UNIVERSIDAD TECNOLÓGICA DE

HONDURAS
CAMPUS CHOLUTECA

“AUDITORÍA INFORMÁTICA USANDO LA NORMA COBIT

EN EL LABORATORIO 303 DE LA UNIVERSIDAD
TECNOLÓGICA DE HONDURAS – 2019”

AUDITORES
Mario Fernando Méndez Ordoñez
 ÍNDICE

RESUMEN .............................................................................................................................. 1
INTRODUCCIÓN .................................................................................................................. 3
CAPÍTULO I .......................................................................................................................... 4
DATOS GENERALES DE LA INSTITUCIÓN .................................................................... 4
1. Descripción de la Institución ....................................................................................... 4
2. Misión, Visión y Política de Calidad de la Institución ................................................ 5
2.1. Misión ................................................................................................................... 5
2.2. Visión.................................................................................................................... 6
2.3. Política de Calidad ............................................................................................... 6
CAPÍTULO II ......................................................................................................................... 7
PROBLEMÁTICA DE LA INVESTIGACIÓN..................................................................... 7
3. Realidad Problemática ................................................................................................ 7
3.1. Planteamiento del Problema ................................................................................ 7
3.2. Formulación del Problema .................................................................................. 8
3.3. Justificación e Importancia de la Investigación .................................................. 9
3.4. Objetivos de la Investigación ............................................................................... 9
CAPÍTULO III ..................................................................................................................... 11
MARCO TEÓRICO ............................................................................................................. 11
4. Desarrollo de la Temática ......................................................................................... 11
4.1. AUDITORÍA...................................................................................................... 11
4.2. Tecnología de la Información ............................................................................ 13
4.3. COBIT 5 ............................................................................................................. 14
CAPÍTULO IV...................................................................................................................... 18
MARCO METODOLÓGICO .............................................................................................. 18
5. Tipo de Investigación................................................................................................. 18
6. Hipótesis .................................................................................................................... 18
7. Variables .................................................................................................................... 18
7.1. Variable Independiente: Auditoría Informática ............................................... 18
7.2. Variable Dependiente: Centro de Sistemas de Información ............................. 18
8. El Estándar COBIT como Metodología .................................................................... 19
CAPÍTULO V ....................................................................................................................... 20
DESARROLLO DE LA PROPUESTA ................................................................................ 20
9. Plan de Auditoría para Infraestructura de Hardware y Software........................... 20
 9.1. Alcance de la Auditoría de la Gestión de TI...................................................... 20
10. Determinación de los procesos COBIT aplicables a la auditoría en ejecución .... 21
11. Programa de Auditoría y Matriz de Prueba de los Procesos y Objetivos de
Control .............................................................................................................................. 26
12. Informe Preliminar ................................................................................................ 49
12.1. Informe Final de Auditoría ............................................................................ 49
12.1.1. Observaciones de los objetivos de control No Efectivos en la Institución..... 50
CONCLUSIONES DE LA AUDITORÍA APLICADA ................................................ 54
CAPÍTULO VI ...................................................................................................................... 55
COSTOS Y BENEFICIOS ................................................................................................... 55
13. Análisis de Costos .................................................................................................. 55
13.1. Costo de Servicio y Materiales ....................................................................... 55
13.2. Resumen de Costos......................................................................................... 55
13.3. Beneficios........................................................................................................ 55
13.3.1. Beneficios Tangible ........................................................................................ 55
13.3.2. Beneficios Intangibles .................................................................................... 56
14. Recuperación de la Inversión ................................................................................ 56
14.1. Distribuciones de los costos para software Propietario ................................ 56
14.1.1. Costo de Inversión.......................................................................................... 56
14.2. Beneficio del Proyecto .................................................................................... 57
14.2.1. Beneficios Tangibles ....................................................................................... 57
14.2.2. Beneficios Intangibles .................................................................................... 58
CAPÍTULO VII .................................................................................................................... 59
CONCLUSIONES ................................................................................................................ 59
CAPÍTULO VIII ................................................................................................................... 60
RECOMENDACIONES ....................................................................................................... 60
CAPÍTULO IX ...................................................................................................................... 61
REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 61
ANEXOS ............................................................................................................................... 62
 RESUMEN
El presente proyecto se desarrolló en la Universidad Tecnológica de Honduras,
2019, en el cual se realizará una auditoría de Sistemas de Información bajo el estándar
COBIT, especialmente para infraestructura de Hardware y Software del laboratorio 303.

A través de checklist aplicadas, se determinó diversos problemas en lo que

concierne a gestión de TI, entre los principales hallamos la congestión de problemas en
cuanto a la red wifi, que se presenta a diario en los diferentes laboratorios del centro,
debido a que no existe un proceso que contrate, mantenga y motive los recursos humanos
de TI para la creación y entrega de servicios de TI al centro.

Además, se identificó que el personal TI no tiene conocimiento de todos los

problemas que existen en el área, problemas como computadoras sin conexión de red y
esto se debe a que no se realiza una supervisión de manera continua.

Otro problema es en cuanto a conexiones de salida a Data Show el cual solo cuenta
con puerto VGA, debido al cambio tecnológico en cuanto al hardware de las
computadoras es necesario contar con ambos puertos VGA y HDMI. Seguidamente se
identificó el inminente peligro en cuanto al orden de los cables de los dispositivos
eléctricos como UPS y dispositivos de entrada y salida de la computadora (Ratón,
Teclado, etc..), debido a que no existen mecanismos de seguridad que permitan mantener
el orden del laboratorio.

Para esto se identificó los controles que aplican a la auditoría, entre algunos de
ellos tenemos Gestionar las Peticiones de los Maestros y los Incidentes del Servicio y al
Gestionar los servicios de seguridad; para lo cual se está utilizando COBIT versión 5, la
cual nos sirve como guía de buenas prácticas en lo que respecta a la gestión de TI.

Para el desarrollo de la Auditoría se utilizó la metodología PDCA, lo cual permitió

eliminar procesos repetitivos, logrando así reducir tiempos y mejoras en el análisis de
cada proceso.

Determinándose después de aplicada la evaluación, que no existe un proceso que

contrate, mantenga y motive los recursos humanos de TI para entrega de servicios de TI
al laboratorio, lo que genera que el poco personal de TI se congestione con los problemas
en los sistemas y redes, que se presentan a diario en la institución. Hace falta que se realice

1
una correcta supervisión para brindar un mayor aseguramiento de las políticas de la
empresa.

Llegándose a desarrollar observaciones de manera detallada, fijándose riesgos por

cada observación y generándose así, recomendaciones que ayuden a corregir las falencias
encontradas.

Palabras Claves: COBIT 5, PDCA.

2
 INTRODUCCIÓN
A través de checklist aplicadas, se determinó diversos problemas en lo que
concierne a gestión de TI, entre los principales hallamos la congestión de problemas en
cuanto a la red wifi, que se presenta a diario en los diferentes laboratorios del centro,
debido a que no existe un proceso que contrate, mantenga y motive los recursos humanos
de TI para la creación y entrega de servicios de TI al centro.

Además, se identificó que el personal TI no tiene conocimiento de todos los

problemas que existen en el área, problemas como computadoras sin conexión de red y
esto se debe a que no se realiza una supervisión de manera continua.

Otro problema es en cuanto a conexiones de salida a Data Show el cual solo cuenta
con puerto VGA, debido al cambio tecnológico en cuanto al hardware de las
computadoras es necesario contar con ambos puertos VGA y HDMI. Seguidamente se
identificó el inminente peligro en cuanto al orden de los cables de los dispositivos
eléctricos como UPS y dispositivos de entrada y salida de la computadora (Ratón,
Teclado, etc..), debido a que no existen mecanismos de seguridad que permitan mantener
el orden del laboratorio.

Como objetivos en este proyecto de auditoría tenemos el realizar la auditoría

informática en el laboratorio 303 de la Universidad Tecnológica de Honduras Campus
Choluteca, utilizando el estándar COBIT (Control Objectives For Information and
Related Technology), con el fin de mejorar la gestión de TI en la institución, luego
tenemos el describir la situación actual del área a auditar, respecto a los procesos TI que
se ejecutan en el área, especificar los controles del estándar COBIT que se aplicarán, con
respecto a los procesos de Gestión de TI y emitir recomendaciones que permitan mejorar
la gestión en el laboratorio auditado.

Al aplicar esta auditoría, permitirá aumentar la eficiencia y eficacia en el

desarrollo de las operaciones, haciendo los procedimientos más seguros y brindando
mayor agilidad de las actividades de la Institución.

El documento incluye un resumen gerencial junto con las conclusiones y

recomendaciones obtenidas.

3
 CAPÍTULO I

DATOS GENERALES DE LA INSTITUCIÓN

1. Descripción de la Institución
La Universidad Tecnológica de Honduras (UTH), fue fundada en 1986 por su actual
presidente Roger Danilo Valladares Varela.

Luego de visitar varias universidades en Estados Unidos, surge la idea de fundar la

Universidad Tecnológica de Honduras por el empresario Roger Valladares en 1985. En
aquel entonces solo existía un centro educativo de enseñanza superior en San Pedro Sula
por lo que las expectativas eran grandes por parte de su fundador.

En su inicio la UTH se llamó Instituto Superior Tecnológico, pero los ciudadanos

pensaban que era un colegio por lo que sus autoridades le cambiaron el nombre a
Universidad Tecnológica de Honduras. Por varios años operó con 4 carreras, que en aquel
entonces nadie las ofrecía a los jóvenes sampedranos.

Alrededor de 32 estudiantes abrieron el camino, recibiendo clases en las primeras

instalaciones ubicadas en los altos de la antigua Farmacia Paredes, el viejo Hotel
Roosevelt, frente a lo que fue el Cine Clamer, 3 Ave y 7 Calle, en San Pedro Sula, Cortés.
Problemas de estacionamiento y espacio reducido servían de escenario para el desarrollo
de carreras técnicas cortas en Mercadeo, Relaciones Industriales y Administración de
Oficinas.

Poco tiempo más tarde, se unieron a este equipo de colaboradores Celestino Padilla,
como director académico; Sergio Menjivar, decano; Luis Alonso López, catedrático de
esta institución, Luis Caraccioli, de la carrera de Relaciones Industriales, Óscar Reyes,
vicerrector; Adalid Paz, Alberto Fajardo, director académico; Carlos Young Reyes,
Ricardo Trujillo; Orlando Vallesigui, Ricardo Teruel, Leonel Medrano y Roberto
Cáceres, ex rector de la universidad.

