Sie sind auf Seite 1von 30

INDICE

1. JUSTIFICACIN DEL USO DE COBIT ............................................................................................. 4


1.1. Criterios de informacin de COBIT .............................................................................................. 4
1.2. Recursos de TI ............................................................................................................................... 5
1.3. Modelo de Madurez ....................................................................................................................... 6
2. ALCANCE DE LA AUDITORA DE HARDWARE Y REDES LOCALES APLICANDO COBIT 7
3. OBJETIVOS DE LA AUDITORA ...................................................................................................... 7
4. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA AUDITORIA
APLICANDO METODOLOGIA COBIT .................................................................................................... 8
5. EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBIT .................... 9
6. MODELO DE MADUREZ DE LOS PROCESOS ............................................................................. 10
7. REPORTE GENERAL DE LOS MODELOS DE MADUREZ ......................................................................... 29
8. CONCLUSIONES ................................................................................................................................... 30





















MUNICIPALIDAD ALTO SELVA
ALEGRE




EJECUCION COBIT: AREA
HARDWARE Y REDES LOCALES




COBIT





1. JUSTIFICACIN DEL USO DE COBIT

COBIT es un marco de referencia y un juego de herramientas que permite a la gerencia tener un mejor
visin respecto a temas tcnicos, requerimientos de control y riesgos de negocio, y comunicar esto a los
participantes. COBIT permite el desarrollo de polticas claras y de buenas prcticas para control de TI a
travs de las empresas. A su vez COBIT se actualiza constantemente y armoniza con otros estndares. Por
lo tanto, COBIT se ha convertido en el mejor integrador de las mejores prcticas de TI que ayuda a
comprender y administrar los riesgos y beneficios asociados con las TI.
Los beneficios de implementar COBIT son:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Entendimiento compartido entre todos los participantes, con base en un lenguaje comn.
Propiedad y responsabilidades claras, con base en su orientacin a procesos.
1.1. Criterios de informacin de COBIT
Para satisfacer los objetivos del negocio, la informacin necesita adaptarse a ciertos criterios de
control, los cuales son referidos en COBIT como requerimientos de informacin del negocio. Dichos
criterios son 7:
-Efectividad: Tiene que ver con que la informacin sea relevante y pertinente a los procesos de
negocios y proporcione de una manera oportuna, correcta, consistente y utilizable.
-Eficiencia: consiste en que la informacin sea generada optimizando los recursos.
-Confidencialidad: se refiere a la proteccin de informacin sensitiva contra revelacin no
autorizada.
-Integridad: est relacionada con la precisin y completitud de la informacin. As como su validez
de acuerdo a los valores y expectativas del negocio.
-Disponibilidad: Se refiere a que la informacin est disponible cuando sea requerida por los
procesos del negocio en cualquier momento.
-Cumplimiento: tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los
cuales est sujeto el proceso de negocios.
-Confiabilidad: significa proporcionar la informacin apropiada para que la gerencia administre la
entidad y ejercite sus responsabilidades correspondientes.
1.2. Recursos de TI
Los recursos de TI identificados en COBIT se pueden definir como sigue:
-Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que
procesan informacin.
-Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas
de informacin.
-Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de
administracin de base de datos, redes, etc., as como el sitio donde se encuentran) que permiten el
procesamiento de las aplicaciones.
-Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar,
soportar, monitorear y evaluar los sistemas y los servicios de informacin. stos pueden ser internas o
contratados (outsourcing).
En la siguiente tabla, se muestra el impacto de los procesos COBIT sobre los recursos y criterios de
TI. En los recursos de TI una X significa que ese objetivo de control tiene impacto sobre el recurso y
un espacio en blanco que no tiene impacto. En los criterios de informacin se identifica el grado de
impacto; Primario (P), que significa un impacto directo sobre esa informacin, Secundario (S)
impacto indirecto o en menor medida.


1.3. Modelo de Madurez
Se puede notar 3 necesidades que toda empresa u organizacin debe fijarse a cumplirlas:
1. Una medicin relativa de dnde se encuentra la empresa.
2. Una manera de decidir hacia dnde ir de forma eficiente.
3. Una herramienta para medir el avance contra la meta.
Es as que COBIT toma como base los modelos de madurez que el SoftwareEngineeringInstitute
defini, y los aplic para cada uno de los 34 procesos existentes. A continuacin las 5 fases en que
puede estar un proceso analizado:

Modelo de Madurez
0 No existente: Carencia completa de cualquier proceso reconocible. La empresa n ha reconocido
siquiera que existe un problema a resolver.
1 Inicial: Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser
resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden
a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es
desorganizado.
2 Repetible: Se han desarrollado los procesos hasta el punto en que se siguen procedimientos
similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin
formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado
de confianza en el conocimiento de los individuos y, por la tanto, los errores son muy probables.
3 Definido: Los procedimientos se han estandarizado y documentado, y se han difundido a travs de
entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones, los procedimientos en s no son sofisticados pero formalizan
las prcticas existentes.
4 Administrado: Es posible monitorear y medir el cumplimiento de los procedimientos y tomar
medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo
constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una
manera limitada o fragmentada.
5 Optimizado: Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte de manera rpida.

