestas a los usuarios del servicio outsourcing, los cuales son clasificados de la siguiente manera:
Laboratoristas.
Alumnos.
Contemplando que se cuenta con una poblacin aproximada de 2000 usuarios que reciben el servicio de internet, la empresa Solution Corp decidi encuestar al 5% de la poblacin total estipulada con anterioridad, que se distribuye de la siguiente forma:
TIPO DE USUARIOS
PORCENTAJE
Administrativos
2%
usuarios recibe un mejor servicio por las funciones que desempean. Este tipo de usuarios utiliza el servicio en menor
PTC y PA
8%
cantidad, por lo que la afectacin que les provoca el servicio outsourcing tiene menor impacto en el desarrollo de su actividades. Son los usuarios que proporcionan el servicio de
Laboratoristas
10%
internet local al alumnado y que por lo tanto conocen con mayor facilidad las deficiencias que el servicio presenta. Debido a que es la poblacin que utiliza con mayor
Alumnos
80%
Pgina 50
No.
RUBRO
35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46.
Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico? La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras: Cubre tus necesidades acadmicas? Los tiempos de respuesta son? Cmo calificaras el equipo de cmputo de los laboratorios?
4 2 6 7 6 3 4 7 4 6 4 6
22 18 21 25 18 26 14 24 18 29 19 23
45 40 35 No. Resultados 30 25 20 15 10 5 0 1 2 3 4 5 6 7 8 9 10 11 12 No. de Rubro Grfica 1. Evaluacin del Servicio de Internet (Alumnos) Pgina 51 Excelente Bueno Regular Deficiente No Cumple
BUENO
De acuerdo a los datos estadsticos obtenidos en la siguiente grafica se concluy que el servicio de internet proporcionado a los alumnos es regular, es decir, no cubre las necesidades de los usuarios al 100% sin embrago les permite llevar acabo la realizacin de sus actividades bsicas, tales como la bsqueda de informacin a travs de la navegacin de internet.
No.
RUBRO
Cmo calificas en nmero de equipos de cmputo existentes? La disponibilidad con la cuentan los laboratorios es: El antivirus con el que cuentan los equipos de cmputo lo consideras: La instalacin del cableado lo consideras:
6 5
16 21
BUENO
35 19 29 23 26 19 28 18
4 2 10 6
11 14 7 21
35 30 25 No. Resultados 20 15 10 5 0 13 14 No. Rubro Grfica 2. Evaluacin de Laboratorios (Alumnos) Hallar mejoras en laboratorios para brindar un mejor servicio de internet, donde como resultado final se observa que el usuario logra cubrir la mayora de sus necesidades con el servicio de internet con el que cuenta actualmente la institucin. 15 16 Excelente Bueno Regular Deficiente No Cumple
Pgina 52
EVALUACIN DE UNIDAD INFORMTICA (ALUMNOS) No. 51. 52. 53. 54. 55. RUBRO Conoces el departamento de Unidad Informtica? Sabes dnde se encuentra? Crees que la ubicacin de la unidad informtica es de fcil acceso? Sabes quin es la persona responsable? Conoce el horario del personal responsable de la administracin de la red? SI 45 47 39 32 18 NO 35 33 41 48 62
70 60 No. de Respuesta 50 40 30 20 10 0 17 18 19 No. de Rubro Grfica 3. Evaluacin de Unidad Informtica (Alumnos) Con el objetivo de identificar si el usuario conoce el rea Cetro de TI, para cualquier duda o fallo en el servicio de internet que se le brinda. 20 21 SI NO
EVALUACIN DE ACCESO A INTERNET (ALUMNOS) No. 56. 57. 58. 59. RUBRO Utilizas con frecuencia el servicio de Internet? Requiere una cuenta para acceder a este servicio? Conoce el proceso que se realiza para adquirir dicha cuenta? Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? SI 54 49 39 35 NO 26 31 41 45
Pgina 53
SI
NO
Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet?