Pocos años más tarde el INSUTEC se transformó en la “Universidad Tecnológica de

Honduras”. Un nuevo nombre que define su misión, como una respuesta a la petición de
los estudiantes de la época, tras lo que han seguido veinte años de trabajo en los que no

4
se ha contado con donaciones -ni locales ni extranjeras-, ni regalos en especie,
consagrando todos sus recursos a la educación superior.
Los primeros 32 estudiantes de la institución pronto alcanzaron los 300, lo que obligó
a la Universidad a trasladarse al Barrio Lempira. Allí permaneció por cinco años. .Su
población estudiantil siguió creciendo y al superar los 1.200 estudiantes, en 1995, se ubicó
finalmente en las instalaciones actuales de su Campus Central San Pedro Sula, donde
cursan más de 10.000 estudiantes.

En la actualidad hay 10 campus a nivel nacional ubicados en: San Pedro Sula, Puerto
Cortés, El Progreso, La Ceiba, Santa Bárbara, Siguatepeque, Tegucigalpa, Islas de la
Bahía, Choluteca y Choloma

En 2016 la Universidad Tecnológica de Honduras llega a sus 30 años ofreciendo a los

alumnos una amplia oferta académica; estas carreras están de manera presencial y en
línea, contando con los mejores catedráticos todos con maestría y a quienes
constantemente se les capacita con expertos maestros de universidades de Estados Unidos

Como parte de su proyección social el presidente de la UTH Roger D. Valladares

aporta anualmente más de 16 millones de lempiras destinados a becas de estudiantes.
Sumado a esto hay un convenio con EUREKA que permite cada año, enviar a 100
estudiantes a cursar sus estudios en las mejores universidades de Europa.

El éxito de un hombre soñador y visionario como Roger Valladares no termina aquí,

desde enero de 2016 puso en marcha otro proyecto, pero este, en los Estados Unidos de
América, es así como arranca UTH Florida, una oportunidad para todos los latinos de
estudiar en línea y obtener un título universitario en el país norteamericano.

La misión de UTH es brindar una educación superior de excelencia y calidad que se

adaptan a los retos futuros que afrontamos en este siglo.

2. Misión, Visión y Política de Calidad de la Institución

2.1. Misión
Brindar educación superior de excelencia, mediante la preparación de
profesionales con capacidad y liderazgo, que contribuya al desarrollo económico y
social de honduras, dentro del sistema universal de libre empresa.

5
2.2. Visión
La UTH se mantendrá a la vanguardia y liderazgo de la educación superior,
apoyando el desarrollo socioeconómico y social de Honduras.

2.3. Política de Calidad

En la UTH nos comprometemos a servir a la sociedad brindando excelencia
académica, con tecnología de avanzada y los mejores profesionales académicos,
enfocados a la mejora continua, satisfaciendo las necesidades de nuestros estudiantes
y de la empresa privada, pública y partes interesadas.

6
 CAPÍTULO II

PROBLEMÁTICA DE LA INVESTIGACIÓN
3. Realidad Problemática
En el siguiente punto se detallará los problemas hallados en el laboratorio 303 de
la Universidad Tecnológica de Honduras.

3.1. Planteamiento del Problema

Debido al avance tecnológico de los sistemas, hardware y software, las
telecomunicaciones han logrado posicionarse tanto en los sectores públicos como
privados en todo el mundo, teniendo un crecimiento muy acelerado, esto ha dado paso
a que los sistemas informáticos necesiten un adecuado control.

“Las Tecnologías de Información constituyen actualmente, una herramienta

estratégica para el desarrollo institucional global, y es precisamente de la importancia
de su adecuada gestión y desempeño, de donde surge la necesidad de verificar que las
políticas y procedimientos establecidos para su desarrollo, se lleven a cabo de manera
oportuna y eficiente permitiendo un mejoramiento continuo. Hoy en día los sistemas
de información constituyen herramientas indispensables para el desarrollo
empresarial general. Las Tecnologías de Información se involucran directamente con
la gestión integral de la empresa, por esta razón deben estar sujetas a lineamientos,
normas y estándares que vayan de acuerdo con las políticas empresariales. De la
importancia del adecuado funcionamiento de las Tecnologías de Información en una
institución surge la Auditoría Informática” (Quintuña, V. 2012).

“La auditoría es un proceso necesario para las organizaciones con el fin de

asegurar que todos sus activos sean protegidos en forma adecuada. En donde, la alta
dirección espera que de estos procesos de auditoría surjan recomendaciones
necesarias para la mejora continua de las funciones de la organización. (Hernández,
1997).

Hoy en día, el desarrollo de una auditoría informática está basada en la aplicación

de normas, técnicas, estándares y procedimientos que garanticen el éxito del proceso.
El estándar COBIT es una de estas normas que garantizan el más adecuado proceso
de auditoría, toda vez que centra su interés en la gobernabilidad, aseguramiento,

7
control y auditoría para Tecnologías de la Información, por lo que actualmente es uno
de los estándares más utilizados, como base en la realización de una metodología de
control interno en el ambiente de tecnología informática.

La gran mayoría de documentación existente coincide en que las normas de

auditoría son requisitos mínimos de calidad, relativos a las cualidades del auditor, a
los métodos y procedimientos aplicados en la auditoría, y a los resultados.

Así, todas las Tecnologías de Información (T.I.) desde el punto de vista de la

Auditoría, presentan una problemática común: la falta de un marco de dominios,
procesos y control. La falta de auditoría informática en las organizaciones genera una
falta grave en el alineamiento con los objetivos del negocio, ya que no existe un marco
de gobernabilidad de Tecnologías de Información que ayude a las buenas prácticas
que las normas COBIT presenta.

El laboratorio 303 de la Universidad Tecnológica de Honduras presenta

diversos problemas en lo que concierne a gestión de Tecnologías de Información, uno
de ellos es que existe un desorden total en cuanto a al cableado de los diferentes
dispositivos, lo que genera que los estudiantes puedan ocasionar algún daño en ellos.

Otra irregularidad que se tiene es en cuanto a los puertos que cuenta el laboratorio
para salida de imagen haciendo uso del DataShow, esto ocasiona pérdidas de tiempo
a la hora de realizar una presentación u exposición.

Seguidamente un problema más es que los sistemas operativos y software están

activados bajo copias piratas, lo que ocasiona un uso fraudulento de software, además
de suponer una violación de los legítimos derechos de las compañías que crean,
innovan, actualizan y comercializan estos programas informáticos, también implica
graves riesgos para la institución UTH.

Otro importante problema es que no existen mecanismos de seguridad como

dispositivos biométricos, lo cual puede ocasionar en un descuido un robo de algún
equipo, como suele suceder con las antenas.

3.2. Formulación del Problema

¿La realización de una Auditoría Informática permitirá aumentar la eficiencia y
eficacia en el laboratorio 303 de la Universidad Tecnológica de Honduras?

8
3.3. Justificación e Importancia de la Investigación

3.3.1. Justificación
✓ Justificación Económica: Porque aquello que vamos a plantear, una vez
terminado el proyecto de investigación, permitirá a la Institución tener un
mayor control en sus laboratorios minimizando costos y tener un mayor
rendimiento.
✓ Justificación Operativa: Porque la Auditoría Informática permitirá aumentar
la eficiencia y eficacia en el desarrollo de las operaciones (Clase de
Laboratorio), haciendo los procedimientos más seguros y brindando mayor
agilidad de las actividades de la Institución.
✓ Justificación Académica: Porque este proyecto permitirá aplicar conceptos
de auditoría informática y además el marco de referencia de buenas prácticas
COBIT.
✓ Justificación Tecnológica: El resultado del trabajo de investigación permitirá
optimizar los recursos T.I. de la Institución.

3.3.2. Importancia:
La auditoría informática en el laboratorio 303 de la Universidad Tecnológica
de Honduras Campus Choluteca es importante ya que proporcionará controles
necesarios y harán las operaciones más confiables y tendrán un buen nivel de
seguridad, equipos tecnológicos y personal capacitado; aumentando la eficiencia
y eficacia en el desarrollo de estas, propiciando mayor rendimiento en la
institución.

3.4. Objetivos de la Investigación

En el siguiente punto se dará a conocer cuál es el objetivo General y Objetivos
específicos del presente proyecto.

3.4.1. Objetivo General

Realizar la auditoría informática en el laboratorio 303 de la Universidad
Tecnológica de Honduras, usando las normas COBIT (Control Objectives For
Information and Related Technology), con el fin de aumentar la eficiencia y
eficacia en el área indicada.

9
3.4.2. Objetivos Específicos
✓ Describir la situación actual del laboratorio 303 de la Universidad
Tecnológica de Honduras, respecto a los procesos de Tecnologías de
Información que se ejecutan en esta área.
✓ Especificar los controles de las normas COBIT que se aplicarán en el
laboratorio 303 de la Universidad Tecnológica de Honduras.
✓ Aplicar las normas COBIT en el laboratorio el cual también servirá de
base para los demás laboratorios con los cuales cuenta la institución.
✓ Emitir recomendaciones que permitan mejorar la Gestión de Tecnologías
de Información en todos los laboratorios de la institución, usando las
normas COBIT.

10
 CAPÍTULO III

MARCO TEÓRICO
4. Desarrollo de la Temática
A continuación, se desarrollará la temática de la investigación de Auditoría,
Tecnologías de Información y COBIT 5.

4.1. AUDITORÍA
El concepto de auditoría es más amplio: no sólo detecta errores, sino que es un
examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una
sección o de un organismo.

4.1.1. Tareas Principales de la Auditoría

Según Jiménez nos menciona las siguientes tareas principales de la
Auditoría:

✓ Estudiar y actualizar permanentemente las áreas susceptibles de revisión.

✓ Apegarse a las tareas que desempeñen las normas, políticas,
procedimientos y técnicas de auditoría establecidas por organismos
generalmente aceptados a nivel nacional e internacional.
✓ Evaluación y verificación de las áreas requeridas por la alta dirección o
responsables directos del negocio.
✓ Elaboración del informe de auditoría (debilidades y recomendaciones).
✓ Otras recomendadas para el desempeño eficiente de la auditoría. (Jiménez,
2013).

4.1.2. Formas de Auditoría

✓ Auditoría Interna: Es aquella que se hace adentro de la empresa; sin
contratar a personas de afuera. La auditoría interna es la realizada con
recursos materiales y personas que pertenecen a la empresa auditada. Los
empleados que realizan esta tarea son remunerados económicamente. La
auditoría interna existe por expresa decisión de la empresa, o sea, que
puede optar por su disolución en cualquier momento.
✓ Auditoría Externa: Como su nombre lo dice es aquella en la cual la
empresa contrata a personas de afuera para que haga la auditoría en su
empresa. Es realizada por personas afines a la empresa auditada; es

11
 siempre remunerada. Se presupone una mayor objetividad que en la
auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.