2. ALCANCE DE LA AUDITORA DE HARDWARE Y REDES LOCALES
APLICANDO COBIT
Inicias de que ya se han recaudado los datos en la primera auditoria y que ahora es una aplicacin de los
procesos COBIT los cuales se adecuan a nuestro proyecto. Luego ya sigues con lo del alcance de la
auditoria
(llenar MAX)
3. OBJETIVOS DE LA AUDITORA

(llenar MAX)
4. DETERMINACIN DE LOS PROCESOS QUE PARTICIPARN EN LA
AUDITORIA APLICANDO METODOLOGIA COBIT

Siguiendo, este plan de trabajo propuesto por COBIT, se lograrn beneficios respecto a la administracin
de las TI. En el presente trabajo, se realiz la auditora para el rea de hardware y redes locales, por lo
tanto se elegirn slo los procesos pertinentes y sern tomados en cuenta como una pequea introduccin,
ya que COBIT se aplica a toda una empresa que cuenta con sus diferentes reas.

A continuacin se muestra los 4 Dominios propuestos por COBIT, con sus respectivos procesos, los
cuales fueron elegidos para el presento proyecto:


PLANEAR Y ORGANIZAR
PO1 Definir un Plan Estratgico de TI
PO3 Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones de TI
PO5 Administrar la Inversin en TI
PO9 Evaluar y administrar los riesgos de TI
ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
ENTREGAR Y DAR SOPORTE
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS10 Administrar los problemas
DS12 Administrar el ambiente fsico
MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeo de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio





5. EJECUCIN DEL PLAN DE AUDITORIA APLICANDO METODOLOGIA COBIT
OBJETIVOS DE CONTROL COBIT
Recursos TI de
COBIT
Criterios de Informacin de
COBIT
PLANEAR Y ORGANIZAR
P
e
r
s
o
n
a
s

I
n
f
o
r
m
a
c
i

n

A
p
l
i
c
a
c
i

n

I
n
f
r
a
e
s
t
r
u
c
t
u
r
a



E
f
e
c
t
i
v
i
d
a
d

E
f
i
c
i
e
n
c
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

I
n
t
e
g
r
i
d
a
d

D
i
s
p
o
n
i
b
i
l
i
d
a
d

C
u
m
p
l
i
m
i
e
n
t
o

C
o
n
f
i
a
b
i
l
i
d
a
d

PO1 Definir un Plan Estratgico de TI X X X X P S
PO3 Determinar la Direccin Tecnolgica X X P P
PO4 Definir los Procesos, Organizacin y Relaciones de TI X P P
PO5 Administrar la Inversin en TI X X X P P S
PO9 Evaluar y Administrar los Riesgos de TI X X X X S S P P P S S
ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas X X P S
AI2 Adquirir y mantener software aplicativo X P P S S
AI3 Adquirir y mantener infraestructura tecnolgica X S P S S
AI4 Facilitar la operacin y el uso X X X P P S S S S
AI5 Adquirir recursos de TI X X X X S P S
ENTREGAR Y DAR SOPORTE
DS2 Administrar los servicios de terceros X X X X P P S S S S S
DS3 Administrar el desempeo y la capacidad X X P P S
DS10 Administrar los problemas X X X X P P S
DS12 Administrar el ambiente fsico X P P
MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeo de TI X X X X P P S S S S S
ME2 Monitorear y Evaluar el Control Interno X X X X P P S S S S S
ME3 Garantizar el Cumplimiento Regulatorio X X X X P S
6. MODELO DE MADUREZ DE LOS PROCESOS

Al terminar la fase de recaudacin de informacin, la cual se hizo en la auditora previa. Se procede a
analizar el rea determinada que es: Hardware y Redes Locales. A continuacin, se mostrar los niveles de
madurez en los cuales se encuentra dicha rea en los diferentes procesos de la metodologa COBIT:

DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: DEFINIR UN PLAN ESTRATGICO DE TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No existe conciencia por parte de la gerencia de que la planeacin
estratgica de TI es requerida para dar soporte a las metas del negocio X
Grado de madurez:

El proceso definir un plan estratgico de TI se encuentra
en el nivel 1.

Objetivos no cumplidos
No existe un plan estratgico de TI (lo que
respecta a Hardware y Redes locales) ni
estrategias de recursos de la Organizacin.
No existen planes de innovacin a largo plazo de
las TI, solo se dan actualizaciones debido a los
avances tecnolgicos, lo cual est limitado por el
presupuesto que se necesite.





