INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
EXTENSIÓN PORLAMAR
ESCUELA DE INGENIERÍA DE SISTEMAS
AUDITORÍA Y EVALUACIÓN DE SISTEMAS
AUDITORÍA AL DEPARTAMENTO DE INFORMÁTICA DE LA
EMPRESA PALAP C.A.
Autores:
Ruby Vergara C.I 20.516.087
Charlenys Hernández C.I 20.537.703
Jose Leblanc C.I
Sección: Saia.
Prof. Lcdo. Eliecer Boadas
Porlamar, Enero de 2014
1
INDICE GENERAL
pp.
INTRODUCCIÓN
I. GERALIDADES DE LA EMPRESA
Naturaleza de la Empresa 6
Ubicación 7
Misión 7
Visión 7
Análisis Foda 9
Organigrama de la Empresa 10
Descripción de los Procesos y Funciones 10
Metodología Cobit 13
Modelo de Madurez 13
Auditoria de tics Aplicando Cobit 16
Área a Auditar 16
Reclutamiento de la Información. 16
Documentos de Gestión en el Área Informática 16
Herramientas y Técnicas 18
Motivo o Necesidad de la Auditoria. 18
Modelos de Madurez a Nivel Cualitativo (coso) 18
II. EJECUCIÓN DE LA AUDITORIA
Situación Actual del Área de Sistemas 20
Objetivos del Departamento 21
2
Seguridad del Departamento 22
Características de la plataforma Tecnológica 23
Determinación de los Problemas y Planteamiento de Hipótesis 25
Formulación de Hipótesis 25
Aplicación de la Auditoria 25
Modelo de Madurez de los Procesos 25
Reporte General de los Grados de Madurez 42
Resumen de Procesos y Criterios de Información por Impacto 43
Resultados Finales del Impacto Sobre los Criterios de Información 44
III. ANALISIS DE LOS RESULTADOS
Informe Técnico. 47
Informe Ejecutivo 54
IV. CONCLUSIONES Y RECOMENDACIONES
Recomendaciones 58
Conclusiones 60
GLOSARIO 61
REFERENCIAS BIBLIOGRAFICAS 63
ANEXOS 65
3
INTRODUCCION
La auditoria es una importante actividad que permite a las
organizaciones mejorar sus funciones en forma continua. Esta se basa en
una búsqueda para localizar los problemas o posibles desviaciones en los
procesos que se realizan dentro de la entidad abarca una revisión de los
objetivos, de los planes, los programas, y su estructura organizacional y
funciones; sus sistemas, procedimientos y controles, también al personal y
las instalaciones de la organización y el medio en que se desarrolla las
actividades organización. Esta técnica es muy fundamental para el desarrollo
y crecimiento de cualquier organización, dado que le otorgará interesantes
posibilidades de cambio y perfeccionamiento.
El COBIT es precisamente un modelo para auditar
la gestión y control de los sistemas de información y tecnología, orientado a
todos los sectores de una organización, es decir, administradores IT,
usuarios y por supuesto, los auditores involucrados en el proceso. Se aplica
a los sistemas de información de toda la empresa, incluyendo los
computadores personales y las redes. Está basado en la filosofía de que
los recursos TI necesitan ser administrados por un conjunto
de procesos naturalmente agrupados para proveer la información pertinente
y confiable que requiere una organización para lograr sus objetivos.
En las Auditorias existen corrientes de pensamiento como procesos y
aspectos para evaluar el campo administrativo que pueden ser aplicados en
una empresa general o en un área específica , De igual manera todas las
empresas u organización que deciden aplicar auditorías a sus sistemas, en
sus procesos y procedimientos para lograr la efectividad en sus objetivos y
4
ser organizaciones eficientes; se rigen y se guían por medio de su
normatividad interna, de lo contrario las empresas declinarían hasta
desaparecer. Esta evalúa el grado de eficiencia y eficacia con que se
desarrollan las tareas administrativas y el grado de cumplimiento de los
planes y orientación de la gerencia, puede evaluar por ejemplo: los estados
financieros en su conjunto o una parte de ellos, el correcto uso de los
recursos humanos, el uso de materiales, equipo y su distribución,
contribuyendo con la gerencia para una adecuada toma de decisiones. Las
auditorias en las organizaciones son muy importantes, por cuanto la gerencia
sin la práctica de una auditoria no tiene plena seguridad de que los datos
económicos registrados realmente son verdaderos y confiables.
5
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1 Características de la Empresa
1.1.1Naturaleza de la Empresa
PALAP C.A es una empresa venezolana que presta sus servicios a
nivel regional y nacional en el área de seguridad laboral y tiene como
finalidad, culturizar en materia de salud y seguridad laboral a empresas, con
lo cual se desarrollan programas sistemáticos de adiestramiento, estudios en
materia de higiene y salud ocupacional con la finalidad de minimizar los
riesgos y evitar accidentes laborales que vayan en prejuicio de la compañía,
patrono y trabajadores.
La misma le presta servicios a organizaciones tales como Aluminios
del Occidente, C.A., Mitsubishi Motors Company, S.A., Petroquímica de
Venezuela, S.A., Petrocedeño, S.A, Restaurante El Remo, C.A. Frigorífico
Los Tavares, C.A, Mangueras Industriales Mayor, C.A., Metanol de Oriente,
C.A, Promotora Guaica, C.A, Distribuidora POPA, C.A. entre otros.
Actualmente esta empresa sigue consolidando su cartera de clientes
para lograr que desarrollen las mejores condiciones de higiene, seguridad y
salud laboral apegados a las exigencias de Ley.
PALAP C.A fue fundada el 11 de Octubre del 2006 por la Ing. Ruby
Morales y el Ing. Emilio Delgado.
6
1.1.2 Ubicación Geográfica
La oficina principal de la empresa PALAP C.A se encuentra ubicada
en la Av. Rómulo Betancourt, Centro Empresarial El Viejo Aeropuerto,
Mezzanina, Oficina # 5, Porlamar, Municipio Mariño, Estado Nueva Esparta.
Imagen1: Autor:
MapsGoogle.com.Fuente:http://maps.google.co.ve/maps
1.1.3 Misión
Brindarle asesoría técnica - legal especializada a las empresas, en la
prevención de los accidentes laborales para minimizar los riesgos de
ocurrencia de los mismos.
1.1.4 Visión
Ser líderes en el Oriente del País en todo lo referente al área de la
seguridad y salud en el trabajo y Alcanzar para nuestros clientes estadísticas
7
mínimas de ocurrencias de accidentes laborales y enfermedades
profesionales.