4.1.3. Auditoría en Informática

Según Piattini en su obra Auditoria Informática: Un Enfoque Práctico, la
auditoría en informática se orienta a la verificación y aseguramiento de que
las políticas y procedimientos establecidos para el manejo y uso adecuado
de la tecnología de la información en la organización, se lleven a cabo de
una manera oportuna y eficiente. (Piattini, Del Peso, 2003). La auditoría
informática es un proceso necesario que debe ser realizado por personal
especializado para garantizar que todos los recursos tecnológicos operen en
un ambiente de seguridad y control eficientes, de manera que la entidad tenga
la seguridad de que opera con información verídica, integral, exacta y
confiable. Además, la auditoría deberá contener observaciones y
recomendaciones para el mejoramiento continuo de la tecnología de la
información en la institución. Se desarrolla en función de normas,
procedimientos y técnicas definidas por institutos establecidos a nivel
nacional e internacional; por ello, nada más señalarán algunos aspectos
básicos para su entendimiento.

Así, la auditoría en informática es:

✓ Proceso de recoger, agrupar y evaluar evidencias para determinar si

un sistema de información salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organización y utiliza eficientemente los recursos.
✓ Un proceso formal ejecutado por especialistas del área de auditoría y
de informática; se orienta a la verificación y aseguramiento para que
las políticas y procedimientos en la organización se realicen de una
manera oportuna y eficiente.
✓ Las actividades ejecutadas por profesionales del área de informática
y de auditoría encaminadas a evaluar el grado de cumplimiento de
políticas, controles y procedimientos correspondientes al uso de los
recursos de informática por el personal de la empresa (usuarios,
informática, alta dirección, etc.). Dicha evaluación deberá ser la
12
 pauta para la entrega del informe de auditoría en informática, el cual
debe contener las observaciones, recomendaciones y áreas de
oportunidad para el mejoramiento y optimización permanente de la
tecnología de informática en el negocio.

4.2. Tecnología de la Información

Desde el surgimiento de Internet, se ha incorporado masivamente a la TI el
aspecto de comunicación, con lo cual se suele hacer referencia a un tema aún más
amplio, conocido como Tecnología de Información.

TI, o más conocida como IT por su significado en inglés: information

technology, es la aplicación de ordenadores y equipos de telecomunicación para
almacenar, recuperar, transmitir y manipular datos, con frecuencia utilizado en el
contexto de los negocios u otras empresas. El término es comúnmente utilizado
como sinónimo para los computadores, y las redes de computadoras, pero también
abarca otras tecnologías de distribución de información, tales como la televisión
y los teléfonos.

Las tecnologías de la información son una herramienta de proceso de información

básica para cualquier actividad, que se derivan de los primeros ordenadores y de la
informática que nacieron en el siglo pasado. Están cambiando la sociedad y prometen
seguir haciéndolo hacia límites y de formas que hoy no podemos ni siquiera imaginar.
Múltiples industrias están asociadas con las tecnologías de la información, incluyendo
hardware y software de computador, electrónica, semiconductores, internet, equipos
de telecomunicación, e-commerce y servicios computaciones.

Con la popularización de los teléfonos móviles inteligentes (Smartphones) y las

tabletas se ha producido una explosión de programa específicos, las aplicaciones o
apps, que potencian la utilidad y la necesidad de esos dispositivos, en combinación
con las prestaciones de movilidad que ofrecen las telecomunicaciones.

En este repaso no se puede olvidar otro aspecto muy destacado en los últimos años
y que está produciendo muchas expectativas y en muchos casos realidades. Según el
autor Coltell nos recalca que se trata de almacenamiento en la nube o cloud
computing. Mediante una combinación de tecnologías de la información y
telecomunicaciones, el almacenamiento en la nube permite que las empresas y las

13
Administraciones Públicas puedan establecer nuevas formas de trabajar, basadas en
la agilidad, la flexibilidad y la adaptación a diferentes tamaños y necesidades.

4.3. COBIT 5
4.3.1. Introducción
✓ El 9 de abril de 2012 fue publicado oficialmente por ISACA el marco de
referencia COBIT 5.
✓ Es la evolución de la familia COBIT, aprovechando las versiones
anteriores y las practicas actuales.
✓ Está apoyado en más de 15 años de experiencia global.
✓ Es resultado del trabajo de expertos de los 5 continentes y de la
retroalimentación de cientos de miembros de ISACA.
✓ COBIT 5 Conjunto de mejores prácticas para el manejo de información
creado por la Asociación para la Auditoría y Control de Sistemas de
Información (ISACA), y el Instituto de Administración de las Tecnologías
de la Información (ITGI).
✓ Cobit 5 provee la Gestión de TI para las empresas y el Gobierno de TI.
COBIT es un marco de referencia para la dirección de TI, así como
también de herramientas de soporte que permite a la alta dirección reducir
la brecha entre las necesidades de control, cuestiones técnicas y los riesgos
del negocio.
✓ COBIT permite el desarrollo de políticas claras y buenas prácticas para el
control de TI en las organizaciones. Enfatiza el cumplimiento normativo,
ayuda a las organizaciones a aumentar el valor obtenido de TI, facilita su
alineación y simplifica la implementación del marco de referencia de
COBIT. (Chillida, 2013).

4.3.2. ¿Qué es COBIT?

Es un conjunto de buenas prácticas para el manejo de información. Cobit
consolida y armoniza estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales de control y los auditores.

Se aplica a los sistemas de información de toda la empresa, incluyendo

computadoras personales, minicomputadoras y ambientes distribuidos.
COBIT son las siglas para definir Control Objectives for Information and

14
 related Technology (Objetivos de Control para la información y tecnología
relacionada.

Es un conjunto de herramientas de soporte que permite a la gerencia de las

organizaciones el cerrar la brecha entre los requerimientos de control,
problemas técnicos y los riesgos del negocio. Este marco presenta
actividades para el Gobierno de TI en una estructura manejable y lógica. Las
buenas prácticas de COBIT reúnen el consenso de expertos, quienes
ayudarán a optimizar la inversión en TI y proporcionarán un mecanismo de
medición que permitirá juzgar cuando las actividades van por el camino
equivocado.

4.3.3. ¿Para qué se utiliza?

✓ Para planear, implementar, controlar y evaluar el gobierno sobre TI;
incorporando objetivos de control, directivas de auditoria, medidas de
rendimiento y resultados, factores críticos de éxito y modelos de madurez.
✓ COBIT permite el desarrollo claro de políticas y la práctica buena para el
control de TI en todas las partes de la organización.
✓ El modelo COBIT es constantemente actualizado; el cual permite a las
empresas aumentar su valor en TI y reduce los riesgos asociados a
proyectos tecnológicos.

4.3.4. La misión COBIT

La misión de COBIT es el investigar, desarrollar, publicar y promover un
conjunto de objetivos de control generalmente aceptados, autorizados,
actualizados por ISACA para ser utilizadas en el día a día por la gerencia del
negocio, los profesionales de IT y de la seguridad.

4.3.5. Objetivos
✓ Proveer un marco único reconocido a nivel mundial de las “mejores
prácticas” de control y seguridad de TI.
✓ Consolidar y armonizar estándares originados en diferentes países
desarrollados.
✓ Concientizar a la comunidad sobre importancia del control y la auditoría
de TI.

15
 ✓ Enlaza los objetivos y estrategias de los negocios con la estructura de
control de la TI, como factor crítico de éxito.
✓ Aplica a todo tipo de organizaciones independiente de sus plataformas de
TI.

4.3.6. ¿Quiénes utilizan COBIT?

✓ La Gerencia:

Para apoyar sus decisiones de inversión en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

✓ Los Usuarios Finales:

Quienes obtienen una garantía sobre la seguridad y el control de los
productos que adquieren interna y externamente.
✓ Los Auditores:
Para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organización y determinar el control mínimo
requerido.
✓ Los responsables de TI:
Para identificar los controles que requieren en sus áreas. También
puede ser utilizado dentro de las empresas por el responsable de un
proceso de negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos aquellos con responsabilidades en el
campo de la TI en las empresas. (ISACA, COBIT 5 - Cambios de la nueva
versión, 2011).

4.3.7. El Marco de Referencia de COBIT 5

Según ISACA menciona puntos de Marco de Referencia que son los
siguientes:

✓ COBIT 5 ayuda a las organizaciones o empresas a crear/obtener valor

óptimo de la TI, para la disciplina específica de gestión de TI dentro de la
organización, manteniendo un balance entre los beneficios, riesgos y
recursos. COBIT 5 apoya la planeación, construcción, ejecución y
monitoreo de actividades en alineamiento con la dirección establecida por
gobierno, para alcanzar los objetivos estratégicos de negocio, mantener

16
 información de calidad para toma de decisiones al igual que optimización
de riesgos y costos.
✓ COBIT 5 tiene un enfoque holístico para administrar y gobernar la
información y tecnología relacionada en toda la empresa.
✓ COBIT 5 establece principios y habilitadores genéricos que son útiles para
empresas de todos tamaños y giros.

Gobierno y Administración

El Gobierno o Gobernanza se asegura de que los objetivos de la empresa son

logrados, evaluando las necesidades de los interesados, condiciones y
opciones; estableciendo la dirección mediante prioridades y toma de
decisiones; y monitoreando el desempeño, cumplimiento y progreso respecto
a los objetivos (EDM).

La Administración planea, construye, ejecuta y monitorea (plans, builds,

runs and monitors) actividades en alineamiento con la dirección establecida
por el cuerpo de gobierno para alcanzar los objetivos de la empresa (PBRM).
(ISACA, COBIT 5 - Cambios de la nueva versión, 2011) y (ISACA, COBIT
5 , 2015).

4.3.8. Elección del estándar a utilizar

COBIT 5
DESCRIPCIÓN Es un conjunto de mejores prácticas para
el manejo de información creado por la
Asociación para la Auditoría y Control de
Sistemas de Información, (ISACA) y el
Instituto de Administración de las
Tecnologías de la Información (ITGI).
VENTAJAS -Proporciona las mejores prácticas y
herramientas para monitorear y gestionar
las actividades de TI. -Mejor alineación de
una empresa, enfocándose en sus recursos
de TI.
DESVENTAJAS - Se requiere de un esfuerzo de la
organización para adoptar los estándares.

17
 CAPÍTULO IV

MARCO METODOLÓGICO
5. Tipo de Investigación
Investigación Tecnológica Formal

6. Hipótesis
La realización de una auditoría informática en uno de los laboratorios (303) de la
Universidad Tecnológica de Honduras, aumentará la eficiencia y eficacia en el área en
mención.

7. Variables
7.1. Variable Independiente: Auditoría Informática
✓ Definición Conceptual: Es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda
el activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas.
✓ Definición Operacional: La revisión crítica construida de las operaciones
efectuadas en la institución, así como en los procedimientos seguidos para su
desarrollo y registros tendientes a obtener un seguro como oportuna
información constituye la esencia de esta auditoría, se centra en la calidad de
operaciones.