34 42 30 30
46 38 50 50
Solo usted tiene acceso a esta cuenta? Su cuenta siempre est disponible Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido
60 No. de Respuesta 50 40 30 20 10 0 22 23 24 25 26 27 28 29 No. de Rubro Grfica 4. Evaluacin de Acceso a Internet (Alumnos) Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contrasea para el acceso a internet, adems de los derechos y obligaciones que adquiera al hacer uso de la misma. SI NO
EVALUACIN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS) No. 64. RUBRO Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 65. 66. 67. 68. Existen problemas al conectarse a internet? Los problemas existentes afectan la realizacin de su trabajo? Si tuvieras alguna queja sabes con quien y donde presentarla? Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO
63 57 54 25 43
17 23 26 55 37
Pgina 54
70 60 No. de Respuesta 50 40 30 20 10 0 30 31 32 No. de Rubro Grfica 5. Evaluacin de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dnde acudir cuando este se le presente algn fallo y lo haga en el lugar correcto, con la persona correcta. 33 34 SI NO
BUENO
No.
RUBRO
1. 2. 3.
Cmo consideras el servicio de internet? Cul es su grado de satisfaccin general con el servicio? Cmo califica el proceso para obtener una cuenta de Internet Inalmbrico?
0 1 2 1 2 0 2 3 1 1
6 8 11 11 6 6 9 9 7 9
14 11 9 9 11 13 9 8 8 12
7 9 6 7 7 7 6 5 9 6
4. 5. 6. 7. 8. 9. 10.
La pgina de inicio para obtener acceso a la red es: Cmo califica la conexin del Internet Inalmbrico? Consideras que la seguridad con la que cuenta es? Considera que la cobertura del servicio de Internet Inalmbrico es: Cmo consideras la restriccin al acceso a pginas web? La velocidad utilizada en la transmisin de internet la consideras: Cubre tus necesidades acadmicas?
Pgina 55
N/A 0 0 2 0 1 1 1 0 1 0
EXCELENTE
NO CUMPLE 1 1 NO CUMPLE 0 0
DEFICIENTE
REGULAR
BUENO
No.
RUBRO
11. 12.
Los tiempos de respuesta son? Cmo calificaras el equipo de cmputo de los laboratorios?
0 1
8 10
14 11
7 5
14 12 No. de Respuestas 10 8 6 4 2 0 1 2 3 4 5 6 7 8 9 10 11 12 No. de Rubro Grfica 6. Evaluacin del Servicio de Internet (Alumnos) Con el objetivo de conocer el grado de satisfaccin que tienen los profesores en cuanto al servicio de internet, donde se logra observar que el nivel de satisfaccin es regular. Excelente Bueno Regular Deficiente No Cumple No Aplica
BUENO
No.
RUBRO
13. 14.
Cmo calificas en nmero de equipos de cmputo existentes? La disponibilidad con la cuentan los laboratorios es:
2 2
7 8
11 14
10 4
Pgina 56
N/A 0 2
N/A 0 2
EXCELENTE
NO CUMPLE 4 1
DEFICIENTE
REGULAR
BUENO
No.
RUBRO
15. 16.
El antivirus con el que cuentan los equipos de cmputo lo consideras: La instalacin del cableado lo consideras:
2 3
4 8
12 11
8 7
14 12 No. de Respuestas 10 8 6 4 2 0 13 14 15 16 No. de Rubro Grfica 7. Evaluacin de Laboratorios (Profesores) Obtener el grado de satisfaccin que tienen los laboratoristas en cuando el servicio de internet, el cual se observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfaccin. Excelente Bueno Regular Deficiente No Cumple No Aplica
EVALUACIN DE UNIDAD INFORMTICA (PROFESORES) No. 17. 18. 19. 20. 21. RUBRO Conoces el departamento de Unidad Informtica? Sabes dnde se encuentra? Crees que la ubicacin de la unidad informtica es de fcil acceso? Sabes quin es la persona responsable? Conoce el horario del personal responsable de la administracin de la red? SI 28 27 24 27 21 NO 2 3 6 3 9 ALGUNAS VECES 0 0 0 0 0 N/A 0 0 0 0 0
Pgina 57
N/A 0 0
Grfica 8. Evaluacin de Unidad Informtica (Profesores) Con el objetivo de identificar si el profesor conoce el rea Cetro de TI, para cualquier duda o fallo en el servicio de internet que se le brinda.
EVALUACIN DE ACCESO A INTERNET (PROFESORES) No. 22. 23. 24. 25. RUBRO Utilizas con frecuencia el servicio de Internet? Requiere una cuenta para acceder a este servicio? Conoce el proceso que se realiza para adquirir dicha cuenta? Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 26. Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta para el acceso a Internet? 27. 28. 29. Solo usted tiene acceso a esta cuenta? Su cuenta siempre est disponible Tiene acceso a cualquier tipo de pgina web, con la cuenta que ha adquirido SI 28 21 21 20 NO 2 8 7 8 ALGUNAS N/A VECES 0 0 0 0 0 1 2 2
13 19 17 14
15 8 10 13
0 0 0 0
2 3 3 3
Pgina 58
Grfica 9. Evaluacin de Acceso a Internet (Profesores) Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contrasea para el acceso a internet, adems de los derechos y obligaciones que adquiera al hacer uso de la misma.