1.1.5 Objetivos Estratégicos
Contar con un equipo multidisciplinario de profesionales altamente
calificados con amplia trayectoria en el área.
Lograr el mayor cumplimiento de los distintos regímenes de las Leyes
Venezolanas como la Ley Orgánica de Prevención, Condiciones y Medio
Ambiente de Trabajo (LOPCYMAT) y su Reglamento Parcial, el
Reglamento de la Condiciones de Higiene en materia de Salud e Higiene
Ocupacional, las Normas Técnicas Internacionales que regulan la materia
y las Normas COVENIN.
Ejercer un liderazgo que impulse a la Organización hacia la nueva Visión,
comprometiéndola y motivándola en todos sus niveles.
Fomentar el trabajo en equipo y la ejemplaridad, reconociendo y valorando
la iniciativa y las contribución de cada persona
Proveer conductas proactivas de aportación y cooperación en todos los
niveles de la empresa.
Orientar los resultados hacia una gestión más flexible, ágil y con procesos
eficientes.
Mejorar continuamente la competitividad y calidad de sus servicios,
anticipándose a las necesidades con rapidez y agilidad.
Mantener un comportamiento intachable, alineado con rectitud y
honestidad.
Difundir información adecuada y fiel de lo que se hace.
1.1.5.1 Análisis FODA (Fortalezas, Oportunidades, Debilidades y
Amenazas)
8
Según milagrosazzi.aprenderapensar.net, documento en línea: El
Análisis FODA es una metodología de estudio de la situación competitiva de
una empresa en su mercado (situación externa) y de las características
internas (situación interna) de la misma, a efectos de determinar sus
Fortalezas, Oportunidades, Debilidades y Amenazas. (Ver Cuadro 1)
Análisis Interno
Fortalezas Debilidades
Negocio rentable.
Alto nivel de compromiso y
predisposición para brindar
sus servicios.
Ingresos económicos altos.
Personal capacitado.
Poco personal
Empresa de nivel nacional
pero ubicada en margarita.
Análisis Externo
Oportunidades Amenazas
Costos operativos bajos
debido a la utilización de
tecnología de información.
Fidelidad de los clientes con la
empresa.
Cambios repentinos del precio
de los talleres, cursos y
eventos.
Aumento de la competencia.
Cuadro 1: Análisis FODA. Fuente: Elaboración Propia.
1.1.5.2 Metas Organizacionales
Corto plazo
Satisfacer la demanda de los clientes y empresas asociadas.
Mediano plazo
9
Ampliar la cartera de clientes.
Largo plazo
Incrementar los eventos y cursos de adiestramientos.
1.1.6 Organigrama de la Empresa
A continuación se presenta la organización jerárquica de la
organización en la imagen 2: (Ver Imagen 2)
Imagen 2. Organigrama de la Empresa. Fuente: PALAP C.A
1.1.6.1 Descripción de los Procesos y Funciones
Presidente
El presidente personal con mayor jerarquía en la empresa, vela por el
correcto funcionamiento de todas las áreas de la empresa, participando
activamente en las actividades de la junta directiva, dirigiendo la toma de
decisiones, aceptando y rechazando actualizaciones en los registros,
procesos y TI. Además de recibir a cualquier empleado el cual deba
señalar cualquier actividad irregular y este no desee hacerlo a su superior
inmediato, en tal caso el gerente de dicho departamento.
Junta Directiva
10
Junta Directiva
RRHHAdministración
Informática
La Junta Directiva es la encargada de dirigir el entorno de toda la
organización desarrollando planes de acción, ejecutando constantes
controles internos en cada área de la organización, tomando decisiones en
fallas esperadas e inesperadas producto de los planes de operación
empresarial. Por otro lado, esta alta gerencia se encarga de recibir los
informes provenientes de los análisis de auditoría y los de registros
contables, para que en los puntos que se haya identificadas fallas sean
analizados en conjunto de la presidencia para darle la solución adecuada.
Por otro lado, la junta directiva es la encargada de servir como ejemplo a
cada departamento y empleado de cómo actual de una manera eficaz y
eficiente, para alcanzar de esta manera los objetivos colectivos e
individuales definidos en cada etapa nueva de trabajo. Además, se deben
establecer los tiempos y momentos adecuados para que todos los
empleados sean llevados a cursos y talleres para aumentar sus
conocimientos y presten un mejor servicio en sus puestos de trabajo en la
empresa.
Firmas Externas (Contadores-Auditores)
Las Firmas Externas, se encargan de realizar labores de revisión y
control de las operaciones internas en cada área de la empresa (Auditores)
para corregir posibles filtros de información que puedan afectar a futuro la
operatividad de la empresa. Por otro lado, las actividades de registro
contable (Contable) una vez analizadas son presentadas a través de libros
contables y su correspondiente informe de ganancias y pérdidas lucrativas a
junta directiva y presidencia. Ambas firmas una vez presentados los
informes, dan a conocer sus recomendaciones a la alta gerencia para evitar
que se produzcan los errores identificados en las operaciones de la empresa.
Informática
11
El departamento de informática, es el encargado de generar los
planes de recuperación de desastres avalados por la junta directiva en caso
de que se produzcan daños graves al sistema de información. Además, se
identifica que así como se tienen plantes de recuperación, se encuentran
también planes para evitar daños a la IT.
Además, de realizar la instalación y mantenimiento de la red con
la que cuenta la Empresa. Por otro lado, el departamento de informática,
es el encargado del correcto funcionamiento del sistema contable sin
realizar modificaciones al código fuente ya que dicho sistema pertenece a la
firma contable.
En cuanto al funcionamiento del sistema de información de la
empresa, este es dirigido en conjunto del departamento de informática y
el departamento de administración, donde el administrador identifica los
módulos del sistema que hay que actualizar, crear o eliminar y el gerente
del área de informática se encarga realizar dichos ajustes.
Administración
El departamento de administración, se encarga de la correcta
ejecución de los planes de acción diseñados por la alta gerencia, así como
de generar los reportes de aprobación de recursos que se necesiten para el
funcionamiento de los demás departamento que conforman la organización.
Por otro lado, el administrador además de dirigir los planes de acción,
participa activamente en el departamento de informática, específicamente
en la TI utilizada por cada empleado en la empresa.