NIVEL
1
La planeacin estratgica de TI se discute de forma ocasional en las
reuniones de gerencia. X
NIVEL
2
Las decisiones estratgicas se toman proyecto por proyecto, sin ser
consistentes con una estrategia global de la organizacin. X
NIVEL
3
La planeacin estratgica de TI sigue un enfoque estructurado, el cual
se documenta y se da a conocer a todo el equipo. Las estrategias de
recursos humanos, tcnicos y financieros de TI influencian cada vez
ms la adquisicin de nuevos productos y tecnologas. X
NIVEL
4
Existen procesos bien definidos para determinar el uso de recursos
internos y externos requeridos en el desarrollo y las operaciones de los
sistemas. X
NIVEL
5
Se desarrollan planes realistas a largo plazo de TI y se actualizan de
manera constante para reflejar los cambiantes avances tecnolgicos y
el progreso relacionado al negocio.
X
RECOMENDACIONES COBIT
Para el proceso P01 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas
Definir los recursos internos y externos necesarios.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Elaborar el plan estratgico de TI con la intervencin de las gerencias y teniendo en cuenta las necesidades actuales y futuras del rea de
Sistemas (Hardware y Redes Locales)
Analizar y entender las capacidades actuales del rea encargada de administrar las TI.








Aplicar un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos dados por el rea de sistemas (Hardware y
Redes Locales)
DOMINIO: PLANIFICAR Y ORGANIZAR
PO3: DETERMINAR LA DIRECCIN TECNOLGICA
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No existe conciencia sobre la importancia de la planeacin de la
infraestructura tecnolgica para la entidad X
Grado de madurez:

El proceso determinar la direccin tecnolgica se
encuentra en el nivel 1.

Objetivos no cumplidos
No existe un plan estratgico de TI (lo que
respecta a Hardware y Redes locales) ni
estrategias de recursos de la Organizacin.
No existen planes de innovacin a largo plazo de
las TI, solo se dan actualizaciones debido a los
avances tecnolgicos, lo cual est limitado por el
presupuesto que se necesite.






NIVEL
1
La gerencia reconoce la necesidad de planear la infraestructura
tecnolgica. El desarrollo de componentes tecnolgicos y la
implantacin de tecnologas emergentes son ad hoc y aisladas X
NIVEL
2
La evaluacin de los cambios tecnolgicos se delega a individuos que
siguen procesos intuitivos, aunque similares X
NIVEL
3
Existe un plan de infraestructura tecnolgica definido, documentado y
bien difundido, aunque se aplica de forma inconsistente.
NIVEL
4
El rea de informtica cuenta con la experiencia y las habilidades
necesarias para desarrollar un plan de infraestructura tecnolgica.
NIVEL
5
La direccin del plan de infraestructura tecnolgica est impulsada por
los estndares y avances industriales e internacionales, en lugar de
estar orientada por los proveedores de tecnologa.

RECOMENDACIONES COBIT
Para el proceso P03 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:

Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores
No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.




Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y emergentes, para tomar en cuenta cual direccin tecnolgica es
apropiada para lograr cumplir con las estrategias de TI.
Realizar un proceso de monitoreo de tendencias tecnolgicas.


DOMINIO: PLANIFICAR Y ORGANIZAR
PO4: DEFINIR LOS PROCESOS, LA ORGANIZACIN Y LAS RELACIONES DE TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
La organizacin de TI no est establecida de forma efectiva para
enfocarse en el logro de los objetivos del negocio X
Grado de madurez:

El proceso definir los procesos, la organizacin y las
relaciones de TI se encuentran en el nivel 1.

Objetivos no cumplidos
Formular las relaciones con terceros (esto es
comits de direccin, auditora interna y
administracin de proveedores)
La organizacin de TI (Hardware y Redes
locales) no est funcionalmente completa.
La divisin de roles y responsabilidades no est
bien definida e implantada.





NIVEL
1
La funcin de TI se considera como una funcin de soporte, sin una
perspectiva organizacional general. X
NIVEL
2
La necesidad de contar con una organizacin estructurada, pero las
decisiones todava depende del conocimiento y habilidades de
individuos clave. X
NIVEL
3
Se formulan las relaciones con terceros, incluyendo los comits de
direccin, auditora interna y administracin de proveedores.
NIVEL
4
La organizacin de TI responde de forma pro activa al cambio e
incluye todos los roles necesarios para satisfacer los requerimientos
del negocio
NIVEL
5
La estructura organizacional de TI es flexible y adaptable.