EVALUACIN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES) No. 30. RUBRO Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? 31. 32. 33. 34. Existen problemas al conectarse a internet? Los problemas existentes afectan la realizacin de su trabajo? Si tuvieras alguna queja sabes con quien y donde presentarla? Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de internet? SI NO ALGUNAS N/A VECES
23 25 21 23 22
7 3 8 7 8
0 1 1 0 0
0 1 0 0 0
Pgina 59
Identificar si el profesor tiene conocimiento de dnde acudir cuando este se le presente algn fallo y lo haga en el lugar correcto, con la persona correcta.
Pgina 60
Recomendaciones
Me permito informarle a Usted el Informe de Resultados de la auditora practicada al Servicio Outsourcing administrado por el departamento de Unidad Informtica de la Universidad Tecnolgica de Huejotzingo, que se realiz del 12 al 28 de octubre del presente ao.
La revisin realizada fue de carcter integral y comprendi la evaluacin, de la estructura organizacional del departamento, la operacin de la red tanto fsica como lgica, el cumplimiento de las actividades y funciones asignadas al personal, el estado del hardware y software y la revisin de la gestin informtica.
En el citado informe encontrar el dictamen y las condiciones a las cuales se llegaron despus de la aplicacin de las tcnicas y procedimientos de la auditora de sistemas.
EVALUACIN DE UNIDAD INFORMTICA APLICANDO MODELO DE MADUREZ PARA LA ADMINISTRACIN Y EL CONTROL DE LOS PROCESOS DE TI
En la actualidad la evaluacin de la capacidad de los procesos basada en los Modelos de Madurez de COBIT es una parte clave de la implementacin del gobierno de TI. Despus de identificar los procesos y controles crticos de TI, el modelado de la madurez permite identificar y demostrar a la direccin las brechas en la capacidad. Entonces se pueden crear planes de accin para llevar estos procesos hasta el nivel objetivo de capacidad deseado.
2
Por la tanto la empresa Solution Corp utiliz el Modelo de Madurez para la Administracin y Control de los procesos de TI para llevar a cabo la evaluacin de los procesos del servicio de Internet, el cual es
administrado por el departamento de Unidad Informtica perteneciente a la Universidad Tecnolgica de Huejotzingo. Este Modelo Genrico de Madurez de COBIT se compone de los siguientes niveles: Nivel 0 - No Existente: Carencia completa de cualquier proceso reconocible. Nivel 1 Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. Nivel 2 - Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Nivel 3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Nivel 4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. Nivel 5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
A continuacin se presenta el resultado de la evaluacin de dichos procesos: ASPECTOS RELACIONADOS AL NIVELES DEL MODELO GENRICO DE MADUREZ El departamento de Unidad informtica, no cuenta con un manual de organizacional el cual le impide saber las funciones de trabajo que debern llevar a cabo, adems de las responsabilidades y expectativas del puesto; se logra cubrir la gran mayora de Departamento de Unidad Informtica Repetible necesidades de los usuarios en el servicio de internet; existen procesos que llevan a cabo pero no se tiene un programa o JUSTIFICACIN
metodologa que permita cumplir con las metas establecidas, el cual genera incumplimiento en un menor porcentaje, por lo cual requiere de establecer mejoras en el proceso y de establecer procesos que sean sometidos a mejora continua para llegar a la Calidad satisfactoria. La Universidad de Tecnolgica de Huejotzingo cuenta con una infraestructura de red no adecuada a las necesidades (no para todos los edificios), debido a que no existi contemplar la instalacin de una
Infraestructura de la Red
red , ya sea por cableado o inalmbrica, lo que gnero que s que se Repetible adecuara una infraestructura red de acuerdo al inmueble existente. Esto ha provocado problemas para un buen servicio de internet. Cabe mencionar que existen procesos para contra restar anomalas de la red, porque no se llevan a cabo en un 100%, por ende la satisfaccin del usuario no es cubierta en el servicio de internet. Existen medidas de seguridad estandarizadas sin embrago en
Seguridad
Definido
ocasiones ests medidas pueden ser aplicadas o no por el personal y por lo tanto ocasionan que el servicio a internet sea ms vulnerable. El servicio outsourcing brindado por Gemtel es bueno, sin embargo existen deficiencias en el mismo debido a que no existe una
Outsourcing
Administrado
comunicacin eficaz entre el proveedor y la Universidad. Cabe mencionar que existe un contrato donde se establecen los lineamientos del servicio entre el proveedor y la universidad.