El administrador tiene contacto directo con la junta directiva, esto
no quiere decir que pertenezca a la misma, ya que en las normas de la
empresa no se permite que ningún gerente pertenezca a la alta gerencia, lo
12
cual pueda prestarse para alterar resultados y conclusiones de los controles
internos y auditorias.
RHH
Departamento encargado del bienestar de los empleados y la correcta
operatividad de los mismos en la organización, señalando que es un
intermediario para asignar bonificaciones, asensos, sanciones, despidos,
entre otros.
1.2 METODOLOGIA COBIT
1.2.1 Modelo de Madurez
Una necesidad básica de toda empresa es entender el estado de
sus propios sistemas de TI y decidir qué nivel de administración y control
debe proporcionar. Para decidir el nivel correcto, la gerencia debe
preguntarse: ¿Hasta dónde debemos ir?, y ¿está el costo justificado por el
beneficio?. La obtención de una visión objetiva del nivel de desempeño
propio de una empresa no es sencilla, por ello COBIT atiende estos temas a
través de:
Modelos de madurez.
Metas y mediciones de desempeño para los procesos de TI.
Metas de actividades para facilitar el desempeño efectivo de los
procesos.
Los modelos de madurez, facilitan la evaluación por medio de
benchmarking y la identificación de las mejoras necesarias en la capacidad.
En cuanto a la gerencia, constantemente está buscando herramientas de
evaluación para benchmarking y herramientas de auto-evaluación como
respuesta a la necesidad de saber qué hacer de manera eficiente. Este
modelo de control se puede evaluar de un nivel no existente (0) hasta un
13
nivel optimizado; este modelo es derivado del Software Engineering
Institute definió para la madurez de la capacidad del desarrollo de un
software.
Este modelo de COBIT no busca medir los niveles de forma precisa o
probar a certificar que un nivel se ha conseguido; lo cual resultara en un
perfil donde las condiciones relevantes de los niveles de madurez se han
conseguido, tal como se muestra en el siguiente ejemplo: (Ver Imagen 3)
Imagen 3. Niveles de Modelos de Madurez de COBIT. Fuente: Augusto
Martin
Estas escalas pueden variar según las necesidades del auditor,
sin embargo, deben ser claras, precisas y fáciles de entender para lograr un
consenso amplio y que motiven la mejorar de TI.
Estos niveles, en el modelo genérico de COBIT se describen a
continuación:
14
1 No Existe
Carencia completa de cualquier proceso reconocible. La empresa
ni ha reconocido siquiera que existe un problema a resolver.
2 Inicial
Existe evidencia que la empresa ha reconocido que los problemas
existen y requieren ser resueltos. Sin embargo, no existen procesos
estándar en su lugar existen enfoques que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general hacia la administración es
desorganizado. Existe un alto grado de confianza en el conocimiento de los
individuos y, por lo tanto, los errores son muy probables.
3 Definido
Los procedimientos se han estandarizado y documentado, y se han
difundido a través de entrenamiento. Sin embargo, se dejan que el individuo
decida utilizar estos procesos, y es poco probable que se detecten
desviaciones. Los procedimientos en sino son sofisticados pero formalizan
las prácticas existentes.
4 Administrado
Es posible monitorear y medir el cumplimiento de los procedimientos y
tomar medidas cuando los procesos no estén trabajando de forma
efectiva. Los procesos están bajo constante mejora y proporcionan
buenas prácticas. Se usa la automatización y herramientas de una manera
limitada o fragmentada.
15
5 Optimizado
Los procesos se han refinado hasta un nivel de mejor práctica, se
basan en los resultados de mejoras continuas y en un modelo de madurez
con otras empresas. TI se usa de forma integrada para automatizar el flujo
de trabajo, brindado herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.
1.2.2 Auditoria de TIC`s con COBIT
1.2.2.1 Área a Auditar
La auditoría realizada por Charlenys Coromoto Hernández, Ruby
Vergara y José Leblanc será en el departamento de informática la cual es el
que administra la TI de la empresa PALAP C.A.
1.2.2.2 Reclutamiento de la Información
Previamente se aplico la observación directa para luego utilizar la
guía de entrevista de la TI utilizada en la empresa. Por otro lado, el gerente
de computación proporciono al azar informes entregados por auditores
sobre el departamento en cuestión y la TI; estos informes fueron una
herramienta de importancia para la ejecución de la presente auditoria.
1.2.2.3 Documentos de Gestión del Departamento de Informática
Controles internos.
Auditorias.
Reload de software.
Reload de las TI.
Reload de las TIC`s.
Presupuestos solicitados a administración para el reemplazo de
equipos.
16
Informes detallados de información actualizada, removida y
borradas aprobadas por presidencia avaladas con la firma del director.
Registros de información semanal (memorias externas).
Registros de información mensual y trimestral relevante,
confidencial e importante para el funcionamiento operacional de la
organización, como respaldo a posibles riesgos tanto naturales como
a riesgos de accesos no permitidos.
1.2.2.4 Seguridad de Datos y Equipo de Computo
Para el plan del desarrollo de la auditoria, se cuenta con la asistencia
del gerente y las actividades que se llevaran a cabo se describen en el
cuadro 2: (Ver Cuadro 2)
No ACTIVIDADES
1 Análisis y observación general en el área de informática
2 Realizar entrevista con el jefe del dpto. informática
3 Verificar si los equipos con que se cuentan existen o concuerdan en el
inventario.
4 Analizar los documentos de gestión y técnicos con que se cuentan.
5 Evaluar las claves de acceso, control, seguridad, confiabilidad y
respaldo.
6 Valorar las tecnologías de información tanto en hardware y software.
7 Evaluación de la seguridad física, lógica y de redes.
Cuadro 2. Actividades a Ejecutar en el Desarrollo de la Auditoria.
17
1.2.2.5 Herramientas y Técnicas
Herramientas
Las herramientas a utilizar para la recolección de información son:
Sistema Operativo Windows 7.
Microsoft Office 2007.
Block de Notas.
Lapiceros.
Hojas Blancas.
Técnicas
Las técnicas a utilizar para la recolección de información son:
Observación Directa.
Guía de Entrevista.
1.2.2.6 Motivo o Necesidad de una Auditoria Informática
Certificar los informes presentados de auditorías anteriores y los
correspondientes controles internos dictaminados por la Junta
Directiva.
Búsqueda de brechas de seguridad no identificadas en auditorias
y controles internos efectuados con anterioridad.
