5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 1/75
Universidad Tecnológica de Huejotzingo
Organismo Público Descentralizado del Estado de Puebla
Ingeniería en Tecnologías de la Información y Comunicación
INTEGRADORA II
Auditoria Outsourcing
“Servicio de Internet”
TSU. Angélica Cortés Cuahutencos
TSU. Carina Cuautle Ramos
TSU. Maria Esther Galícia Xochitemol
TSU. Guadalupe Jimenez Nieves
TSU. Areli Rojano Calixto
10° “A”
Noviembre-2010
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 2/75
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 3/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 3
ÍNDICE
PLANEACIÓN ........................................................................................................................... 5
Planeación de la Auditoria Outsourcing .............................................................................. 6
Objetivos ................................................................................................................................ 7
Objetivos Generales ............................................................................................................ 7
Objetivos Específicos .......................................................................................................... 7
Estudio de la Evaluación del Control Interno ...................................................................... 8
Gestión Administrativa ......................................................................................................... 8
Gestión Informática.............................................................................................................. 9
Métodos Aplicables para su Documentación .....................................................................11
Planeación Detallada ............................................................................................................11
Cuestionario de Control Interno ..........................................................................................14
Encuesta del Servicio de Internet a Usuarios .....................................................................19
Listado de Verificación de Auditoria Outsourcing .............................................................21
Planilla de Decisiones Preliminares ....................................................................................26
Recursos a Utilizar en la Auditoria ......................................................................................30
Cronograma de Actividades ................................................................................................31
Peso Porcentualde cada Área a Evaluar .............................................................................32
Referencias de Auditoría ......................................................................................................33
Marcas de Auditoría ..............................................................................................................34
Metodología y Procedimientos ............................................................................................34
Métodos de Prueba ...............................................................................................................35
Situaciones Alternas ............................................................................................................35
Asignación de Recursos y Sistemas Computacionales para la Auditoría ........................35
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 4/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 4
DESARROLLO ........................................................................................................................ 36
Cuestionario de Control Interno ..........................................................................................37
Listado de Verificación de Auditoria Outsourcing .............................................................42
Reporte de Hallazgos ...........................................................................................................47
Resultados de las Encuestas............................................................................................. 50
RECOMENDACIONES ............................................................................................................ 61
Evaluación de Unidad Informática Aplicando Modelo de Madurez para la
Administración y el Control de los Procesos de TI ............................................................63
Recomendaciones ................................................................................................................66
ANEXOS .................................................................................................................................. 75
ÍNDICE DE GRÁFICAS
Gráfica 1. Evaluación del Servicio de Internet (Alumnos) ......................................................... 51
Gráfica 2. Evaluación de Laboratorios (Alumnos)..................................................................... 52
Gráfica 3. Evaluación de Unidad Informática (Alumnos)........................................................... 53
Gráfica 4. Evaluación de Acceso a Internet (Alumnos) ............................................................. 54
Gráfica 5. Evaluación de Fallos en el Acceso a Internet (Alumnos) .......................................... 55
Gráfica 6. Evaluación del Servicio de Internet (Alumnos) ......................................................... 56
Gráfica 7. Evaluación de Laboratorios (Profesores) ................................................................. 57
Gráfica 8. Evaluación de Unidad Informática (Profesores) ....................................................... 58
Gráfica 9. Evaluación de Acceso a Internet (Profesores) ......................................................... 59
Gráfica 10. Evaluación de Fallos en el Acceso a Internet (Profesores) .................................... 60
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 5/75
Planeación
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 6/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 6
PLANEACIÓN DE LA AUDITORIA OUTSOURCING
EMPRESAUniversidad Tecnológica De Huejotzingo
Departamento de Unidad Informática
R.F.C UTH981027
N.R.C UTH981027U28
FECHA DE AUDITORIA 12 de Octubre al 28 de Octubre 2010
DIRECCIÓN Camino Real a San Mateo s/n, Santa Ana Xalmimilulco, Huejotzingo, Puebla
TELÉFONO 01 (227) 27 5 9300.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 7/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 7
OBJETIVOS
OBJETIVOS GENERALES
Evaluar el funcionamiento del servicio de Internet que se distribuye a los usuarios pertenecientes ala Universidad Tecnológica de Huejotzingo, lo cual nos permitirá identificar las deficiencias y ventajas
del mismo para la mejora del servicio.
OBJETIVOS ESPECÍFICOS
Conocer la situación actual del servicio de internet, a través de la identificación de deficiencias en el
servicio proveído.
Evaluar si la Universidad Tecnológica de Huejotzingo cubre las necesidades de los usuarios quereciben el servicio de Internet.
Diseñar los procedimientos adecuados a efectuar en el desarrollo de la auditoría outsourcing.
Evaluar el alcance de los procedimientos, y con ello logremos formular el informe de la auditoria
outsourcing adecuado, cumpliendo con los objetivos planteados.
Conocer las políticas y procedimientos para la contratación del servicio Outsourcing
Evaluar los contratos, ANS (Acuerdo de Nivel de Servicio ) e INS (Indicadores de Nivel de Servicio )
establecidos con el proveedor del servicio outsouring.
Identificar la existencia de normas utilizadas actualmente e implementar los modelos de referencia
ITIL (IT Infraestructure Library ) y COBIT (Control Objectives for Information and Related Technology )
para la evaluación del servicio Outsourcing.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 8/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 8
ESTUDIO DE LA EVALUACIÓN DEL CONTROL INTERNO
Esta fase constituye el inicio de la planeación y nos permite establecer una relación específica entre la
calidad del control interno de la empresa y el alcance u objetivos de los procedimientos de la auditoria, debido
a que los resultados de esta fase son los que generan la verdadera orientación de las subsiguientes fases del
proceso, por lo que se deben considerar los siguientes aspectos:
GESTIÓN ADMINISTRATIVA
1. Conocer y analizar los procesos ejecutados y la estructura organizacional y administrativa de
departamento de Unidad Informática.
2. Verificar si se cuenta con un Manual de organización y funciones del personal que se encuentran en e
departamento de Unidad Informática.
3. Verificar si las contrataciones del personal del departamento de Unidad Informática se han realizado con
base a los criterios establecidos en el manual de funciones y cumplen con el perfil del puesto.
4. Verificar si la administración provee oportunamente los recursos necesarios para la adquisición de
servicio de internet.
5. Verificar si la administración promueve la capacitación y adiestramiento constante del personal de
departamento de Unidad Informática.
6. Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de
sistema de control de acceso a internet.
7. Verificar que las instalaciones donde labora el personal del departamento de Unidad Informática estén
adecuadas a las necesidades y no representen peligro para los empleados y el hardware.
8. Verificar el contrato, ANS e INS del servicio de internet.
9. Identificar como se realiza el monitoreo de los ANS, y si se generán reportes acerca de los logros y
criterios de desempeño de los problemas encontrados.
10. Validar la existencia de cláusulas que permitan la gestión de los contratos y ANS dentro de la
Universidad.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 9/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 9
GESTIÓN INFORMÁTICA
1. Examinar la información preliminar correspondiente al departamento de Unidad Informática, la cua
puede ser:
a. Interna: conocer los procesos que se realizan dentro de la Universidad Tecnológica de Huejotzingo
para los cuales es utilizado el servicio de internet.
Se verificará si se lleva un control de las operaciones realizadas, si se lleva un respaldo de
información y un registro de los usuarios del departamento de unidad informática, los horarios y
áreas en los cuales han utilizado el servicio de internet. También se solicitará información
correspondiente si se ha realizado en otras ocasiones auditorías al servicio de internet.
b. Externa: Conocimiento e identificación de los usuarios de internet, así como de los proveedores dedicho servicio y los contratos.
2. Conocimiento de las áreas e instalaciones físicas (materiales, mobiliario, inmuebles, equipos de cómputo
laboratorios y otros) de la Universidad que tienen relación con el departamento de Unidad Informática.
3. Verificar si existe una política de seguridad de red bien concebida y efectiva que pueda proteger los
datos de la Universidad.
4. Verificar si dicha política de seguridad ha sido diseñada específicamente para la universidad y hasta quépunto satisface las necesidades del usuario.
5. Verificar el proceso realizado por medio de los sistemas de acceso a Internet.
6. Considerar otro punto de conocimiento general que involucre información sobre el servicio de internet
proporcionado a los usuarios de la universidad.
7. La revisión y verificación de las Seguridades.
a. Seguridad Lógica. Control de acceso.
Restricciones de Páginas Web.
Bloqueo de Puertos.
Integración de dominios.
Otros que se involucren dentro
del rubro.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 10/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 10
b. Seguridad Física.
Ubicación de equipos.
Infraestructura.
Instalaciones eléctricas.
Otros involucrados dentro de
rubro.
8. Verificar quienes están autorizados para realizar modificaciones en la red de la universidad y quien
autoriza cada una de estas modificaciones.
9. En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones, verificar s
existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las órdenes se
efectúan solamente de manera verbal.
10. Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de lainformación más importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el
caso de darse situaciones anómalas dentro de la red.
11. Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección de los usuarios que
reciben el servicio de Internet.
12. Verificar la cantidad de usuarios que pueden tener acceso a la red inalámbrica.
13. Verificar si el usuario tiene una clave única para accesar a la red, y que la misma solo admita un usuario,es decir que nadie pueda tener acceso con la misma clave.
14. Verificar si existe una examinación periódicamente en la política de seguridad de red para ver si han
cambiado los objetivos y las circunstancias de la red.
15. Verificar el ancho de banda que proporciona el proveedor a la Universidad Tecnológica de Huejotzingo,
así como la administración del mismo.
16. Verificar el contrato existente entre la empresa que provee el servicio de Internet y la Universidad
Tecnológica de Huejotzingo.
17. Verificar cuales son los requerimientos que tiene la Universidad Tecnológica de Huejotzingo, referente al
servicio de acceso a internet.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 11/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 11
MÉTODOS APLICABLES PARA SU DOCUMENTACIÓN
El tipo de métodos que contempla la empresa Solution Corp para implementar la auditoría outsourcing
son los siguientes:
a) Descriptivo: La documentación utilizada durante la auditoría, será en primer lugar de tipo descriptiva o
sea basada en la narración verbal de los procedimientos, que son conocidas como cédulas narrativas.
b) Cuestionario: En segundo lugar, los procedimientos se documentarán a través del pre elaboración de
preguntas, contestadas personalmente por el personal encargado del departamento de la unidad
informática.
c) Encuestas : Aplicadas a los usuarios que reciben el servicio de Internet para conocer el grado de
satisfacción con respecto al mismo.
PLANEACIÓN DETALLADA
El objetivo principal de la planeación detallada es estructurar de manera ordenada y lógica las
actividades a ejecutar durante el proceso de auditoría, es decir, es un esquema previo que dirige los pasos a
seguir para realizar una auditoría de desempeño, contemplando los siguientes apartados:
1) Objetivos: Son aquellas metas que se esperan alcanzar al ejecutar la auditoría, es decir, establecer la
base sobre la cual deben girar todos los procedimientos y fases pertenecientes a la auditoria, para que
la misma pueda llevarse a cabo de forma eficaz y efectiva; por lo tanto, la empresa Solution Corp tiene
como principal objetivo identificar las deficiencias en el servicio de internet y ofrecer una mejora en el
mismo.
2) Rubros a Examinar: Consiste en descomponer las partes integrantes del departamento de Unidad
Informática en secciones manejables; facilitando con ello el análisis integral y exhaustivo, con el
propósito de obtener resultados correctos y claros.
a. Primera descomposición: Hardware, Red, Software, Personal, Instalaciones Eléctricas, Seguridad
Servicio.
b. Segunda descomposición o detalle: Computadoras y periféricos asociados, software para e
acceso a internet, personal del departamento de unidad informática, usuarios del servicio, red
eléctrica, seguridad física, seguridad lógica, seguridad del personal, seguridad de la información y
las bases de datos.
