INSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”

EXTENSIÓN PORLAMAR

ESCUELA DE INGENIERÍA DE SISTEMAS

AUDITORÍA Y EVALUACIÓN DE SISTEMAS

AUDITORÍA AL DEPARTAMENTO DE INFORMÁTICA DE LA

EMPRESA PALAP C.A.

Autores:

Ruby Vergara C.I 20.516.087

Charlenys Hernández C.I 20.537.703

Jose Leblanc C.I

Sección: Saia.

Prof. Lcdo. Eliecer Boadas

Porlamar, Enero de 2014

1

INDICE GENERAL

pp.

INTRODUCCIÓN

I. GERALIDADES DE LA EMPRESA

Naturaleza de la Empresa 6

Ubicación 7

Misión 7

Visión 7

Análisis Foda 9

Organigrama de la Empresa 10

Descripción de los Procesos y Funciones 10

Metodología Cobit 13

Modelo de Madurez 13

Auditoria de tics Aplicando Cobit 16

Área a Auditar 16

Reclutamiento de la Información. 16

Documentos de Gestión en el Área Informática 16

Herramientas y Técnicas 18

Motivo o Necesidad de la Auditoria. 18

Modelos de Madurez a Nivel Cualitativo (coso) 18

II. EJECUCIÓN DE LA AUDITORIA

Situación Actual del Área de Sistemas 20

Objetivos del Departamento 21

2

Seguridad del Departamento 22

Características de la plataforma Tecnológica 23

Determinación de los Problemas y Planteamiento de Hipótesis 25

Formulación de Hipótesis 25

Aplicación de la Auditoria 25

Modelo de Madurez de los Procesos 25

Reporte General de los Grados de Madurez 42

Resumen de Procesos y Criterios de Información por Impacto 43

Resultados Finales del Impacto Sobre los Criterios de Información 44

III. ANALISIS DE LOS RESULTADOS

Informe Técnico. 47

Informe Ejecutivo 54

IV. CONCLUSIONES Y RECOMENDACIONES

Recomendaciones 58

Conclusiones 60

GLOSARIO 61

REFERENCIAS BIBLIOGRAFICAS 63

ANEXOS 65

3

INTRODUCCION

La auditoria es una importante actividad que permite a las

organizaciones mejorar sus funciones en forma continua. Esta se basa en

una búsqueda para localizar los problemas o posibles desviaciones en los

procesos que se realizan dentro de la entidad abarca una revisión de los

objetivos, de los planes, los programas, y su estructura organizacional y

funciones; sus sistemas, procedimientos y controles, también al personal y

las instalaciones de la organización y el medio en que se desarrolla las

actividades organización. Esta técnica es muy fundamental para el desarrollo

y crecimiento de cualquier organización, dado que le otorgará interesantes

posibilidades de cambio y perfeccionamiento.

El COBIT es precisamente un modelo para auditar

la gestión y control de los sistemas de información y tecnología, orientado a

todos los sectores de una organización, es decir, administradores IT,

usuarios y por supuesto, los auditores involucrados en el proceso.  Se aplica

a los sistemas de información de toda la empresa, incluyendo los

computadores personales y las redes. Está basado en la filosofía de que

los recursos TI necesitan ser administrados por un conjunto

de procesos naturalmente agrupados para proveer la información pertinente

y confiable que requiere una organización para lograr sus objetivos.

En las Auditorias existen corrientes de pensamiento como procesos y

aspectos para evaluar el campo administrativo que pueden ser aplicados en

una empresa general o en un área específica , De igual manera todas las

empresas u organización que deciden aplicar auditorías a sus sistemas, en

sus procesos y procedimientos para lograr la efectividad en sus objetivos y

4

ser organizaciones eficientes; se rigen y se guían por medio de su

normatividad interna, de lo contrario las empresas declinarían hasta

desaparecer. Esta evalúa el grado de eficiencia y eficacia con que se

desarrollan las tareas administrativas y el grado de cumplimiento de los

planes y orientación de la gerencia, puede evaluar por ejemplo: los estados

financieros en su conjunto o una parte de ellos, el correcto uso de los

recursos humanos, el uso de materiales, equipo y su distribución,

contribuyendo con la gerencia para una adecuada toma de decisiones. Las

auditorias en las organizaciones son muy importantes, por cuanto la gerencia

sin la práctica de una auditoria no tiene plena seguridad de que los datos

económicos registrados realmente son verdaderos y confiables.

5

CAPÍTULO I

PLANTEAMIENTO DEL PROBLEMA

1.1 Características de la Empresa

1.1.1Naturaleza de la Empresa

PALAP C.A es una empresa venezolana que presta sus servicios a

nivel regional y nacional en el área de seguridad laboral y tiene como

finalidad, culturizar en materia de salud y seguridad laboral a empresas, con

lo cual se desarrollan programas sistemáticos de adiestramiento, estudios en

materia de higiene y salud ocupacional con la finalidad de minimizar los

riesgos y evitar accidentes laborales que vayan en prejuicio de la compañía,

patrono y trabajadores.

La misma le presta servicios a organizaciones tales como Aluminios

del Occidente, C.A., Mitsubishi Motors Company, S.A., Petroquímica de

Venezuela, S.A., Petrocedeño, S.A, Restaurante El Remo, C.A. Frigorífico

Los Tavares, C.A, Mangueras Industriales Mayor, C.A., Metanol de Oriente,

C.A, Promotora Guaica, C.A, Distribuidora POPA, C.A. entre otros.

Actualmente esta empresa sigue consolidando su cartera de clientes

para lograr que desarrollen las mejores condiciones de higiene, seguridad y

salud laboral apegados a las exigencias de Ley.

PALAP C.A fue fundada el 11 de Octubre del 2006 por la Ing. Ruby

Morales y el Ing. Emilio Delgado.

6

1.1.2 Ubicación Geográfica

La oficina principal de la empresa PALAP C.A se encuentra ubicada

en la Av. Rómulo Betancourt, Centro Empresarial El Viejo Aeropuerto,

Mezzanina, Oficina # 5, Porlamar, Municipio Mariño, Estado Nueva Esparta.

Imagen1: Autor:

MapsGoogle.com.Fuente:http://maps.google.co.ve/maps

1.1.3 Misión

Brindarle asesoría técnica - legal especializada a las empresas, en la

prevención de los accidentes laborales para minimizar los riesgos de

ocurrencia de los mismos.