1.2.2.7 Modelo de Madurez a Nivel Cualitativo (COSO)
A continuación se representa en el cuadro 3 (Anexo 1) el impacto
de los objetivos de control de COBIT4.1 sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de información para esta tabla es la
siguiente (P), cuando el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es
18
decir no completo sobre el requerimiento, y finalmente () vacío, cuando el
objetivo de control no ejerce ningún impacto sobre el requerimiento, en
cambio cuando se encuentra con (X) significa que los objetivos de control
tienen impacto en los recursos, y cuando se encuentra en blanco (), es
que los objetivos de control no tienen ningún impacto con los recursos.
Por otro lado, se organizaran los criterios de de la información,
asignando un porcentaje a los distintos valores de impacto identificados en
el cuadro 3. Este porcentaje se establecerá en base a la propuesta
metodológica para el manejo de riesgos COSO (Sponsoring Organizations
of the Treadway), como se muestra en el cuadro 4: (Ver Cuadro 4)
CALIFICACIÓN IMPACTO PROMEDIO
41% 41% Alto 75
42% 55% Alto 67
49% 35% Medio 60
96% 3% Medio 62
Cuadro 4. Promedio de Impactos. Fuente COBIT 4.1
CAPITULO II
19
EJECUCION DE LA AUDITORIA
Departamento de Informática
2.1 Situación Actual del Departamento
El Departamento de Informática, es un área fundamental para la
organización debido a que allí es donde se administra la TI, las redes, los
respaldos de información, entre otras actividades, las cuales concentran
gran cantidad de información confidencial y de uso general para cada Área
Funcional de la empresa en estudio.
Cargos Funcionales y Operativos
Los trabajadores con los que cuenta el Departamento de Computación
son:
1 Jefe de departamento: el cual debe dirigir las operaciones de su
oficina y velar por el correcto uso de los equipos por los demás
empleados a través de charlas e inducción si es que realizan
instalaciones o reemplazos con equipos y programas nuevos.
Además, supervisa las actividades llevadas a cabo por su grupo de
técnicos especializados en distintas áreas informáticas. Por otro lado,
debe permanecer en constante comunicación con el departamento de
administración notificando irregularidades y actualizando o creando
módulos en la TI solicitados por el administrador previo análisis y
estudio.
2 Técnicos Especializados: empleados especializados en áreas
de redes y computación, los cuales ejecutan las operaciones
dictaminadas por el jefe del departamento.
2.1.1 Objetivos del Departamento
20
Los objetivos asignados al departamento por la Junta Directiva son:
Diseñar, mantener y dirigir el plan estratégico de la TI y del sistema
contable.
Mantener el personal actualizado en cuanto a los avances
tecnológicos documentándolos a través de investigaciones, cursos,
charlas, entre otros.
Proporcionar informe a la Junta Directiva, donde se recomienda la
adquisición, reemplazo o actualización de hardware y software tanto
para el departamento como para las demás áreas de la empresa.
Realizar el análisis de datos, correspondiente a los sistemas
informáticos, facilitando su posterior estudio en la Junta Directiva y
futuras Auditorias.
Mantener en correcto funcionamiento de la red con la que trabaja
PALAP C.A, además de solucionar cualquier eventualidad en la red,
topología, direccionamiento, entre otros, que pudiese detener la
operatividad de la empresa.
Mantener actualizado los registros computarizados, la TI y los
respaldos de información en unidades externas semanales y
mensuales.
Almacenar digitalmente los informes contables, de los controles
internos, de las auditorias y otros documentos legales. Asimismo,
como se plantean los objetivos de la Junta Directiva anteriormente
citados, el departamento define sus objetivos individuales como
departamento y los objetivos personales de cada empleado que lo
conforma. En este aspecto, se señala que los objetivos pueden variar
en cuanto a la aplicabilidad, pero siempre en busca de alcanzar el
bienestar y crecimiento operacional de la empresa.
2.1.2 Seguridad del Departamento
21
Seguridad Física
Entre las medidas de seguridad física con las que cuenta el
departamento de computación se encuentran:
Sistema de alarmas de detección de incendio.
Puntos clave tanto en el departamento como en toda la oficina con
extintores avaluados por el cuerpo de bomberos del estado Nueva
Esparta.
Todos los puntos de corriente fueron instalados con un UPS
interno para evitar la pérdida de información y daños en los equipos
por altibajos eléctricos.
Temperatura adecuada para los equipos electrónicos.
El servidor, computadores, impresoras y demás equipos electrónicos
cuentan con los espacios adecuados, con correcto posicionamiento
del cableado.
Seguridad Legal
Entre las medidas de seguridad legal con las que cuenta el
departamento de computación se encuentran:
El jefe de departamento hace uso de estándares de seguridad de
datos y calidad de la información.
La empresa cuenta con licencias legales para el uso del sistema
operativo Windows.
Las auditorias, se dejan asentadas por escrito en documentos
legales para asegurar su valides.
Todos los equipos electrónicos, dispositivos, comunicadores, entre
otros, al llegar a la oficina de PALAP C.A son almacenadas las
facturas tanto en físico como digitalmente.
Seguridad de Datos
22
Entre las medidas de seguridad de datos aplicadas en el
departamento de computación se encuentran:
Respaldo Semana de las operaciones de TI y actividades contables.
Respaldo relevante de datos en unidades de almacenamiento externo.
La TI, sistemas contable y de información cuenta con niveles de
acceso para los usuarios para evitar la pérdida, daño o robo de datos
en la organización.
Seguridad de Personas
Entre las medidas de seguridad del personal en el departamento de
computación se encuentran:
Revisión en el transcurso del año de los equipos y alarmas contra
incendios.
Adiestramiento al personal de salidas de emergencia y protección en
caso de desastres naturales.
Entre otros.
2.1.3 Características De La Plataforma Tecnológica
A- Hardware
Nombre
del
Equipo
Características Utilidad
Pc
server
Procesador
HDD
Ram
Intel Core Duo 2.0GHz
512 Gb
2 Gb
Servidor
Pc1
Pc2
Pc3
HDD 512 Gb PC para administrar sistema
de información en cada
Área relacionada con el
Ram 2 Gb
Monitor Dell 17 E176fp
23
Pc4
Pc5
departamento de
Informática.Impresora Multifuncional HP
5200
Cuadro 6. Hardware de PC y Servidores en la Red. Fuente: PALAP
C.A
b- Software
Nombre del
Equipo
Sistema Operativo
Pc server, Pc1,
Pc2, Pc3, Pc4,
Pc5.
