UNIVERSIDAD NACIONAL AUTNOMA DE HONDURAS

FACULTAD DE CIENCIAS ECONMICAS

DEPARTAMENTO DE INFORMTICA ADMINISTRATIVA

ASIGNATURA: AUDITORA EN SISTEMAS

CATEDRTICA: LICENCIADA KARLA GARCA

ALUMNOS: YESSIKA MARA MEDINA QUINEZ

20091003396

ROSA GISSELA ZELAYA BAQUEDANO

20092502007
LEONARDO ANTONIO VIJIL SCALICI
20092006325
JOS SALOMN ALVARADO M.
20081006119
MISAEL ALBERTO ESPINAL MARTINEZ
20070005366
MARIO DAVID CASTILLO ARGUETA
20092502017

SECCIN: 1900

TEGUCIGALPA M.D.C. 18 DE AGOSTO DEL 2014

NDICE

INTRODUCCIN--------------------------------------------------------------------3
ANTECEDENTES--------------------------------------------------------------------4-5
OBJETIVOS---------------------------------------------------------------------------6
MISIN-------------------------------------------------------------------------------6
ORGANIGRAMA DE LA EMPRESA---------------------------------------------7
ORGANIGRAMA DEL DEPARTAMENTO--------------------------------------7
JUSTIFICACIN---------------------------------------------------------------------8
ALCANCE ----------------------------------------------------------------------------8
OBJETIVOS GENERALES ---------------------------------------------------------8
OBJETIVOS ESPECFICOS---------------------------------------------------------8
METODOLOGA--------------------------------------------------------------------9
ANLISIS FODA--------------------------------------------------------------------10-12
MATRIZ GENERAL-----------------------------------------------------------------13-19
MATRIZ ESPECFICA-----------------------------------------------------Archivo Excel
PRELIMINAR DE OPORTUNIDADES DE MEJORA --------------------------20-26
CRONOGRAMA DE ACTIVIDADES---------------------------------------------27
ANEXOS-----------------------------------------------------------------------------28-37
CONCLUSIONES-------------------------------------------------------------------38

INTRODUCCIN

Durante el II Perodo Acadmico de la UNAH, se llev a cabo la

elaboracin de un proyecto exclusivo del Departamento de Informtica
Administrativa, el cual consiste en el desarrollo de una pequea
Auditoria aplicada al rea de Informtica de la empresa: Aeronutica
Civil, dicho trabajo fue realizado por los alumnos de la Clase de
Auditoria de Sistemas, contando con el apoyo y gua especialmente de
la Licda. Karla Garca.
El presente documento nos muestra de manera detallada la elaboracin
de mencionado trabajo, en el cual se exponen las habilidades adquiridas
durante la clase antes sealada.
El propsito de este proyecto es hacerle ver a la empresa, las fallas que
estn aconteciendo en el rea de Tecnologa y que de esta manera
puedan adquirir conciencia para mejorar dicha rea, debido a que esta
es la base de toda organizacin y como tal debe de contar con normas
especficas que la regulen para un adecuado funcionamiento.

Historia de la Direccin General De Aeronutica Civil de

Honduras

La historia de la Aviacin tanto Civil como Militar en honduras no estuvo en absoluta

orfandad, por mucho empirismo que hubiere precedido a la creacin de la direccin de
aeronutica civil, los problemas que el devenir de la aviacin en nuestro pas impona,
obligaban al gobierno a volver constantemente la atencin hacia ese regln del transporte
en el pas, habindose creado ya en 1934 la Inspeccin de Aviacin Civil, independiente de
las Fuerzas Areas Hondureas, aunque estos dos en realidad no fuesen ms que escarceos
alrededor de un tema de tan delicado atencin y de importancia tan decisiva que culminara
para el ao de 1950 con la creacin efectiva de la Direccin General de Aeronutica Civil
como dependencia de un Ministerio del estado.

La Direccin General de Aeronutica Civil fue creada mediante el decreto legislativo N.

121 de fecha 14 de marzo de 1950, como una entidad de dedicacin Aeronutica, destinada
a la vigilancia, organizacin y fomenta de la Aviacin Civil. Al momento de su creacin se
integr una dependencia del Ministerio de la Guerra, Marina y de Aviacin por decreto N.
4

58 del 16 de Febrero de 1952 se le traslada a un Ministerio de la Secretaria que fomenta las

Obras Pblicas, para pasar posteriormente a ser Direccin General del Ministerio de
Comunicaciones, Obras Pblicas y Transporte, y actualmente la Secretara de Obras
Pblicas, Transporte y Vivienda (SOPTRAVI).

El primer Director de Aeronutica Civil fue el Ingeniero Roberto Glvez Barnes, quienes
era graduado de Ingeniero Aeronutico en el Instituto Tecnolgico de Massachusetts, el
primer centro de estudios tecnolgicos de los Estados Unidos y a quien se atribuye iniciar
en Honduras el proyecto de creacin de la primera autoridad Aeronutica en el pas.

Es importante que en esta relacin histrica hacer mencin de los distinguidos

profesionales que continuaron con los destinos y labor de Ing. Glvez Barnes,
mencionndose en sucesin del Ing. Norberto guillen; Ing. Germn Domnguez Argucia,
este ltimo notable profesional de la rama de Aeropuertos, quien posteriormente fuera
nombrado como el experto en tal campo de la Organizacin de Aviacin Civil Internacional
OACI. Se destaca para ese tiempo un grupo de profesionales en su calidad de asesores
dieron forma verdaderamente institucional de la dependencia tales como el Lic. Daro
Montes; Lic. Rafael Paz Paredes asesor de Ing. Glvez Barnes en la elaboracin de la Ley
de Aeronutica Civil el Cap. Armando San Martin, ltimo este que fuera el primer jefe de
Servicios Meteorolgico Nacional, de igual mencin es el Capitn Alfonso Reina que junto
con el Cap. San Martin se graduaron en Meteorologa. En la Universidad de Medelln
Colombia.
La grandiosa obra de estructuracin orgnica de la Direccin General de Aeronutica Civil,
y considerada como primera etapa de su desarrollo integral; cierra su cuadro ejecutivo con
la presencia del profesor Lisandro Rosales Abella, a quien toco el privilegio de iniciar los
transmites. Para la creacin de la Corporacin Centroamericana de Servicios de
Navegacin Area COCESNA y el primer Gerente General de la misma.