Pgina 64
ASPECTOS RELACIONADOS AL
JUSTIFICACIN
El departamento de Unidad Informtico tiene personal capaz de responder a las necesidades del rea, sin embargo la demanda por parte de los usuarios no es cubierta al 100%, debido a que no se Personal Repetible cuenta con el personal suficiente para cubrir estas necesidades, adems de que no existe un documento donde se establezcan las funciones del personal generando deficiencia en el seguimiento de los procesos. La instalacin elctrica con la que cuenta la unidad informtica se adaptada a las necesidades del rea, sin embargo no se cuenta con Instalacin Elctrica Repetible un mantenimiento constante a la misma. Cabe mencionar que no es sometida a un monitoreo o seguimiento, lo que con lleva a que no se detecten las deficiencias o problemas que puedan presentarse en la instalacin. El equipo de con el que cuenta la unidad de informtica provee un Hardware Administrado servicio de internet estable sin embrago existen mejores equipos que pueden ser implementados para proporcionar un servicio de internet de alto rendimiento.
Pgina 65
NIVEL RIESGO
REF. INFORME
DEPARTAMENTO DE UNIDAD INFORMTICA Condicin: El departamento de Unidad Informtica no se encuentra en el organigrama de la Institucin, lo que ocasiona que dicha rea sea desconocida. Criterio: PO4.4 Ubicacin Organizacional de la Funcin de TI, PO4.5 Estructura Organizacional de COBIT v4.1 Causa: Se debe llevar a una reunin donde se establezca la importancia a contar un Centro de Tecnologas de la 1 Informacin. Efectos: Que no se lleven a cabo procesos en TI ms rigurosos, adems desconocer a quien acudir cuando existe una problemtica en la conexin de internet. Recomendaciones: Contemplar dentro del organigrama el rea de Unidad de Informtica haciendo referencia al responsable de dicha rea, con el propsito de que todo a que requiera servicios en TI sepa a quien dirigirse. Condicin: El departamento de Unidad Informtica es controlado por del rea de Administracin de Finanzas, el cual no est completamente relacionada con dicho departamento, ya que dichas reas son totalmente distintas. Criterio: PO4.15 Relaciones de COBIT v4.1 Causa: Plantear ante autoridades la necesidad de contemplar 2 la Unidad de Informtica, para darlo a conocer, haciendo mencin de los beneficios que se pueden obtener. Efectos: Trabajar con las herramientas que se tienen; claro que esto no impide que se adquiera mejoras en los procesos del servicio de internet Recomendaciones: Que la Unidad Informtica lleve a cabo estrategias planteadas (metas) para un mejor servicio al cliente. ALTA MEDIA BAJA Encuestas aplicadas usuarios servicio Outsourcing a de Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno
Pgina 66
NIVEL RIESGO
REF. INFORME
Condicin: Internamente en el departamento no existe un organigrama que indique los puestos del personal perteneciente a dicha rea y por lo tanto tambin carece de un Manual de Organizacin y Funciones. Criterio: Estructura Organizacional de COBIT v4.1, PO4.6 Establecimiento de Roles y Responsabilidades de COBIT v4.1 Causa: Plantear la consideracin de la Unidad informtica en una reunin en donde se establezcan las funciones que debe cubrir dicha rea, el cual permita cumplir con las expectativas del servicio 3 en TI en la universidad. Efectos: A que el personal no realice funciones con ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Recomendaciones: Que aunque no exista como tal el rea de Unidad Informtica en el organigrama, que se establezcan un manual organizacional y las funciones y el perfil que deben cubrir los puestos en el rea de Unidad Informtica; el cual haga responsable al personal de crear nuevas estrategias de trabajo (Plan de trabajo) que mejoren el servicio. Condicin: La funciones de cada integrante del rea de Unidad Informtica estn especificadas, sin embargo no existe un documento que sustente dichas funciones ya que estas se establecieron verbalmente. Criterio: Establecimiento de Roles y Responsabilidades COBIT 4.1 Causa: Reunin para establecer las funciones por escrito para que 4 responda conforme a lo establecido. Efectos: No se tiene el inters de realizar actividades (como monitoreo de la red) de gran importancia que resuelvan o reduzcan problemas actuales. Recomendaciones: Anlisis de actividades que se deben llevar a cabo para brindar un buen servicio de internet y establecer un Manual Organizacional. Pgina 67 ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno Cuestionario de Control Interno
responsabilidad continua, solo lo haga para resolver problemas que se ocasionan en el momento.