Microsoft Windows
Seven Ultimate
Cuadro 7. Software de PC y Servidores en la Red. Fuente: PALAP C.A
Topología de la Empresa
La empresa con el servicio de internet ABA de la empresa Cantv,
donde la topología de
red aplicada es la de tipo
estrella, tal como se
muestra en la imagen 4: (Ver
Imagen 4)
Imagen 4. Topología de
Red Estrella Aplicada en la Organización. Fuente PALAP C.A
Caracterización de la Carga
24
La empresa cuenta con un servidor el cual asigna las direcciones IP,
Mascara y Gateway correspondiente a cada computador de las distintas
áreas. Es de hacer notar que aunque los equipos se encuentran en oficinas
distintas los diferentes operadores pueden acceder a sus módulos
departamentales desde otras oficinas ya que cada usuario posee un nivel
de acceso correspondiente a su jerarquía y departamento al cual
pertenezca.
2.1.5 Determinación de Hipótesis
En la búsqueda de datos se evidencio un departamento sumamente
seguro tanto a nivel físico como en la confidencialidad de los datos;
además los registros de auditorías y controles internos han arrojando
excelente resultados en cuanto a la correcta ejecución del plan estratégico
definida por la junta directiva. Sin embargo, se identificaran posibles fugas de
información debido a técnicas aplicada en la TI que debieran ser corregidas y
presentarlas para un posterior análisis.
2.2 Aplicación de la Auditoria
2.2.1 Modelo de Madurez de los Procesos
A continuación se mostrara el análisis de los diferentes objetivos de
COBIT 4.1, en los siguientes cuadros:
25
Cuadro 8. PO1 de COBIT 4.1
26
Cuadro 9. PO2 de COBIT 4.1
27
Cuadro 10. PO3 de COBIT 4.1
28
Cuadro 11. PO4 de COBIT 4.1
29
Cuadro 12. PO5 de COBIT 4.1
30
Cuadro 13. AI1 de COBIT 4.1
31
Cuadro 14. AI2 de COBIT 4.1
32
Cuadro 17. AI4 de COBIT 4.1
33
Cuadro 18. AI5 de COBIT 4.1
34
Cuadro 19. DS1 de COBIT 4.1
35
Cuadro 22. DS4 de COBIT 4.1
36
Cuadro 23. DS5 de COBIT 4.1
37
Cuadro 24. ME1 de COBIT 4.1
38
Cuadro 25. ME2 de COBIT 4.1
39
Cuadro 26. ME3 de COBIT 4.1
40
Cuadro 27. ME4 de COBIT 4.1
41
2.2.2 Reporte General de Grados de Madurez
Los grados de madurez en los diferentes objetivos de COBIT 4.1
aplicados en la empresa, se presentan a continuación en el cuadro 28: (Ver
Cuadro 28)
42
Cuadro 28.Reporte General de Grados de Madures de la empresa PALAP
C.A.
2.2.3 Resumen de procesos y criterios de información por
impacto:
Dominio: Planear y Organizar (PO)
PALAP C.A a logrado en el dominio PO, un alto nivel en su
procedimientos estratégicos, sin embargo existen espacios que aún le faltan
promover y realizar mayor seguimiento para comparar con las demás que se
encuentran en su punto optimo.
Dominio: Adquirir e Implementar (AI)
En este dominio, la empresa PALAP C.A se encuentran con una
buena dirección operacional basándose estrictamente en la adquisición e
implantación de herramientas en base a las necesidades de los planes
estratégicos definidos por la Junta Directiva; sin embargo, se recomida
ampliar la visión más allá de las necesidades de estos planes para identificar
si herramientas más avanzadas o nueva puedan alcanzar un objetivo más
optimo u otros puntos de interés de la empresa.
Dominio: Entrega y Dar Soporte (DS)
En este aspecto PALAP C.A, se encuentra en un nivel casi óptimo
donde se evidencia el interés de la Alta Gerencia por la satisfacción a
clientes y el crecimiento interno para prestar cada periodo un mejor servicio.
Dominio: Monitorear y Evaluar (ME)
A través de la auditoría realizada a la empresa PALAP C.A, se
evidencio la importancia asignada por la alta gerencia al monitoreo y
evaluación de la correcta ejecución del gobierno que se planifica bajo
estrictos niveles de importancia.
43
2.2.4 Resultados finales del impacto sobre los criterios de
Información
A continuación se presentara el análisis correspondiente a los criterios de
información:
Efectividad
La efectividad tuvo un criterio del 80%, por lo que se puede afirmar
que los procesos y planes diseñados por la alta gerencia de PALAP C.A es
sumamente efectiva la cual se encuentra en la última escala de operatividad;
cabe destacar que todavía existen fases en las cuales hay que hacer
correcciones para alcanzar mayor productividad.
Eficiencia
La eficiencia de la TI y los procesos de control y monitoreo se
evidencia con un 85%, dando a entender que al ser dirigidos y gobernados
eficientemente los sistemas como los empleados los objetivos de la empresa
se han alcanzado y superado periodo tras periodo.
Confidencialidad
La confidencialidad de la información y procesos es un aspecto
sumamente a la empresa, por lo tanto para el acceso a la misma se han
diseñado niveles de acceso a la misma y esto se respalda tras una evidencia
de control con valor de 90%, donde el pequeño rango faltante para llegar al
punto optimo es la falta de inversión en herramientas y técnicas más
avanzadas que las que se identifican como necesarias para la ejecución del
plan estratégico, por lo tanto al cubrir esta falla, debería alcanzar un nivel
optimo dicho criterio.
44
Integridad
La integridad de la información y la TI, es casi óptima, dicho resultado
se respalda tras las evidencias recolectadas las cuales alcanzaron un 80%,
donde se podría tener un mayor rango si se implantaran herramientas más
avanzadas que las actuales.
Disponibilidad
La disponibilidad de la información a través de la TI, se encuentra en
un porcentaje de 90% aunque se encuentran en un nivel excelente, este
promedio podría mejorar al actualizar los sistemas, ya que habría que
modificar ciertas condiciones y reemplazar equipos actuales por unos más
sofisticados, sin embargo se identifica la operatividad de este criterio como
aceptable para la auditoria.
Cumplimiento
El cumplimiento del plan estratégico y los objetivos para el
departamento de computación (directamente a la TI), se encuentra en el
ultimo nivel con un 70% de correcta ejecución. Este resultado se evidencia
debido a los constantes controles internos y la correcta ejecución de
auditorías en los tiempos establecidos por la alta gerencia, donde los
resultados son analizados y tomados en cuenta para ser aplicado a corto
plazo, si se llegasen a identificar como necesarios por la junta directiva.