La primera Ley de Aeronutica Civil se aprob el 8 de abril de 1930 mediante el decreto

217 del Congreso Nacional, la segunda de ley se aprueba el 14 de marzo de 1950, y la

tercera ley aeronutica an vigente se aprueba el 3 de septiembre de 1957 bajo el decreto

N. 146 de la Junta Militar del Gobierno.

Misin
Ejecutar todas las acciones necesarias y correspondientes a la autoridad de aviacin civil
derivadas de la ley de Aeronutica Civil, reglamentos vigentes y convenios internacionales.

Visin
Ser la institucin de Aviacin Civil lder en la regin de seguridad aeroportuaria en todos
los mbitos, promoviendo al mismo tiempo la mejora continua de los procesos
operacionales, de servicio o infraestructura de aeropuertos, con el fin de categorizar al
mximo rango los aeropuertos internacionales del pas.

Objetivos:
1. Garantizar la seguridad del transporte y la navegacin area.
2. Planificar y desarrollar los medios requeridos para responder eficazmente a las
necesidades de los usuarios del transporte areo en Honduras, hacindolo seguro,
regular y econmico.
3. Planificar y desarrollar, como consecuencia de lo anterior, una infraestructura de
aerovas.
4. Fomentar el desarrollo general de la aviacin civil en todos sus aspectos.

Valores

Austeridad

Compromiso

Equidad

Honestidad
6

Imparcialidad

Lealtad

Profesionalidad

Respeto

Responsabilidad

Servicio

Solidaridad

Tolerancia

Transparencia

tica

Direccin

Mando

Organigrama de la Empresa

JUSTIFICACIN
La elaboracin de dicho proyecto, se realiz considerando la necesidad
de que en el rea de Tecnologa de la Empresa Aeronutica Civil, se
observaron ciertas deficiencias y que la misma no cuenta o no se basa
en una norma que la regule para la realizacin de las actividades que se
llevan a cabo dentro del rea.

ALCANCE
Con la elaboracin de este trabajo se pretende que los encargados del
rea de Tecnologa de la Empresa Aeronutica Civil, tomen conciencia de
8

las dificultades que se estn teniendo y que de esta manera adopten

una norma adecuada que satisfaga cada una de las actividades que se
realizan dentro de mencionada rea.

OBJETIVOS GENERALES
Realizar un diagnstico sobre los controles y anlisis de desempeo de
software y hardware de la empresa Aeronutica Civil.

OBJETIVOS ESPECFICOS
1. Analizar las fortalezas, oportunidades, debilidades y amenazas de
la organizacin.
2. Recomendar un mejor control de seguridad dentro del
departamento de TI, tomando como base las normas ISO, ITIL,
COBIT.
3. Sugerir capacitaciones para el recurso humano para que estos
brinden un mejor desempeo en el desarrollo de sus actividades.
4. Recomendar la creacin de polticas que regulen el ingreso a
personal no autorizado a reas que contienen informacin
importante de la empresa, como el departamento de TI.

METODOLOGA

Con base en el objetivo y alcance expuesto se establece el siguiente

esquema de trabajo:
1. Comprensin de los controles bsicos de los ambientes
computacionales
Entendimiento de los esquemas de trabajo, prcticas y estructuras
organizativas utilizadas en la mayora de los departamentos de
tecnologa.

Esto se har por medio de cuestionario de diagnstico basado en

COBIT, dirigida a empresas que cuenten con un departamento de
sistemas establecido, lo cual permitir evidenciar reas de fortaleza,
oportunidad, debilidad y amenazas principalmente en las reas
principales como ser:

Hardware
Software
Redes y comunicaciones
Mantenimientos
Seguridad
Organizacin

2. Riesgos asociados
El diagnostico nos permitir realizar una matriz de Riesgos bsica que
mediante una ponderacin equitativa en cada rea estudiada, nos
permita evaluar el nivel de madurez del departamento de sistemas.
3. Emisin de informe
Como resultado del proceso de evaluacin se generar el Informe de los
resultados de la aplicacin de algunos procedimientos de auditora en el
rea de Tecnologa de la Informacin para la Entidad en donde se
detallan las principales oportunidades de mejora, su impacto, las
recomendaciones y conclusiones
relacionadas, basndose en
normativas y mejores prcticas internaciones.

Anlisis DAFO
Debilidades
Amenaza
El departamento de Aeronutica civil no
El rea de TI est expuesta al hurto de
cuenta con un organigrama con una
informacin ya que no hay un control de
adecuada separacin de funciones. Es
acceso adecuado. Un ejemplo de ello es
una debilidad por que al no haber una
que el nivel lgico algunas computadoras
divisin adecuada de trabajo existir
comparte sus archivos en la red local y
duplicidad de funciones, no da lugar a la
los programas de antivirus son piratas.
especializacin y perfeccionamiento en
No se maneja ninguna proteccin contra
el trabajo. Adems, impide
el
factores ambientales, por ejemplo no hay
movimiento de los conocimientos y
10

habilidades especializadas para su uso

en los puntos donde ms se necesitan y
dificulta la supervisin.
No cuenta con manuales de descripcin
de funciones y puestos claramente
definidos. Al no contar con un manual
de procedimientos y puestos definidos la
empresa no
delimita actividades,
responsabilidades, funciones, disminuye
la eficacia de los empleados, ya que, no
indican lo que debe hacer y cmo lo
debe hacer, evita unificar y controlar el
cumplimiento de tareas de la empresa,
no alcanzan un entorno laboral de alto
nivel, debido a que no existen cargos
definidos, el personal no tiene un
conocimiento claro y preciso de los
cargos.
No
cuentan
con
polticas
y
procedimientos definidos para el
reclutamiento,
la
seleccin
y
contratacin del personal de Sistemas.
Debe existir polticas de reclutamiento
como por ejemplo una que describa qu
es lo que realmente requiere un puesto,
ya que Determina exactamente cules
sern las responsabilidades del puesto
que se intenta llenar es la nica
alternativa para obtener candidatos
adecuados.
No Se realiza una auditora al
Departamento
de
Sistemas
peridicamente. la DGAC no realiza
una auditoria en el departamento de
informtica, lo cual es una debilidad
porque se privan del buen desempeo de
los sistemas de informacin, ya que la
auditora proporciona los controles
necesarios para que los sistemas sean
confiables y con un buen nivel de
seguridad. Adems se debe evaluar todo
(informtica, organizacin de centros de
informacin, hardware y software). Por
eso es necesario que la empresa realice
una auditora
No contar con polticas definidas para