NIVEL RIESGO
REF. INFORME
capacitacin 2 veces al ao si embargo dichas capacitaciones no estn enfocadas a la funcin que ellos desempean en la Universidad Tecnolgica de Huejotzingo. Criterio: PO4.12 Personal de TI de COBIT v4.1 5 Causa: Mediante una reunin llegar a un acuerdo en donde se planteen capacitaciones objetivas al rea, para formar personal competente y la vanguardia. Efectos: El personal presenta incompetencia al enfrentarse a situaciones que requieren del conocimiento para resolverlas. Recomendaciones: Capacitar al personal en temas que se relacionan al rea de trabajo. INFRAESTRUCTURA DE LA RED Condicin: No existe un Plan de Infraestructura de Redes. Criterio: PO3.2 Plan de Infraestructura Tecnolgica, PO3.4 Estndares Tecnolgicos de COBIT v4.1 Causa: 6 Programar una reunin con el director para ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing Cuestionario de Control Interno
reestructurar el diseo de red. Efectos: No existe un buen servicio de red (cableado e inalmbrico). Recomendaciones: Replantear un diseo eficiente y eficaz que cubra con los requerimientos que satisfagan las
Pgina 68
No.
DETALLE Condicin: La infraestructura de red se encuentra en buenas condiciones sin embargo no son ptimas para que se establezca un buen servicio de internet a los usuarios. Criterio: PO3.2 Plan de Infraestructura Tecnolgica de COBIT v4.1 y Gestin de la Infraestructura y Comunicaciones de TI de ITIL v3. Causa: La Universidad Tecnolgica de Huejotzingo no cuenta con los suficientes recursos econmicos para solventar los gastos de equipo de red ms actualizado y que ofrezca mejores servicios de red. Efectos: El servicio outsourcing no cubre las necesidades de los usuarios debido a que el mismo presenta deficiencias. Esto
NIVEL RIESGO
REF. INFORME
Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing
provoca que las actividades que utilizan dicho servicio se desarrollen con mayor tiempo y esfuerzo. Recomendaciones: Debido a que la Universidad no cuenta con un recurso econmico para adquirir equipo sofisticado, ser necesario: Restringir los servicios que no son de mayor relevancia para los usuarios, es decir, asignar privilegios en la utilizacin de los servicios los cuales debern ser asignados de acuerdo a las necesidades que los usuarios presenten, esto har que el servicio outsourcing ms ptimo. Establecer un plan de infraestructura de red que equilibre costos, riesgos y requerimientos. Definir estndares de Infraestructura de red basados en requerimientos de arquitectura de informacin.
Pgina 69
No.
DETALLE SEGURIDAD Condicin: La mayora de los problemas ocasionados en la conexin a Internet son daos locales, es decir originados en la universidad. Criterio: Gestin de la Infraestructura y Comunicaciones de TI de ITIL v3. Causa: Monitoreo no adecuado de la red, la infraestructura no es ptima para proveer el servicio y el personal del departamento no se encuentra siempre que se le requiere lo que ocasiona que los problemas no se resuelvan en un corto tiempo.
NIVEL RIESGO
REF. INFORME
Efectos: Deficiencias en el servicio de internet tales como: 8 No realizar actividades relevantes para el usuario: contestar exmenes en lnea, enviar algn trabajo, bsqueda de informacin, etc. Mayor tiempo en la consulta de pginas. BAJA MEDIA
Recomendaciones: Establecer nuevas estrategias para llevar un monitoreo optimizado de la red, logrando que los problemas que se presenten se han corregidos en menor tiempo. Al establecer un plan de infraestructura de red ptimo nos brindar mayor control sobre los riesgos que se presentan en la red.