Confiabilidad
Este criterio es uno de los más importantes y además uno con el
mayor rango en evidencia operacional eficiente con un 70%, ya que tanto el
departamento de computación como la junta directiva, tienen planes tanto de
operación diaria como planes de emergencia al presentarse alguna falla y de
45
esta manera asegurar la continuidad operacional. Cabe destacar que la
confiabilidad no es solo operacional sino estratégica y de los datos
almacenados.
46
CAPITULO III: ANALISIS DE LOS RESULTADOS
3.1. INFORME TÉCNICO
Alcance
La auditoría pretende evaluar el departamento de informática de la
empresa PALAP C.A mediante el proceso el auditor proporcionará
conclusiones y recomendaciones a las actividades que son realizadas en
dicha organización empleando la metodología COBIT 4.1.
Objetivos
Objetivo General
Realizar auditoria al departamento de informática PALAP C.A
mediante el uso de la metodología COBIT 4.1.
Objetivos Específicos
Identificar los problemas técnicos en el departamento de
Informática de Palap C.A y sus posibles soluciones.
Elaborar Informes de auditoría en los que se establezca hechos
relevantes.
Evaluar la seguridad en el área informática.
Resultados de la Evaluación de cada proceso:
Dominio Planear y Organizar
PO1. Definir un plan estratégico.
Conclusión.- el proceso se encuentra en el nivel de madurez debido a
47
que no cuenta con un plan estratégico establecido.
Recomendación Cobit: Alinear el departamento de sistema con el negocio,
e instruir a los encargados del área sobre las capacidades tecnológicas de la
actualidad y el futuro.
PO2. Definir la Arquitectura de la Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, a pesar de
su importancia no se elabora.
Recomendación Cobit: Definir e implementar procedimientos para brindar
integridad y consistencia de los datos o información crítica y sensible que se
encuentran almacenados en el departamento de informática de Palap C.A.
PO3. Determinar la Dirección Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que
el desarrollo de componentes tecnológicos e implantación de tecnologías
emergentes son aisladas.
Recomendación Cobit: Crear y mantener un plan de conferencias
tecnológica que se empareje con los planes estratégicos.
PO4. Definir los Procesos la Organización y las Relaciones del Departamento
de Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 2 puesto que
las necesidades de los usuarios y relaciones con las personas que desean recibir
conferencias y se responden de forma táctica aunque inconsistentemente.
Recomendación Cobit: Definir un marco de trabajo para el proceso del
departamento de infraestructura para ejecución del plan estratégico, incluyendo la
estructura y relaciones de procesos.
PO5. Administrar la Inversión del Departamento de Infraestructura.
Conclusión.- la responsabilidad y rendición de cuenta para la selección de
presupuestos de inversiones son asignadas en específico al Jefe del
48
departamento de sistemas y el jefe del departamento financiero.
Recomendación Cobit: Incluir un análisis de costo y beneficio a largo plazo
del ciclo total de vida en la toma de decisiones de inversiones.
Dominio Adquirir e Implementar.
AI1. Identificar Soluciones Automatizadas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 puesto que
existe la conciencia de la necesidad de definir requerimientos y de identificar
soluciones tecnológicas, las necesidades son analizadas de manera informal y por
ciertos individuos.
Recomendación Cobit: Resaltar, priorizar, especificar los requerimientos
funcionales y técnicos del departamento de sistemas de Palap C.A. priorizando el
desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad,
la disponibilidad, y continuidad, la funcionalidad y la legislación.
AI2. Adquirir y Mantener Software Aplicativo.
Conclusión- el proceso se encuentra en el nivel de madurez 2 por cuanto
existen procesos de adquisición y mantenimiento de software aplicativo en base a
la experiencia.
Recomendación Cobit: Realizar un diseño detallado, y los requerimientos
técnicos del software y garantizar integridad de la información.
AI3. Adquirir y Mantener la Infraestructura Tecnológica.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no
se cuenta con un plan de adquisición de tecnología, por Io tanto no se controlan
los procesos de adquirir, implantar y actualizar infraestructura tecnológica.
Recomendación Cobit: Proteger la infraestructura tecnológica mediante
medidas de control interno, seguridad durante la configuración, integración y
mantenimiento de hardware y software de la infraestructura tecnológica.
49
AI4. Facilitar la Operación y el Uso.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, puesto que
no existe una generación de documentación, pero se tiene la conciencia de que es
necesario.
Recomendación Cobit: Realizar transferencia de conocimientos a la parte
gerencial Io cual permitirá que tomen posesión del sistema y los datos.
AI5. Adquirir Recursos de Tecnología de Información.
Conclusión- el proceso se encuentra en el nivel de madurez 4, ya que la
adquisición se integra totalmente con los sistemas generales del gobierno, sigue el
proceso de compras públicas en de algún recurso de tecnología de información.
Recomendación Cobit: Establecer buenas relaciones con la mayoría de
Especialistas y socios y hacer cumplir los derechos y obligaciones de ambas
partes en los términos contractuales.
Dominio Entregar Y Dar Soporte
DS1. Definir y Administrar los Niveles de Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que no
se administra los niveles de servicio, la rendición de cuentas no se encuentra
definido realmente.
Recomendación Cobit: Se debe definir un marco de trabajo para la
administración de los niveles de servicio y realizar un monitoreo y reporte del
cumplimiento.
DS2. Administrar los Servicios de Terceros.
Conclusión.- el proceso se encuentra en el nivel de madurez 3 por cuanto
existen procedimientos documentados para controlar los servicios de terceros, los
procesos son claros para realizar la negociación con los proveedores.
Recomendación Cobit: Establecer criterios formales y estandarizados para
realizar la definición de los términos del acuerdo y asignar responsables para la
50
administración del contrato y del proveedor.
DS3. Administrar el Desempeño y la Capacidad.
Conclusión- el proceso se encuentra en el nivel de madurez 1, puesto que
los usuarios regularmente tienen que resolver los inconvenientes que se presenten
para aplacar las limitaciones de desempeño y capacidad.
Recomendación Cobit: Establecer métricas de desempeño y evaluación de
la capacidad y realizar un monitoreo continuo del desempeño y la capacidad de
los recursos.
DS4. Garantizar la Continuidad del Servicio.