manejo de extintores, no hay rotulacin

que pueda evacuar al personal en caso de
un incidente.
Algunas aplicaciones no cuentan con una
licencia y en el futuro podran dejar de
funcionar y enfrentar problemas legales y
por ende afectar las operaciones de la
empresa.
El equipo de cmputo est expuesto a
inundaciones en especial el cableado de
red por lo cual se podra perderse la
comunicacin y no recuperarse.
No hay una cultura de responsabilidad
por parte del personal al sistema por
ejemplo
algunas
personas
no
implementan
contraseas
dejando
expuesta la informacin.
El personal podra tener enfermedades
(estrs, sorderas) producto del ruido de
los aviones ya que el rea de TI est muy
cerca de la pista de aterrizaje de los
aviones y no se cuenta con la
infraestructura adecuada.

11

evaluar al personal del Departamento

de Sistemas, consideramos que es una
debilidad ya que al no evaluar al
personal la organizacin no obtiene
informacin para la toma de decisiones:
no se dan cuenta si el personal est
siendo eficiente en sus operaciones, o si
estn haciendo actividades ilcitas.
No rotar al personal para realizar las
funciones operacionales bsicas del
Departamento de Sistemas, es una
debilidad para la empresa, porque
cuando uno empleado deja de faltar
nadie podr sustituirlo de momento, ya
que solo l conoce el funcionamiento de
ese puesto, adems cambiar el personal
de puesto causa satisfaccin en el
empleado, porque su trabajo deja de ser
rutinario y aumenta sus conocimientos.
No existe un control y anlisis del
desempeo del hardware para proyectar
y presupuestar a futuro cambios de
equipo. Es necesario evaluar el equipo
de hardware para hacer una estimacin
en cuanto a tiempo de vida til, costo de
adquirir equipo nuevo, se debe contar
con un presupuesto y as evitar que el
personal pare sus labores porque fallo el
equipo y no hay presupuesto para
cambiarlo.
No tener un plan de contingencia para
situaciones de emergencias es una
debilidad ya que no sabemos qu plan
seguir en ese momento, cuales son los
procedimientos y que decisiones tomar.
No
existen
manuales
operativos
(trascripcin de datos, de operacin, de
biblioteca, de usuario) para cada
aplicacin del computador. El usuario
no se puede guiar de un manual, para
realizar sus operaciones de la forma
correcta, en caso de no tener claro
algunos procedimientos, es probable que
el usuario improvise en estos casos y los
datos ingresados no sean correctos.
No
capacitar
al
personal
de
12

transcripcin de datos en fallos en el

computador es una debilidad para la
empresa ya que el personal tiene que
acudir donde un experto para
solucionar el problema, eso genera
prdida de tiempo y por lo tanto retraso
en sus funciones.

Fortaleza
Oportunidades
Cuentan con un plan estratgico de
El departamento unifique sus funciones y
sistemas lo cual ayuda a la organizacin
actividades con los dems aeropuertos de
a alcanzar los sus resultados esperados.
Honduras.
Tienen un comit de informtica los
La Direccin General de Aeronutica
cuales se encargan de coordinar las
civil establezca un convenio con el
actividades de la organizacin.
Departamento de Informtica de la
El personal est bien dedicado a las
Universidad Autnoma de Honduras,
donde los alumnos puedan realizar su
actividades ya que existen filtros de
prctica
profesional,
desarrollando
internet que impiden distracciones.
nuevos
mdulos
al
sistema
existente o el
El personal es ms eficiente ya que se
desarrollo de nuevas aplicaciones.
especializa en la ejecucin de tareas

Aprovechar los conocimientos adquiridos

especficas.
en las capacitaciones que se le dan al
Los empleados gozan de todos los
personal, para mejorar en manejo de la
beneficios de la ley.
informacin.
Existe un adecuado mantenimiento del

Aprovechar las auditoras realizadas para

equipo por tanto se evitan daos y se
presentar planes de mejora al rea de TI,
previene el mal funcionamiento del
a la alta gerencia.
mismo.
Existe seguridad en los documentos,
estos vienen marcado y firmados por
quien lo redacto esto evita que se
dupliquen.

Matriz de Riesgo
reas
Suscepti
bles
de
Auditar

Aspectos o
componentes por
Evaluar del rea.

Componentes

1.
Control
de
administracin de
password
o
contrasea.
2.
Polticas
y

Riesgo
por
compon
entes

Clasificaci
n del
riesgo por
rea
(Total)

8%

13

1.Software/Aplicacio
nes

Segurida
d

2. Hardware

procedimientos
de instalacin y
mantenimiento de
software.
3. Procedimientos
para la seguridad
de la Base de
Datos.
4.
Control de
procedimientos y
programas
de
antivirus.
5.
Control
de
software legal.
6.
Control
del
Inventario
de
software.
7.
Polticas
y
controles de las
aplicaciones
de
software para el
registro
de
usuarios.
8.
Centro
de
Cmputo
con
archivos
de
respaldo externos
(back up).
1. Localizacin y
distribucin fsica
del Departamento
de Sistemas.
2 Seguridad al
acceso del equipo
de cmputo.
3.
Controles
ambientales para
proteger
contra
las condiciones de
humedad,
temperatura.

4. Proteccin y
organizacin de
sistema
de
cableado
y
cables.
1. Control para

6.5%

6.5%
6.5%

53.5%

6.5%
6.5%

6.5%

6.5%

6.5%

20%
7%
6.5%

7%

14

3. Plan de
contingencia y
de recuperacin.

el procedimiento
de
respaldos
para
los
programas.
2 .Control para
que
solo
el
personal
autorizado tenga
acceso
a
los
respaldos.
3. Polticas para
un
plan
de
contingencia.