1.1.4 Visión

Ser líderes en el Oriente del País en todo lo referente al área de la

seguridad y salud en el trabajo y Alcanzar para nuestros clientes estadísticas

7

mínimas de ocurrencias de accidentes laborales y enfermedades

profesionales.

1.1.5 Objetivos Estratégicos

Contar con un equipo multidisciplinario de profesionales altamente

calificados con amplia trayectoria en el área.

Lograr el mayor cumplimiento de los distintos regímenes de las Leyes

Venezolanas como la Ley Orgánica de Prevención, Condiciones y Medio

Ambiente de Trabajo (LOPCYMAT) y su Reglamento Parcial, el

Reglamento de la Condiciones de Higiene en materia de Salud e Higiene

Ocupacional, las Normas Técnicas Internacionales que regulan la materia

y las Normas COVENIN.

Ejercer un liderazgo que impulse a la Organización hacia la nueva Visión,

comprometiéndola y motivándola en todos sus niveles.

Fomentar el trabajo en equipo y la ejemplaridad, reconociendo y valorando

la iniciativa y las contribución de cada persona

Proveer conductas proactivas de aportación y cooperación en todos los

niveles de la empresa.

Orientar los resultados hacia una gestión más flexible, ágil y con procesos

eficientes.

Mejorar continuamente la competitividad y calidad de sus servicios,

anticipándose a las necesidades con rapidez y agilidad.

Mantener un comportamiento intachable, alineado con rectitud y

honestidad.

Difundir información adecuada y fiel de lo que se hace.

1.1.5.1 Análisis FODA (Fortalezas, Oportunidades, Debilidades y

Amenazas)

8

Según milagrosazzi.aprenderapensar.net, documento en línea: El

Análisis FODA es una metodología de estudio de la situación competitiva de

una empresa en su mercado (situación externa) y de las características

internas (situación interna) de la misma, a efectos de determinar sus

Fortalezas, Oportunidades, Debilidades y Amenazas. (Ver Cuadro 1)

Análisis Interno

Fortalezas Debilidades

Negocio rentable.

Alto nivel de compromiso y

predisposición para brindar

sus servicios.

Ingresos económicos altos.

Personal capacitado.

Poco personal

Empresa de nivel nacional

pero ubicada en margarita.

Análisis Externo

Oportunidades Amenazas

Costos operativos bajos

debido a la utilización de

tecnología de información.

Fidelidad de los clientes con la

empresa.

Cambios repentinos del precio

de los talleres, cursos y

eventos.

Aumento de la competencia.

Cuadro 1: Análisis FODA. Fuente: Elaboración Propia.

1.1.5.2 Metas Organizacionales

Corto plazo

Satisfacer la demanda de los clientes y empresas asociadas.

Mediano plazo

9

Ampliar la cartera de clientes.

Largo plazo

Incrementar los eventos y cursos de adiestramientos.

1.1.6 Organigrama de la Empresa

A continuación se presenta la organización jerárquica de la

organización en la imagen 2: (Ver Imagen 2)

Imagen 2. Organigrama de la Empresa. Fuente: PALAP C.A

1.1.6.1 Descripción de los Procesos y Funciones

Presidente

El presidente personal con mayor jerarquía en la empresa, vela por el

correcto funcionamiento de todas las áreas de la empresa, participando

activamente en las actividades de la junta directiva, dirigiendo la toma de

decisiones, aceptando y rechazando actualizaciones en los registros,

procesos y TI. Además de recibir a cualquier empleado el cual deba

señalar cualquier actividad irregular y este no desee hacerlo a su superior

inmediato, en tal caso el gerente de dicho departamento.

Junta Directiva

10

Junta Directiva

RRHHAdministración

Informática

La Junta Directiva es la encargada de dirigir el entorno de toda la

organización desarrollando planes de acción, ejecutando constantes

controles internos en cada área de la organización, tomando decisiones en

fallas esperadas e inesperadas producto de los planes de operación

empresarial. Por otro lado, esta alta gerencia se encarga de recibir los

informes provenientes de los análisis de auditoría y los de registros

contables, para que en los puntos que se haya identificadas fallas sean

analizados en conjunto de la presidencia para darle la solución adecuada.

Por otro lado, la junta directiva es la encargada de servir como ejemplo a

cada departamento y empleado de cómo actual de una manera eficaz y

eficiente, para alcanzar de esta manera los objetivos colectivos e

individuales definidos en cada etapa nueva de trabajo. Además, se deben

establecer los tiempos y momentos adecuados para que todos los

empleados sean llevados a cursos y talleres para aumentar sus

conocimientos y presten un mejor servicio en sus puestos de trabajo en la

empresa.

Firmas Externas (Contadores-Auditores)

Las Firmas Externas, se encargan de realizar labores de revisión y

control de las operaciones internas en cada área de la empresa (Auditores)

para corregir posibles filtros de información que puedan afectar a futuro la

operatividad de la empresa. Por otro lado, las actividades de registro

contable (Contable) una vez analizadas son presentadas a través de libros

contables y su correspondiente informe de ganancias y pérdidas lucrativas a

junta directiva y presidencia. Ambas firmas una vez presentados los

informes, dan a conocer sus recomendaciones a la alta gerencia para evitar

que se produzcan los errores identificados en las operaciones de la empresa.

Informática

11

El departamento de informática, es el encargado de generar los

planes de recuperación de desastres avalados por la junta directiva en caso

de que se produzcan daños graves al sistema de información. Además, se

identifica que así como se tienen plantes de recuperación, se encuentran

también planes para evitar daños a la IT.

Además, de realizar la instalación y mantenimiento de la red con

la que cuenta la Empresa. Por otro lado, el departamento de informática,

es el encargado del correcto funcionamiento del sistema contable sin

realizar modificaciones al código fuente ya que dicho sistema pertenece a la

firma contable.

En cuanto al funcionamiento del sistema de información de la

empresa, este es dirigido en conjunto del departamento de informática y

el departamento de administración, donde el administrador identifica los

módulos del sistema que hay que actualizar, crear o eliminar y el gerente

del área de informática se encarga realizar dichos ajustes.

Administración

El departamento de administración, se encarga de la correcta

ejecución de los planes de acción diseñados por la alta gerencia, así como

de generar los reportes de aprobación de recursos que se necesiten para el

funcionamiento de los demás departamento que conforman la organización.

Por otro lado, el administrador además de dirigir los planes de acción,

participa activamente en el departamento de informática, específicamente

en la TI utilizada por cada empleado en la empresa.