3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento del departamento de
Unidad Informática y las especificaciones de cómo debería funcionar, para establecer si las actividades
que están realizando son adecuadas.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 12/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 12
4) Examen documental: se consolida como la base de la auditoría y el enlace entre la investigación y la
emisión de una opinión e informe, la inspección de los documentos anexos a cada operación del
departamento de unidad informática, cuando por la naturaleza de las mismas exista un documento que
ampare las operaciones.
5) Margen de Importancia: Dentro de este apartado, se deben analizar y señalar aquellos conceptos
cuyo impacto de su inclusión, exclusión o revelación textual pueda modificar la opinión sobre ellas. Ello
requiere de parte del auditor, la capacidad de generar opiniones similares a la suya, entre los usuarios
de los sistemas informáticos.
6) Riesgos: Toda auditoría se encuentra impregnada por la posibilidad de que los aspectos a evaluar
contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la
opinión sobre ellos. (entiéndase como error, la ocurrencia u omisión de datos originados en
circunstancias no voluntarias por parte de los encargados del departamento de Unidad Informática; ylas irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican
de la siguiente manera:
a. Riesgo Inherente: Asociado con la generación de estimaciones sobre la existencia de hechos, lo
anterior es de criterio potencial por parte del auditor, y pueden ser identificados como “eventos
presuntos”, su análisis parte de la naturaleza del Departamento de la Unidad Informática.
b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los métodos de
control interno adoptados, y se define como la posibilidad de que el control interno no detecte o
evite oportunamente errores o irregularidades de importancia.
c. Riesgo de Detección: Vinculado directamente con la función de auditoría, y se conoce como la
mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir
errores o irregularidades que en condiciones normales deberían ser visualizadas.
7) Elaboración de cuestionario de control interno: Para conocer el funcionamiento Departamento de la
Unidad Informática dentro de la Universidad, se diseñará un cuestionario de control interno, en el cual
se harán en su mayoría preguntas cerradas, con el propósito de conocer las actividades a las cuales se
dedica dicho departamento, quienes las efectúan, en qué momento se realizan los procesos y porquienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo
que presenten cada una de las operaciones y procedimientos. Dichos datos servirán en su conjunto
para la realización de la correspondiente planilla de decisiones preliminares y el programa de auditoría.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 13/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 13
8) Planilla de decisiones preliminares: En este documento, luego de obtener los resultados del
cuestionario de control interno, se establecerá el tipo de riesgo (alto, medio o bajo) que tiene cada una
de las operaciones realizadas en el servicio de acceso a internet, y con base en ellos se podrá
establecer la profundidad con la que se examinarán cada uno de los rubros que componen dicho
departamento.
9) Elaboración del programa de auditoría: Con posterioridad al conocimiento general del departamento
y a la evaluación del control interno adoptado, se dejará constancia documental de los pasos a seguir
en las diferentes áreas involucradas en el departamento, las tareas programadas, quedan plasmadas
en una guía de procedimientos, cuya mayor especificación, facilita su ejecución y comprobación de la
misma.
10) Verificación de generalidades concernientes a los documentos emitidos.
11) Análisis y validación de los documentos anexados que soportan las adquisiciones del servicio de
internet a utilizarse por los diversos usuarios y del departamento de Unidad Informática.
12) Conocimiento sobre la existencia o ausencia del software, hardware y dispositivos de red involucrados
en el servicio de Internet.
13) Verificación documental de los servicios de internet.
14) Documentación adecuada de hallazgos.
15) Rendimiento de informes parciales o previos, ante la detección de errores cuyo impacto sea relevante.
16) Adición de notas oportunas sobre la atención u omisión de las observaciones a que se refiere el
apartado anterior.
17) Preparación del informe final de auditoría.
Nota: Toda la metodología y procedimientos detallados, no inhiben de sostener reuniones periódicas o
eventuales con la administración, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos
que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuará de
forma escrita como constancia de realizado.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 14/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 14
CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA
1. ¿Existe dentro de la Universidad un área de
Unidad Informática?
SI LA RESPUESTA FUE SI:
2. ¿Existe una persona nombrada como
responsable de administrar las redes?
3. ¿Existe un área o alguien a quién le rinden
cuentas de su gestión?
4. ¿Está identificada dicha área dentro del
organigrama general de la empresa?
5. ¿Se tiene un organigrama específico?
6. ¿Hay un manual de organización y funciones
aplicables a dicha área?
7. ¿Existen procedimientos de contratación, para
el personal de este departamento?
8. ¿Están delimitadas las funciones de cada
integrante del área Unidad Informática?
9. ¿Cada empleado del área de Unidad
Informática conoce la persona ante la que
tiene que rendir cuentas de su labor?
10. ¿Cada empleado del área de Unidad
Informática es especialista en diferentes áreas
de la red?
11. ¿Tiene muchos años laborando aquí?
12. ¿Han recibido capacitaciones en el último año?INFRAESTRUCTURA DE LA RED
13. ¿El personal revisa la infraestructura de la red?
14. ¿En el último año se han revisado toda la
infraestructura de la red?
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 15/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 15
PREGUNTAS SI NO N/A OBSERVACIONES
15. ¿Existe un plan de infraestructura de redes?
16. ¿En alguna ocasión se ha generado algún
problema dentro de la infraestructura de lared?
17. ¿Considera usted que la infraestructura de la
red se encuentra en buenas condiciones?
18. ¿En alguna ocasión se ha generado
problemas con la conexión del internet?
19. ¿Usa protocolos?
20. ¿Tiene la Universidad contratado unespecialista en redes?
21. ¿La administración de redes implementa una
política en base a la tecnología de red?
22. ¿Esta política es acorde con el plan de
calidad de la organización?
23. ¿Existe un inventario de equipos y software
asociados a las redes?
24. ¿Existe un plan que permite modificar en
forma oportuna a largo plazo la tecnología
de redes, teniendo en cuenta los posibles
cambios tecnológicos o en la institución?
25. ¿ Están establecidos controles especiales
para salvaguardar la confidencialidad e
integridad del procesamiento de los datos
que pasan a través de redes públicas, y
para proteger los sistemas conectados?
26. ¿Existen controles y procedimientos de
gestión para proteger el acceso a las
conexiones y servicios de red?
27. ¿Existe una topología de red estandarizada?
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 16/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 16
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS A LA SEGURIDAD
28. ¿Existen algunas restricciones para los
usuarios?
29. ¿Identifica el tipo de amenaza que afecta los
recursos de la red?
30. ¿Usted clasifica los riesgos por nivel de
importancia y gravedad de la perdida?
31. ¿Le han dado clave para ingresar al sistema?
32. ¿Existen limitantes para el acceso a
internet?
33. ¿Se han adoptado medidas de seguridad
en el departamento de sistemas de
información?
34. ¿Existe una persona responsable de la
seguridad?
35. ¿Existe una clara definición de funciones
entre los puestos clave?
36. ¿Se permite el acceso a la red por
personal no autorizado?
37. ¿Existen medidas de seguridad física?
38. ¿Existe un programa de mantenimiento
para la red?
39. ¿Se lleva a cabo tal programa?
40. ¿Existe protección ante algún robo?
41. ¿Existen medidas de seguridad respecto a
copias ilegales?
42. ¿Utilizan antivirus o alguna otra medida para
la protección de la información?
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 17/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 17
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL OUTSOURCING
43. ¿Existe un contrato para el servicio de
internet?
44. ¿El contrato contempla cláusulas de servicio,
seguridad, costo, tipo de servicio y todos los
detalles inherentes a la prestación del
servicio?
45. ¿Dentro del contrato se establece ANS?
46. ¿Existen penalizaciones dentro del contrato?
47. ¿Tiene conocimiento de lo que es un Plan de
Retorno?
48. ¿Existe un plan de retorno en caso de que el
proveedor no cubra las necesidades del
servicio?
49. ¿Existe un análisis previo para el contrato de
servicio de internet que cubra las
necesidades de la institución?
50. ¿El departamento de unidad informática es el
encargado de efectuar la contratación del
servicio de internet?
51. ¿Ofrece calidad en el servicio la empresa
proveedora?
52. ¿La empresa proveedora ofrece una ventaja
económica para la universidad?
53. ¿La infraestructura de la red es la adecuada
para la prestación del servicio outsourcing?
54. ¿La administración y control de la red se
acoplan a la prestación de servicios
outsourcing?
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 18/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 18
PREGUNTAS SI NO N/A OBSERVACIONES
55. ¿La comunicación entre el proveedor y el
departamento de la unidad informática es
eficiente y eficaz?
56. ¿La empresa proveedora es confiable en
cuanto al servicio que está proporcionando a
la universidad?
57. ¿Se lleva a cabo un seguimiento del
funcionamiento del servicio de internet por
parte de la empresa proveedora?
58. ¿Se realiza periódicamente una evaluación
para determinar que el servicio outsourcingcubra las necesidades de la institución?
59. ¿Se realizan evidencias de los fallos que se
presentan en el servicio de internet?
60. ¿La empresa outsourcing proporciona equipo
adicional para brindar un buen servicio a la
universidad?
61. ¿Existe una renovación de contrato en
cuanto al servicio de internet?
62. ¿Los usuarios pueden opinar sobre el
servicio de internet?
63. ¿Se lleva a cabo un seguimiento de estas
sugerencias?
Nombre: ___________________________________________________________
Cargo: _____________________________________________________________
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 19/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 19
ENCUESTA DEL SERVICIO DE INTERNET A USUARIOS
Carrea o Área
La presente encuesta tiene como objetivo evaluar el servicio de internet proporcionado a los alumnos(usuarios) de la Universidad Tecnológica de Huejotzingo, y con ello identificar las deficiencias del mismo.
Contesta y califica en una escala del 1 al 5.
1. Excelente
2. Bueno
3. Regular
4. Deficiente
5. No Cumple
PREGUNTAS 1 2 3 4 5
1. ¿Cómo consideras el servicio de internet?
2. ¿Cuál es su grado de satisfacción general con el servicio?
3. ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico?
4. La página de inicio para obtener acceso a la red es:
5. ¿Cómo califica la conexión del Internet Inalámbrico?
6. ¿Consideras que la seguridad con la que cuenta es?
7. Considera que la cobertura del servicio de Internet Inalámbrico es:
8. ¿Cómo consideras la restricción al acceso a páginas web?
9. La velocidad utilizada en la transmisión de internet la consideras:
10. ¿Cubre tus necesidades académicas?
11. ¿Los tiempos de respuesta son?
12. ¿Cómo calificarías el equipo de cómputo de los laboratorios?
13. ¿Cómo calificas en número de equipos de cómputo existentes?
14. La disponibilidad con la cuentan los laboratorios es:
15. El antivirus con el que cuentan los equipos de cómputo lo consideras:
16. La instalación del cableado lo consideras:
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 20/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 20
Contesta solo sí y no.
PREGUNTAS SI NO COMENTARIO
17. ¿Conoces el departamento de Unidad Informática?
18. ¿Sabes dónde se encuentra?
19. ¿Crees que la ubicación de la unidad informática es de fácil
acceso?
20. ¿Sabes quién es la persona responsable?
21. ¿Conoce el horario del personal responsable de la
administración de la red?
22. ¿Utilizas con frecuencia el servicio de Internet?
23. ¿Requiere una cuenta para acceder a este servicio?
24. ¿Conoce el proceso que se realiza para adquirir dicha cuenta?
25. ¿Conoce los servicios que tiene al adquirir una cuenta para el
acceso a Internet?