6.5%

26.5%

6.5%

6.5%

15

Planear y Organizar

(PO9) Evaluar Y Administrar Los Riesgos De TI; 4%

(PO7) Administrar Los Recursos
TI; 21%
(PO1)Humanos
Definir unDePlan
Estratgico de TI; 13%
(PO2) Definir la Arquitectura de la Informacin; 8%
(PO3) Determinar la Direccin Tecnologca; 13%
(PO6) Comunicar Las Aspiraciones Y La Direccin De La Gerencia; 8%
(PO4) Definir Los Procesos, Organizacin Y Relaciones De TI; 33%

Anlisis:
Segn la encuesta aplicada en la empresa nos brinda la siguiente
informacin:
La grafica nos explica que un 4% (PO9) Evaluar y administrar los riesgos
de TI, es un factor dbil que deben de mejorar donde posiblemente las
PC no tienen contraseas y la informacin est al alcance de todas las
personas y esto podra generar fuga de datos.
Otro punto que analizamos es el resultado de 13% que se refiere a que
la empresa debera de contar con un plan estratgico de TI bien
estructurado esto ayudara a que sus procesos se realicen de manera
correcta y exista coherencia entre los datos que manejan los distintos
departamentos de la empresa.
En cuanto al 13% de determinar la Direccin Tecnolgica encontramos
que la empresa se encuentra en un trmino medio, los puntos ms
importantes que encontramos en los que tienen que mejorar, es que no
cuentan con el equipo apropiado para que el personal trabaje de una
manera cmoda por ejemplo actualmente las computadoras que tienen
16

producen vibraciones en las pantallas causando molestias cuando se

trabaja con ellas. Otro aspecto importante es que no tienen restringido
el acceso a solo personal del departamento de TI y esto podra afectar a
la empresa.
Las polticas sobre el uso de los recursos de TI que como resultado se
obtuvo un 21% se encuentran bien, ya que existe la restriccin sobre el
uso de internet, comunicacin de voz, fax y descargas de videos.
Y por ltimo otro punto importante es el (PO4) definir los procesos,
organizacin y relaciones de TI que con un resultado de 33%, la empresa
reflejo que estn en un nivel alto en cuanto a estos aspectos.

Adquirir e Implementar
(AI5) Adquirir Recursos de TI; 6%
(AI1) Identificar Soluciones Automatizadas; 31%
(AI4) Facilitar la Operacin y el Uso; 31%
(AI2) Adquirir y Mantener Software Aplicativo; 25%
(AI3) Adquirir y Mantener Infraestructura Tecnolgica; 6%

Anlisis:
Segn la encuesta aplicada en la empresa nos brinda la siguiente
informacin, mencionaremos los aspectos ms relevantes que
encontramos:
En este grafico podemos observar que las adquisiciones (AI5) Adquirir
los recursos de TI y la (AI3) Adquirir y mantener la infraestructura
17

tecnolgica reflejan un resultado de 6%, que segn la encuesta que

aplicamos la empresa no cuenta con las disposiciones de seguridad para
recursos informticos instalados fuera de la organizacin y tambin que
el centro de cmputo solo cuenta con archivos de respaldo interno de
programas y de datos, es importante que tambin manejen back up
externos por lo que recomendamos que los apliquen.
En (AI2) Adquirir y Mantener Software aplicativo la encuesta reflejo un
resultado de 25%, lo que significa que la empresa si lleva un control y
anlisis del desempeo de software aplicativo para proyectar y
presupuestar a futuro cambios ms avanzados en el software.
(AI4) Facilitar la operacin y uso se obtuvo un resultado de 31% sobre
las preguntas realizadas pudimos analizar que la empresa no tiene un
apoltica bien estructurada sobre las restricciones que impidan el fcil
acceso del personal no autorizado al departamento de TI, esto es un
punto en el que deben mejorar ya que la seguridad de los datos es una
parte fundamental para que una empresa tenga xito.
Y el ltimo punto que analizamos que es (AI1) Identificar soluciones
automatizadas la empresa obtuvo un resultado de 32%, lo que significa
que si cuentan con este tipo de soluciones por ejemplo tienen sistemas
que han hecho que sus procesos sean ms rpidos, donde tambin se
han ahorrado costos y sobre todo tiempo, al pasar de operaciones que
antes las hacan manuales ahora las tienen automatizadas.

18

Monitorear y Evaluar

33%

67%

Segn la encuesta aplicada en la empresa nos brinda la siguiente

informacin, mencionaremos los aspectos ms relevantes que
encontramos:
Este grafico refleja un resultado de 67% en cuanto a (ME1) monitorear y
evaluar el desempeo de TI, segn la encuesta pudimos analizar que la
empresa tiene un control medio en cuanto a este aspecto, entre lo ms
relevante es que la empresa cuenta con procedimientos para evaluar el
desempeo de la administracin de base de datos, tambin llevan un
buen control en cuanto al uso de internet, la actualizacin de la
informacin es aceptable, el tiempo de respuesta a peticiones de los
usuarios se considera normal y tambin encontramos que la calidad de
los servicios ofrecidos se puede considerar satisfactoria.

19

Entrega y Soporte
(DS3) Administrar El Desempeo Y La Capacidad; 1%
(DS4) Garantizar
La Continuidad Del Servicio; 6%
(DS12) Administrar El Ambiente
Fsico; 21%
(DS5) Garantizar La Seguridad En Los Sistema; 30%
(DS11) Administrar Los Datos; 25% (DS6) Identificar Y Asignar Costos; 1%
(DS7) Educar Y Entrenar A Los Usuarios; 6%
(DS10)
Administrar
Los
Problemas;
(DS8)
Administrar
La Mesa
De Servicio1%
Y1%
Los Incidentes; 6%
(DS9)
Administrar
la configuracin;