El administrador tiene contacto directo con la junta directiva, esto

no quiere decir que pertenezca a la misma, ya que en las normas de la

empresa no se permite que ningún gerente pertenezca a la alta gerencia, lo

12

cual pueda prestarse para alterar resultados y conclusiones de los controles

internos y auditorias.

RHH

Departamento encargado del bienestar de los empleados y la correcta

operatividad de los mismos en la organización, señalando que es un

intermediario para asignar bonificaciones, asensos, sanciones, despidos,

entre otros.

1.2 METODOLOGIA COBIT

1.2.1 Modelo de Madurez

Una necesidad básica de toda empresa es entender el estado de

sus propios sistemas de TI y decidir qué nivel de administración y control

debe proporcionar. Para decidir el nivel correcto, la gerencia debe

preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el

beneficio?. La obtención de una visión objetiva del nivel de desempeño

propio de una empresa no es sencilla, por ello COBIT atiende estos temas a

través de:

Modelos de madurez.

Metas y mediciones de desempeño para los procesos de TI.

Metas de actividades para facilitar el desempeño efectivo de los

procesos.

Los modelos de madurez, facilitan la evaluación por medio de

benchmarking y la identificación de las mejoras necesarias en la capacidad.

En cuanto a la gerencia, constantemente está buscando herramientas de

evaluación para benchmarking y herramientas de auto-evaluación como

respuesta a la necesidad de saber qué hacer de manera eficiente. Este

modelo de control se puede evaluar de un nivel no existente (0) hasta un

13

nivel optimizado; este modelo es derivado del Software Engineering

Institute definió para la madurez de la capacidad del desarrollo de un

software.

Este modelo de COBIT no busca medir los niveles de forma precisa o

probar a certificar que un nivel se ha conseguido; lo cual resultara en un

perfil donde las condiciones relevantes de los niveles de madurez se han

conseguido, tal como se muestra en el siguiente ejemplo: (Ver Imagen 3)

Imagen 3. Niveles de Modelos de Madurez de COBIT. Fuente: Augusto

Martin

Estas escalas pueden variar según las necesidades del auditor,

sin embargo, deben ser claras, precisas y fáciles de entender para lograr un

consenso amplio y que motiven la mejorar de TI.

Estos niveles, en el modelo genérico de COBIT se describen a

continuación:

14

1 No Existe

Carencia completa de cualquier proceso reconocible. La empresa

ni ha reconocido siquiera que existe un problema a resolver.

2 Inicial

Existe evidencia que la empresa ha reconocido que los problemas

existen y requieren ser resueltos. Sin embargo, no existen procesos

estándar en su lugar existen enfoques que tienden a ser aplicados de forma

individual o caso por caso. El enfoque general hacia la administración es

desorganizado. Existe un alto grado de confianza en el conocimiento de los

individuos y, por lo tanto, los errores son muy probables.

3 Definido

Los procedimientos se han estandarizado y documentado, y se han

difundido a través de entrenamiento. Sin embargo, se dejan que el individuo

decida utilizar estos procesos, y es poco probable que se detecten

desviaciones. Los procedimientos en sino son sofisticados pero formalizan

las prácticas existentes.

4 Administrado

Es posible monitorear y medir el cumplimiento de los procedimientos y

tomar medidas cuando los procesos no estén trabajando de forma

efectiva. Los procesos están bajo constante mejora y proporcionan

buenas prácticas. Se usa la automatización y herramientas de una manera

limitada o fragmentada.

15

5 Optimizado

Los procesos se han refinado hasta un nivel de mejor práctica, se

basan en los resultados de mejoras continuas y en un modelo de madurez

con otras empresas. TI se usa de forma integrada para automatizar el flujo

de trabajo, brindado herramientas para mejorar la calidad y la efectividad,

haciendo que la empresa se adapte de manera rápida.

1.2.2 Auditoria de TIC`s con COBIT

1.2.2.1 Área a Auditar

La auditoría realizada por Charlenys Coromoto Hernández, Ruby

Vergara y José Leblanc será en el departamento de informática la cual es el

que administra la TI de la empresa PALAP C.A.

1.2.2.2 Reclutamiento de la Información

Previamente se aplico la observación directa para luego utilizar la

guía de entrevista de la TI utilizada en la empresa. Por otro lado, el gerente

de computación proporciono al azar informes entregados por auditores

sobre el departamento en cuestión y la TI; estos informes fueron una

herramienta de importancia para la ejecución de la presente auditoria.

1.2.2.3 Documentos de Gestión del Departamento de Informática

Controles internos.

Auditorias.

Reload de software.

Reload de las TI.

Reload de las TIC`s.

Presupuestos solicitados a administración para el reemplazo de

equipos.

16

Informes detallados de información actualizada, removida y

borradas aprobadas por presidencia avaladas con la firma del director.

Registros de información semanal (memorias externas).

Registros de información mensual y trimestral relevante,

confidencial e importante para el funcionamiento operacional de la

organización, como respaldo a posibles riesgos tanto naturales como

a riesgos de accesos no permitidos.

1.2.2.4 Seguridad de Datos y Equipo de Computo

Para el plan del desarrollo de la auditoria, se cuenta con la asistencia

del gerente y las actividades que se llevaran a cabo se describen en el

cuadro 2: (Ver Cuadro 2)

No ACTIVIDADES

1 Análisis y observación general en el área de informática

2 Realizar entrevista con el jefe del dpto. informática

3 Verificar si los equipos con que se cuentan existen o concuerdan en el

inventario.

4 Analizar los documentos de gestión y técnicos con que se cuentan.

5 Evaluar las claves de acceso, control, seguridad, confiabilidad y

respaldo.

6 Valorar las tecnologías de información tanto en hardware y software.

7 Evaluación de la seguridad física, lógica y de redes.

Cuadro 2. Actividades a Ejecutar en el Desarrollo de la Auditoria.

17

1.2.2.5 Herramientas y Técnicas

Herramientas

Las herramientas a utilizar para la recolección de información son:

Sistema Operativo Windows 7.

Microsoft Office 2007.

Block de Notas.

Lapiceros.

Hojas Blancas.

Técnicas

Las técnicas a utilizar para la recolección de información son:

Observación Directa.

Guía de Entrevista.

1.2.2.6 Motivo o Necesidad de una Auditoria Informática

Certificar los informes presentados de auditorías anteriores y los

correspondientes controles internos dictaminados por la Junta

Directiva.