7.2. Variable Dependiente: Centro de Sistemas de Información

✓ Definición Conceptual: Es aquella área que tiene como objetivo fundamental
apoyar a la organización en toda su extensión, ofreciendo soluciones mediante
el uso eficiente de los sistemas y las tecnologías de la información que se
ajusten a las estrategias definidas por la Universidad.
✓ Definición Operacional: Entiéndase como aquellas actividades que se
realizan dentro del laboratorio de la Universidad, tales como: mantenimiento
preventivo y/o correctivo del Hardware y Software, Creación de Usuarios
Locales.

18
8. El Estándar COBIT como Metodología
Como Metodología usaremos el COBIT (Control Objetives Information
Tecnologies – Objetivo de Control para Tecnología de Información) cuyo editor
principal fue el Instituto de Gobierno TI, creando así una herramienta de Gobierno de
TI, que vincula la tecnología informática y prácticas de control, además consolida
estándares de fuentes globales confiables en un recurso esencial para la
administración (gerencia), los usuarios (profesionales de control) y los auditores.
COBIT está basado en la filosofía de que los recursos de TI necesitan ser
administrados por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr sus
objetivos.

19
 CAPÍTULO V

DESARROLLO DE LA PROPUESTA
9. Plan de Auditoría para Infraestructura de Hardware y Software
En este punto se desarrollará la Propuesta del Plan de Auditoría, el cual se
menciona a continuación:

9.1. Alcance de la Auditoría de la Gestión de TI

El siguiente trabajo de auditoría aplicará COBIT como metodología para la
evaluación y análisis de los diferentes procesos y controles que se aplican en el área
de la tecnología de la información.

A pesar de que COBIT es una herramienta que trabaja juntamente con los
objetivos principales de la organización, la auditoría se centrara en el análisis de las
tecnologías de la información, aplicada actualmente en el laboratorio de la Institución.

Debido a que la Universidad Tecnológica de Honduras es una Institución dedicada

exclusivamente a brindar educación superior de muy buena calidad y garantizar el
futuro profesional de los estudiantes integrados en ella, con excelentes herramientas
para formar el futuro del país. Para llegar a este nivel de servicio; cada área unas en
mayor proporción que otras deben asegurarse de dar lo mejor de sí, de aquí que se
identifican aquellos que para mantenerse en operación constante dependen del
servicio que les brinda en este caso los laboratorios de la Institución.

De aquí partirá el análisis donde se identificarán las debilidades existentes y sus

riesgos potenciales, se expondrán una serie de conclusiones sobre los actuales
procedimientos en lo que refiere a TI, el cual nos ayudará a emitir recomendaciones
para el mejoramiento de gestión TI.

Objetivos de la Auditoría

✓ Analizar y diagnosticar la actual gestión del laboratorio 303.

✓ Plantear las mejoras para la gestión del laboratorio 303.
✓ Verificar el correcto funcionamiento del hardware y software.
✓ Comprobar si la iluminación y el acondicionamiento están en buen estado.
✓ Proponer nuevos procesos y actividades que ayudaran a identificar los
controles que se requieren para garantizar la gestión del laboratorio.

20
10. Determinación de los procesos COBIT aplicables a la auditoría en ejecución
La determinación de los procesos COBIT involucrados dentro de la gestión de
procesos TI que permitirán llevar a cabo el desarrollo de la presente auditoría, fue
realizada siguiendo las recomendaciones de COBIT que fue publicado a inicios del
2013. Este documento expone los objetivos de control detallados de COBIT que
tienen relación con la gestión de TI.

Del estudio de estos, se han seleccionado aquellos que tienen relación con la
gestión de TI del laboratorio de acuerdo con la checklist realizada a dicho laboratorio
y en otros laboratorios de manera general, las cuales contribuirán a alcanzar los
objetivos de la Institución. A continuación, se exponen los objetivos de control por
dominios que han sido escogidos para la ejecución del trabajo de auditoría de la
gestión de TI del laboratorio 303.

❖ Dominio: Alinear, Planificar Y Organizar (APO)

De este dominio se ha elegido el proceso Gestionar los Recursos Humanos, de los

cuales aplican 3 objetivos de control y se mencionan a continuación:

APO07 Gestionar los Recursos Humanos.

✓ APO07.01 Mantener la dotación de personal suficiente y adecuado.

✓ APO07.03: Mantener las habilidades y competencias del personal.
✓ APO07.06: Gestionar el personal contratado.

❖ Dominio: Entrega De Servicios Y Soporte (DSS)

De este dominio se ha elegido los siguientes procesos: Gestionar las Peticiones y

los Incidentes del Servicio, Gestionar los servicios de seguridad, de los cuales aplican
los objetivos de control que se detallarán más adelante.

DSS02 Gestionar las Peticiones y los Incidentes del Servicio

✓ DSS02.01: Definir esquemas de clasificación de incidentes y peticiones de

servicio.
✓ DSS02.02: Registrar, clasificar y priorizar peticiones por parte del
Catedrático.
✓ DSS02.04: Investigar, diagnosticar y localizar incidentes en cuanto al
hardware, software y otros equipos del laboratorio.
21
 DSS05 Gestionar los servicios de seguridad

✓ DSS05.01: Proteger contra Software malicioso (Malware).

✓ DSS05.02: Gestionar la seguridad de la red y las conexiones.
✓ DSS05.03: Gestionar la seguridad del software.
✓ DSS05.04: Gestionar la seguridad de acceso al laboratorio.

❖ Dominio: Supervisar, Evaluar Y Valorar (MEA)

De este dominio se ha elegido los siguientes procesos: Supervisar, Evaluar y

Valorar Rendimiento y Conformidad y Supervisar, de los cuales aplican los objetivos
de control que se detallarán más adelante.

MEA01. Supervisar, Evaluar y Valorar Rendimiento y Conformidad

✓ MEA01.01: Establecer un plan de la supervisión.

✓ MEA01.05: Asegurar la implantación de medidas correctivas y
preventivas.

❖ Dominio: Alinear, Planificar y Organizar

A continuación, se detallará los objetivos de control del dominio Alinear,

Planificar y Organizar, que se aplicarán en la auditoría de acuerdo a las actividades
de cada uno de estos objetivos.

APO07. Gestionar los Recursos humanos

Proporcionar un enfoque estructurado para garantizar una óptima

estructuración, ubicación, capacidades de decisión y habilidades de los recursos
humanos. Esto incluye la comunicación de las funciones y responsabilidades
definidas, la formación y planes de desarrollo personal y las expectativas de
desempeño, con el apoyo de gente competente y motivada.

Los objetivos de control detallados a ser considerados son:

✓ APO07.01: Mantener la dotación de personal suficiente y adecuado

Se eligió este subproceso ya que evaluar las necesidades de personal en
forma regular o en cambios importantes en la Institución, operativos o en los

22
 entornos, es indispensable para asegurar que la Institución tenga los
suficientes recursos humanos para apoyar las metas y objetivos empresariales.

✓ APO07.03: Mantener las habilidades y competencias del personal

Se eligió este subproceso ya que se debe definir y gestionar las habilidades

y competencias necesarias del personal en el área de TI, además de verificar
regularmente que el personal tenga las competencias necesarias para cumplir
con sus funciones sobre la base de su educación, formación y/o experiencia y
verificar que estas competencias se mantienen, con programas de capacitación
y certificación en su caso y por supuesto también proporcionar a los empleados
aprendizaje permanente y oportunidades para mantener sus conocimientos,
habilidades y competencias al nivel requerido para conseguir las metas de la
Institución.

✓ APO07.06: Gestionar el personal contratado

Se eligió este subproceso ya que se debe asegurar que los consultores y el

personal que se contrate para bridar apoyo a la Institución con capacidades de
TI, conozcan y cumplan las políticas de la Institución, así como los requisitos
contractuales previamente acordados.

❖ Dominio: Entrega De Servicios y Soporte

A continuación, se detallará los objetivos de control del dominio Entrega de

Servicios y Soporte, que se aplicarán en la auditoría de acuerdo a las actividades de
cada uno de estos objetivos.

DSS02. Gestionar peticiones e incidentes de servicios

Proveer una respuesta oportuna y efectiva a las peticiones de usuario

(Catedrático) y la resolución de todo tipo de incidentes (Daño de sistema, etc....).
Recuperar el servicio normal; registrar y completar las peticiones de usuario; y
registrar, investigar, diagnosticar, escalar y resolver incidentes.

Los objetivos de control detallados a ser considerados son:

23
 ✓ DSS02.01: Definir esquemas de clasificación de incidentes y peticiones
de servicio

Se eligió este subproceso ya que, al definir esquemas de clasificación y

priorización de incidentes y peticiones de servicio y criterios para el registro
de problemas, se podrá asegurar enfoques consistentes en el tratamiento,
informando a los usuarios y realizando análisis de tendencias.

✓ DSS02.02: Registrar, clasificar y priorizar peticiones por parte del

Catedrático e incidentes

Se eligió este subproceso ya que no sólo se podrá identificar, registrar y

clasificar peticiones de servicio e incidentes, sino también asignar una
prioridad según la criticidad del laboratorio (Hardware y Software) y los
acuerdos de servicio.

✓ DSS02.04: Investigar, diagnosticar y localizar incidentes en cuanto al

hardware, software y otros equipos del laboratorio.

Se eligió este subproceso ya que el identificar y registrar síntomas de

incidentes (Mantenimiento Preventivo), determinará las posibles causas y
asignar recursos a su resolución.

DSS05 -Gestionar servicios de seguridad

Establecer y mantener los roles de seguridad y realizar la supervisión de la

seguridad.

Los objetivos de control detallados a ser considerados son:

✓ DSS05.01: Proteger contra software malicioso (Malware)

Implementar y mantener efectivas medidas, preventivas, de detección y

correctivas (especialmente parches de seguridad actualizados y control de
virus) a lo largo de la Institución para proteger los sistemas de información y
tecnología del software malicioso (por ejemplo, virus, gusanos, software espía
–spyware).

✓ DSS05.02: Gestionar la seguridad de la red y las conexiones

24
 Se eligió este subproceso ya que se recomendable utilizar medidas de
seguridad y procedimientos de gestión relacionados para optimizar la red wifi
que se implementa en los laboratorios, brindando una mayor eficiencia en
clases prácticas.

✓ DSS05.03: Gestionar la seguridad del software y hardware.

Se eligió este subproceso ya que se recomienda asegurar que el Sistema

Operativo y las aplicaciones estén en óptimas condiciones para uso práctico
del laboratorio. Así mismo gestionar la seguridad del hardware ordenando de
manera práctica todo su equipo (cables, ups, etc…), ya que esto permitirá
asegurar el correcto funcionamiento de los procesos que existen y evitar daños
del mismo.