Pgina 70
NIVEL RIESGO
REF. INFORME
Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing
Cuestionario de Control Interno ALTA MEDIA BAJA Encuestas aplicadas a usuarios de servicio Outsourcing
NIVEL RIESGO
REF. INFORME
Tecnolgica de COBIT v4.1 Causa: Falta de Recursos por parte de la Universidad Efectos: Infraestructura de red no adecuada provocando deficiencia en el servicio. 11 Recomendaciones: Establecer un Plan de Adquisicin de Equipo de red que se alinea con el Plan de Infraestructura de Red, es decir, el plan deber de satisfacer los requerimientos funcionales y tcnicos del servicio de internet establecidos. El plan debe considerar extensiones futuras para adiciones de capacidad, costos de transicin, riesgos tecnolgicos y vida til de la inversin para actualizaciones de tecnologa. Evaluar los costos de complejidad y la viabilidad comercial del proveedor y el producto al aadir nueva capacidad tcnica. SERVICIO OUTSOURCING Condicin: No existe una comunicacin eficaz entre el proveedor de servicios y la Universidad Tecnolgica de Huejotzingo. Criterio: PO4.15 Relaciones de COBIT v4.1 Causa: La comunicacin existente entre el proveedor y el departamento de unidad informtica no es contina, adems de 12 que dicha comunicacin no se establece entre el rea responsable de la unidad informtica que es el rea de Administracin de Finanzas Efectos: La solucin de problemas el servicio de internet ser resuelto en un periodo de tiempo mayor. Recomendaciones: Establecer y mantener una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y el proveedor, a travs de reuniones cada dos meses. ALTA MEDIA BAJA BAJA MEDIA ALTA
Pgina 72
No.
DETALLE Condicin: Gemtel es una empresa dedicada a redes inalmbricas, hosting, internet de alta velocidad y acceso remoto dial up, sin embargo es confiable desde hace dos aos, debido a que mejoro el servicio ofrecido a la universidad. Criterio: DS1 Definir y Administrar los niveles de Servicio Causa: Establecer la confianza en un proveedor con lleva tiempo y esfuerzo. Efectos: El servicio puede presentar deficiencias y problemas para los usuarios. Recomendaciones:
NIVEL RIESGO
REF. INFORME
Establecer un proceso para monitorear la prestacin del 13 servicio para asegurar que el proveedor est cumpliendo con los requerimientos del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el desempeo es competitivo respecto a los proveedores alternativos y a las condiciones del mercado. Revisar cada 2 meses con el proveedor, los acuerdos de niveles de servicio y los contratos de apoyo, para asegurar que son efectivos, que estn actualizados y que se han tomado en cuenta los cambios en requerimientos. Contemplar la contratacin de otros proveedores que otorguen las mismas o mejores ventajas que la empresa establecida actualmente, por medio de una licitacin. MEDIA BAJA
Pgina 73
Acorde con las instrucciones giradas por el consejo de administracin de la Universidad Tecnolgica de Huejotzingo, me permito remitir a usted el dictamen de la auditora aplicada al Servicio de Internet administrado por el Departamento de Unidad Informtica de la Universidad Tecnolgica de Huejotzingo, haciendo especial nfasis en la informacin sobre la estructura de la organizacional del departamento, Gestin Informtica y Redes, misma que se llev a cabo del da 12 al 28 de octubre del presente ao.
De los resultados obtenidos durante la evaluacin me permito informarle a usted las siguientes observaciones y no conformidades:
De acuerdo con las pruebas realizadas a la informacin sobre la estructura organizacional del Departamento de Unidad Informtica, Gestin Informtica y Redes, me permito dictaminar que la red inalmbrica que es una no conformidad mayor debido a que no es factible para la mayora de los usuarios, porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red.
Cabe mencionar que la Universidad Tecnolgica de Huejotzingo tiene muy poco ancho de banda para la red local, lo cual no es suficiente para los administradores, profesores y alumnos pertenecientes a la universidad, adems de que el encargado del rea del departamento de Unidad informtica no tiene el inventario de hardware y estos ocasiona dos no conformidades menores, debido a que pueden ser controladas y corregidas en muy poco tiempo.
Y por ltimo cabe recordar como una observacin que el Departamento de Unidad Informtica no se encuentra en la estructura organizacional de la institucin y es administrado por un rea que no est debidamente relacionada con este departamento, adems de que el personal perteneciente a este
departamento no es eficaz y eficiente para la solucin de los problemas que se presentan en la red.
ATENTAMENTE
Anexos