Búsqueda de brechas de seguridad no identificadas en auditorias

y controles internos efectuados con anterioridad.

1.2.2.7 Modelo de Madurez a Nivel Cualitativo (COSO)

A continuación se representa en el cuadro 3 (Anexo 1) el impacto

de los objetivos de control de COBIT4.1 sobre los criterios y recursos de TI.

La nomenclatura utilizada en los criterios de información para esta tabla es la

siguiente (P), cuando el objetivo de control tiene un impacto directo al

requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es

18

decir no completo sobre el requerimiento, y finalmente () vacío, cuando el

objetivo de control no ejerce ningún impacto sobre el requerimiento, en

cambio cuando se encuentra con (X) significa que los objetivos de control

tienen impacto en los recursos, y cuando se encuentra en blanco (), es

que los objetivos de control no tienen ningún impacto con los recursos.

Por otro lado, se organizaran los criterios de de la información,

asignando un porcentaje a los distintos valores de impacto identificados en

el cuadro 3. Este porcentaje se establecerá en base a la propuesta

metodológica para el manejo de riesgos COSO (Sponsoring Organizations

of the Treadway), como se muestra en el cuadro 4: (Ver Cuadro 4)

CALIFICACIÓN IMPACTO PROMEDIO

41% 41% Alto 75

42% 55% Alto 67

49% 35% Medio 60

96% 3% Medio 62

Cuadro 4. Promedio de Impactos. Fuente COBIT 4.1

CAPITULO II

19

EJECUCION DE LA AUDITORIA

Departamento de Informática

2.1 Situación Actual del Departamento

El Departamento de Informática, es un área fundamental para la

organización debido a que allí es donde se administra la TI, las redes, los

respaldos de información, entre otras actividades, las cuales concentran

gran cantidad de información confidencial y de uso general para cada Área

Funcional de la empresa en estudio.

Cargos Funcionales y Operativos

Los trabajadores con los que cuenta el Departamento de Computación

son:

1 Jefe de departamento: el cual debe dirigir las operaciones de su

oficina y velar por el correcto uso de los equipos por los demás

empleados a través de charlas e inducción si es que realizan

instalaciones o reemplazos con equipos y programas nuevos.

Además, supervisa las actividades llevadas a cabo por su grupo de

técnicos especializados en distintas áreas informáticas. Por otro lado,

debe permanecer en constante comunicación con el departamento de

administración notificando irregularidades y actualizando o creando

módulos en la TI solicitados por el administrador previo análisis y

estudio.

2 Técnicos Especializados: empleados especializados en áreas

de redes y computación, los cuales ejecutan las operaciones

dictaminadas por el jefe del departamento.

2.1.1 Objetivos del Departamento

20

Los objetivos asignados al departamento por la Junta Directiva son:

Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema

contable.

Mantener el personal actualizado en cuanto a los avances

tecnológicos documentándolos a través de investigaciones, cursos,

charlas, entre otros.

Proporcionar informe a la Junta Directiva, donde se recomienda la

adquisición, reemplazo o actualización de hardware y software tanto

para el departamento como para las demás áreas de la empresa.

Realizar el análisis de datos, correspondiente a los sistemas

informáticos, facilitando su posterior estudio en la Junta Directiva y

futuras Auditorias.

Mantener en correcto funcionamiento de la red con la que trabaja

PALAP C.A, además de solucionar cualquier eventualidad en la red,

topología, direccionamiento, entre otros, que pudiese detener la

operatividad de la empresa.

Mantener actualizado los registros computarizados, la TI y los

respaldos de información en unidades externas semanales y

mensuales.

Almacenar digitalmente los informes contables, de los controles

internos, de las auditorias y otros documentos legales. Asimismo,

como se plantean los objetivos de la Junta Directiva anteriormente

citados, el departamento define sus objetivos individuales como

departamento y los objetivos personales de cada empleado que lo

conforma. En este aspecto, se señala que los objetivos pueden variar

en cuanto a la aplicabilidad, pero siempre en busca de alcanzar el

bienestar y crecimiento operacional de la empresa.

2.1.2 Seguridad del Departamento

21

Seguridad Física

Entre las medidas de seguridad física con las que cuenta el

departamento de computación se encuentran:

Sistema de alarmas de detección de incendio.

Puntos clave tanto en el departamento como en toda la oficina con

extintores avaluados por el cuerpo de bomberos del estado Nueva

Esparta.

Todos los puntos de corriente fueron instalados con un UPS

interno para evitar la pérdida de información y daños en los equipos

por altibajos eléctricos.

Temperatura adecuada para los equipos electrónicos.

El servidor, computadores, impresoras y demás equipos electrónicos

cuentan con los espacios adecuados, con correcto posicionamiento

del cableado.

Seguridad Legal

Entre las medidas de seguridad legal con las que cuenta el

departamento de computación se encuentran:

El jefe de departamento hace uso de estándares de seguridad de

datos y calidad de la información.

La empresa cuenta con licencias legales para el uso del sistema

operativo Windows.

Las auditorias, se dejan asentadas por escrito en documentos

legales para asegurar su valides.

Todos los equipos electrónicos, dispositivos, comunicadores, entre

otros, al llegar a la oficina de PALAP C.A son almacenadas las

facturas tanto en físico como digitalmente.

Seguridad de Datos

22

Entre las medidas de seguridad de datos aplicadas en el

departamento de computación se encuentran:

Respaldo Semana de las operaciones de TI y actividades contables.

Respaldo relevante de datos en unidades de almacenamiento externo.

La TI, sistemas contable y de información cuenta con niveles de

acceso para los usuarios para evitar la pérdida, daño o robo de datos

en la organización.

Seguridad de Personas

Entre las medidas de seguridad del personal en el departamento de

computación se encuentran:

Revisión en el transcurso del año de los equipos y alarmas contra

incendios.

Adiestramiento al personal de salidas de emergencia y protección en

caso de desastres naturales.

Entre otros.

2.1.3 Características De La Plataforma Tecnológica

A- Hardware

Nombre

del

Equipo

Características Utilidad

Pc

server

Procesador

HDD

Ram

Intel Core Duo 2.0GHz

512 Gb

2 Gb

Servidor

Pc1

Pc2

Pc3

HDD 512 Gb PC para administrar sistema

de información en cada

Área relacionada con el

Ram 2 Gb

Monitor Dell 17 E176fp

23

Pc4

Pc5

departamento de

Informática.Impresora Multifuncional HP

5200

Cuadro 6. Hardware de PC y Servidores en la Red. Fuente: PALAP

C.A

b- Software

Nombre del

Equipo

Sistema Operativo

Pc server, Pc1,

Pc2, Pc3, Pc4,

Pc5.