✓ DSS05.04: Gestionar la seguridad de acceso al laboratorio.

Se eligió este subproceso ya que se recomienda que haya sistemas de

seguridad de acceso como dispositivos biométricos con el fin de garantizar el
funcionamiento del equipo y evitar robos fraudulentos de hardware, así de esta
manera solo tendrán acceso personal de la institución.

❖ Dominio: Supervisar, Evaluar y Valorar

A continuación, se detallará los objetivos de control del dominio Supervisar,

Evaluar y Valorar, que se aplicarán en la auditoría de acuerdo a las actividades de
cada uno de estos objetivos.

MEA01. Supervisar, evaluar y valorar el rendimiento y la conformidad

Recolectar, validar y evaluar métricas y objetivos de negocio, de las TI y

de procesos. Supervisar que los procesos se están realizando según el rendimiento
acordado y conforme a los objetivos y métricas y se proporcionan informes de
forma sistemática y planificada.

Los objetivos de control detallados a ser considerados son

✓ MEA01.01: Establecer un plan de la supervisión.

Se eligió este subproceso ya que si bien involucrará a las partes interesadas

(dirección, propietarios de procesos (TI) o catedráticos) en el establecimiento

25
 y mantenimiento de un plan de supervisión que defina los objetivos, alcance y
método de medición de las soluciones de la institución, la solución de servicio
y la contribución a los objetivos de la institución.

✓ MEA01.05: Asegurar la implantación de medidas correctivas y

preventivas.

Se eligió este subproceso ya que, si bien apoyará a las partes interesadas

en la identificación, inicio y seguimiento de las acciones correctivas para
solventar anomalías y preventivas para evitar anomalías, ya que esto permitirá
al personal de TI informar el resultado a la Gerencia o Catedráticos.

11. Programa de Auditoría y Matriz de Prueba de los Procesos y Objetivos de

Control
En este punto se detallará los procesos y objetivos de control que aplican a la
auditoría, mediante:

✓ Programa de Auditoría

En este cuadro podremos observar las actividades de cada objetivo de

control detallado, pertenecientes a cada dominio. En el cual también se
detallan los factores de riesgo que implicaría el no cumplirse dichas
actividades.

✓ Matriz de Prueba

En este cuadro podremos observar que se mantiene cada objetivo de

control detallado del Programa de Auditoría, pertenecientes a cada dominio,
así mismo se realiza la revisión de estos a través de Evaluaciones de Controles
para probar que se cumplan con dichos objetivos y mediante la Descripción
de la Prueba, se tomaran como tales: los documentos, checklist que se
aplicarán en la Auditoría.

A continuación, se muestran los cuadros de: Programas de Auditoría y

Matriz de Pruebas, agrupados de acuerdo con los dominios de COBIT versión
5.

26
PROCESOS DEL DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)

APO07. Gestionar los Recursos Humanos
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la Institución.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
APO07.01 Mantener la dotación de personal suficiente y adecuado • Riesgo de no poder corregir algún incidente
ocurrido en una de las áreas por falta de personal TI.
• Evaluar las necesidades de personal TI de forma regular o ante cambios • No contar con el personal capacitado para las
importantes. actividades que se requieren.
• Mantener los procesos de contratación y de retención del personal TI con
las políticas y procedimientos de personal globales de la Institución.
• Incluir controles de antecedentes en el proceso de contratación de TI para
empleados.

Cuadro Nº1. Programa de Auditoría APO07.01

Fuente: Elaboración Propia

27
 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR
APO07. Gestionar los Recursos Humanos
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE:
PRUEBA
APO07.01 Mantener la dotación de personal Evaluación de Controles: • Revisión del Plan
suficiente y adecuado Cumplimiento de política de contrataciones de Anual de Capacitación
• Evaluar las necesidades de personal TI de personal, mediante los procedimientos de contratación del personal TI.
forma regular o ante cambios importantes. y capacitación del personal TI, política y manual de • Entrevista al
• Mantener los procesos de contratación y de funciones de la GERENCIA. Coordinador de TI.
retención del personal TI con las políticas y
procedimientos de personal globales de la Probando que:
Institución. El personal TI es suficiente, adecuado y sobre todo, si
• Incluir controles de antecedentes en el está suficientemente capacitado para desempeñar las
proceso de contratación de TI para funciones que tienen asignadas.
empleados.
Cuadro Nº2. Matriz de Pruebas APO07.01

Fuente: Elaboración Propia

28
 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO07. Gestionar los Recursos Humanos
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la Institución.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
APO07. 03Mantener las habilidades y competencias de Personal. • Riesgo de no saber cuáles son las habilidades
necesarias y disponibles que debe tener el personal
• Definir las habilidades y competencias necesarias para lograr los objetivos TI.
de la Institución, de TI y de procesos. • Falta de productividad del personal.
• Identificar las diferencias entre las habilidades necesarias y disponibles y
desarrollar planes de acción para hacerles frente de manera individual y
colectiva.

Cuadro N°3. Programa de Auditoría APO07.03

Fuente: Elaboración Propia

29
 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR
APO07. Gestionar los Recursos Humanos
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISION A TRAVES DE:
PRUEBA
APO07.03 Mantener las habilidades y competencias Evaluación de Controles: • Revisión del Plan
de Personal Verificar procedimientos de evaluaciones periódicas Anual de Capacitación
para identificar si las habilidades y competencias del del personal TI.
• Definir las habilidades y competencias personal TI son óptimas para lograr los objetivos de • Entrevista al
necesarias para lograr los objetivos de la empresa. coordinador de TI.
Institución, de TI y de procesos.
• Identificar las diferencias entre las habilidades Probando que:
necesarias y disponibles y desarrollar planes de El personal TI, mantiene y está en constante mejora
acción para hacerles frente de manera individual de sus competencias y habilidades para desarrollar
y colectiva. eficientemente sus labores.
Cuadro Nº4. Matriz De Pruebas APO07.03

Fuente: Elaboración Propia

30
 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO07. Gestionar los Recursos Humanos
Optimizar las capacidades de recursos humanos para cumplir los objetivos de la Institución.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
APO07.06 Gestionar el personal contratado. • Riesgo de contratar personal que no cumpla
con los requerimientos que necesita la
• Implementar políticas y procedimientos que describan cuándo, cómo y qué tipo de Institución.
trabajo puede ser realizado o incrementado por consultores y/o contratistas, de • Riesgo de contratar personal no apto para
acuerdo con la política de contratación de TI de la organización. las funciones requeridas en la Institución.
• Proporcionar a los contratistas una definición clara de sus funciones y • Riesgo de que el personal contratado tenga
responsabilidades como parte de sus contratos. discrepancias con algún punto específico
• Llevar a cabo revisiones periódicas para asegurarse de que el personal contratado acerca de su contrato.
ha firmado y aceptado todos los acuerdos necesarios

Cuadro N°5. Programa de Auditoría APO07.06

Fuente: Elaboración Propia

31
 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR
APO07. Gestionar los Recursos Humanos
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE:
PRUEBA
APO07. 06 Gestionar el personal contratado. Evaluación de Controles: • Revisiones de la Ley
Verificar que existan políticas y de Contrataciones del
• Implementar políticas y procedimientos que describan cuándo, procedimientos para gestionar el Estado.
cómo y qué tipo de trabajo puede ser realizado o incrementado personal TI contratado en el área. • Entrevista al
por consultores y/o contratistas, de acuerdo con la política de coordinador de TI.
contratación de TI de la organización. Probando que:
• Proporcionar a los contratistas una definición clara de sus Se está gestionando de manera
funciones y responsabilidades como parte de sus contratos. apropiada el personal contratado, de
• Llevar a cabo revisiones periódicas para asegurarse de que el acuerdo con las políticas y
personal contratado ha firmado y aceptado todos los acuerdos procedimientos de la Institución.
necesarios
Cuadro Nº6. Matriz de Pruebas APO07.06

Fuente: Elaboración Propia

32
PROCESOS DEL DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)

DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)

DSS02. Gestionar Peticiones e Incidentes de Servicio
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio • Riesgo de no poder corregir eficiente y
efectivamente errores frecuentes.
• Definir esquemas de clasificación y priorización de incidentes y peticiones de • Riesgo de no tener definido un modelo de
servicio y criterios para el registro de problemas. incidentes para poder corregir errores ya
• Definir modelos de incidentes para errores conocidos con el fin de facilitar su conocidos
resolución eficiente y efectiva.
• Definir modelos de peticiones de servicio (Catedrático) según el tipo de petición
de servicio correspondiente para facilitar la autoayuda y el servicio eficiente para
las peticiones estándar.
• Definir fuentes de conocimiento de incidentes y peticiones y su uso.

Cuadro N°7. Programa de Auditoría DSS02.01

Fuente: Elaboración Propia

33
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02. Gestionar Peticiones e Incidentes de Servicio
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE:
PRUEBA
DSS02.01 Definir esquemas de clasificación de incidentes y Evaluación de Controles: • Entrevista al
peticiones de servicio. Verificar que cuente con un esquema de Responsable de
clasificación para priorizar peticiones de Soporte Técnico TI.
• Definir esquemas de clasificación y priorización de servicio e incidentes que se presentan
incidentes y peticiones de servicio y criterios para el diariamente.
registro de problemas.
• Definir modelos de incidentes para errores conocidos con Probando que:
el fin de facilitar su resolución eficiente y efectiva. La definición de modelos de incidentes
• Definir modelos de peticiones de servicio (Catedrático) para errores ya conocidos nos facilitará su
según el tipo de petición de servicio correspondiente para resolución de manera eficiente y eficaz.
facilitar la autoayuda y el servicio eficiente para las
peticiones estándar.
• Definir fuentes de conocimiento de incidentes y peticiones
y su uso.
Cuadro Nº8. Matriz de Pruebas DSS02.01

Fuente: Elaboración Propia

34
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02. Gestionar Peticiones e Incidentes de Servicio
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes. • Riesgo de no registrar información relevante de todas
las peticiones e incidentes.
• Registrar todos los incidentes y peticiones de servicio, registrando toda la • No poder resolver de manera correcta los incidentes
información relevante de forma que pueda ser manejada de manera y peticiones que se den, debido a la falta de orden y
efectiva y se mantenga un registro histórico completo. adecuada clasificación estos.
• Para posibilitar análisis de tendencias, clasificar incidentes y peticiones de • Riesgo de no priorizar las peticiones e incidentes de
servicio identificando tipo y categoría. servicio, según el impacto que pueda tener en el
• Priorizar peticiones de servicio e incidentes. Laboratorio.