26. ¿Tiene conocimiento de las restricciones y privilegios que tiene al
adquirir una cuenta para el acceso a Internet?
27. ¿Solo usted tiene acceso a esta cuenta?
28. Su cuenta siempre está disponible
29. Tiene acceso a cualquier tipo de página web, con la cuenta que
ha adquirido
30. ¿Consideras que el servicio de internet debe estar disponible a
cualquier hora y para cualquier usuario?
31. ¿Existen problemas al conectarse a internet?
32. ¿Los problemas existentes afectan la realización de su trabajo?
33. Si tuvieras alguna queja ¿sabes con quien y donde presentarla?
34. ¿Tienen la suficiente confianza como para presentar su queja
sobre fallas en el acceso de internet?
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 21/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 21
LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING
Acuerdo del Nivel de Servicios en la Adquisición de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
El nivel de servicio de internet es el requerido
para cubrir con las necesidades de la
institución.
Se identifican políticas que definan acuerdos
del nivel del servicio.
Se cumplen con los acuerdos externos e
internos establecidos en el contrato.
Se encuentran documentados los servicios
prestados a los distintos tipos de usuarios.
Supervisión y control continúa de los
servicios prestados a usuarios.
Se consideran la participación de los
usuarios en cuanto al nivel del servicio
percibido por los mismos.
Se encuentran definidos los derechos y
responsabilidades de tanto a usuarios como
personal administrativo.
Se encuentran definidos los servicios que
deben percibir los usuarios y administrativos.
Existe la evidencia de los problemas que se
presentan en cuanto a la prestación del
servicio.
Se establecen las funciones para cada rol en
el área de unidad informática.
Se tienen establecidos los modelos de
elaboración para la percepción de servicios.
El contrato puede replantearse para mejoras
de recepción de servicio.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 22/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 22
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Se tienen modelos de evaluación para la
obtención de la calidad de los servicios de
internet.
Se identificaron medidas encaminadas al
funcionamiento de las normas.
Verificación de los Componentes para el Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
El objetivo de la red cumple con loestablecido para brindar un buen servicio.
Las características de la Red para el servicio
de internet son:
Los componentes físicos de la red cumplen
con las características para brindar servicio
de internet.
La conectividad y las comunicaciones de la
red son adecuadas para el servicio de
internet.
El servicio de internet que proporciona y
cubre las expectativas de los usuarios.
Las configuraciones, topologías, tipos y
cobertura de las redes están adecuadas para
el servicio de internet.
Los protocolos de comunicación interna de la
red permiten un servicio de internet.
La administración de la red de Cómputo es
adecuada para el brindar el servicio de
internet.
La seguridad de acceso al servicio de
internet.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 23/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 23
Evaluación de la Seguridad en el Acceso al Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo No
cumple
La distribución del direccionamiento de IP.
Seguridad de direccionamiento de IP.
Se monitorean los atributos de acceso al
servicio de internet.
Los niveles de acceso al servicio de
internet son evaluados.
La administración de contraseñas al servicio
de internet lleva a cabo un proceso de
monitoreo.
El monitoreo en el acceso al servicio de
internet es evaluado.
Las funciones del administrador del
acceso al servicio de internet se evalúan.
Evaluar las medidas preventivas ocorrectivas en caso de siniestros en el
acceso.
Evaluación de la Seguridad en el Acceso al Área Física
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Evaluar el acceso restringido de personal al
centro de cómputo.
Evaluar las medidas preventivas o
correctivas en caso de siniestro en el centro
de cómputo.
Analizar las políticas de la instalación en
relación con los accesos al departamento.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 24/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 24
Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Evaluar el rendimiento y uso del sistema
computacional y de sus periféricos
asociados.
Evaluar la existencia, protección y
periodicidad de los respaldos de bases de
datos, software e información importante
de la institución.
Evaluar la configuración, instalaciones y
seguridad del equipo de cómputo,mobiliario y demás equipos.
Evaluar el rendimiento, aplicación y utilidad
del equipo de cómputo, mobiliario y demás
equipos.
Evaluar la seguridad en el procesamiento
de información.
Evaluación de la Protección de la Información
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Medidas preventivas.
Limitación de accesos.
Protección contra robos
Protección ante copias ilegales
Evaluación de la Protección contra Virus Informáticos
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Medidas preventivas y correctivas.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 25/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 25
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Uso de vacunas y buscadores de virus.
Protección de archivos, programas e
información.
Evaluación de la Seguridad del Hardware
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Realización de inventarios de hardware,
equipos y periféricos asociados.
Evaluar la configuración del equipo de
cómputo (hardware).
Evaluar el rendimiento y uso del sistema
computacional y sus periféricos asociados.
Evaluar el estado físico del hardware,
periféricos y equipos asociados
Evaluación de la Seguridad del Software
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Realización de inventarios de software,
paqueterías y desarrollos empresariales.
Evaluar las licencias permisos y usos de
los sistemas computacionales.
Evaluar el rendimiento y uso del software
de los sistemas computacionales.
Verificar que la instalación del software,
paqueterías y sistemas desarrollados en la
empresa sea la adecuada para cubrir las
necesidades de esta última.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 26/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 26
PLANILLA DE DECISIONES PRELIMINARES
SOLUTION CORP
NOMBRE DEL CLIENTE: Universidad Tecnológica de Huejotzingo, Departamento de la Unidad Informática
PERÍODO A AUDITAR : 12 de Octubre al 28 de Octubre de 2010
RUBRO ÁREA FACTORES DE RIESGOEVALUACIÓN DE RIESGOS PROCEDIMIENTOS SEGÚN
FACTORES DE RIESGOALCANCE DE LOSPROCEDIMIENTOSINHERENTE CONTROL DETECCIÓN
Hardware
Computadoras y
Periféricos
Asociados
Que haya extravío.
Revisar que el hardware que se
encuentra inventariado como
adquisiciones de la universidad, se
encuentre en el lugar correspondiente.
Se revisará el 100% de
los bienes inventariados
como parte del
hardware.
Que se esté utilizando
con los fines para los
cuales fue adquirido.
Verificar que los diversos componentes
del hardware, estén siendo
aprovechados al máximo y utilizando
como corresponde.
Redes Dispositivos
Que haya extravío.
Revisar que los dispositivos
inventariados como adquisiciones de la
Universidad, se encuentre en el lugar
correspondiente.
Se revisará el 100% de
los bienes inventariados
como parte de
dispositivos de red.
Que se esté utilizando
con los fines para los
cuales fue adquirido.
Verificar que los dispositivos estén
siendo aprovechados al máximo y se
estén utilizando como corresponde.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 27/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 27
RUBRO ÁREA FACTORES DE RIESGOEVALUACIÓN DE RIESGOS PROCEDIMIENTOS SEGÚN
FACTORES DE RIESGOALCANCE DE LOSPROCEDIMIENTOSINHERENTE CONTROL DETECCIÓN
Personal
Personal delDepartamento
de Unidad
Informática
Que los empleados del área
de informática no estén
recibiendo las capacitacionesnecesarias con el propósito
de actualizarlos y se vayan
quedando desactualizados
frente a los nuevos avances
tecnológicos.
Se verificarán los registros que laempresa tiene sobre las respectivas
capacitaciones recibidas por los
empleados del área de informática.
En las revisiones se
verificará si en las
capacitaciones se ha
incluido a todo el personal
del área.
Software
Software para la
administraciónde la red
Los métodos, rutina,
procedimientos y medidas de
seguridad y protección de los
sistemas operativos,
paquetería, y demás software
del sistema no estén
funcionando adecuadamente.
Identificar en cada uno de los
elementos los factores de riesgos,
para mitigarlos.
Mejorar los procedimientos
implementados en la
realización de las
diferentes tareas, para
obtener mayor seguridad
en las aplicaciones.
Que el software usado por la
entidad esté resguardado en
un lugar libre de humedad o
de mucho calor para evitar
que se deteriore y se
convierta en inservible.
Revisar las condiciones del lugar en
que se encuentra resguardado el
software.
La verificación se hará por
una sola vez y con la
autorización del encargado
del departamento.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 28/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 28
RUBRO ÁREA FACTORES DE RIESGOEVALUACIÓN DE RIESGOS PROCEDIMIENTOS SEGÚN
FACTORES DE RIESGOALCANCE DE LOSPROCEDIMIENTOSINHERENTE CONTROL DETECCIÓN
I n s t a l a c i o n e s E l é c t r i c a s
Red Eléctrica
Que los tomas eléctricos no
estén debidamentepolarizados.
Verificar que los tomas a los cuales
se encuentra conectado el equipo
informático estén debidamentepolarizados con el fin de evitar
sobrecargas eléctricas.
Se aplicará al 100% de los
tomas.
Que las instalaciones
eléctricas ya no estén en
óptimas condiciones de uso o
ya sean obsoletas.
Se verificará con la ayuda de un
electricista que las instalaciones
eléctricas cumplan con las
condiciones mínimas de
funcionamiento y que todavía no
sean obsoletas.
Se aplicará a un 15% de
las instalaciones a las que
está conectado el equipo
del sistema informático de
la entidad.
Seguridad
Seguridad
Física
Que los componentes de la
red estén ubicados en un
área que no cumplen con las
condiciones mínimasambientales.
Verificar que los equipos no estén
ubicados muy cerca de espacios
húmedos o que el calor sea mucho.
Se efectuará al 100% de
los computadores.
Seguridad
Lógica
El acceso a usuarios no
válidos.
Verificar que el ingreso a usuarios
sea solo aquellos que estén
registrados.
Robo de información
Verificar que solo el personal
autorizado pueda tener acceso a la
información.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 29/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 29
RUBRO ÁREA FACTORES DE RIESGOEVALUACIÓN DE RIESGOS PROCEDIMIENTOS SEGÚN
FACTORES DE RIESGOALCANCE DE LOSPROCEDIMIENTOSINHERENTE CONTROL DETECCIÓN
Seguridad
Seguridad en la
Operación de
los Dispositivos
Que el equipo esté mal
conectado y en algún
momento pueda originarse en
él un corto circuito u otro
siniestro.
Se verificará que los equipos estén
correctamente conectados y que
sean funcionales.
Se aplicará al 100% de losequipos.
Seguridad en
las
Telecomunicaci
ones
Que el internet se esté
utilizando para fines
personales de los usuarios.
Se verificará si las máquinas se
encuentran en red, si todas tienen
acceso a internet y si se puede
monitorear en algún momento lo
que están haciendo los usuarios.
Se harán los
procedimientos a un 5% de
las máquinas.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 30/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 30
RECURSOS A UTILIZAR EN LA AUDITORIA
HUMANOSAuditor Senior
Auditor Junior
Auditores auxiliares
Especialista en redes informáticas
MATERIALES
Folders
Lapiceros
Lápiz
Computadoras (Laptop)
Impresiones
TIEMPO
Se espera realizar la auditoría en el departamento de unidad informática, debido a que es donde se
encuentra ubicado el site que tiene un contacto directo con el proveedor del servicio de internet. Dicha auditoria
se llevara en un periodo de 13 días.