Microsoft Windows

Seven Ultimate

Cuadro 7. Software de PC y Servidores en la Red. Fuente: PALAP C.A

Topología de la Empresa

La empresa con el servicio de internet ABA de la empresa Cantv,

donde la topología de

red aplicada es la de tipo

estrella, tal como se

muestra en la imagen 4: (Ver

Imagen 4)

Imagen 4. Topología de

Red Estrella Aplicada en la Organización. Fuente PALAP C.A

Caracterización de la Carga

24

La empresa cuenta con un servidor el cual asigna las direcciones IP,

Mascara y Gateway correspondiente a cada computador de las distintas

áreas. Es de hacer notar que aunque los equipos se encuentran en oficinas

distintas los diferentes operadores pueden acceder a sus módulos

departamentales desde otras oficinas ya que cada usuario posee un nivel

de acceso correspondiente a su jerarquía y departamento al cual

pertenezca.

2.1.5 Determinación de Hipótesis

En la búsqueda de datos se evidencio un departamento sumamente

seguro tanto a nivel físico como en la confidencialidad de los datos;

además los registros de auditorías y controles internos han arrojando

excelente resultados en cuanto a la correcta ejecución del plan estratégico

definida por la junta directiva. Sin embargo, se identificaran posibles fugas de

información debido a técnicas aplicada en la TI que debieran ser corregidas y

presentarlas para un posterior análisis.

2.2 Aplicación de la Auditoria

2.2.1 Modelo de Madurez de los Procesos

A continuación se mostrara el análisis de los diferentes objetivos de

COBIT 4.1, en los siguientes cuadros:

25

Cuadro 8. PO1 de COBIT 4.1

26

Cuadro 9. PO2 de COBIT 4.1

27

Cuadro 10. PO3 de COBIT 4.1

28

Cuadro 11. PO4 de COBIT 4.1

29

Cuadro 12. PO5 de COBIT 4.1

30

Cuadro 13. AI1 de COBIT 4.1

31

Cuadro 14. AI2 de COBIT 4.1

32

Cuadro 17. AI4 de COBIT 4.1

33

Cuadro 18. AI5 de COBIT 4.1

34

Cuadro 19. DS1 de COBIT 4.1

35

Cuadro 22. DS4 de COBIT 4.1

36

Cuadro 23. DS5 de COBIT 4.1

37

Cuadro 24. ME1 de COBIT 4.1

38

Cuadro 25. ME2 de COBIT 4.1

39

Cuadro 26. ME3 de COBIT 4.1

40

Cuadro 27. ME4 de COBIT 4.1

41

2.2.2 Reporte General de Grados de Madurez

Los grados de madurez en los diferentes objetivos de COBIT 4.1

aplicados en la empresa, se presentan a continuación en el cuadro 28: (Ver

Cuadro 28)

42

Cuadro 28.Reporte General de Grados de Madures de la empresa PALAP

C.A.

2.2.3 Resumen de procesos y criterios de información por

impacto:

Dominio: Planear y Organizar (PO)

PALAP C.A a logrado en el dominio PO, un alto nivel en su

procedimientos estratégicos, sin embargo existen espacios que aún le faltan

promover y realizar mayor seguimiento para comparar con las demás que se

encuentran en su punto optimo.

Dominio: Adquirir e Implementar (AI)

En este dominio, la empresa PALAP C.A se encuentran con una

buena dirección operacional basándose estrictamente en la adquisición e

implantación de herramientas en base a las necesidades de los planes

estratégicos definidos por la Junta Directiva; sin embargo, se recomida

ampliar la visión más allá de las necesidades de estos planes para identificar

si herramientas más avanzadas o nueva puedan alcanzar un objetivo más

optimo u otros puntos de interés de la empresa.

Dominio: Entrega y Dar Soporte (DS)

En este aspecto PALAP C.A, se encuentra en un nivel casi óptimo

donde se evidencia el interés de la Alta Gerencia por la satisfacción a

clientes y el crecimiento interno para prestar cada periodo un mejor servicio.

Dominio: Monitorear y Evaluar (ME)

A través de la auditoría realizada a la empresa PALAP C.A, se

evidencio la importancia asignada por la alta gerencia al monitoreo y

evaluación de la correcta ejecución del gobierno que se planifica bajo

estrictos niveles de importancia.

43

2.2.4 Resultados finales del impacto sobre los criterios de

Información

A continuación se presentara el análisis correspondiente a los criterios de

información:

Efectividad

La efectividad tuvo un criterio del 80%, por lo que se puede afirmar

que los procesos y planes diseñados por la alta gerencia de PALAP C.A es

sumamente efectiva la cual se encuentra en la última escala de operatividad;

cabe destacar que todavía existen fases en las cuales hay que hacer

correcciones para alcanzar mayor productividad.

Eficiencia

La eficiencia de la TI y los procesos de control y monitoreo se

evidencia con un 85%, dando a entender que al ser dirigidos y gobernados

eficientemente los sistemas como los empleados los objetivos de la empresa

se han alcanzado y superado periodo tras periodo.

Confidencialidad

La confidencialidad de la información y procesos es un aspecto

sumamente a la empresa, por lo tanto para el acceso a la misma se han

diseñado niveles de acceso a la misma y esto se respalda tras una evidencia

de control con valor de 90%, donde el pequeño rango faltante para llegar al

punto optimo es la falta de inversión en herramientas y técnicas más

avanzadas que las que se identifican como necesarias para la ejecución del

plan estratégico, por lo tanto al cubrir esta falla, debería alcanzar un nivel

optimo dicho criterio.

44

Integridad

La integridad de la información y la TI, es casi óptima, dicho resultado

se respalda tras las evidencias recolectadas las cuales alcanzaron un 80%,

donde se podría tener un mayor rango si se implantaran herramientas más

avanzadas que las actuales.

Disponibilidad

La disponibilidad de la información a través de la TI, se encuentra en

un porcentaje de 90% aunque se encuentran en un nivel excelente, este

promedio podría mejorar al actualizar los sistemas, ya que habría que

modificar ciertas condiciones y reemplazar equipos actuales por unos más

sofisticados, sin embargo se identifica la operatividad de este criterio como

aceptable para la auditoria.