Cuadro N°9. Programa de Auditoría DSS02.02

Fuente: Elaboración Propia

35
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02. Gestionar Peticiones e Incidentes de Servicio
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE:
PRUEBA
DSS02.02 Registrar, clasificar y priorizar peticiones e Evaluación de Controles: • Entrevista al
incidentes. Verificar que se cuente con un registro de Responsable de Soporte
clasificación y priorización de peticiones de Técnico TI.
• Registrar todos los incidentes y peticiones de servicio, servicios e incidentes. • Revisión de Registro de
registrando toda la información relevante de forma que incidentes y servicios
pueda ser manejada de manera efectiva y se mantenga Probando que: solucionados
un registro histórico completo. El priorizar las peticiones e incidentes,
• Para posibilitar análisis de tendencias, clasificar ayudará a solucionarlos de una mejor manera,
incidentes y peticiones de servicio identificando tipo y ya que se resolverá de acuerdo con el tipo y
categoría. categoría que tengan.
• Priorizar peticiones de servicio e incidentes.
Cuadro Nº10. Matriz de Pruebas DSS02.02

Fuente: Elaboración Propia

36
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02. Gestionar Peticiones e Incidentes de Servicio
Lograr una mayor productividad y minimizar las interrupciones mediante la rápida resolución de consultas de usuario e incidentes.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS02.04 Investigar, diagnosticar y localizar incidentes en cuanto al hardware, • No identificar los síntomas relevantes para
software y otros equipos del laboratorio. establecer las causas de los incidentes
ocurridos.
• Identificar y describir síntomas relevantes para establecer las causas más • Riesgo que no se realice un profundo análisis
probables de los incidentes. de los incidentes para su correcta resolución.
• Registrar un nuevo problema si un problema relacionado o error conocido no • Riesgo de un atraso de clase práctica por
existe aún y si el incidente satisface los criterios acordados para registro de hardware o software en mal estado.
problemas.
• Asignar incidentes a funciones especialistas si se necesita de un conocimiento
más profundo, e implicar al nivel de gestión apropiado, cuando sea necesario.

Cuadro N°11. Programa de Auditoría DSS02.04

Fuente: Elaboración Propia

37
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02. Gestionar Peticiones e Incidentes de Servicio
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE:
PRUEBA
DSS02.04: Investigar, diagnosticar y localizar Evaluación de Controles: • Entrevista al
incidentes en cuanto al hardware, software y otros Verificar que cuente con síntomas relevantes que Responsable de
equipos del laboratorio. permiten diagnosticar y localizar incidentes de manera Soporte Técnico TI.
• Identificar y describir síntomas relevantes para que se asignen especialistas con un nivel de gestión
establecer las causas más probables de los apropiado cuando se es necesario.
incidentes.
• Registrar un nuevo problema si un problema Probando que:
relacionado o error conocido no existe aún y si Al registrar nuevos problemas se definen fuentes de
el incidente satisface los criterios acordados para conocimientos de incidentes y peticiones para lograr
registro de problemas. resolverlos de manera idónea.
• Asignar incidentes a funciones especialistas si se
necesita de un conocimiento más profundo, e
implicar al nivel de gestión apropiado, cuando
sea necesario.
Cuadro Nº12. Matriz de Pruebas DSS02.04

Fuente: Elaboración Propia

38
PROCESOS DEL DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)

DOMINIO: ENTREGA, SERVICIO Y SOPORTE (DSS)

DSS05. Gestionar servicios de seguridad
Proteger la infraestructura de hardware y software del laboratorio 303 de acuerdo con la política de seguridad.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS05.02: Gestionar la seguridad de la red y las conexiones. • Pérdida y/o daño de equipos.
• Aplicar los protocolos de seguridad aprobados a las conexiones • Pérdida de tiempo en la labor de los Catedráticos, debido a la
de red. falta de una correcta transmisión de red.
• Configurar los equipamientos de red de forma segura.
• Realizar pruebas de intrusión periódicas para determinar la
adecuación de la protección de la red.
• Realizar pruebas periódicas del ancho de banda en la
institución.
• Verificar constantemente la red Wifi brindada en cada
laboratorio.
Cuadro N°13. Programa de Auditoría DSS05.02

Fuente: Elaboración Propia

39
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS05. Gestionar servicios de seguridad
DESCRIPCIÓN DE LA
OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE:
PRUEBA
DSS05.02: Gestionar la seguridad de la red y Evaluación de Controles: • Entrevista al
las conexiones. Verificar que cuente con protocolos de seguridad aprobados Responsable de Soporte
para brindar soporte a la trasmisión de red. Técnico TI.
• Aplicar los protocolos de seguridad • Revisión de la
aprobados a las conexiones de red. Probando que: Configuración de los
• Configurar los equipamientos de red de La seguridad ofrecida por los protocoles aprobados equipos.
forma segura. establecerá mecanismos de confianza para dar soporte a las
• Realizar pruebas de intrusión periódicas conexiones de red y una adecuada protección al sistema.
para determinar la adecuación de la
protección de la red.
• Realizar pruebas periódicas del ancho
de banda en la institución.
• Verificar constantemente la red Wifi
brindada en cada laboratorio.
Cuadro Nº14. Matriz De Pruebas DSS05.02

Fuente: Elaboración Propia

40
 DOMINIO: ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS05. Gestionar servicios de seguridad
Proteger la infraestructura de hardware y software del laboratorio 303 de acuerdo con la política de seguridad.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS05.03: Gestionar la seguridad del software y • Retraso en las funciones de los catedráticos debido a una mala
hardware. configuración de los sistemas operativos.
• Pérdida de tiempo en la investigación de una asignación debido a fallas
• Configurar los sistemas operativos de forma segura y en la configuración de la red.
efectiva. • Daños en los equipos y/o dispositivos debido a la falta de protección
• Gestionar la configuración de la red de forma segura física de los mismos.
y efectiva.
• Realizar mecanismos de orden de los cables.
• Ubicar en una posición estable las UPS.
• Verificar que el sistema cuente con usuario
ADMINISTRADOR.
• Proveer de protección física a los dispositivos de
usuario final.
Cuadro N°15. Programa de Auditoría DSS05.03

Fuente: Elaboración Propia

41
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS05. Gestionar servicios de seguridad

OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE: DESCRIPCIÓN DE LA PRUEBA

DSS05.03: Gestionar la seguridad del software y hardware. Evaluación de Controles: • Entrevista al Responsable de
Verificar que exista protección física Soporte Técnico TI.
• Configurar los sistemas operativos de forma segura y y mecanismos de bloqueo a los • Revisión del Plan de
efectiva. dispositivos de los usuarios finales. Contingencia.
• Gestionar la configuración de la red de forma segura y
efectiva. Probando que:
• Realizar mecanismos de orden de los cables. Mediante la protección física de los

• Ubicar en una posición estable las UPS. dispositivos se logrará proteger la

• Verificar que el sistema cuente con usuario integridad del sistema y de la red.
ADMINISTRADOR.
• Proveer de protección física a los dispositivos de usuario
final.
Cuadro Nº16. Matriz de Pruebas DSS05.03

Fuente: Elaboración Propia

42
 DOMINIO: ENTREGA, SERVICIO Y SOPORTE (DSS)
DSS05. Gestionar servicios de seguridad
Proteger la infraestructura de hardware y software del laboratorio 303 de acuerdo con la política de seguridad.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
DSS05.04: Gestionar la seguridad de acceso al laboratorio. • Pérdida de dispositivos de hardware.
• Daños en los equipos y/o dispositivos.
• Implementar dispositivos biométricos o algún otro tipo de • Equipos incompletos.
seguridad para controlar acceso al laboratorio.
Cuadro N°17. Programa de Auditoría DSS05.04

Fuente: Elaboración Propia

43
 DOMINIO ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS05. Gestionar servicios de seguridad

OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE: DESCRIPCIÓN DE LA PRUEBA

DSS05.04: Gestionar la seguridad de acceso al laboratorio. Evaluación de Controles: • Entrevista al Responsable de

Verificar que exista mecanismos de Soporte Técnico TI.
• Implementar dispositivos biométricos o algún otro tipo acceso al laboratorio. • Revisión del Plan de
de seguridad para controlar acceso al laboratorio. Contingencia.
Probando que:
Mediante la restricción de acceso al
laboratorio se evitará robos
fraudulentos de dispositivos de
hardware.
Cuadro Nº18. Matriz de Pruebas DSS05.04

Fuente: Elaboración Propia

44
PROCESOS DE DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)

DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)

MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad.
Proporcionar transparencia de rendimiento y conformidad y conducción hacia la obtención de los objetivos.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
MEA01.01: Establecer un plan de la supervisión. • Conflicto con los objetivos y requisitos académicos de la
Institución ante una supervisión que se realice en el
• Acordar un proceso de control de cambios y de gestión del ciclo laboratorio.
de vida de la supervisión y la presentación de informes.
• Solicitar, priorizar y reservar recursos para la supervisión
(considerando oportunidad, eficiencia, efectividad y
confidencialidad).
Cuadro N°19. Programa de Auditoría MEA01.01

Fuente: Elaboración Propia

45
 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad.

OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE: DESCRIPCIÓN DE LA PRUEBA

MEA01.01: Establecer un plan de la supervisión. Evaluación de Controles: • Entrevista al Responsable de

Verificar que exista un proceso de Soporte Técnico TI.
• Acordar un proceso de control de cambios y de gestión control de cambios, así mismo se
del ciclo de vida de la supervisión y la presentación de comunica los objetivos y requisitos
informes. académicos para lograr eficiencia,
• Solicitar, priorizar y reservar recursos para la supervisión efectividad y confidencialidad en la
(considerando oportunidad, eficiencia, efectividad y supervisión.
confidencialidad).
Probando que:
Al establecer una supervisión
eficiente y efectiva se logrará
involucrar a las partes interesadas y
acordar un proceso de control de
cambios.
Cuadro Nº20. Matriz de Pruebas MEA01.01

Fuente: Elaboración Propia

46
 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad.
Proporcionar transparencia de rendimiento y conformidad y conducción hacia la obtención de los objetivos.
OBJETIVO DE CONTROL DETALLADO FACTORES DE RIESGO
MEA01.05: Asegurar la implantación de medidas correctivas y • No enmendar los errores y desviaciones relevantes.
preventivas. • No comunicar de resultados a los catedráticos.

• Revisar las respuestas, alternativas y recomendaciones de la

dirección con el fin de tratar los problemas y desviaciones
mayores.
• Informar de los resultados a las partes interesadas.
Cuadro N°21. Programa de Auditoría MEA01.05

Fuente: Elaboración Propia

47
 DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01 -Supervisar, evaluar y valorar el rendimiento y la conformidad.