PRESUPUESTO PARA LA AUDITORIA
No. RECURSO VALOR POR
HORA VALOR TOTAL
VALOR TOTALRUBRO
HUMANOS
1 Auditor Senior (30 horas hombre) $ 50.00 $ 1500.00
2 Auditor Junior $ 35.00 $ 800.003 Auditores Auxiliares (2 personas) $ 30.00 $ 400.00
4 Especialista en redes $ 6.25 $ 500.00 TOTAL RUBRO $ 3,200.00
MATERIALES
1 Folders $ 5.00 $ 5.00
2 Lápiz $ 3.00 $ 3.00
4 Lapiceros $ 2.00 $ 2.00
5 Computadoras (Laptop) $ 100.00 $ 100.00
6 Impresiones $ 1.00 $ 50.00
TOTAL RUBRO $ 160.00
TOTAL GENERAL $ 3,360.00
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 31/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzin
Página 31
CRONOGRAMA DE ACTIVIDADES
SERVICIO DE INTERNET DE LA
UNIVERSIDAD TECNOLÓGICA DE HUEJOTZINGO
No. ACTIVIDAD O TAREA RESPONSABLES
OCTUBRE
1 2
1 3
1 4
1 5
1 8
1 9
2 0
2 1
2 2
2 5
2 6
2 7
1 Elaboración del Plan de Auditoría. Auditor Senior
2 Elaboración de Cuestionario de Control Interno. Auditor Junior
3 Visita al encargado de control interno paracontestar el cuestionario.
Auditor Auxiliar
Especialista en Redes
4 Evaluación de la auditoria del control interno. Auditor Auxiliar
5 Desarrollo del Informe de Auditoría. Auditor Senior, Auditor Auxiliar
6 Recomendaciones de la auditoria. Auditor Auxiliar, Especialista en Redes
7 Entrega de resultados de la auditoria. Auditor Senior
PUESTO NOMBRE DE LA PERSONA
Auditor Senior TSU Areli Rojano Calixto Auditor Junior TSU María Esther Galicia Xochitemol
Auditor Auxiliar TSU Angélica Cortes Cuahutencos
Especialista en Redes TSU Carina Cuautle Ramos
Auditor Auxiliar TSU Guadalupe Jiménez Martínez
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 32/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 32
PESO PORCENTUAL DE CADA ÁREA A EVALUAR
No. ÁREA A EVALUAR PONDERACIÓN
DEPARTAMENTO DE UNIDAD INFORMÁTICA
1. Laboratorios de computo 1%
2. Políticas de seguridad (Estándares) 2%
3. Infraestructura (localización del cableado) 2%
4. Encriptación 2%
5. Protocolos de comunicación 2%
6. Restricción en el uso del Internet 10%
7. Seguridad del Personal del departamento de Unidad Informática 3%
8. Usuarios del sistema informático (Para cuantas personas es la red inalámbrica)capacidad de la red
2%
9. Seguridad de Aplicaciones. 4%
10. Seguridad física de los sistemas informáticos y ambiental 4%
11. Seguridad lógica del sistema 4%
12. Seguridad de la información y las bases de datos 4%
13. Seguridad en el acceso y uso del software 4%
14. Seguridad en la operación del hardware 4%
15. Seguridad en la Red inalámbrica 4%
16. Seguridad de Sistema Operativo 2%
17. Seguridad de Base de Datos. 4%
18. Seguridad de cumplimiento de normas y estándares. 3%
19.Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.4%
20. Seguridad de Comunicaciones y operaciones 4%
21. Monitoreo de eventos y alarmas 2%
FINANZAS
22. Clasificación y control de recursos 2%
23. Plan de continuidad del negocio 2%
24. Cumplimiento de normatividad legal 25%
TOTAL 100%
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 33/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 33
REFERENCIAS DE AUDITORÍA
REFERENCIAS DE
AUDITORÍADESCRIPCIÓN DE LA MARCA
A Laboratorios de computo
B Políticas de seguridad (Estándares)
C Infraestructura (localización del cableado)
D Encriptación
E Protocolos de comunicación
F Restricción en el uso del Internet
G Seguridad del Personal del departamento de Unidad informática
H Usuarios del sistema informático (Para cuantas personas es la red inalámbrica)capacidad de la red
I Seguridad de Aplicaciones.
J Seguridad física de los sistemas informáticos y ambiental
K Seguridad lógica del sistema
L Seguridad de la información y las bases de datos
M Seguridad en el acceso y uso del software
N Seguridad en la operación del hardware
O Seguridad en la Red inalámbrica
P Seguridad de Sistema Operativo
Q Seguridad de Base de Datos.
R Seguridad de cumplimiento de normas y estándares.
SSistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
T Seguridad de Comunicaciones y operaciones
U Monitoreo de eventos y alarmas
V Clasificación y control de recursos
W Plan de continuidad del negocio
X Cumplimiento de normatividad legal
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 34/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 34
MARCAS DE AUDITORÍA
MARCAS DE AUDITORÍA DESCRIPCIÓN DE LA MARCA
₤ Obtenido por el encargado del departamento
∫ Obtenido de otros documentos
∆ Obtenido de terceros
¥ Obtenido de empleados del área de informática
ℓ Cotejado con el inventario
£ Verificado por el auditor
₣ Verificado por el Técnico en Redes
METODOLOGÍA Y PROCEDIMIENTOS
El análisis se llevara a cabo mediante la infraestructura actual con la que cuenta la Universidad de
Huejotzingo, a través de lo siguiente:
1. En primer lugar se visitará al cliente, en el lugar donde se realizará la auditoria, para identificar la
magnitud de los procedimientos a desarrollar y tener un acercamiento con los involucrados en
administración e infraestructura de la red, quienes brindan el servicio de internet a usuario de la
institución.
2. Se elaborará un plan de auditoría sobre el servicio de internet que brinda la institución, para identificar
las posibles áreas que presenten riesgos dentro de la organización y que afecten el servicio de internet.
Además se elaborara el cuestionario para la evaluación de servicios de internet, con el cual se buscará
recabar información, que nos ayude a identificar riesgos, vulnerabilidades que puedan presentarse en
algunas de las áreas a evaluar.
3. Se llevará a cabo la evaluación de servicio de internet que existe en la institución, en el lugar de trabajo
con el propósito de solicitar al personal involucrado, que respondan el cuestionario.
4. Con los resultados obtenidos de la evaluación del servicio de internet, se elaborará una planilla de
decisiones preliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunosprocedimientos que serán necesario realizar.
5. Se visitará los centros de trabajo para realizar los procedimientos de auditoría necesarios, con el fin de
obtener la evidencia suficiente y competente que sirva para la elaboración del informe de auditoría.
6. Se analizarán los datos, y se elaborará el informe de auditoría que será presentado al cliente.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 35/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 35
MÉTODOS DE PRUEBA
Se solicitará a los auditores que desarrollen los procedimientos expresados en el plan de auditoría. En
ellos se verificará que los auditores contratados para las diferentes áreas pongan a prueba los servicios de
internet brindados por la institución, realizando operación que verifiquen la que la administración de la red, asícomo también la infraestructura física y lógica de la red.
A si mismo se verificara que la red cuente con la seguridad requerida para el buen funcionamiento en el
servicio de internet. Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.
Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar
que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su vulnerabilidad
Se tratará desde una computadora, accesar a otras que no se debiera tener acceso con el fin de verificar su
vulnerabilidad.
SITUACIONES ALTERNAS
En el caso de que todos los equipos estén constantemente ocupados, se buscará la forma de que se
autorice, con la presencia de un funcionario o empleado de confianza, que algunos procedimientos se puedan
realizar fuera de la jornada laboral, con el propósito de no entorpecer las labores cotidianas.
En el caso de no haber vigilante, que pueda revisar los bienes de los empleados, se verificará si existe
alguna forma alterna de asegurar que los empleados no retiren los bienes de la empresa.
En el caso de que al momento de la auditoría no se encuentren los funcionarios que nos hayan
contratado, se les pedirá que nombren a una persona, de preferencia del área de informática para que, dé fe
del trabajo que se está realizando y se mantenga la transparencia.
ASIGNACIÓN DE RECURSOS Y SISTEMAS COMPUTACIONALES PARA LA AUDITORÍA
Las laptop de nuestra empresa, serán asignadas a los dos auditores, senior de nuestra empresa para
que puedan en ellas realizar los respectivos procedimientos de auditoría y la anotación de los aspectos
importantes, así como el registro de la evidencia en su orden. También servirá para el análisis de los resultados
y la elaboración del informe de auditoría.
La papelería será utilizada para la elaboración y resguardo de los papeles de trabajo y estarán en manos
del auditor senior TSU. Areli Rojano Calixto, quien será responsable de su custodia.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 36/75
Desarrollo
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 37/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 37
CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL DEPARTAMENTO DE UNIDAD INFORMÁTICA
1. ¿Existe dentro de la Universidad un área de
Unidad Informática? xPero internamente se
conoce como Centro de TI
SI LA RESPUESTA FUE SI:
2. ¿Existe una persona nombrada como
responsable de administrar las redes?x
Lic. OLaff Hernández
Juárez IT Manager
3. ¿Existe un área o alguien a quién le rinden
cuentas de su gestión?x
Dir. de Administración de
Finanzas Ernesto Aguirre
4. ¿Está identificada dicha área dentro del
organigrama general de la empresa?x
5. ¿Se tiene un organigrama específico? x
6. ¿Hay un manual de organización y funciones
aplicables a dicha área?x
7. ¿Existen procedimientos de contratación, para
el personal de este departamento?x Recursos Humanos
8. ¿Están delimitadas las funciones de cada
integrante del área Unidad Informática?x Verbalmente
9. ¿Cada empleado del área de Unidad
Informática conoce la persona ante la que
tiene que rendir cuentas de su labor?
x Verbalmente
10. ¿Cada empleado del área de Unidad
Informática es especialista en diferentes áreas
de la red?
xMantenimiento, redes
telefonía
11. ¿Tiene muchos años laborando aquí? x 7 años
12. ¿Han recibido capacitaciones en el último año? x No enfocadas al áreaINFRAESTRUCTURA DE LA RED
13. ¿El personal revisa la infraestructura de la red? x 2 veces al año
14. ¿En el último año se han revisado toda la
infraestructura de la red?x Junio, realizan evidencias
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 38/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 38
PREGUNTAS SI NO N/A OBSERVACIONES
15. ¿Existe un plan de infraestructura de redes? x Planeación
16. ¿En alguna ocasión se ha generado algún
problema dentro de la infraestructura de lared?
x
Saturación de servicios
(daños en el cableado) yataques a la red
17. ¿Considera usted que la infraestructura de la
red se encuentra en buenas condiciones?x No son optimas
18. ¿En alguna ocasión se ha generado
problemas con la conexión del internet?x
Daños locales (85%) y del
proveedor (15%) Anual
19. ¿Usa protocolos? x TCP/IP, HTTP, HTTPS FTP
20. ¿Tiene la Universidad contratado unespecialista en redes?
Ingeniero en Sistemas, TSUen Informática
21. ¿La administración de redes implementa una
política en base a la tecnología de red?x
Políticas de Seguridad y de
Administración
22. ¿Esta política es acorde con el plan de
calidad de la organización?x
23. ¿Existe un inventario de equipos y software
asociados a las redes?x
Área de recursos
Materiales
24. ¿Existe un plan que permite modificar en
forma oportuna a largo plazo la tecnología
de redes, teniendo en cuenta los posibles
cambios tecnológicos o en la institución?
x Plan de Mantenimiento
25. ¿ Están establecidos controles especiales
para salvaguardar la confidencialidad e
integridad del procesamiento de los datos
que pasan a través de redes públicas, y
para proteger los sistemas conectados?
x
Control de acceso al sitio,
contraseñas en servidores,
Distribución Lógica
26. ¿Existen controles y procedimientos de
gestión para proteger el acceso a las
conexiones y servicios de red?
x Verbalmente
27. ¿Existe una topología de red estandarizada? x Estrella
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 39/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 39
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS A LA SEGURIDAD
28. ¿Existen algunas restricciones para los
usuarios?x Firewall, acceso y filtrado
29. ¿Identifica el t ipo de amenaza que afecta los
recursos de la red?x Análisis lógico y físico
30. ¿Usted clasifica los riesgos por nivel de
importancia y gravedad de la perdida?x Prioridad
31. ¿Le han dado clave para ingresar al sistema? x
32. ¿Existen limitantes para el acceso a internet? xAncho de banda y
Servicios
33. ¿Se han adoptado medidas de seguridad
en el departamento de sistemas de
información?
xSeñalética, Seguridad
Física y lógica
34. ¿Existe una persona responsable de la
seguridad?x
Personal perteneciente a la
Unidad Informática
35. ¿Existe una clara definición de funciones
entre los puestos clave?x
36. ¿Se permite el acceso a la red porpersonal no autorizado?
x
37. ¿Existen medidas de seguridad física? x
38. ¿Existe un programa de mantenimiento
para la red?x
Cada año y se aplica dos
veces.