Cumplimiento

El cumplimiento del plan estratégico y los objetivos para el

departamento de computación (directamente a la TI), se encuentra en el

ultimo nivel con un 70% de correcta ejecución. Este resultado se evidencia

debido a los constantes controles internos y la correcta ejecución de

auditorías en los tiempos establecidos por la alta gerencia, donde los

resultados son analizados y tomados en cuenta para ser aplicado a corto

plazo, si se llegasen a identificar como necesarios por la junta directiva.

Confiabilidad

Este criterio es uno de los más importantes y además uno con el

mayor rango en evidencia operacional eficiente con un 70%, ya que tanto el

departamento de computación como la junta directiva, tienen planes tanto de

operación diaria como planes de emergencia al presentarse alguna falla y de

45

esta manera asegurar la continuidad operacional. Cabe destacar que la

confiabilidad no es solo operacional sino estratégica y de los datos

almacenados.

46

CAPITULO III: ANALISIS DE LOS RESULTADOS

3.1. INFORME TÉCNICO

Alcance

La auditoría pretende evaluar el departamento de informática de la

empresa PALAP C.A mediante el proceso el auditor proporcionará

conclusiones y recomendaciones a las actividades que son realizadas en

dicha organización empleando la metodología COBIT 4.1.

Objetivos

Objetivo General

Realizar auditoria al departamento de informática PALAP C.A

mediante el uso de la metodología COBIT 4.1.

Objetivos Específicos

Identificar los problemas técnicos en el departamento de

Informática de Palap C.A y sus posibles soluciones.

Elaborar Informes de auditoría en los que se establezca hechos

relevantes.

Evaluar la seguridad en el área informática.

Resultados de la Evaluación de cada proceso:

Dominio Planear y Organizar

PO1. Definir un plan estratégico.

Conclusión.- el proceso se encuentra en el nivel de madurez debido a

47

que no cuenta con un plan estratégico establecido.

Recomendación Cobit: Alinear el departamento de sistema con el negocio,

e instruir a los encargados del área sobre las capacidades tecnológicas de la

actualidad y el futuro.

PO2. Definir la Arquitectura de la Información.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, a pesar de

su importancia no se elabora.

Recomendación Cobit: Definir e implementar procedimientos para brindar

integridad y consistencia de los datos o información crítica y sensible que se

encuentran almacenados en el departamento de informática de Palap C.A.

PO3. Determinar la Dirección Tecnológica.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que

el desarrollo de componentes tecnológicos e implantación de tecnologías

emergentes son aisladas.

Recomendación Cobit: Crear y mantener un plan de conferencias

tecnológica que se empareje con los planes estratégicos.

PO4. Definir los Procesos la Organización y las Relaciones del Departamento

de Sistemas.

Conclusión.- el proceso se encuentra en el nivel de madurez 2 puesto que

las necesidades de los usuarios y relaciones con las personas que desean recibir

conferencias y se responden de forma táctica aunque inconsistentemente.

Recomendación Cobit: Definir un marco de trabajo para el proceso del

departamento de infraestructura para ejecución del plan estratégico, incluyendo la

estructura y relaciones de procesos.

PO5. Administrar la Inversión del Departamento de Infraestructura.

Conclusión.- la responsabilidad y rendición de cuenta para la selección de

presupuestos de inversiones son asignadas en específico al Jefe del

48

departamento de sistemas y el jefe del departamento financiero.

Recomendación Cobit: Incluir un análisis de costo y beneficio a largo plazo

del ciclo total de vida en la toma de decisiones de inversiones.

Dominio Adquirir e Implementar.

AI1. Identificar Soluciones Automatizadas.

Conclusión.- el proceso se encuentra en el nivel de madurez 1 puesto que

existe la conciencia de la necesidad de definir requerimientos y de identificar

soluciones tecnológicas, las necesidades son analizadas de manera informal y por

ciertos individuos.

Recomendación Cobit: Resaltar, priorizar, especificar los requerimientos

funcionales y técnicos del departamento de sistemas de Palap C.A. priorizando el

desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad,

la disponibilidad, y continuidad, la funcionalidad y la legislación.

AI2. Adquirir y Mantener Software Aplicativo.

Conclusión- el proceso se encuentra en el nivel de madurez 2 por cuanto

existen procesos de adquisición y mantenimiento de software aplicativo en base a

la experiencia.

Recomendación Cobit: Realizar un diseño detallado, y los requerimientos

técnicos del software y garantizar integridad de la información.

AI3. Adquirir y Mantener la Infraestructura Tecnológica.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no

se cuenta con un plan de adquisición de tecnología, por Io tanto no se controlan

los procesos de adquirir, implantar y actualizar infraestructura tecnológica.

Recomendación Cobit: Proteger la infraestructura tecnológica mediante

medidas de control interno, seguridad durante la configuración, integración y

mantenimiento de hardware y software de la infraestructura tecnológica.

49

AI4. Facilitar la Operación y el Uso.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que

no existe una generación de documentación, pero se tiene la conciencia de que es

necesario.

Recomendación Cobit: Realizar transferencia de conocimientos a la parte

gerencial Io cual permitirá que tomen posesión del sistema y los datos.

AI5. Adquirir Recursos de Tecnología de Información.

Conclusión- el proceso se encuentra en el nivel de madurez 4, ya que la

adquisición se integra totalmente con los sistemas generales del gobierno, sigue el

proceso de compras públicas en de algún recurso de tecnología de información.

Recomendación Cobit: Establecer buenas relaciones con la mayoría de

Especialistas y socios y hacer cumplir los derechos y obligaciones de ambas

partes en los términos contractuales.

Dominio Entregar Y Dar Soporte

DS1. Definir y Administrar los Niveles de Servicio.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no

se administra los niveles de servicio, la rendición de cuentas no se encuentra

definido realmente.

Recomendación Cobit: Se debe definir un marco de trabajo para la

administración de los niveles de servicio y realizar un monitoreo y reporte del

cumplimiento.

DS2. Administrar los Servicios de Terceros.

Conclusión.- el proceso se encuentra en el nivel de madurez 3 por cuanto

existen procedimientos documentados para controlar los servicios de terceros, los

procesos son claros para realizar la negociación con los proveedores.

Recomendación Cobit: Establecer criterios formales y estandarizados para

realizar la definición de los términos del acuerdo y asignar responsables para la

50

administración del contrato y del proveedor.

DS3. Administrar el Desempeño y la Capacidad.