OBJETIVO DE CONTROL DETALLADO REVISIÓN A TRAVES DE: DESCRIPCIÓN DE LA PRUEBA

MEA01.05: Asegurar la implantación de medidas Evaluación de Controles: • Entrevista al Responsable de

correctivas y preventivas. Verificar que exista revisión de Soporte Técnico TI.
respuestas, alternativas y • Informe de medidas
• Revisar las respuestas, alternativas y recomendaciones de recomendaciones para poder tratar los preventivas y correctivas.
la dirección con el fin de tratar los problemas y mayores problemas que se tienen, • Revisión de la Directiva
desviaciones mayores. informando los resultados a la
• Informar de los resultados a las partes interesadas. Gerencia de la Institución.

Probando que:
Mediante la implantación de medidas
correctivas y preventivas se podrá
informar sobre los resultados a la
Gerencia de la Institución y evitar
anomalías en horarios de clases.
Cuadro Nº22. Matriz de Pruebas MEA01.05

Fuente: Elaboración Propia

48
12. Informe Preliminar
12.1. Informe Final de Auditoría
En este informe se detallará a profundidad las observaciones encontradas respecto
a Gestión de TI en el laboratorio 303 de la Universidad Tecnológica de Honduras, así
mismo se explicarán los riesgos y se emitirán recomendaciones acerca de dichos
objetivos de control hallados no efectivos.

INFORME

Universidad Tecnológica de Honduras Campus Choluteca

2019

Señores

Universidad Tecnológica de Honduras Campus Choluteca

De nuestra consideración:

Nos dirigirnos a Ud. a efectos de poner a consideración el Informe de Auditoría

aplicada a la Gestión de Tecnologías, bajo el Estándar COBIT (Control Objetives
Information Technologies) practicada en el laboratorio 303 del tercer nivel de la
Institución, y en base al análisis y procedimientos aplicados a las informaciones
recopiladas se emite el presente informe.

Fecha de Inicio de la Auditoría: Abril del 2019

Fecha de Redacción del Informe de la Auditoría: Abril del 2019

Equipo Auditor:

• Mario Fernando Méndez

• Aurora Rocío Najar
• Bismarck Berlioz Perla
• Astrid Yasmin
• Jorbick Escalante Flores

49
 12.1.1. Observaciones de los objetivos de control No Efectivos en la
Institución
✓ Observación 1:

Por medio de la entrevista aplicado al Coordinador de TI, no se detectó

procedimientos que permitan identificar la cantidad de personal necesario para
las labores que se requieren, no cumpliendo con las buenas prácticas de
COBIT, según el objetivo de control APO07.01 Mantener la dotación de
personal suficiente y adecuado. La cual señala que se debe implementar estos
procesos y actualmente no se realiza en la Universidad Tecnológica de
Honduras.

• Riesgo:

Al no existir un procedimiento que permita identificar las

necesidades de personal, genera el riesgo de no poder corregir algún
incidente que pueda ocurrir en algunos de los laboratorios de la
Institución por falta de personal TI.

• Recomendación:

Planear y ejecutar evaluaciones periódicas para detectar las

necesidades de personal en el área de TI. Elaborar un documento
dirigido solicitando personal idóneo (ingenieros y/o técnicos) de
acuerdo con las necesidades del área de TI.

✓ Observación 2:

Por medio de la entrevista y aplicado al Responsable de Recursos

Humanos, no se detectó procesos que ayuden a identificar las diferencias entre
las habilidades necesarias y habilidades disponibles del personal del área de
TI. Por otra parte, también se constató, que no se realizan revisiones periódicas
que permitan evaluar la evolución de las habilidades y competencias del
personal de la misma área, no cumpliendo con las buenas prácticas de COBIT,
según el objetivo de control APO07.03 Mantener las habilidades y
competencias de Personal. La cual señala que se debe implementar estos
procesos y actualmente no se realiza en la Universidad Tecnológica de
Honduras Campus Choluteca.

50
 • Riesgo:

El no llevar a cabo revisiones periódicas para evaluar al personal,

genera el no saber cuáles son las habilidades necesarias y disponibles
que debe tener el personal de TI.

• Recomendación:

Definir un plan de revisiones periódicas para evaluar la evolución de

las habilidades y competencias del personal de IT.

✓ Observación 3:

Por medio de la entrevista aplicado al Responsable de Soporte Técnico –

TI, no se identificó esquemas de clasificación y priorización de incidentes,
peticiones de servicios y criterios para el registro de problemas que puedan
existir en los laboratorios. No cumpliendo con las buenas prácticas de COBIT,
según el objetivo de control DSS02.01 Definir esquemas de clasificación de
incidentes y peticiones de servicio, la cual señala que se debe definir dichos
esquemas y modelos, que actualmente no se realizan en la Universidad
Tecnológica de Honduras Campus Choluteca.

• Riesgo:

Al no contar con esquemas de clasificación y priorización de

incidentes y peticiones de servicios, ocasiona que no se pueda corregir
eficiente y efectivamente los errores más frecuentes que ocurren en los
laboratorios.

• Recomendación:

Establecer nuevas políticas de gestión de incidentes, teniendo en

cuenta la clasificación y priorización de incidentes, los cuales pueden
ser por tipo y severidad de incidentes, y en el caso de peticiones pueden
ser: peticiones de consulta, peticiones de cambios y peticiones de
acceso al sistema.

51
✓ Observación 4:

Por medio de la entrevista aplicado al Responsable de Soporte Técnico –

TI, se corroboró que no se tiene identificado el tipo y categoría de incidentes
y peticiones de servicio, además no se registra toda la información de los
incidentes y peticiones de servicio que se dan en los diferentes laboratorios de
la Institución, no cumpliendo con las buenas prácticas de COBIT, según el
objetivo de control DSS02.02.- Registrar, clasificar y priorizar peticiones e
incidentes. La cual señala que se debe identificar e implementar dichos
procesos y actualmente no se realiza en la Universidad Tecnológica de
Honduras.

• Riesgo:

No registrar información relevante de todas las peticiones e

incidentes y el no contar con un orden o una adecuada clasificación de
estas, ocasiona el no poder resolver de manera correcta y efectiva los
incidentes y peticiones que se presentan en los laboratorios.

• Recomendación:

Establecer un registro de toda la información relevante de los

incidentes y peticiones por parte del catedrático de acuerdo al tipo y
categoría de estos; en tipo pueden ser: acceso no autorizado al sistema,
denegación de servicios, divulgación de información, infección de
malware, optimización de software, entre otros.

✓ Observación 5:

Por medio de la entrevista aplicado al Coordinador de TI, se detectó la no

documentación de las incidencias que se presentan en los diversos
laboratorios, si es que el problema vuelve aparecer. Además, no se distribuye
informes sobre el rendimiento en los laboratorios a la Gerencia de la
Institución, no cumpliendo con las buenas prácticas de COBIT, según el
objetivo de control MEA01.05.- Asegurar la implantación de medidas
preventivas y correctivas. Lo cual actualmente no se realiza en la Universidad
Tecnológica de Honduras.

52
• Riesgo:

Al no documentarse todas las incidencias y resultados de estas,

genera que la Gerencia de la Institución desconozca los informes de
los resultados de las incidencias presentadas, debido a la falta de
distribución de dichos informes.

• Recomendación:

Definir e implementar cambios en los objetivos de TI cuando sea

procedente, además emitir informes sobre el rendimiento de dicha área
a la Gerencia de la Institución.

53
 CONCLUSIONES DE LA AUDITORÍA APLICADA
✓ Si bien el área del Centro de Sistemas de Información cuenta con algunos
controles que permiten verificar los procesos TI, hace falta que se realice
una correcta supervisión de estos procesos para brindar un mayor
aseguramiento de las Políticas institucionales de la Universidad
Tecnológica de Honduras.

✓ Si bien el personal de TI está capacitado. Además, que el personal del área

no se abastece para realizar todos los incidentes que se dan en la empresa,
lo cual genera insatisfacción por parte de los usuarios finales
(Catedráticos).

✓ Las supervisiones que se dan a los laboratorios es cada finalización de

período lo cual no garantiza el correcto funcionamiento de ello.

✓ De acuerdo a la auditoría aplicada en el laboratorio 303 de la Universidad

Tecnológica de Honduras, para la cual se tomó en cuenta: checklist, según
los objetivos de control detallados en COBIT 5, de anomalías, las cuales
se deben a que no se mantiene la dotación de personal suficiente en el área,
así mismo no se tienen definidos esquemas de clasificación de incidentes
y peticiones de servicio, los cuales permitan priorizarlos de manera que se
les dé una eficaz y eficiente resolución. También una de estas excepciones
se da, ya que no se analiza ni se informa sobre el rendimiento del área de
TI a la Gerencia de manera constante.

54
 CAPÍTULO VI

COSTOS Y BENEFICIOS
13. Análisis de Costos
A continuación, se detallan los costos que se realizaron en el proyecto de
investigación:

13.1. Costo de Servicio y Materiales

a. Servicios
-Viáticos L. 1000.00
-Movilidad L. 500.00
-Impresiones L. 250.00
-Fotocopias L. 100.00
Subtotal (1): L. 1,850.00
b. Materiales
-1 Laptop DELL Inspiron 15 – Intel Core I5 L.20,000.00
-2 USB L.300.00
-Hojas blanca L.30.00
Subtotal (2): L. 20,330.00

13.2. Resumen de Costos

Subtotal (1): L. 1,850.00

Subtotal (2): L. 20,330.00

Total: L.22,180.00

13.3. Beneficios
En el siguiente punto se señala los beneficios del Proyecto de Investigación, tal
como: Tangible e Intangibles.

13.3.1. Beneficios Tangible

✓ Al contar con suficiente personal de TI la atención al usuario final será
más eficiente y eficaz.
✓ Se podrán generar todos los reportes de los incidentes de cada laboratorio
de la Institución a la Gerencia.
✓ Mayor seguridad de los equipos.

55
 13.3.2. Beneficios Intangibles
✓ Mejoraremos la producción del personal.
✓ Aumentará la calidad de satisfacción.
✓ Mejoraremos la satisfacción en el trabajo.

14. Recuperación de la Inversión

A continuación, se detallará los costos y beneficios que se tendría al implantar las
recomendaciones brindadas en esta auditoría, así mismo señalando el Valor Absoluto
Neto.

Consideraciones

Las Cifras en este estudio están basadas en los siguientes criterios:

✓ Para estimar los costos de Plataforma Propietaria se ha considerado las

cotizaciones de la licencia de Windows 10 Profesional, puesto que en la
actualidad es requisito.
✓ Todos los precios están expresados en Lempiras.