39. ¿Se lleva a cabo tal programa? x
40. ¿Existe protección ante algún robo? x
41. ¿Existen medidas de seguridad respecto a
copias ilegales?x
42. ¿Utilizan antivirus o alguna otra medida para
la protección de la información?x Firewall
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 40/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 40
PREGUNTAS SI NO N/A OBSERVACIONESASPECTOS RELACIONADOS AL OUTSOURCING
43. ¿Existe un contrato para el servicio de
internet?x
Contratos anuales. Gemtel
proveedor actual
44. ¿El contrato contempla cláusulas de servicio,
seguridad, costo, tipo de servicio y todos los
detalles inherentes a la prestación del
servicio?
x
45. ¿Dentro del contrato se establece ANS? x
46. ¿Existen penalizaciones dentro del contrato? xPor cada día sin servicio
se gratifica 5% mensual
47. ¿Tiene conocimiento de lo que es un Plan deRetorno?
x Cheques cruzados 20% ypenalizaciones
48. ¿Existe un plan de retorno en caso de que el
proveedor no cubra las necesidades del
servicio?
x
49. ¿Existe un análisis previo para el contrato de
servicio de internet que cubra las
necesidades de la institución?
x Materiales
50. ¿El departamento de unidad informática es el
encargado de efectuar la contratación del
servicio de internet?
xSolo sugiere o realiza una
petición
51. ¿Ofrece calidad en el servicio la empresa
proveedora?x
Tiempos de Respuesta,
Disponibilidad
52. ¿La empresa proveedora ofrece una ventaja
económica para la universidad?x Economía
53. ¿La infraestructura de la red es la adecuadapara la prestación del servicio outsourcing?
x
54. ¿La administración y control de la red se
acoplan a la prestación de servicios
outsourcing?
x
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 41/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 41
PREGUNTAS SI NO N/A OBSERVACIONES
55. ¿La comunicación entre el proveedor y el
departamento de la unidad informática es
eficiente y eficaz?
x
No siempre es eficaz. Olaff
tiene comunicación con el
proveedor
56. ¿La empresa proveedora es confiable en
cuanto al servicio que está proporcionando a
la universidad?
x Hace 2 años
57. ¿Se lleva a cabo un seguimiento del
funcionamiento del servicio de internet por
parte de la empresa proveedora?
xCada 3 meses y si no se
anota en un ticket
58. ¿Se realiza periódicamente una evaluación
para determinar que el servicio outsourcingcubra las necesidades de la institución?
x Cada 3 meses
59. ¿Se realizan evidencias de los fallos que se
presentan en el servicio de internet?x
Ticket soporte externo y
reporte escrito cuando el
proveedor interviene
60. ¿La empresa outsourcing proporciona equipo
adicional para brindar un buen servicio a la
universidad?
x Antenas de recepción
61. ¿Existe una renovación de contrato en
cuanto al servicio de internet?x Anualmente
62. ¿Los usuarios pueden opinar sobre el
servicio de internet?x
Buzón de quejas, solo los
que son importantes
63. ¿Se lleva a cabo un seguimiento de estas
sugerencias?x
Nombre: Lic. Olaff Hernández Juárez
Cargo: Manager IT- Administrador de TI
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 42/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 42
LISTADO DE VERIFICACIÓN DE AUDITORIA OUTSOURCING
Acuerdo del Nivel de Servicios en la Adquisición de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
El nivel de servicio de internet es el requerido
para cubrir con las necesidades de la
institución.
X
Se identifican políticas que definan acuerdos
del nivel del servicio.X
Se cumplen con los acuerdos externos e
internos establecidos en el contrato.X
Se encuentran documentados los servicios
prestados a los distintos tipos de usuarios.X
Supervisión y control continúa de los
servicios prestados a usuarios.X
Se consideran la participación de los
usuarios en cuanto al nivel del servicio
percibido por los mismos.
X
Se encuentran definidos los derechos y
responsabilidades de tanto a usuarios como
personal administrativo.
X
Se encuentran definidos los servicios que
deben percibir los usuarios y administrativos.X
Existe la evidencia de los problemas que se
presentan en cuanto a la prestación del
servicio.
X
Se establecen las funciones para cada rol en
el área de unidad informática. X
Se tienen establecidos los modelos de
elaboración para la percepción de servicios.X
El contrato puede replantearse para mejoras
de recepción de servicio.X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 43/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 43
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Se tienen modelos de evaluación para la
obtención de la calidad de los servicios de
internet.
X
Se identificaron medidas encaminadas al
funcionamiento de las normas.X
Verificación de los Componentes para el Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
El objetivo de la red cumple con loestablecido para brindar un buen servicio.
X
Las características de la Red para el servicio
de internet son:X
Los componentes físicos de la red cumplen
con las características para brindar servicio
de internet.
X
La conectividad y las comunicaciones de la
red son adecuadas para el servicio de
internet.
X
El servicio de internet que proporciona y
cubre las expectativas de los usuarios.X
Las configuraciones, topologías, tipos y
cobertura de las redes están adecuadas para
el servicio de internet.
X
Los protocolos de comunicación interna de la
red permiten un servicio de internet.X
La administración de la red de Cómputo es
adecuada para el brindar el servicio de
internet.
X
La seguridad de acceso al servicio de
internet.X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 44/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 44
Evaluación de la Seguridad en el Acceso al Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo No
cumple
La distribución del direccionamiento de IP1. X
Seguridad de direccionamiento de IP. X
Se monitorean los atributos de acceso al
servicio de internet.X
Los niveles de acceso al servicio de
internet son evaluados.X
La administración de contraseñas al servicio
de internet lleva a cabo un proceso de
monitoreo.
X
El monitoreo en el acceso al servicio de
internet es evaluado.X
Las funciones del administrador del
acceso al servicio de internet se evalúan.X
Evaluación de la Seguridad en el Acceso al Área Física
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Evaluar el acceso restringido de personal al
centro de cómputo.X
Evaluar las medidas preventivas o
correctivas en caso de siniestro en el centro
de cómputo.
X
Analizar las políticas de la instalación en
relación con los accesos al departamento.X
1 Se realiza mediante la implementación de un software, el cual también apoya en la administración deservicios.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 45/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 45
Evaluación de la Seguridad en los Sistemas Computacionales para el Servicio de Internet
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Evaluar el rendimiento y uso del sistema
computacional y de sus periféricos
asociados.
X
Evaluar la existencia, protección y
periodicidad de los respaldos de bases de
datos, software e información importante
de la institución.
X
Evaluar la configuración, instalaciones y
seguridad del equipo de cómputo,mobiliario y demás equipos.
X
Evaluar el rendimiento, aplicación y utilidad
del equipo de cómputo, mobiliario y demás
equipos.
X
Evaluar la seguridad en el procesamiento
de información.X
Evaluación de la Protección de la Información
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Medidas preventivas. X
Limitación de accesos. X
Protección contra robos X
Protección ante copias ilegales X
Evaluación de la Protección contra Virus Informáticos
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Medidas preventivas y correctivas. X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 46/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 46
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular Mínimo Nocumple
Uso de vacunas y buscadores de virus. X
Protección de archivos, programas e
información.X
Evaluación de la Seguridad del Hardware
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Realización de inventarios de hardware,
equipos y periféricos asociados.X
Evaluar la configuración del equipo de
cómputo (hardware).X
Evaluar el rendimiento y uso del sistema
computacional y sus periféricos asociados.X
Evaluar el estado físico del hardware,
periféricos y equipos asociadosX
Evaluación de la Seguridad del Software
Evaluar y calificar el cumplimiento de lossiguientes aspectos:
100% 80% 60% 40% 20%
Excelente Bueno Regular MínimoNo
cumple
Realización de inventarios de software,
paqueterías y desarrollos empresariales.X
Evaluar las licencias permisos y usos de
los sistemas computacionales.X
Evaluar el rendimiento y uso del software
de los sistemas computacionales.
X
Verificar que la instalación del software,
paqueterías y sistemas desarrollados en la
empresa sea la adecuada para cubrir las
necesidades de esta última.
X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 47/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 47
REPORTE DE HALLAZGOS
De acuerdo al checklist, y el cuestionario de control interno aplicado al Lic. Olaff Hernández Juárez IT
Manager del Departamento de Unidad Informática, se determinó que el servicio de internet proporcionado por
la empresa Gemtel a la Universidad Tecnológica de Huejotzingo, carece de los siguientes elementos:
REPORTE DE AUDITORIA OUTSOURCING
Auditoria Número: 01 Fecha de AuditoríaDel 12 a 28 de Octubre
de 2010
Fecha de Elaboración
del Reporte:22 de Octubre de 2010
Fecha de Reunión de
Apertura:12 de Octubre de 2010
No. De Resultados: 110 Fecha de Cierre: 28 de Octubre de 2010
ÁREA AUDITADAS PROCESOS AUDITADOS
Departamento de Unidad Informática Servicio Outsourcing
Finanzas Servicios Outsourcing
HALLAZGOS
FOLIO
DESCRIPCIÓN DE LA NO CONFORMIDAD
Especificar: Requerimientos (R), Incumplimiento (I),
Evidencia (E)
COBIT
v4.1
ITIL
v3
NO CONFORMIDAD
MAYOR MENOR
DEPARTAMENTO DE UNIDAD INFORMÁTICA
01
R. El departamento de Unidad Informática no se encuentra en
el organigrama de la Institución, lo que ocasiona que dicha
área sea desconocida.
PO X
02
R. El departamento de Unidad Informática es controlado por
del Área de Administración de Finanzas, el cual no estácompletamente relacionada con dicho departamento, ya que
dichas áreas son totalmente distintas.
PO X
03
R. Internamente en el departamento no existe un organigrama
que indique los puestos del personal perteneciente a dicha
área y por lo tanto también carece de un Manual de
Organización y Funciones.
PO X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 48/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 48
FOLIO
DESCRIPCIÓN DE LA NO CONFORMIDAD
Especificar: Requerimientos (R), Incumplimiento (I),
Evidencia (E)
COBIT
v4.1
ITIL
v3
NO CONFORMIDAD
MAYOR MENOR
04
R. Las funciones de cada integrante del área de Unidad
Informática están especificadas, sin embargo no existe un
documento que sustente dichas funciones ya que estas se
establecieron verbalmente.
PO X
05
R. El personal de Unidad Informática recibe capacitación 2
veces al año si embargo dichas capacitaciones no están
enfocadas a la función que ellos desempeñan en la
Universidad Tecnológica de Huejotzingo
PO X
INFRAESTRUCTURA DE LA RED
06 E. No existe un Plan de Infraestructura de Redes. PO X
07
R., I. La infraestructura de red se encuentra en buenas
condiciones sin embargo no son óptimas para que se
establezca un buen servicio de internet a los usuarios.
PO ICT X
SEGURIDAD
08
R. La mayoría de los problemas ocasionados en la conexión a
Internet son daños locales, es decir originados en la
universidad.