Anlisis:
Segn la encuesta aplicada en la empresa nos brinda la siguiente
informacin:
La grafica nos muestra que un 2% (DS3) Administrar El Desempeo Y La
Capacidad, es un factor dbil que deben de mejorar ya que la capacidad
del desempeo del hardware y software es muy limitado como se
observa en los resultados.
Otro punto que analizamos es el resultado de 6% Garantizar La
Continuidad Del Servicio, este resultado es muy bajo ya que la empresa
no cuenta con un plan de contingencia ni las herramientas necesarias
para garantizar un servicio continuo por algn problema que ocurra en el
departamento (TI).
En cuanto al 30% Garantizar La Seguridad En Los Sistema, este punto es
uno de los ms altos ya que cumple la mayora de las normas pero hace
20

falta implementar muchos ms sistemas de seguridad que mantenga la

integridad da la informacin y el software.
(DS6) Identificar Y Asignar Costos presenta un porcentaje del 2% esta es
una debilidad en contratada ya que no cuentan con un control de
asignacin de costos eficiente.
El siguiente punto evaluado (DS7) Educar Y Entrenar A Los Usuarios es
un 6% es bajo ya que los usuarios no reciben una capacitacin muy
extensa y detallada que permita a los usuarios manejar de la mejor
manera los sistemas se recomienda mayor capacitacin a los usuarios.
(DS9) Administrar la configuracin tiene un porcentaje del 1% ya que no
la toman muy en cuenta siendo un punto tan importante se encuentra
esta debilidad que est afectando mucho a la empresa se recomienda
atender es punto.
La (DS10) Administrar Los Problemas cuenta con un porcentaje muy bajo
del 1% es porque no llevan un control de los problemas que estn
surgiendo o van a surgir esto provoca un atraso al momento en que
surgen los problemas.
De igual forma (DS8) Administrar La Mesa De Servicio Y Los Incidentes
tiene un porcentaje 6% ya que muy poco se atiende este punto lo cual
provocado muchos incidentes por no llevar un plan o registros de los
mismos.
(DS11) Administrar Los Datos cuenta con un porcentaje de los ms altos
de 25% ya que se lleva una buena administracin de los datos como
realiza los respaldos necesarios pero a la vez se encuentran algunas
debilidades a solventar y por ltimo (DS12) Administrar El Ambiente
Fsico con un porcentaje de 21% ya que cuenta con la mayora de
normas establecidas para la seguridad fsica pero si empre se
encuentran debilidades a solventar,

RECOMENDACIONES
De acuerdo con los resultados obtenidos, se le recomienda a la empresa
lo siguiente:
21

OPORTUNIDADES DE MEJORA
AREA

OPORTUNIDADES

IMPACTO DEL
NEGOCIO

RECOMENDACIONES

RIESGO

Cobit 4.1
Planificaci
ny
Organizaci
n

Crear un
organigrama
adecuado para
distribuir las
funciones de
manera
adecuada.

No llevar un
organigrama
adecuado
impide que
la
organizacin
distribuya
adecuadame
nte el
trabajo y
esto puede
crear atraso
de trabajo.

Que los
PO4Definir
la
colaborad
Organizacin
y no
res
Relaciones de la Funcin
pongan de
de TI, que toma en
su parte e
consideracin:
este
Comit
de
proceso d
direccin
mejora.
Consejo de nivel de
responsabilidad
Propiedad, custodia
Supervisin
Segregacin
de
obligaciones
Roles
y
responsabilidades
Descripciones del
trabajo
Provisin de niveles
Clave personal

Cobit 4.1
Planificaci
ny
Organizaci
n y
proceso de
prestacin
de servicio
y soporte

Al tener
procedimiento
s definidos
para la
contratacin
de empleados,
ayuda a la
mejor toma de
decisin para
la contratacin
de un
empleado y
promover el
mejoramiento
continuo de
estos.

Un proceso
de
capacitacin
continua
para el
empleado

Increment
ra los
costos de
la
organizac
n y para
que esto n
afecte a la
organizac
n se
debera
realizar un
correcta
planificaci
n de los
tiempos e

PO7- Administracin
del Recurso Humano,
que toma en
consideracin:
Refuerzo y
promocin
Requisitos de
calidad
Entrenamiento
Construccin
del
conocimiento
Evaluacin de
la ejecucin
objetiva y
22

medible
DS7-Capacitacin de
usuarios, que toma
en consideracin:
Plan de
estudios de
entrenamiento
Campaas de
conocimiento
Tcnicas de
conocimiento

Cobit 4.1
Proceso de
Monitoreo
y
seguimient
o

Crear controles
para el
monitoreo y
seguimiento
ya que esto
permitira
tener un
mayor control
por parte de la
organizacin
para evaluar el
desempeo de
los empleados
monitoreo de
las
aplicaciones y
optimizar la
respuesta de
trabajo de los
empleados.

El personal
puede
alterar la
informacin
de las
aplicaciones
existentes y
su
desempeo
no puede ser
evaluado.

ME1- Monitorear y
Evaluar el
Desempeo de TI,
que toma en
consideracin:
Mtodo de
monitoreo
Evaluacin del
desempeo
Reportes al
consejo
directivo y a
ejecutivos
Acciones
correctivas
ME2- Monitorear y
Evaluar el Control
Interno, que toma en
consideracin:
Monitorear el
marco de
trabajo de

23

los que se
pueden
realizar
estas
capacitaci
nes..

Existe el
riesgo que
no se
cumplan
estos
controles
para esto
debe exis
una
persona
que
mantenga
una
correcta
integridad
de estos
procesos.

control interno
Revisiones de
Auditora Autoevaluacin de
control
Control interno
para terceros
Acciones
correctivas
ME3- Garantizar el
Cumplimiento
Regulatorio, que toma
en consideracin:
Identificar las
leyes y
regulaciones
con impacto
potencial sobre
TI
Optimizar la
respuesta a
requerimientos
regulatorios
Evaluacin del
cumplimiento
con
requerimientos
regulatorios
Aseguramiento
positivo del
cumplimiento
Reportes
integrados
ME4- Proporcionar
Gobierno de TI, que
toma en
consideracin:
Establecer un
marco de
trabajo de
gobierno para
24

Cobit 4.1

Proceso de
Adquisicin
e
Implement
acin.

Llevar un
control
adecuado del
equipo que
manejan los
colaboradores
y evaluar el
estado de
ellos.

Mal
rendimiento
del equipo
de nos
empleados
y
incumplimie
nto de los
requerimien
tos del
equipo para
las
actividades
del
empleado.