14.1. Distribuciones de los costos para software Propietario

14.1.1. Costo de Inversión

✓ Costo por licencia

El total de computadoras en el laboratorio 303 son 24, de las cuales todas

cuenta con sistema operativo de Windows 10 Pro (24 no cuentan con dicha
licencia). Además de las 24 computadoras no cuentan con Antivirus con
licencia original. Los costos de Licencia Original de software propietario y
Antivirus son:

Costos por Licencias CANT P. UNIT TOTAL

Windows 10 Profesional (64) 24 L 2,864.00 L 68,736.00
Esed NOD32 Antivirus (Para 3 Pc) 8 L 1,367.00 L 10,936.00
TOTAL L 79,672.00
Cuadro N° 23. Costos por Licencias

Fuente: Elaboración Propia

56
 Gastos adicionales por viáticos son los siguientes:

Costos por Viáticos N° Per Días P. UNIT TOTAL

Comida 5 2 L 50.00 L 500.00
Pasajes (Ida y Vuelta) 5 2 L 50.00 L 500.00
Total L 1,000.00

Cuadro N.º 24. Costos por Viáticos

Fuente: Elaboración Propia

✓ Costo Total de la Inversión

Costos de Inversión CANT. P. UNIT TOTAL

Windows 10 Profesional (64) 24 L 2,864.00 L 68,736.00
Esed NOD32 Antivirus (Para 3
Pc) 8 L 1,367.00 L 10,936.00
Viáticos 5 L 200.00 L 1,000.00
Total L 80,672.00

Cuadro N.º 25. Costos Total de Inversión

Fuente: Elaboración Propia

14.2. Beneficio del Proyecto

A continuación, detallaremos los Beneficios Tangibles e Intangibles del proyecto.

14.2.1. Beneficios Tangibles

✓ Reducción de Costos en Multa
Las Licencias originales de software W10 Professional y Eset
NOD32 Antivirus son necesarias, para el buen funcionamiento de las
Computadoras del área del laboratorio. La multa según MICROSOFT por
no contar con licencia original en las computadoras de cualquier entidad
es L. 8,250,000.00

Descripción Cobro
Ahorro de multa de licencia no original L 8,250,000.00

57
 Cuadro Nº 26. Reducción Costos en Multa

Fuente: Elaboración Propia

Total, de Beneficios Tangibles

Descripción Cobro
Ahorro de multa de licencia no
original L 8,250,000.00

Cuadro Nº 27. Total, Beneficios Tangibles

Fuente: Elaboración Propia

14.2.2. Beneficios Intangibles

✓ Propiedad y decisión de uso del software por parte de la empresa.
✓ Garantiza un soporte de hardware seguro.
✓ Facilidad de uso.
✓ Garantiza un soporte de software seguro.
✓ Seguridad contra espionaje o infiltración.

58
 CAPÍTULO VII

CONCLUSIONES
✓ Aplicando checklist, se pudo determinar cuál es la situación problemática del
laboratorio 303 de la Universidad Tecnológica de Honduras, encontrándose como
principales problemas el no mantener la dotación de personal suficiente en el área.
Además de que no se tienen definidos esquemas de clasificación de incidentes y
peticiones de servicio, los cuales permitan priorizarlos de manera que se les dé
una eficaz y eficiente resolución. Tampoco se analiza, ni se informa sobre el
rendimiento del área de TI a la Gerencia de manera constante. Por otro lado, no
se planifican ni estudian iniciativas de aseguramiento que permitan diagnosticar
el riesgo e identificar los procesos críticos de TI.

✓ Utilizando el estándar COBIT 5, se determinó que de los 37 objetivos de control

que tiene COBIT, 12 aplican a nuestro proyecto, los cuales se detallaron a lo largo
de la auditoría.

✓ Utilizando la metodología PDCA, se pudo desarrollar el informe final de

auditoría, en el cual se plantearon observaciones, y de cada observación se
determinó los riesgos que generaría el no levantar dichas observaciones, asimismo
se emitieron recomendaciones para poder subsanar dichas observaciones hechas
en la auditoría aplicada. Llegándose a la conclusión de que la auditoría es
Favorable con excepciones.

59
 CAPÍTULO VIII

RECOMENDACIONES
✓ Se recomienda aplicar controles en lo que respecta a Recursos humanos,
específicamente al personal TI, el cual debe ser suficiente y adecuado para poder
cumplir con todas las actividades que se les asigne, además de mantener las
habilidades y competencias de dicho personal.

✓ Es recomendable aplicar controles en lo referente a Incidentes y Peticiones de

Servicio, el cual señala que se debe definir esquemas de clasificación tanto de
incidentes como de peticiones, así mismo, estos se deben registrar y clasificar, ya
que, realizando estas actividades, se logrará priorizarlos de manera que se les dé
una eficaz y eficiente resolución.

✓ Se sugiere evaluar el rendimiento del área de TI, mediante autoevaluaciones

periódicas en el área e informar los resultados a la Gerencia, ya que, si bien se le
informa sobre los avances del área, se hace de manera general.

✓ Se recomienda realizar auditorías periódicamente a la Universidad Tecnológica

de Honduras, las cuales permitan identificar las falencias que se tienen en la
Institución y las medidas correctivas que se pueden tomar para corregirlas.

60
 CAPÍTULO IX

REFERENCIAS BIBLIOGRÁFICAS
1) QUINTUÑA, V. (2012). Auditoría Informática a la Superintendencia de
Telecomunicaciones. Universidad de Cuenca. Ecuador.
2) HERNÁNDEZ, E. (1997). Auditoria Informática: Un Enfoque Metodológico y
Práctico. México: Editorial Continental.
3) MATUTE, M. y QUISPE, T. (2006). Auditoría de la Gestión de Seguridad en la
Red de Datos de Swissotel Basada en COBIT. Tesis presentada a la Escuela
Politécnica Nacional de Quito, Ecuador.
4) DE LA TORRE, M y GIRALDO, I. (2012). Diagnóstico para la Implantación de
COBIT 4.1 en una Empresa de Producción. Universidad Salesiana. Ecuador.
5) QUIÑONES, V. (2008). Auditoría Informática de los Sistemas Informáticos de la
Unidad de Informática de la Escuela de Postgrado de la Universidad Nacional
“Pedro Ruiz Gallo. Lambayeque, Perú.
6) ISACA COBIT 5 – Cambios de la nueva versión, 2011.
[Link]
iteffectively/Pages/[Link]?PostID=18
7) ISACA. COBIT 5 – 2015. [Link]
[Link]
8) ISACA - COBIT 5-2013.

61
ANEXOS

62
ANEXO N° 1. Checklist Aplicada al Coordinador de TI

No
PREGUNTA SI NO OBSERVACIONES
Aplica
APO07 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO07.01 Mantener la dotación de personal suficiente y adecuado
1. ¿Se capacita al personal constantemente? x
2. ¿Hay personal suficiente para las labores que se requieren? x
3. ¿Existen procesos de contratación de personal de TI? x
MEA01. DOMINIO: SUPERVISAR, EVALUAR Y VALORAR (MEA)
MEA01.01: Establecer un plan de la supervisión.
1. ¿Existe un proceso de control de cambios y de gestión en la supervisión y la presentación
x
de informes?
2. ¿Se priorizan y reservan recursos para la supervisión? x
MEA01.05: Asegurar la implantación de medidas correctivas y preventivas.
1. ¿Se revisan las alternativas y recomendaciones del Coordinador de TI para tratar los
x
problemas y desviaciones más relevantes?
2. ¿Se informa de los resultados a la Gerencia de la Institución? x

63
ANEXO N°2. Checklist Aplicada al Jefe de Gestión y Desarrollo de Potencial Humano ([Link])

No
PREGUNTA SI NO OBSERVACIONES
Aplica
APO07 DOMINIO ALINEAR, PLANIFICAR Y ORGANIZAR (APO)
APO07.01 Mantener la dotación de personal suficiente y adecuado
1. ¿Se cumplen con las políticas y procedimientos para contratar personal en la Institución? x
2. ¿Se evalúa las necesidades de personal regularmente? x
APO07.03 Mantener las habilidades y competencias de Personal.
1. ¿El personal cuenta con habilidades y competencias para desarrollar eficientemente sus
x
labores?
2. ¿Se lleva a cabo revisiones de manera periódica para evaluar la evolución de las habilidades
x
y competencias del personal?
APO07.06 Gestionar el personal contratado.
1. ¿Se implementan políticas y procedimientos que describan el trabajo que puede ser
realizado de acuerdo con la política de contratación de TI de la empresa y el marco de x
control de TI?
2. ¿Se lleva a cabo revisiones de manera periódicas para asegurar que el personal contratado
x
firme y acepte todos los acuerdos necesarios?

64
ANEXO Nº 3.-Checklist Aplicada al Responsable de Soporte Técnico-TI

No
PREGUNTA SI NO OBSERVACIONES
Aplica
DOMINIO: ENTREGA DE SERVICIOS Y SOPORTE (DSS)
DSS02.01 Definir esquemas de clasificación de incidentes y peticiones de servicio.
1. ¿Se tienen definido esquemas de clasificación y priorización de incidentes y peticiones de
x
servicio y criterios para el registro de problemas?
2. ¿Se tienen definido modelos de incidentes para errores conocidos? x
3. ¿Existen modelos de peticiones de servicio según el tipo de petición de servicio
x
correspondiente?
4. ¿Se tienen definido fuentes de conocimiento de incidentes y peticiones? x
DSS02.02 Registrar, clasificar y priorizar peticiones e incidentes por parte del Catedrático.
1. ¿Se registran toda la información relevante de los incidentes y peticiones de servicio? x
2. ¿Se tienen identificados el tipo y categoría de incidentes y peticiones de servicios? x
DSS02.04 Investigar, diagnosticar y localizar incidentes en cuanto al hardware, software y
otros equipos del laboratorio.
1. ¿Se puede determinar las causas más probables de los incidentes? x
2. ¿Se registran todos los problemas que se presentan? x
DSS05.02: Gestionar la seguridad de la red y las conexiones.

65
 1. ¿Se aplican protocoles de seguridad aprobados a las conexiones de red? x
2. ¿Se configura los equipos de red de forma segura? x
3. ¿Se realizan pruebas para una adecuada función de la red? x
4. ¿Considera usted que el servicio de internet es importante al momento de laborar? x
DSS05.03: Gestionar la seguridad del software y hardware.
1. ¿Se configura los sistemas operativos de forma segura? x
2. ¿Se le asigna usuarios Administrador al Sistema? x
3. ¿Se mantiene en orden los equipos de hardware (Cables, etc…)? x
4. ¿Se provee protección física a los dispositivos de usuario final? x
5. ¿Se les da mantenimiento a las computadoras del laboratorio? x
DSS05.04: Gestionar la seguridad de acceso al laboratorio.
1. ¿Se dispone de dispositivos biométricos para acceder al laboratorio? x
2. ¿Han sufrido algún daño o robo de equipos de hardware? x

66
67
68
69
70
71