Conclusión- el proceso se encuentra en el nivel de madurez 1, puesto que

los usuarios regularmente tienen que resolver los inconvenientes que se presenten

para aplacar las limitaciones de desempeño y capacidad.

Recomendación Cobit: Establecer métricas de desempeño y evaluación de

la capacidad y realizar un monitoreo continuo del desempeño y la capacidad de

los recursos.

DS4. Garantizar la Continuidad del Servicio.

Conclusión.- el proceso se encuentra en el nivel de madurez ,1 por cuanto

no se cuenta con un plan de continuidad de servicios.

Recomendación Cobit: Realizar pruebas regulares del plan de continuidad,

de forma que asegure que los sistemas sean recuperados de forma efectiva.

DS5. Garantizar la Seguridad de los Sistemas.

Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que la

seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el

Jefe del departamento de sistemas, no existen responsabilidades claras.

Recomendación Cobit: Realizar pruebas a la implementación de la

seguridad, de igual forma monitorearla, para garantizar que las características de

posibles incidentes de seguridad sean definidas y comunicadas de forma clara y

oportuna.

Dominio Monitorear y Evaluar.

ME1. Monitorear y Evaluar el Desempeño del Departamento de Informatica.

Conclusión- el proceso se encuentra en el nivel de madurez 0, por cuanto

no se cuenta con un proceso implementado de monitoreo, así como con reporte

útiles, oportunos y precisos sobre el desempeño.

Recomendación Cobit: Definir y recolectar los datos del monitoreo

51

mediante un conjunto de objetivos, mediciones, metas y comparaciones de

desempeño, comparándolo periódicamente con las metas.

ME2. Monitorear y Evaluar el control Interno.

Conclusión.- el proceso se encuentra en el nivel de madurez 0, por cuanto,

No se tiene procedimientos para monitorear la efectividad de los controles

internos.

Recomendación Cobit: Realizar una auto-evaluación del control interno de

la administración de procesos, políticas y contratos, mediante revisiones de

terceros asegurar la completitud y efectividad de los controles internos.

ME3. Garantizar El Cumplimiento Regulatorio.

Conclusión.- el proceso se encuentra en el nivel de madurez 1 por cuanto,

se siguen procesos informales para mantener el cumplimiento regulatorio.

Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos del

comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad

intelectual, etc.

M4. Proporcionar Gobierno De Tecnología de Información.

Conclusión.- el proceso se encuentra en el nivel de madurez 0 por cuanto

no existe procesos de gobierno.

Recomendación Cobit: Contribuir al entendimiento del consejo directivo y

de los ejecutivos sobre temas estratégicos y garantizar la optimización de la

inversión, uso y asignación de los activos de mediante evaluaciones periódicas.

52

Impacto Sobre los Criterios de InformaciónCriterios de la Información

Porcentajes

Observaciones

Efectividad 80%El objetivo es alcanzar el 100%, para esto la información en Palap C.A debe ser entregada de forma oportuna, correcta, consistente y utilizable.

Eficiencia 85%El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos.

Confidencialidad 90%El objetivo es alcanzar el 100%, para esto la información vital sea protegida contra la revelación no autorizada.

Integridad 80%El objetivo es alcanzar el 100%, para esto la información debe ser precisa, completa y valida.

Disponibilidad 90%El objetivo es alcanzar el 100%, para esto la información esté disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento.

Cumplimiento70%

El objetivo es alcanzar el 100%, para esto las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso del negocio, como políticas internas.

Confiabilidad 70%El objetivo es alcanzar el 100%, para esto se debe respetar y proporcionar la información apropiada con el fin de que la Gerencia General administre la entidad.

53

3.2. INFORME EJECUTIVO

A continuación se detallaran los resultados de la evaluación de procesos que

recomienda COBIT 4.1, siendo evaluado en el departamento de informática de la

empresa Palap C.A, los criterios de información, encontrando el siguiente

porcentaje, todos sobre el 100 %.

80%

20%

Efectividad

Efectividad

2º trim.

3er trim.

Deficit

La efectividad consiste en que la información relevante sea entregada de

forma oportuna, correcta, consistente y utilizable, el criterio tiene un promedio del

80%.

85%

15%

Criterio de Información: Eficiencia

Eficiencia

Déficit

3er trim.

4º trim.

54

La eficiencia consiste en que la información debe ser generada optimizando

los recursos, el criterio tiene un promedio del 85%.

90%

10%

Criterio de Información: Con-fidencialidad

Confidencialidad

Déficit

3er trim.

4º trim.

La confiabilidad consiste en que la información vital sea protegida contra la

revelación no autorizada, el criterio tiene un promedio del 90%.

20%

80%

Criterio de Información: In-tegridad

DéficitIntegridad3er trim.4º trim.

La integridad consiste en que la información debe ser precisa, completa y

valida, el criterio tiene un promedio del 70%.

55

90%

10%

Criterio de Información: Disponibilidad

DisponibilidadDéficit3er trim.4º trim.

La disponibilidad consiste en que la información esté disponible cuando sea

requerida por parte de las áreas del negocio en cualquier momento, el criterio

tiene un promedio del 90%.

70%

30%

Criterio de Información: Cumplimiento

Cumplimiento

Déficit

3er trim.

4º trim.

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y

acuerdos contractuales a los que está sujeta el proceso de la empresa, como

políticas internas, el criterio tiene un promedio del 70%.

56

70%

30%

Criterio de Información: Confiablidad

Déficit 3er trim.

4º trim.

La Confiabilidad consiste en que se debe respetar y proporcionar la

información apropiada con el fin de que la Gerencia General administre la entidad,

el criterio tiene un promedio del 70%.

57

CAPITULO IV:

CONCLUSIONES Y RECOMENDACIONES

4.1 CONCLUSIONES

La auditoría de sistemas, es muy importante realizarlas en cierto tiempo

ya que permite a través de una revisión independiente, la evaluación de

actividades, funciones específicas, resultados u operaciones de una

organización.

El auditor es responsable de revisar e informar a la Dirección de la

Organización sobre el diseño y el funcionamiento de los controles

implantados y sobre la fiabilidad de la información suministrada.

La realización, de la auditoria que se aplico en la empresa Palap C.A

fue muy satisfactoria y mostró resultados positivos para la empresa de

prevención de accidentes laborales y adiestramiento profesional ya que se

determinaron los impactos sobre sus criterios y su eficiencia.