TI
Alineamiento
estratgico
Entrega de
valor
Administracin
de recursos
Administracin
de riesgos
Medicin del
desempeo

AI1-Identificacin de
Soluciones
Automatizadas, que
toma en
consideracin:
Definicin de la
informacin de
requisitos
Estudios
factibles
(costes,
beneficios,
alternativas,
etc.)
Requisitos de
usuario
Arquitectura de
la informacin
Seguridad del
coste-efectivo
Contratacin
externa
AI2-Adquisicin y
Mantenimiento de
Software Aplicativo,
que toma en
25

Carecer d
un
presupues
o para la
adquisici
de nuevo
equipo o l
compra de
hardware
para
mejorar e
equipo
existente.

consideracin:
Requisitos de
usuario
Diseo de alto
nivel
Diseo
detallado
Archivo, gasto,
proceso y
requisitos
externos
Interfaz de la
mquinausuario
Controles de
aplicacin y
requisitos de
seguridad
Documentacin
AI3-Adquisicin y
Mantenimiento de
Arquitectura TI, que
toma en
consideracin:
Asentamiento
de la
tecnologa
Mantenimiento
del hardware
preventivo
Seguridad del
sistema
software,
instalacin,
mantenimiento
y cambio de
controles
AI4-Facilitar la
Operacin y el Uso,
26

que toma en
consideracin:
Plan para
soluciones de
operacin
Transferencia
de
conocimiento a
la gerencia del
negocio
Transferencia
de
conocimiento a
usuarios finales
Transferencia
de
conocimiento al
personal de
operaciones y
soporte
AI5-Adquirir Recursos
de TI, que toma en
consideracin:
Control de
adquisicin
Administracin
de contratos
con
proveedores
Seleccin de
proveedores
Adquisicin de
software
Adquisicin de
recursos de
desarrollo
Adquisicin de
infraestructura,
instalaciones y
servicios
relacionados
AI6- Administrar
Cambios, que toma
27

en consideracin:
Estndares y
procedimientos
para cambios
Evaluacin de
impacto,
priorizacin y
autorizacin
Cambios de
emergencia
Seguimiento y
reporte del
estatus de
cambio
Cierre y
documentacin del
cambio
Cobit 4.1
Proceso de
Entrega y
Dar
Soporte.

Disponer de un
sistema de
autorizacin,
acceso,
normar en
cuanto a las
contraseas y
polticas para
el uso de
unidades del
almacenamien
to para
prevenir la
fuga de
informacin.

Dentro del
Departamen
to de
Informtica
de
Aeronutica
Civil, el
departamen
to est
expuesta al
hurto de
informacin
ya que no
hay un
control de
acceso
adecuado,
no se
maneja
ninguna
proteccin
contra
factores
ambientales
, el personal
podra tener

DS5- Garantizar la
Seguridad del
Sistema, que toma en
consideracin:
Autorizacin
Autenticidad
Acceso
Uso de
proteccin e
identificacin
Gestin de
clave
criptogrfica
Deteccin y
prevencin de
virus
Cortafuegos
DS12- Administracin
de Instalaciones
(Ambiente Fsico),
que toma en
consideracin:
Identificacin

28

Carecer d
un
presupues
o para la
adquisici
de materi
para
detener e
ruido de la
pista.

enfermedad
es (estrs,
sorderas)
producto del
ruido de los
aviones ya
que el rea
de TI est
muy cerca
de la pista
de aterrizaje

de la situacin
Seguridad fsica
Salud y
seguridad del
personal
Proteccin de
amenazas del
entorno

CRONOGRAMA DE ACTIVIDADES
29

Fecha

Actividad

Encargado

20-Julio2014

Visin, Misin,
objetivos,
organigrama y
valores de la
empresa
Cuestionario

25-Julio2014
02-Agosto2014
06-Agosto2014
07-Agosto2014
11-Agosto2014

11-Agosto2014
16-Agosto2014
17-Agostro2014

17-Agostro2014
17-Agosto2014
17-Agosto2014
17-Agosto2014
18-Agosto2014

Misael y Mario

Entreg
oa
tiempo
OK

Avance
enviado
a la Lic.
OK

Rosa y Leonardo

OK

OK

Matriz de riesgo

Salomn

OK

OK

Matriz de riesgo
Ponderada
Anlisis FODA

Leonardo y
Yessika
Yessika, Misael y
Mario
Rosa, Salomn,
Misael, Mario,
Yessika y
Leonardo
Rosa y Salomn

OK

OK

OK

OK

OK

OK

OK

OK

Recomendacion
es
Introduccin,
Antecedentes,
justificacin,
alcance y
Metodologa
Cronograma de
trabajo
Unificacin del
informe
Vieta para el cd

Yessika y
Leonardo
Yessika

OK

OK

OK

OK

Leonardo

OK

OK

Yessika y
Leonardo
Salomn

OK

OK

OK

OK

Conclusiones

Salomn

OK

OK

Revisin y
correccin del
informe final

Yessika

OK

OK

Resumen de la
matriz

Grficos

30

ANEXOS
CUESTIONARIO DE CONTROL INTERNO Y PROGRAMAS DE
AUDITORIA
ORGANIZACIN
CONTROL

1
2
3
4
6
7

Existe en la institucin un organigrama general?

Existe un organigrama en el Departamento de Sistemas con
una adecuada separacin de funciones?
Existen manuales de descripcin de funciones y puestos
claramente definidos?
Existen polticas y procedimientos definidos para el
reclutamiento, la seleccin y contratacin del personal de
Sistemas?
Existe un Comit de Informtica que coordine y supervise
las actividades de Sistemas de la empresa?
Se realizan auditoras al Departamento de Sistemas
peridicamente?

SI

NO

N/A

REFERENCIA

N/A

REFERENCIA

SI
NO
NO
NO

SI
NO

ADMINISTRACIN
B-

CONTROL

SI

1
1
1
2

Existe un plan de capacitacin continuo y adecuado para el

personal del Departamento de Sistemas?

SI

Se cuentan con polticas definidas para evaluar

al personal del Departamento de Sistemas?

NO

13
.1

Existe rotacin del personal para las funciones

operacionales bsicas del Departamento de
Sistemas?
Existe rotacin del personal para las funciones
operacionales bsicas de las aplicaciones
automatizadas?

NO

13
.2

NO

NO

31

1
4
1
5

Existe un plan previo de vacaciones para el

personal del Departamento de Sistemas?

SI

Cuenta el Departamento de Sistemas con

polticas definidas para la terminacin del
contrato de trabajo del personal de Sistemas?

SI

1
6
1
7

Se cuenta con un plan estratgico de Sistemas

acorde con los objetivos de la empresa?