ICT X
09
E. Los controles y procedimientos que protegen el acceso a
conexiones y servicios de red se establecieron verbalmente, es
decir, no existe algún documento que sustente dichos controles
y procedimientos.
PO X
10
R. Una de las limitantes para el acceso de internet es el ancho
de banda, debido que la Universidad Tecnológica no cuenta
con el ancho de banda suficiente para que el servicio de
internet cumpla las necesidades del usuario.
ES X
11
R. Los componentes físicos de la red no cubren todas las
características de la red debido a que estos son adquiridos por
que ofrecen una ventaja económica.
AI X
SERVICIO OUTSOURCING
12R, I. No existe una comunicación eficaz entre el proveedor de
servicios y la Universidad Tecnológica de Huejotzingo.PO X
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 49/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 49
FOLIO
DESCRIPCIÓN DE LA NO CONFORMIDAD
Especificar: Requerimientos (R), Incumplimiento (I),
Evidencia (E)
COBIT
v4.1
ITIL
v3
NO CONFORMIDAD
MAYOR MENOR
13
R. Gemtel es una empresa dedicada a redes inalámbricas,
hosting, internet de alta velocidad y acceso remoto dial up;
dicha empresa tiene 4 años ofreciendo el servicio a la
Universidad Tecnológica de Huejotzingo, sin embargo es
confiable desde hace dos años, debido a que mejoro el servicio
ofrecido a la universidad.
DS X
MARCO DE REFERENCIA A COBIT v4.1:
Planear y Organizar (PO)Adquirir e Implementar (AI)
Entregar y Dar Soporte (DS)
Monitorear y Evaluar (ME)
MARCO DE REFERENCIA A ITIL v3:
Soporte de Servicio (SS)
Entrega de Servicio (ES)
Planes para Implantar la Gestión del Servicio (PIGS)
Gestión de la Infraestructura y Comunicaciones de TI ( ICT)Gestión de las Aplicaciones (GA)
Perspectiva de Negocio (PN)
Seguridad (S)
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 50/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 50
RESULTADOS DE LAS ENCUESTAS
Se llevó a cabo la aplicación de encuestas a los usuarios del servicio outsourcing, los cuales son
clasificados de la siguiente manera:
Administrativos (Servicios Escolares, Biblioteca).
Profesores de Tiempo Completo (PTC) y Profesores de Asignatura (PA).
Laboratoristas.
Alumnos.
Contemplando que se cuenta con una población aproximada de 2000 usuarios que reciben el servicio deinternet, la empresa Solution Corp decidió encuestar al 5% de la población total estipulada con anterioridad,
que se distribuye de la siguiente forma:
TIPO DE USUARIOS PORCENTAJE JUSTIFICACIÓN
Administrativos 2%
Se eligió este porcentaje debido a que este tipo de
usuarios recibe un mejor servicio por las funciones que
desempeñan.
PTC y PA 8%
Este tipo de usuarios utiliza el servicio en menor
cantidad, por lo que la afectación que les provoca el
servicio outsourcing tiene menor impacto en el
desarrollo de su actividades.
Laboratoristas 10%
Son los usuarios que proporcionan el servicio de
internet local al alumnado y que por lo tanto conocen
con mayor facilidad las deficiencias que el servicio
presenta.
Alumnos 80%
Debido a que es la población que utiliza con mayor
frecuencia el servicio de internet tanto inalámbrico
como local.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 51/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 51
Los resultados obtenidos de las encuestas son los siguientes:
EVALUACIÓN DEL SERVICIO DE INTERNET (ALUMNOS)
No. RUBRO
E X C E L E N
T E
B U E N O
R E G U L A
R
D E F I C I E N
T E
N O C
U M P
L E
35. ¿Cómo consideras el servicio de internet? 4 22 32 15 7
36. ¿Cuál es su grado de satisfacción general con el servicio? 2 18 41 17 2
37. ¿Cómo califica el proceso para obtener una cuenta de Internet Inalámbrico? 6 21 30 17 6
38. La página de inicio para obtener acceso a la red es: 7 25 27 15 6
39. ¿Cómo califica la conexión del Internet Inalámbrico? 6 18 30 20 6
40. ¿Consideras que la seguridad con la que cuenta es? 3 26 37 11 3
41. Considera que la cobertura del servicio de Internet Inalámbrico es: 4 14 40 18 4
42. ¿Cómo consideras la restricción al acceso a páginas web? 7 24 26 19 4
43. La velocidad utilizada en la transmisión de internet la consideras: 4 18 26 23 9
44. ¿Cubre tus necesidades académicas? 6 29 28 11 6
45. ¿Los tiempos de respuesta son? 4 19 30 20 7
46. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 6 23 25 20 6
Gráfica 1. Evaluación del Servicio de Internet (Alumnos)
0
5
10
15
20
25
30
35
40
45
1 2 3 4 5 6 7 8 9 10 11 12
N o .
R e s u l t a d o s
No. de Rubro
Excelente
Bueno
Regular
Deficiente
No Cumple
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 52/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 52
De acuerdo a los datos estadísticos obtenidos en la siguiente grafica se concluyó que el servicio de
internet proporcionado a los alumnos es regular, es decir, no cubre las necesidades de los usuarios al 100%
sin embrago les permite llevar acabo la realización de sus actividades básicas, tales como la búsqueda de
información a través de la navegación de internet.
EVALUACIÓN DE LABORATORIOS (ALUMNOS)
No. RUBRO
E X C E L E N T E
B U E N O
R E G U L A R
D E F I C I E N T E
N O C
U M P L E
47. ¿Cómo calificas en número de equipos de cómputo existentes? 6 16 35 19 4
48. La disponibilidad con la cuentan los laboratorios es: 5 21 29 23 2
49. El antivirus con el que cuentan los equipos de cómputo lo consideras: 11 14 26 19 10
50. La instalación del cableado lo consideras: 7 21 28 18 6
Gráfica 2. Evaluación de Laboratorios (Alumnos)
Hallar mejoras en laboratorios para brindar un mejor servicio de internet, donde como resultado final se
observa que el usuario logra cubrir la mayoría de sus necesidades con el servicio de internet con el que cuenta
actualmente la institución.
0
5
10
15
20
25
30
35
13 14 15 16
N o .
R e s u l t a d o s
No. Rubro
Excelente
Bueno
Regular
Deficiente
No Cumple
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 53/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 53
EVALUACIÓN DE UNIDAD INFORMÁTICA (ALUMNOS)
No. RUBRO SI NO
51. ¿Conoces el departamento de Unidad Informática? 45 35
52. ¿Sabes dónde se encuentra? 47 33
53. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 39 41
54. ¿Sabes quién es la persona responsable? 32 48
55. ¿Conoce el horario del personal responsable de la administración de la red? 18 62
Gráfica 3. Evaluación de Unidad Informática (Alumnos)
Con el objetivo de identificar si el usuario conoce el área Cetro de TI, para cualquier duda o fallo en el
servicio de internet que se le brinda.
EVALUACIÓN DE ACCESO A INTERNET (ALUMNOS)
No. RUBRO SI NO
56. ¿Utilizas con frecuencia el servicio de Internet? 54 26
57. ¿Requiere una cuenta para acceder a este servicio? 49 31
58. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 39 41
59. ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a Internet? 35 45
0
10
20
30
40
50
60
70
17 18 19 20 21
N o .
d e R e s p u e s t a
No. de Rubro
SI
NO
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 54/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 54
No. RUBRO SI NO
60. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir una cuenta
para el acceso a Internet?
34 46
61. ¿Solo usted tiene acceso a esta cuenta? 42 38
62. Su cuenta siempre está disponible 30 50
63. Tiene acceso a cualquier tipo de página web, con la cuenta que ha adquirido 30 50
Gráfica 4. Evaluación de Acceso a Internet (Alumnos)
Con el objetivo de identificar si el usuario conoce el proceso para adquirir una clave y contraseña para el
acceso a internet, además de los derechos y obligaciones que adquiera al hacer uso de la misma.
EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (ALUMNOS)
No. RUBRO SI NO
64. ¿Consideras que el servicio de internet debe estar disponible a cualquier hora y para
cualquier usuario?63 17
65. ¿Existen problemas al conectarse a internet? 57 23
66. ¿Los problemas existentes afectan la realización de su trabajo? 54 26
67. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 25 55
68. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas en el acceso de
internet?43 37
0
10
20
30
40
50
60
22 23 24 25 26 27 28 29
N o .
d e R e s p u e
s t a
No. de Rubro
SI
NO
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 55/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 55
Gráfica 5. Evaluación de Fallos en el Acceso a Internet (Alumnos) Identificar si el alumno tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo
haga en el lugar correcto, con la persona correcta.
EVALUACIÓN DEL SERVICIO DE INTERNET (PROFESORES)
No. RUBRO
E X C E L E N T E
B U E N O
R E G U L A R
D E F I C I E N T E
N O C
U M P L E
N / A
1. ¿Cómo consideras el servicio de internet? 0 6 14 7 3 0
2. ¿Cuál es su grado de satisfacción general con el servicio? 1 8 11 9 1 0
3. ¿Cómo califica el proceso para obtener una cuenta de Internet
Inalámbrico?2 11 9 6 0 2
4. La página de inicio para obtener acceso a la red es: 1 11 9 7 2 0
5. ¿Cómo califica la conexión del Internet Inalámbrico? 2 6 11 7 3 1
6. ¿Consideras que la seguridad con la que cuenta es? 0 6 13 7 3 1
7. Considera que la cobertura del servicio de Internet Inalámbrico es: 2 9 9 6 3 1
8. ¿Cómo consideras la restricción al acceso a páginas web? 3 9 8 5 5 0
9. La velocidad utilizada en la transmisión de internet la consideras: 1 7 8 9 4 1
10. ¿Cubre tus necesidades académicas? 1 9 12 6 2 0
0
10
20
30
40
50
60
70
30 31 32 33 34
N o .
d e R e s p u e s t a
No. de Rubro
SI
NO
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 56/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 56
No. RUBRO
E X
C E L E N T E
B U E N O
R
E G U L A R
D E F I C I E N T E
N O C
U M P L E
N / A
11. ¿Los tiempos de respuesta son? 0 8 14 7 1 0
12. ¿Cómo calificarías el equipo de cómputo de los laboratorios? 1 10 11 5 1 2
Gráfica 6. Evaluación del Servicio de Internet (Alumnos)
Con el objetivo de conocer el grado de satisfacción que tienen los profesores en cuanto al servicio de
internet, donde se logra observar que el nivel de satisfacción es regular.
EVALUACIÓN DE LABORATORIOS (ALUMNOS)
No. RUBRO
E X C E L E N
T E
B U E N O
R E G U L A
R
D E F I C I E N
T E
N O C
U M P
L E
N / A
13. ¿Cómo calificas en número de equipos de cómputo existentes? 2 7 11 10 0 0
14. La disponibilidad con la cuentan los laboratorios es: 2 8 14 4 0 2
0
2
4
6
8
10
12
14
1 2 3 4 5 6 7 8 9 10 11 12
N o .
d e R e s p u e s t a s
No. de Rubro
Excelente
Bueno
Regular
Deficiente
No Cumple
No Aplica
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 57/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 57
No. RUBRO
E X
C E L E N T E
B U E N O
R
E G U L A R
D E
F I C I E N T E
N O
C U M P L E
N / A
15. El antivirus con el que cuentan los equipos de cómputo lo consideras: 2 4 12 8 4 0
16. La instalación del cableado lo consideras: 3 8 11 7 1 0
Gráfica 7. Evaluación de Laboratorios (Profesores)
Obtener el grado de satisfacción que tienen los laboratoristas en cuando el servicio de internet, el cual se
observa que tanto como el usuario y laboratoristas coinciden con el mismo grado de satisfacción.