Conclusión.- el proceso se encuentra en el nivel de madurez ,1 por cuanto
no se cuenta con un plan de continuidad de servicios.
Recomendación Cobit: Realizar pruebas regulares del plan de continuidad,
de forma que asegure que los sistemas sean recuperados de forma efectiva.
DS5. Garantizar la Seguridad de los Sistemas.
Conclusión.- el proceso se encuentra en el nivel de madurez 1, ya que la
seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el
Jefe del departamento de sistemas, no existen responsabilidades claras.
Recomendación Cobit: Realizar pruebas a la implementación de la
seguridad, de igual forma monitorearla, para garantizar que las características de
posibles incidentes de seguridad sean definidas y comunicadas de forma clara y
oportuna.
Dominio Monitorear y Evaluar.
ME1. Monitorear y Evaluar el Desempeño del Departamento de Informatica.
Conclusión- el proceso se encuentra en el nivel de madurez 0, por cuanto
no se cuenta con un proceso implementado de monitoreo, así como con reporte
útiles, oportunos y precisos sobre el desempeño.
Recomendación Cobit: Definir y recolectar los datos del monitoreo
51
mediante un conjunto de objetivos, mediciones, metas y comparaciones de
desempeño, comparándolo periódicamente con las metas.
ME2. Monitorear y Evaluar el control Interno.
Conclusión.- el proceso se encuentra en el nivel de madurez 0, por cuanto,
No se tiene procedimientos para monitorear la efectividad de los controles
internos.
Recomendación Cobit: Realizar una auto-evaluación del control interno de
la administración de procesos, políticas y contratos, mediante revisiones de
terceros asegurar la completitud y efectividad de los controles internos.
ME3. Garantizar El Cumplimiento Regulatorio.
Conclusión.- el proceso se encuentra en el nivel de madurez 1 por cuanto,
se siguen procesos informales para mantener el cumplimiento regulatorio.
Recomendación Cobit: Tener muy en cuenta las leyes y reglamentos del
comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad
intelectual, etc.
M4. Proporcionar Gobierno De Tecnología de Información.
Conclusión.- el proceso se encuentra en el nivel de madurez 0 por cuanto
no existe procesos de gobierno.
Recomendación Cobit: Contribuir al entendimiento del consejo directivo y
de los ejecutivos sobre temas estratégicos y garantizar la optimización de la
inversión, uso y asignación de los activos de mediante evaluaciones periódicas.
52
Impacto Sobre los Criterios de InformaciónCriterios de la Información
Porcentajes
Observaciones
Efectividad 80%El objetivo es alcanzar el 100%, para esto la información en Palap C.A debe ser entregada de forma oportuna, correcta, consistente y utilizable.
Eficiencia 85%El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos.
Confidencialidad 90%El objetivo es alcanzar el 100%, para esto la información vital sea protegida contra la revelación no autorizada.
Integridad 80%El objetivo es alcanzar el 100%, para esto la información debe ser precisa, completa y valida.
Disponibilidad 90%El objetivo es alcanzar el 100%, para esto la información esté disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento.
Cumplimiento70%
El objetivo es alcanzar el 100%, para esto las leyes, reglamentos y acuerdos contractuales a los que está sujeta el proceso del negocio, como políticas internas.
Confiabilidad 70%El objetivo es alcanzar el 100%, para esto se debe respetar y proporcionar la información apropiada con el fin de que la Gerencia General administre la entidad.
53
3.2. INFORME EJECUTIVO
A continuación se detallaran los resultados de la evaluación de procesos que
recomienda COBIT 4.1, siendo evaluado en el departamento de informática de la
empresa Palap C.A, los criterios de información, encontrando el siguiente
porcentaje, todos sobre el 100 %.
80%
20%
Efectividad
Efectividad
2º trim.
3er trim.
Deficit
La efectividad consiste en que la información relevante sea entregada de
forma oportuna, correcta, consistente y utilizable, el criterio tiene un promedio del
80%.
85%
15%
Criterio de Información: Eficiencia
Eficiencia
Déficit
3er trim.
4º trim.
54
La eficiencia consiste en que la información debe ser generada optimizando
los recursos, el criterio tiene un promedio del 85%.
90%
10%
Criterio de Información: Con-fidencialidad
Confidencialidad
Déficit
3er trim.
4º trim.
La confiabilidad consiste en que la información vital sea protegida contra la
revelación no autorizada, el criterio tiene un promedio del 90%.
20%
80%
Criterio de Información: In-tegridad
DéficitIntegridad3er trim.4º trim.
La integridad consiste en que la información debe ser precisa, completa y
valida, el criterio tiene un promedio del 70%.
55
90%
10%
Criterio de Información: Disponibilidad
DisponibilidadDéficit3er trim.4º trim.
La disponibilidad consiste en que la información esté disponible cuando sea
requerida por parte de las áreas del negocio en cualquier momento, el criterio
tiene un promedio del 90%.
70%
30%
Criterio de Información: Cumplimiento
Cumplimiento
Déficit
3er trim.
4º trim.
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y
acuerdos contractuales a los que está sujeta el proceso de la empresa, como
políticas internas, el criterio tiene un promedio del 70%.
56
70%
30%
Criterio de Información: Confiablidad
Déficit 3er trim.
4º trim.
La Confiabilidad consiste en que se debe respetar y proporcionar la
información apropiada con el fin de que la Gerencia General administre la entidad,
el criterio tiene un promedio del 70%.
57
CAPITULO IV:
CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
La auditoría de sistemas, es muy importante realizarlas en cierto tiempo
ya que permite a través de una revisión independiente, la evaluación de
actividades, funciones específicas, resultados u operaciones de una
organización.
El auditor es responsable de revisar e informar a la Dirección de la
Organización sobre el diseño y el funcionamiento de los controles
implantados y sobre la fiabilidad de la información suministrada.
La realización, de la auditoria que se aplico en la empresa Palap C.A
fue muy satisfactoria y mostró resultados positivos para la empresa de
prevención de accidentes laborales y adiestramiento profesional ya que se
determinaron los impactos sobre sus criterios y su eficiencia.
En algunos casos los resultados obtenidos fueron las mejoras en los
controles en los sistemas de aplicación, mayor confianza y satisfacción del
usuario, mejor Asesoría en la conformación del Comité de Salud y Seguridad
Laboral y mejores servicios y satisfacción de sus clientes, Control de
perdidas, por concepto de costos enfermedades, médicos, compensación,
legales, materiales, equipos, entre otros.