SI

Existe un programa de actividades a corto,

mediano y largo plazo de todas las funciones del
Departamento de Sistemas?

SI

1
8
1
9

Existe una adecuada y oportuna supervisin de

labores del Departamento de Sistemas?

NO

Se
cumple
con
las
disposiciones
gubernamentales para procesar las operaciones
en un sistema automatizado?

NO

2
0

El software operativo y aplicativo adquirido de

proveedores externos cuenta con sus respectivas
licencias originales?

NO

2
1

Existen polticas de las Tecnologas

Informacin y Comunicaciones?

de
SI

OPERACIONES
CONTROL

SI

3
7

Estn diseados en la red de seguridad, los

diferentes grupos o categoras del personal
involucrado en las aplicaciones?

SI

3
8

Cuenta el Departamento de Sistemas con

hardware interno o externo similar o compatible
para ser utilizado en caso de emergencias?

D
-

NO

N/A

REFERENCIA

NO

32

39
.1
39
.2

Existe un adecuado mantenimiento preventivo

de hardware?
Existe un control y anlisis del desempeo del
hardware para proyectar y presupuestar a futuro
cambios de equipo?

4
0

Existe un plan de contingencia para situaciones

de emergencias?

41
.1
41
.2

El
uso
de
Internet
es
controlado
adecuadamente?
Se cuenta con procedimientos de seguridad
para evitar el contagio de virus por Internet?

SI
NO

NO
SI
NO SON
ADECUADOS

NO

PROCESAMIENTO
E45

47
.1

47
.2

47
.4
48

49

50

51
.1

CONTROL
Existen manuales operativos (trascripcin de
datos, de operacin, de biblioteca, de usuario)
para cada aplicacin del computador?
En el punto de preparacin, registro o envo de
los datos, todas las transacciones son controladas
por medio de listados o totales de control
adecuados?
Existe la funcin de control de procesos y de
datos, para verificar y revisar los datos de
entrada, procesos y salidas o resultados en el
Departamento dueo de la aplicacin?
Existen procedimientos definidos para la
correccin y retroalimentacin de transacciones
no registradas por tener errores?
Existen rutinas de validacin de inconsistencias
en los programas de captacin de datos y/o
programas de inconsistencias especialmente
diseados para tal efecto?
El personal de trascripcin y operacin est
capacitado
para
identificar
fallas
de
funcionamiento del computador?
Son marcados o sellados los documentos
fuentes utilizados en la captacin de datos para
protegerlos contra duplicados o reentradas?
Son los reportes de salidas que contienen
informacin confidencial y sensible, mantenida y
manejada con la prudencia que corresponde?

SI

NO

N/A

REFERENCIA

NO

SI

SI

SI

SI

NO

SI

NO

33

51
.2

53

54

La
informacin
confidencial
y
sensible
mantenida en los archivos magnticos, es
restringida y autorizada a los funcionarios y
personal de nivel adecuado?
Los operadores del computador y/o los
operadores
de
las
aplicaciones
en
el
Departamento de origen poseen conocimientos
de programacin de computadoras?
Existe adecuada segregacin de tareas en el
procesamiento de las aplicaciones?

NO

SI

SI

SEGURIDAD LGICA
F55
.1
55
.2

CONTROL

SI

Existe un procedimiento eficiente para el

otorgamiento y administracin de password o
contrasea?
Existe un procedimiento eficiente para la
concientizacin en el personal sobre la
responsabilidad, uso y manejo de contraseas?

SI

NO

Se han designado a algunas personas para

llevar a cabo las funciones de administracin de
seguridad de los sistemas?

NO

56
.3

Existe por parte de la jefatura de Sistemas un

anlisis sobre el acceso de los usuarios al
computador y a las aplicaciones?

NO

5
7

Existen procedimientos de control que protejan

la informacin que es transmitida entre el
computador
central
o
servidor
y
las
computadoras y/o terminales remotas?

NO

5
8

Cuenta la empresa con

programas de antivirus?

5
9

Cuenta el centro de Cmputo con suficientes

UPS u otros sistemas alternativos que garanticen
el suministro de energa por el tiempo suficiente
para la proteccin oportuna de archivos o
programas?

REFERENCIA

NO

56
.1

procedimientos

N/A

PIRATAS

SI

NO

34

6
0

Existen adecuados procedimientos de control

para el otorgamiento de terceros a los sistemas
de informacin?

NO

6
1

Existe un Comit de Gestin de la Seguridad de

la Informacin u otro rgano interno con
similares funciones

NO

6
2

Existen polticas sobre el uso de medidas

criptogrficas?
NO

SEGURIDAD FISICA
G-

CONTROL

SI

63 La localizacin y distribucin fsica del

NO

N/
A

REFERENCIA

NO

Departamento de Sistemas es la adecuada?

64.
1

El acceso al centro de Cmputo es permitido

solamente al personal del Departamento?

64.
2

Existen rtulos visibles que indiquen que el

Departamento de Sistemas y en especial el
centro de Cmputo es rea restringida?

SI
NO

35

64.
3

66

67
68

El personal del Departamento de Sistemas

est debidamente identificado?
Existen controles ambientales para proteger
contra
las
condiciones
de
humedad,
temperatura y otras condiciones ambientales
que pudieran afectar al centro de Cmputo?
Existen extintores contra el fuego en el
Departamento de Sistemas?
Cuenta la empresa con una planta de energa
elctrica que la provea de energa en caso de
ausencia de la misma?

69.
1
69.
2

Cuenta el centro de Cmputo con su propio

panel de control de breaker? (interruptores)
Los toma corrientes estn debidamente
identificados y protegidos?

69.
3

El sistema de cableado y cables estn

debidamente identificados y protegidos contra
daos y/o violaciones a la informacin?

70

Existen restricciones fsicas que impidan el

fcil acceso de personas no autorizadas a las
terminales o computadoras y adecuados
procedimientos para garantizar la correcta y
segura salida y retorno del hardware y
software de la organizacin

71

Cuenta la institucin con loockers

proteger los Hub Routers y/o Switch?

para

72

El Servidor de Produccin o de Aplicaciones

se encuentra separado fsicamente de los
dems servidores?