EVALUACIÓN DE UNIDAD INFORMÁTICA (PROFESORES)
No. RUBRO SI NO ALGUNASVECES
N/A
17. ¿Conoces el departamento de Unidad Informática? 28 2 0 0
18. ¿Sabes dónde se encuentra? 27 3 0 0
19. ¿Crees que la ubicación de la unidad informática es de fácil acceso? 24 6 0 0
20. ¿Sabes quién es la persona responsable? 27 3 0 0
21. ¿Conoce el horario del personal responsable de la administración de la
red?21 9 0 0
0
2
4
6
8
10
12
14
13 14 15 16
N o .
d e R e s p u e s t a s
No. de Rubro
Excelente
Bueno
Regular
Deficiente
No Cumple
No Aplica
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 58/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 58
Gráfica 8. Evaluación de Unidad Informática (Profesores)
Con el objetivo de identificar si el profesor conoce el área Cetro de TI, para cualquier duda o fallo en el
servicio de internet que se le brinda.
EVALUACIÓN DE ACCESO A INTERNET (PROFESORES)
No. RUBRO SI NO ALGUNASVECES
N/A
22. ¿Utilizas con frecuencia el servicio de Internet? 28 2 0 0
23. ¿Requiere una cuenta para acceder a este servicio? 21 8 0 1
24. ¿Conoce el proceso que se realiza para adquirir dicha cuenta? 21 7 0 2
25. ¿Conoce los servicios que tiene al adquirir una cuenta para el acceso a
Internet?20 8 0 2
26. ¿Tiene conocimiento de las restricciones y privilegios que tiene al adquirir
una cuenta para el acceso a Internet?13 15 0 2
27. ¿Solo usted tiene acceso a esta cuenta? 19 8 0 3
28. Su cuenta siempre está disponible 17 10 0 3
29. Tiene acceso a cualquier tipo de página web, con la cuenta que ha
adquirido14 13 0 3
0
5
10
15
20
25
30
17 18 19 20 21
N o .
d e R e s p u e s
t a s
No. de Rubro
SI
NO
Algunas
Veces
NA
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 59/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 59
Gráfica 9. Evaluación de Acceso a Internet (Profesores)
Con el objetivo de identificar si el profesor conoce el proceso para adquirir una clave y contraseña para
el acceso a internet, además de los derechos y obligaciones que adquiera al hacer uso de la misma.
EVALUACIÓN DE FALLOS EN EL ACCESO A INTERNET (PROFESORES)
No. RUBRO SI NOALGUNAS
VECESN/A
30. ¿Consideras que el servicio de internet debe estar disponible a cualquier
hora y para cualquier usuario? 23 7 0 0
31. ¿Existen problemas al conectarse a internet? 25 3 1 1
32. ¿Los problemas existentes afectan la realización de su trabajo? 21 8 1 0
33. Si tuvieras alguna queja ¿sabes con quien y donde presentarla? 23 7 0 0
34. ¿Tienen la suficiente confianza como para presentar su queja sobre fallas
en el acceso de internet?22 8 0 0
0
5
10
15
20
25
30
22 23 24 25 26 27 28 29
N o .
d e R e s u l t a d o
s
No. de Rubro
SI
NO
Algunas
Veces
NA
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 60/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 60
Gráfica 10. Evaluación de Fallos en el Acceso a Internet (Profesores)
Identificar si el profesor tiene conocimiento de dónde acudir cuando este se le presente algún fallo y lo
haga en el lugar correcto, con la persona correcta.
0
5
10
15
20
25
30
35
30 31 32 33 34
N o .
d e R e s u l t a d o s
No. de Rubro
SI
NO
Algunas
Veces
NA
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 61/75
Recomendaciones
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 62/75
Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010
Lic. Karina Gómez Puerto
Universidad Tecnológica Huejotzingo
P R E S E N T E
Me permito informarle a Usted el Informe de Resultados de la auditoría practicada al Servicio
Outsourcing administrado por el departamento de Unidad Informática de la Universidad Tecnológica de
Huejotzingo, que se realizó del 12 al 28 de octubre del presente año.
La revisión realizada fue de carácter integral y comprendió la evaluación, de la estructura organizacional
del departamento, la operación de la red tanto física como lógica, el cumplimiento de las actividades y
funciones asignadas al personal, el estado del hardware y software y la revisión de la gestión informática.
En el citado informe encontrará el dictamen y las condiciones a las cuales se llegaron después de la
aplicación de las técnicas y procedimientos de la auditoría de sistemas.
Quedo a usted para cualquier aclaración al respecto.
____________________________
TSU. Areli Rojano Calixto
AUDITOR SENIOR
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 63/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 63
EVALUACIÓN DE UNIDAD INFORMÁTICA APLICANDO MODELO DE MADUREZ PARA LA
ADMINISTRACIÓN Y EL CONTROL DE LOS PROCESOS DE TI
En la actualidad la evaluación de la capacidad de los procesos basada en los Modelos de Madurez deCOBIT2 es una parte clave de la implementación del gobierno de TI. Después de identificar los procesos y
controles críticos de TI, el modelado de la madurez permite identificar y demostrar a la dirección las brechas en
la capacidad. Entonces se pueden crear planes de acción para llevar estos procesos hasta el nivel objetivo de
capacidad deseado.
Por la tanto la empresa Solution Corp utilizó el Modelo de Madurez para la Administración y Control de
los procesos de TI para llevar a cabo la evaluación de los procesos del servicio de Internet, el cual es
administrado por el departamento de Unidad Informática perteneciente a la Universidad Tecnológica de
Huejotzingo. Este Modelo Genérico de Madurez de COBIT se compone de los siguientes niveles:
Nivel 0 - No Existente: Carencia completa de cualquier proceso reconocible.
Nivel 1 – Inicial: Se ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no
existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma
individual o caso por caso.
Nivel 2 - Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal
de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
Nivel 3 – Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a
través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las
prácticas existentes.
Nivel 4 – Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante
mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera
limitada o fragmentada.
Nivel 5 – Optimizado: Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera rápida.
2 El modelo de madurez de COBIT se deriva de CMMI
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 64/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 64
A continuación se presenta el resultado de la evaluación de dichos procesos:
ASPECTOS
RELACIONADOS
AL
NIVELES DEL
MODELO
GENÉRICODE MADUREZ
JUSTIFICACIÓN
Departamento de
Unidad
Informática
Repetible
El departamento de Unidad informática, no cuenta con un manual de
organizacional el cual le impide saber las funciones de trabajo que
deberán llevar a cabo, además de las responsabilidades y
expectativas del puesto; se logra cubrir la gran mayoría de
necesidades de los usuarios en el servicio de internet; existen
procesos que llevan a cabo pero no se tiene un programa o
metodología que permita cumplir con las metas establecidas, el cual
genera incumplimiento en un menor porcentaje, por lo cual requiere
de establecer mejoras en el proceso y de establecer procesos que
sean sometidos a mejora continua para llegar a la Calidad
satisfactoria.
Infraestructura de
la Red Repetible
La Universidad de Tecnológica de Huejotzingo cuenta con una
infraestructura de red no adecuada a las necesidades (no para todos
los edificios), debido a que no existió contemplar la instalación de una
red , ya sea por cableado o inalámbrica, lo que género que sé que se
adecuara una infraestructura red de acuerdo al inmueble existente.Esto ha provocado problemas para un buen servicio de internet. Cabe
mencionar que existen procesos para contra restar anomalías de la
red, porque no se llevan a cabo en un 100%, por ende la satisfacción
del usuario no es cubierta en el servicio de internet.
Seguridad Definido
Existen medidas de seguridad estandarizadas sin embrago en
ocasiones estás medidas pueden ser aplicadas o no por el personal y
por lo tanto ocasionan que el servicio a internet sea más vulnerable.
Outsourcing Administrado
El servicio outsourcing brindado por Gemtel es bueno, sin embargoexisten deficiencias en el mismo debido a que no existe una
comunicación eficaz entre el proveedor y la Universidad. Cabe
mencionar que existe un contrato donde se establecen los
lineamientos del servicio entre el proveedor y la universidad.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 65/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 65
ASPECTOS
RELACIONADOS
AL
NIVELES DEL
MODELO
GENÉRICO
DE MADUREZ
JUSTIFICACIÓN
Personal Repetible
El departamento de Unidad Informático tiene personal capaz de
responder a las necesidades del área, sin embargo la demanda por
parte de los usuarios no es cubierta al 100%, debido a que no se
cuenta con el personal suficiente para cubrir estas necesidades,
además de que no existe un documento donde se establezcan las
funciones del personal generando deficiencia en el seguimiento de los
procesos.
Instalación
EléctricaRepetible
La instalación eléctrica con la que cuenta la unidad informática seadaptada a las necesidades del área, sin embargo no se cuenta con
un mantenimiento constante a la misma. Cabe mencionar que no es
sometida a un monitoreo o seguimiento, lo que con lleva a que no se
detecten las deficiencias o problemas que puedan presentarse en la
instalación.
Hardware Administrado
El equipo de con el que cuenta la unidad de informática provee un
servicio de internet estable sin embrago existen mejores equipos que
pueden ser implementados para proporcionar un servicio de internet
de alto rendimiento.
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 66/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 66
RECOMENDACIONES
No. DETALLENIVEL
RIESGOREF. INFORME
DEPARTAMENTO DE UNIDAD INFORMÁTICA
1
Condición: El departamento de Unidad Informática no se
encuentra en el organigrama de la Institución, lo que ocasiona
que dicha área sea desconocida.
Criterio: PO4.4 Ubicación Organizacional de la Función de TI,
PO4.5 Estructura Organizacional de COBIT v4.1
Causa: Se debe llevar a una reunión donde se establezca la
importancia a contar un Centro de Tecnologías de la
Información.
Efectos: Que no se lleven a cabo procesos en TI más
rigurosos, además desconocer a quien acudir cuando existe
una problemática en la conexión de internet.
Recomendaciones: Contemplar dentro del organigrama el
área de Unidad de Informática haciendo referencia al
responsable de dicha área, con el propósito de que todo a que
requiera servicios en TI sepa a quien dirigirse.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
2
Condición: El departamento de Unidad Informática es
controlado por del Área de Administración de Finanzas, el cual
no está completamente relacionada con dicho departamento, ya
que dichas áreas son totalmente distintas.
Criterio: PO4.15 Relaciones de COBIT v4.1
Causa: Plantear ante autoridades la necesidad de contemplar
la Unidad de Informática, para darlo a conocer, haciendo
mención de los beneficios que se pueden obtener.
Efectos: Trabajar con las herramientas que se tienen; claro que
esto no impide que se adquiera mejoras en los procesos del
servicio de internet
Recomendaciones: Que la Unidad Informática lleve a cabo
estrategias planteadas (metas) para un mejor servicio al cliente.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 67/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 67
No. DETALLENIVEL
RIESGO REF. INFORME
3
Condición: Internamente en el departamento no existe un
organigrama que indique los puestos del personal perteneciente a
dicha área y por lo tanto también carece de un Manual de
Organización y Funciones.
Criterio: Estructura Organizacional de COBIT v4.1, PO4.6
Establecimiento de Roles y Responsabilidades de COBIT v4.1
Causa: Plantear la consideración de la Unidad informática en una
reunión en donde se establezcan las funciones que debe cubrir
dicha área, el cual permita cumplir con las expectativas del servicio
en TI en la universidad.
Efectos: A que el personal no realice funciones con
responsabilidad continua, solo lo haga para resolver problemas que
se ocasionan en el momento.