En algunos casos los resultados obtenidos fueron las mejoras en los

controles en los sistemas de aplicación, mayor confianza y satisfacción del

usuario, mejor Asesoría en la conformación del Comité de Salud y Seguridad

Laboral y mejores servicios y satisfacción de sus clientes, Control de

perdidas, por concepto de costos enfermedades, médicos, compensación,

legales, materiales, equipos, entre otros.

Con la aplicación de la auditoria se buscaba como resultado certificar

los informes presentados de auditorías anteriores y los correspondientes

controles internos dictaminados por la Junta Directiva, evaluar el

departamento de sistemas de la empresa Palap C.A, buscar brechas de

seguridad no identificadas en auditorias y controles internos efectuados

con anterioridad mediante el proceso.

58

El auditor proporciono conclusiones y recomendaciones a mediano

plazo a las actividades que se realizan en dicha organización empleando la

metodología COBIT.

El desarrollo e implementación de la auditoria aporto grandes beneficios

y opciones para el mejoramiento de la empresa y así la posibilidad de poder

funcionar con mas satisfacción y organización, cada grafico cumpliendo su

función en dar ideas claras para el buen funcionamiento.

59

4.2 RECOMENDACIONES

El desarrollo de la auditoría interna propuesta para la empresa PALAP C.A,

se realizo con la finalidad de obtener los mejores niveles de rendimiento y así

búsqueda de brechas de seguridad no identificadas en auditorias y

controles internos efectuados con anterioridad. Por tal motivo, se

recomienda:

Realizar auditorías cada seis (6) meses.

Establecer procedimientos de respaldo para brindar integridad y

consistencia de los datos o información crítica y sensible que se

encuentran almacenados.

Realizar mantenimiento correctivo, preventivo de los equipos de

cómputo.

Realizar respaldos a toda la información que manejan los servidores.

Realizar mantenimiento a sistemas cada tres (3) o seis (6) meses.

Administrar de forma correcta los datos en el programa.

Mantener actualizado los datos o información sobre la empresa Palap

C.A.

60

GLOSARIO

Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de

una organización, al examinar su gestión.

Administración: Valida las operaciones de recaudación, realiza la

facturación y cobranza y ejecuciones presupuestarias, compras y servicios,

recursos humanos y generación y entrega de indicadores de gestión.

Base de datos: es una colección de información organizada de forma que

un programa de ordenador pueda seleccionar rápidamente los fragmentos de

datos que necesite. Una base de datos es un sistema de archivos electrónico

Cobit: Es un marco de trabajo y un conjunto de herramientas de Gobierno de

Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha

entre los requerimientos de control, aspectos técnicos y riesgos de negocios. 

Informática: es una ciencia que estudia métodos, procesos, técnicas, con el

fin de almacenar, procesar y transmitir información y datos en formato digital.

La informática se ha desarrollado rápidamente a partir de la segunda mitad

del siglo XX, con la aparición de tecnologías tales como el circuito

integrado, Internet y el teléfono móvil.

Registro y Análisis: Cuya función corresponde a la auditoría interna de los

procesos y administración del archivo físico.

RRHH: En la administración de empresas, se denomina recursos

humanos (RRHH) al trabajo que aporta el conjunto de los empleados o

colaboradores de una organización. Pero lo más frecuente es llamar así a

la función o gestión que se ocupa de seleccionar, contratar, formar, emplear

y retener a los colaboradores de la organización. Estas tareas las puede

desempeñar una persona o departamento en concreto junto a los directivos

61

de la organización.

Sistematización: Proceso constante y aditivo de elaboración de

conocimiento luego de la experiencia en una realidad específica. Consiste en

el primer nivel de teorización de la práctica.

Sistematización de información: Ordenamiento y clasificación bajo

determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo

la creación de una base de datos

Sistematización de experiencias: Las experiencias son vistas como

procesos desarrollados por diferentes actores en un período determinado de

tiempo, envueltas en un contexto económico y social, en una institución

determinada.

62

REFERENCIAS ELECTRONICAS

Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html

[Fecha de consulta: Enero del 2014]

Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html

[Fecha de consulta: Enero del 2014]

Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli-

04.htm [Fecha de consulta: Enero del 2014]

Fuente:http://revisoriaenvigadobeatriz.wikispaces.com/

DEFINICION+DE+COBIT+E+ITIL [Fecha de consulta: Enero del 2014]

Fuente:http://www.ucla.edu.ve/dac/Departamentos/coordinaciones/

informaticai/documentos/Resumen%20tema2.pdf [Fecha de consulta: Enero

del 2014]

Fuente: [Fecha de consulta:

http://www.campus.co.cr/educoop/docs/md/caec/caec_ii_unidad_06.pdfEnero

del 2014]

Fuente: http://www.palap.com.ve/proximo-evento.html [Fecha de consulta:

Enero del 2014]

63

Fuente: http://es.thefreedictionary.com/auditor%C3%ADa [Fecha de consulta:

Enero del 2014]

Fuente: http://informatica.uv.es/iiguia/2000/IPI/material/tema9.pdf [Fecha de

consulta: Enero del 2014]

Fuente: http://www.isacacr.org/archivos/Control_Audit_Proy_TI.pdf [Fecha

de consulta: Enero del 2014]

Fuente: http://ve.linkedin.com/pub/palap-c-a/2a/283/1a4 [Fecha de consulta:

Enero del 2014]

Fuente: http://www.promonegocios.net/organigramas/tipos-de-

organigramas.html [Fecha de consulta: Enero del 2014]

Fuente:

http://bloquemetodologicodelainvestigacionudo2010.wordpress.com/tecnicas-

e-instrumentos-de-recoleccion-de-datos/ [Fecha de consulta: Enero del 2014]

Fuente: http://www.palap.com.ve/ [Fecha de consulta: Enero del 2014]

64

ANEXOS

65

CUESTIONARIO DE AUDITORIA CORRESPONDIENTE AL

FUNCIONAMIENTO DEL ÁREA DE INFORMÁTICA Y LA SEGURIDAD

FISICA DE LA EMPRESA PALAP C.A

1. ¿Se tiene restringida la entrada a los usuarios al sistema?

________________________________________________________

2. ¿La empresa Palap cuenta con extintores de fuego?

________________________________________________________

3. ¿Existe en la empresa salida de emergencia?

________________________________________________________

4. ¿Existe plan de infraestructura de red?

5. ¿Existe algún control para proteger el acceso a las conexiones y

servicios de red?

__________________________________________________________

6. ¿Existen protocolos de comunicación establecida?

_________________________________________________________

66