NO
SI

NO
NO

SI
NO
NO

NO

SI

NO

ALMACENAMIENTO
H-

CONTROL

76
.1

El Departamento de Sistemas cuenta con una

biblioteca de archivos y programas?

SI

NO

N/A

REFERENCIA

NO

36

76
.2

Existen procedimientos definidos para el uso de

archivos de datos, programas y aplicaciones de
la biblioteca?

77

Cuenta el centro de Cmputo con archivos de

respaldo externos (back up) de programas y de
datos ubicados fuera de las instalaciones?

NO

SI

ADMINISTRACIN Y OPERACIN DE REDES

I-

CONTROL
polticas

SI

7
8
7
9
8
0
8
1

Existen estndares y
administracin de la Red?

para

la

8
2

El funcionamiento de la Red es eficiente?

(encuesta a usuarios)

NO

N/A

REFERENCIA

SI

Existen procedimientos establecidos para la

eficiente operacin de la Red?

NO

Existen procedimientos que verifiquen

seguridad e integridad de la Red?

NO

la

Existe una poltica para el personal que usa

recursos de comunicacin de voz, facsmile y
video?

NO

SI

ADMINISTRACIN Y OPERACIN DE BASE DE DATOS

J-

85

86

CONTROL
Existen procedimientos para el desempeo de
las funciones del Administrador de la Base de
Datos?
Existen procedimientos para la seguridad de la
Base de Datos?

SI

NO
NO

N/A

REFERENCIA

NO

AUDITORIA INFORMTICA
PREGUNTAS

SI

NO

PRIORIDAD
37

ERGONOMA
Las pantallas de los usuarios producen vibraciones que
molestan cuando se trabaja con ellas?
Los asientos de los usuarios permiten mantener posiciones
de trabajo confortables?
El ruido producido por impresoras y dems perifricos
alcanza niveles excesivos?
Se han producido enfermedades o bajas laborales como
consecuencia del uso de los equipos informticos?
Se facilita por parte de la empresa la realizacin de
revisiones oculares peridicas a los empleados?
CUESTIONES ORGANIZATIVAS
Existen procesos manuales que no aaden valor que podran
ser automatizados?
Se ha valorado si los procesos manuales con adicin de valor
pueden realizarse de forma automatizada?
Se han estudiado formas alternativas de realizar las
actividades agrupndolas por procesos?
Existen actividades de introduccin de datos (manuales o
automticas) que se repiten?
Se ha detectado la existencia de actividades centradas
exclusivamente en controlar si los pasos previos a la misma
se han
realizado correctamente?
Es posible obtener en cualquier momento informacin sobre
las actividades realizadas en la empresa?
El grado de actualizacin de la informacin es aceptable?
Los directivos y personal facultado pueden realizar anlisis
de los datos de la empresa con las aplicaciones disponibles?
Existe confianza en la veracidad de la informacin que
ofrece el sistema informtico?
Se han detectado errores en la informacin ofrecida por el
sistema informtico cuya causa no ha podido ser identificada?
Existe coherencia entre los datos que manejan los distintos
departamentos de la empresa?
Todas las acciones emprendidas por la empresa cuentan con
informacin que indique el nivel de resultados alcanzado?
Se dispone en la empresa de aplicaciones que faciliten la
programacin de actividades?
La informacin de la empresa es accesible por personal
autorizado desde cualquier puesto de trabajo?
Se pueden realizar informes y cruzar datos de distintos
departamentos con los sistemas informticos disponibles?
Los sistemas informticos permiten la exportacin de datos
a otros sistemas?
DEPARTAMENTO DE INFORMTICA

NO
NO
NO

NO

NO
NO
NO
SI
NO

NO
SI
SI
SI
NO
SI
SI
NO
SI
NO
NO

38

Si no existe departamento de informtica, hay algn servicio

tcnico que se encargue del mantenimiento?
La cantidad de personal disponible es la apropiada?
La calidad del personal es suficiente para las actividades que
se realizan?
Existen guas claras respecto a la funcin del departamento
de informtica en la empresa?
El tiempo de realizacin de modificaciones en los programas
se puede considerar normal?
El tiempo de respuesta a peticiones por parte de los usuarios
se puede considerar normal?
La calidad de los servicios ofrecidos se puede considerar
satisfactoria?
La calidad de los servicios ofrecidos se puede considerar
satisfactoria?
HARDWARE
Los ordenadores disponen de capacidad en el disco duro
para almacenar la informacin?
La velocidad de trabajo del ordenador es apropiada o el
empleado debe esperar por el ordenador a que ste termine
de
procesar?
Las impresoras se encuentran a una distancia cercana al
puesto de trabajo?
La garanta de los equipos permite que stos sean reparados
en breve tiempo?
Los ordenadores son homogneos o pertenecen a distintos
fabricantes o distintos tipos de plataforma?
El nivel de averas actual en los equipos puede considerarse
normal?
SOFTWARE
Los usuarios disponen de zonas en el servidor de ficheros
donde hacer sus copias de seguridad?
El funcionamiento interno de los programas clave de la
empresa es conocido por el personal del centro de
informtica y/o
por el proveedor directo del mismo?
Los programas con informacin reservada estn protegidos
por clave de acceso?
COMUNICACIONES
Todos los empleados tienen su cuenta de correo electrnico?
Las comunicaciones con el exterior se realizan sin
incidencias?
El coste de las comunicaciones puede considerarse normal?
La velocidad de las comunicaciones puede considerarse
normal?

SI
SI
SI
SI
SI
SI
SI
SI

SI
SI

SI
NO
SI
SI

SI
SI

NO

NO
NO
SI
SI

39

Existen dispositivos de comunicacin ociosos?

Existen dispositivos de comunicacin que provocan colas en
los trabajos?
Se ha comprobado el tiempo de acceso desde el exterior a
las pginas Web de la empresa?
Existen comunicaciones que se realicen nicamente con fax?
Existe informacin que se recibe o enva en usb?

SI
NO
NO

NO
NO

40

CONCLUSIONES

Haber ayudado a orientar a la empresa para que aplique los controles de

auditoria basados en cobit para mejorar el funcionamiento de la
empresa, para que tenga mejores resultados y ms beneficios.

Orientar a la empresa para prevenir posibles errores, grietas o reas de

alto riesgo en la organizacin para que tenga una mejor productividad y
una mejor funcionalidad.

41