Con la aplicación de la auditoria se buscaba como resultado certificar
los informes presentados de auditorías anteriores y los correspondientes
controles internos dictaminados por la Junta Directiva, evaluar el
departamento de sistemas de la empresa Palap C.A, buscar brechas de
seguridad no identificadas en auditorias y controles internos efectuados
con anterioridad mediante el proceso.
58
El auditor proporciono conclusiones y recomendaciones a mediano
plazo a las actividades que se realizan en dicha organización empleando la
metodología COBIT.
El desarrollo e implementación de la auditoria aporto grandes beneficios
y opciones para el mejoramiento de la empresa y así la posibilidad de poder
funcionar con mas satisfacción y organización, cada grafico cumpliendo su
función en dar ideas claras para el buen funcionamiento.
59
4.2 RECOMENDACIONES
El desarrollo de la auditoría interna propuesta para la empresa PALAP C.A,
se realizo con la finalidad de obtener los mejores niveles de rendimiento y así
búsqueda de brechas de seguridad no identificadas en auditorias y
controles internos efectuados con anterioridad. Por tal motivo, se
recomienda:
Realizar auditorías cada seis (6) meses.
Establecer procedimientos de respaldo para brindar integridad y
consistencia de los datos o información crítica y sensible que se
encuentran almacenados.
Realizar mantenimiento correctivo, preventivo de los equipos de
cómputo.
Realizar respaldos a toda la información que manejan los servidores.
Realizar mantenimiento a sistemas cada tres (3) o seis (6) meses.
Administrar de forma correcta los datos en el programa.
Mantener actualizado los datos o información sobre la empresa Palap
C.A.
60
GLOSARIO
Auditoria: Tiene como finalidad evaluar y mejorar la eficacia y eficiencia de
una organización, al examinar su gestión.
Administración: Valida las operaciones de recaudación, realiza la
facturación y cobranza y ejecuciones presupuestarias, compras y servicios,
recursos humanos y generación y entrega de indicadores de gestión.
Base de datos: es una colección de información organizada de forma que
un programa de ordenador pueda seleccionar rápidamente los fragmentos de
datos que necesite. Una base de datos es un sistema de archivos electrónico
Cobit: Es un marco de trabajo y un conjunto de herramientas de Gobierno de
Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha
entre los requerimientos de control, aspectos técnicos y riesgos de negocios.
Informática: es una ciencia que estudia métodos, procesos, técnicas, con el
fin de almacenar, procesar y transmitir información y datos en formato digital.
La informática se ha desarrollado rápidamente a partir de la segunda mitad
del siglo XX, con la aparición de tecnologías tales como el circuito
integrado, Internet y el teléfono móvil.
Registro y Análisis: Cuya función corresponde a la auditoría interna de los
procesos y administración del archivo físico.
RRHH: En la administración de empresas, se denomina recursos
humanos (RRHH) al trabajo que aporta el conjunto de los empleados o
colaboradores de una organización. Pero lo más frecuente es llamar así a
la función o gestión que se ocupa de seleccionar, contratar, formar, emplear
y retener a los colaboradores de la organización. Estas tareas las puede
desempeñar una persona o departamento en concreto junto a los directivos
61
de la organización.
Sistematización: Proceso constante y aditivo de elaboración de
conocimiento luego de la experiencia en una realidad específica. Consiste en
el primer nivel de teorización de la práctica.
Sistematización de información: Ordenamiento y clasificación bajo
determinados criterios, relaciones y categorías de todo tipo de datos, ejemplo
la creación de una base de datos
Sistematización de experiencias: Las experiencias son vistas como
procesos desarrollados por diferentes actores en un período determinado de
tiempo, envueltas en un contexto económico y social, en una institución
determinada.
62
REFERENCIAS ELECTRONICAS
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero del 2014]
Fuente: http://www.tecnologiadiaria.com/2010/07/diagramas-gantt-excel.html
[Fecha de consulta: Enero del 2014]
Fuente:http://www.mty.itesm.mx/die/ddre/transferencia/Transferencia47/eli-
04.htm [Fecha de consulta: Enero del 2014]
Fuente:http://revisoriaenvigadobeatriz.wikispaces.com/
DEFINICION+DE+COBIT+E+ITIL [Fecha de consulta: Enero del 2014]
Fuente:http://www.ucla.edu.ve/dac/Departamentos/coordinaciones/
informaticai/documentos/Resumen%20tema2.pdf [Fecha de consulta: Enero
del 2014]
Fuente: [Fecha de consulta:
http://www.campus.co.cr/educoop/docs/md/caec/caec_ii_unidad_06.pdfEnero
del 2014]
Fuente: http://www.palap.com.ve/proximo-evento.html [Fecha de consulta:
Enero del 2014]
63
Fuente: http://es.thefreedictionary.com/auditor%C3%ADa [Fecha de consulta:
Enero del 2014]
Fuente: http://informatica.uv.es/iiguia/2000/IPI/material/tema9.pdf [Fecha de
consulta: Enero del 2014]
Fuente: http://www.isacacr.org/archivos/Control_Audit_Proy_TI.pdf [Fecha
de consulta: Enero del 2014]
Fuente: http://ve.linkedin.com/pub/palap-c-a/2a/283/1a4 [Fecha de consulta:
Enero del 2014]
Fuente: http://www.promonegocios.net/organigramas/tipos-de-
organigramas.html [Fecha de consulta: Enero del 2014]
Fuente:
http://bloquemetodologicodelainvestigacionudo2010.wordpress.com/tecnicas-
e-instrumentos-de-recoleccion-de-datos/ [Fecha de consulta: Enero del 2014]
Fuente: http://www.palap.com.ve/ [Fecha de consulta: Enero del 2014]
64
ANEXOS
65
CUESTIONARIO DE AUDITORIA CORRESPONDIENTE AL
FUNCIONAMIENTO DEL ÁREA DE INFORMÁTICA Y LA SEGURIDAD
FISICA DE LA EMPRESA PALAP C.A
1. ¿Se tiene restringida la entrada a los usuarios al sistema?
________________________________________________________
2. ¿La empresa Palap cuenta con extintores de fuego?
________________________________________________________
3. ¿Existe en la empresa salida de emergencia?
________________________________________________________
4. ¿Existe plan de infraestructura de red?
5. ¿Existe algún control para proteger el acceso a las conexiones y
servicios de red?
__________________________________________________________
6. ¿Existen protocolos de comunicación establecida?
_________________________________________________________
66