Recomendaciones: Que aunque no exista como tal el área de
Unidad Informática en el organigrama, que se establezcan un manual
organizacional y las funciones y el perfil que deben cubrir los puestos
en el área de Unidad Informática; el cual haga responsable al
personal de crear nuevas estrategias de trabajo (Plan de trabajo) que
mejoren el servicio.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
4
Condición: La funciones de cada integrante del área de Unidad
Informática están especificadas, sin embargo no existe un
documento que sustente dichas funciones ya que estas se
establecieron verbalmente.
Criterio: Establecimiento de Roles y Responsabilidades COBIT 4.1
Causa: Reunión para establecer las funciones por escrito para que
responda conforme a lo establecido.
Efectos: No se tiene el interés de realizar actividades (como
monitoreo de la red) de gran importancia que resuelvan o reduzcan
problemas actuales.
Recomendaciones: Análisis de actividades que se deben llevar a
cabo para brindar un buen servicio de internet y establecer un
Manual Organizacional.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 68/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 68
No. DETALLENIVEL
RIESGOREF. INFORME
5
Condición: El personal de Unidad Informática recibe
capacitación 2 veces al año si embargo dichas capacitaciones
no están enfocadas a la función que ellos desempeñan en la
Universidad Tecnológica de Huejotzingo.
Criterio: PO4.12 Personal de TI de COBIT v4.1
Causa: Mediante una reunión llegar a un acuerdo en donde se
planteen capacitaciones objetivas al área, para formar personal
competente y la vanguardia.
Efectos: El personal presenta incompetencia al enfrentarse a
situaciones que requieren del conocimiento para resolverlas.
Recomendaciones: Capacitar al personal en temas que se
relacionan al área de trabajo.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicioOutsourcing
INFRAESTRUCTURA DE LA RED
6
Condición: No existe un Plan de Infraestructura de Redes.
Criterio: PO3.2 Plan de Infraestructura Tecnológica, PO3.4
Estándares Tecnológicos de COBIT v4.1
Causa: Programar una reunión con el director para
reestructurar el diseño de red.
Efectos: No existe un buen servicio de red (cableado e
inalámbrico).
Recomendaciones: Replantear un diseño eficiente y eficaz
que cubra con los requerimientos que satisfagan las
necesidades del servicio de red.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 69/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 69
No. DETALLENIVEL
RIESGOREF. INFORME
7
Condición: La infraestructura de red se encuentra en buenas
condiciones sin embargo no son óptimas para que se establezca
un buen servicio de internet a los usuarios.
Criterio: PO3.2 Plan de Infraestructura Tecnológica de COBIT
v4.1 y Gestión de la Infraestructura y Comunicaciones de TI de
ITIL v3.
Causa: La Universidad Tecnológica de Huejotzingo no cuenta
con los suficientes recursos económicos para solventar los
gastos de equipo de red más actualizado y que ofrezca mejores
servicios de red.
Efectos: El servicio outsourcing no cubre las necesidades de
los usuarios debido a que el mismo presenta deficiencias. Esto
provoca que las actividades que utilizan dicho servicio se
desarrollen con mayor tiempo y esfuerzo.
Recomendaciones: Debido a que la Universidad no cuenta con
un recurso económico para adquirir equipo sofisticado, será
necesario:
Restringir los servicios que no son de mayor relevancia para
los usuarios, es decir, asignar privilegios en la utilización de
los servicios los cuales deberán ser asignados de acuerdo a
las necesidades que los usuarios presenten, esto hará que el
servicio outsourcing más óptimo.
Establecer un plan de infraestructura de red que equilibre
costos, riesgos y requerimientos.
Definir estándares de Infraestructura de red basados en
requerimientos de arquitectura de información.
ALTA
MEDIA
BAJA
Cuestionariode Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 70/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 70
No. DETALLENIVEL
RIESGOREF. INFORME
SEGURIDAD
8
Condición: La mayoría de los problemas ocasionados en la
conexión a Internet son daños locales, es decir originados en la
universidad.
Criterio: Gestión de la Infraestructura y Comunicaciones de TI
de ITIL v3.
Causa: Monitoreo no adecuado de la red, la infraestructura no
es óptima para proveer el servicio y el personal del
departamento no se encuentra siempre que se le requiere lo
que ocasiona que los problemas no se resuelvan en un corto
tiempo.
Efectos: Deficiencias en el servicio de internet tales como:
No realizar actividades relevantes para el usuario:
contestar exámenes en línea, enviar algún trabajo,
búsqueda de información, etc.
Mayor tiempo en la consulta de páginas.
Recomendaciones:
Establecer nuevas estrategias para llevar un monitoreo
optimizado de la red, logrando que los problemas que se
presenten se han corregidos en menor tiempo.
Al establecer un plan de infraestructura de red óptimo nos
brindará mayor control sobre los riesgos que se presentan
en la red.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 71/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 71
No. DETALLENIVEL
RIESGO REF. INFORME
9
Condición: Los controles y procedimientos que protegen el
acceso a conexiones y servicios de red se establecieron
verbalmente, es decir, no existe algún documento que sustente
dichos controles y procedimientos.
Criterio: PO4.1 Marco de Trabajo de Procesos de TI COBIT4.1
Causa: El personal que pertenece al departamento de Unidad
Informática es reducido, por lo cual se cree que no es
conveniente establecer un documento de los controles y
procedimientos que protejan el acceso a conexiones y servicios
de red.
Efectos: Al ingresar un nuevo personal, se le dificultará
aprender los controles y procedimientos utilizados, lo cual
provocará que existan deficiencias en su trabaja y un mal
servicio al usuario.
Recomendaciones: Elaborar el documento que establece los
procedimientos y controles.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios deservicio
Outsourcing
10
Condición: Una de las limitantes para el acceso de internet es el
ancho de banda, debido que la Universidad Tecnológica no
cuenta con el ancho de banda suficiente para que el servicio de
internet cumpla las necesidades del usuario.
Criterio: Entrega de Servicio de ITIL v3
Causa: Falta de recursos económicos para adquirir mayor
ancho de banda, deficiencias en la distribución del ancho de
banda.
Efectos: Algunas aplicaciones que requieren el uso de este
servicio tardan en cargar; existen actividades que requieren eluso de más ancho de banda por lo que se suspende el servicio
para los demás usuarios y deficiencias en el servicio.
Recomendaciones: Realizar un análisis que contemple los
requerimientos de los usuarios y con ello distribuir
adecuadamente el ancho de banda. Contemplar la adquisición de
más ancho de banda.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios deservicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 72/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 72
No. DETALLENIVEL
RIESGO REF. INFORME
11
Condición: Los componentes físicos de la red no cubren todas
las características de la red debido a que estos son adquiridos
por que ofrecen una ventaja económica.
Criterio: AI3.1 Plan de Adquisición de Infraestructura
Tecnológica de COBIT v4.1
Causa: Falta de Recursos por parte de la Universidad
Efectos: Infraestructura de red no adecuada provocando
deficiencia en el servicio.
Recomendaciones: Establecer un Plan de Adquisición de
Equipo de red que se alinea con el Plan de Infraestructura deRed, es decir, el plan deberá de satisfacer los requerimientos
funcionales y técnicos del servicio de internet establecidos. El
plan debe considerar extensiones futuras para adiciones de
capacidad, costos de transición, riesgos tecnológicos y vida útil
de la inversión para actualizaciones de tecnología. Evaluar los
costos de complejidad y la viabilidad comercial del proveedor y el
producto al añadir nueva capacidad técnica.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
SERVICIO OUTSOURCING
12
Condición: No existe una comunicación eficaz entre el
proveedor de servicios y la Universidad Tecnológica de
Huejotzingo.
Criterio: PO4.15 Relaciones de COBIT v4.1
Causa: La comunicación existente entre el proveedor y el
departamento de unidad informática no es continúa, además de
que dicha comunicación no se establece entre el área
responsable de la unidad informática que es el área de
Administración de Finanzas
Efectos: La solución de problemas el servicio de internet será
resuelto en un periodo de tiempo mayor.
Recomendaciones: Establecer y mantener una estructura
óptima de enlace, comunicación y coordinación entre la función
de TI y el proveedor, a través de reuniones cada dos meses.
ALTA
MEDIA
BAJA
Cuestionario
de Control
Interno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 73/75
AUDITORIA OUTSOURCING“SERVICIO DE INTERNET” Universidad Tecnológica de Huejotzingo
Página 73
No. DETALLENIVEL
RIESGOREF. INFORME
13
Condición: Gemtel es una empresa dedicada a redes
inalámbricas, hosting, internet de alta velocidad y acceso remoto
dial up, sin embargo es confiable desde hace dos años, debido a
que mejoro el servicio ofrecido a la universidad.
Criterio: DS1 Definir y Administrar los niveles de Servicio
Causa: Establecer la confianza en un proveedor con lleva tiempo
y esfuerzo.
Efectos: El servicio puede presentar deficiencias y problemas
para los usuarios.
Recomendaciones:
Establecer un proceso para monitorear la prestación del
servicio para asegurar que el proveedor está cumpliendo con
los requerimientos del negocio actuales y que se apega de
manera continua a los acuerdos del contrato y a los
convenios de niveles de servicio, y que el desempeño es
competitivo respecto a los proveedores alternativos y a las
condiciones del mercado.
Revisar cada 2 meses con el proveedor, los acuerdos de
niveles de servicio y los contratos de apoyo, para asegurar
que son efectivos, que están actualizados y que se han
tomado en cuenta los cambios en requerimientos.
Contemplar la contratación de otros proveedores que
otorguen las mismas o mejores ventajas que la empresa
establecida actualmente, por medio de una licitación.
ALTA
MEDIA
BAJA
Cuestionario
de ControlInterno
Encuestas
aplicadas a
usuarios de
servicio
Outsourcing
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 74/75
Santa Ana Xalmimilulco Hue. Pue, a 28 de Octubre de 2010
Lic. Karina Gómez Puerto
Universidad Tecnológica de Huejotzingo
P R E S E N T E
Acorde con las instrucciones giradas por el consejo de administración de la Universidad Tecnológica de
Huejotzingo, me permito remitir a usted el dictamen de la auditoría aplicada al Servicio de Internet administrado
por el Departamento de Unidad Informática de la Universidad Tecnológica de Huejotzingo, haciendo especial
énfasis en la información sobre la estructura de la organizacional del departamento, Gestión Informática y
Redes, misma que se llevó a cabo del día 12 al 28 de octubre del presente año.
De los resultados obtenidos durante la evaluación me permito informarle a usted las siguientes
observaciones y no conformidades:
De acuerdo con las pruebas realizadas a la información sobre la estructura organizacional de
Departamento de Unidad Informática, Gestión Informática y Redes, me permito dictaminar que la red
inalámbrica que es una no conformidad mayor debido a que no es factible para la mayoría de los usuarios,
porque no hay suficiente ancho de banda para esta y no se cuenta con un plan de infraestructura de red.
Cabe mencionar que la Universidad Tecnológica de Huejotzingo tiene muy poco ancho de banda para la
red local, lo cual no es suficiente para los administradores, profesores y alumnos pertenecientes a la
universidad, además de que el encargado del área del departamento de Unidad informática no tiene el
inventario de hardware y estos ocasiona dos no conformidades menores, debido a que pueden ser controladas
y corregidas en muy poco tiempo.
Y por último cabe recordar como una observación que el Departamento de Unidad Informática no se
encuentra en la estructura organizacional de la institución y es administrado por un área que no está
debidamente relacionada con este departamento, además de que el personal perteneciente a este
departamento no es eficaz y eficiente para la solución de los problemas que se presentan en la red.
ATENTAMENTE
____________________________
TSU. Areli Rojano Calixto
AUDITOR SENIOR
5/11/2018 Auditoria Outsourcing - slidepdf.com
http://slidepdf.com/reader/full/auditoria-outsourcing 75/75
Anexos