RECOMENDACIONES COBIT
Para el proceso P04 de COBIT, se tendra que evaluar mejor los siguientes objetivos de control:

Ser flexible y adaptable a la estructura organizacional de TI
Responder de forma proactiva a los requerimientos del negocio
Formular relaciones con terceros como auditora interna.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Establecer los procesos de TI y de la empresa en general y establecer roles y responsabilidades de las personas que intervienen o intervendrn en
la ejecucin de dichos propsitos.
Establecer una estructura organizacional apropiada colocando al rea de Sistemas en el nivel que le corresponde por las actividades que realiza,
que es nivel asesora. De sta manera para que as tenga poder de decisin dentro de la institucin.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO5: ADMINISTRAR LA INVERSIN DE TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No existe conciencia de la importancia de la seleccin y presupuesto
de las inversiones en TI. No existe seguimiento o monitoreo de las
inversiones y gastos de TI. X
Grado de madurez:

El proceso administrar la inversin de TI se encuentra en
el nivel 1.

Objetivos no cumplidos
La institucin no reconoce en su totalidad la
necesidad de administrar la inversin en TI, y lo
poco que reconoce se comunica de manera
inconsistente.
Existen solo implantaciones aisladas de seleccin
y presupuesto de inversiones en TI, pero la
documentacin desarrollada carece de formalidad.
Decisiones presupuestales, son realizadas de
manera reactiva y operativa.





NIVEL
1
La organizacin reconoce la necesidad de administrar la inversin en
TI, aunque esta necesidad se comunica de manera inconsistente. X
NIVEL
2
Existe un entendimiento implcito de la necesidad de seleccionar y
presupuestar las inversiones en TI. X
NIVEL
3
El presupuesto de TI est alineado con los planes estratgicos de TI y
con los planes del negocio. Los procesos de seleccin de inversiones
en TI y de presupuestos estn formalizados, documentados y
comunicados. X
NIVEL
4
La responsabilidad y la rendicin de cuentas por la seleccin y
presupuestos de inversiones se asignan a un individuo especfico. Las
diferencias en el presupuesto se identifican y se resuelven X
NIVEL
5
Se utilizan las mejores prcticas de la industria para evaluar los costos
por comparacin e identificar la efectividad de las inversiones. Se
utiliza el anlisis de los avances tecnolgicos en el proceso de
seleccin y presupuesto de inversiones.
X
RECOMENDACIONES COBIT

Para el proceso PO5 de COBIT estable los siguientes objetivos de control:

Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI





Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.

Tomar conciencia de que la informacin o datos del rea de Sistemas (Hardware y Redes locales), son un activo ms, para la adecuada
asignacin de presupuesto.
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. De sta manera la
administracin de Hardware y redes locales podran implementar una topologa mejor estructura, ya que contarn con nuevos dispositivos.

DOMINIO: PLANIFICAR Y ORGANIZAR
PO9: EVALUAR Y ADMINISTRAR RIESGOS DE TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
La evaluacin de riesgos para los procesos y las decisiones de negocio
no ocurre. X
Grado de madurez:

El proceso evaluar y administrar riesgos de TI se
encuentra en el nivel 1.

Objetivos no cumplidos
No existe un enfoque de evaluacin de riesgos
maduro, del cual se pueda confiar plenamente.
La administracin de riesgos se da por lo general
a altos niveles y se aplica de manera tpica solo a
proyectos grandes o como respuesta a problemas.
Los procesos de mitigacin de riesgos estn en
implementacin, ya que tienen una forma reactiva
frente a un problema.





NIVEL
1
Los riesgos especficos relacionados con TI tales como seguridad,
disponibilidad e integridad se toman en cuenta ocasionalmente
proyecto por proyecto. Los riesgos relativos a TI que afectan las
operaciones del da a da, son rara vez discutida reuniones gerenciales. X
NIVEL
2
La administracin de riesgos se da por lo general a altos niveles y se
aplica de manera tpica solo a proyectos grandes o como respuesta a
problemas. Los procesos de mitigacin de riesgos estn en
implantacin donde se identifican riesgos. X
NIVEL
3
La administracin de riesgos sigue un proceso definido el cual est
documentado. El entrenamiento sobre administracin de riesgos est
disponible para todo el personal. X
NIVEL
4
Los riesgos se evalan y se mitigan a nivel de proyecto individual y
tambin por lo regular se hace con respecto a la operacin global de
TI. Todos los riesgos identificados tienen un dueo nombrado, y la
alta direccin, as como la gerencia de TI han determinado los niveles
de riesgo que la organizacin est dispuesta a tolerar. X
NIVEL
5
La administracin de riesgos ha evolucionado al nivel en que un
proceso estructura est implantado en toda la organizacin y es bien
administrado X
RECOMENDACIONES COBIT
Para el proceso PO9 de COBIT estable los siguientes objetivos de control:

Al momento de detectar un riesgo, se debe tener establecida una planificacin que nos indicara el contexto del riesgo mencionado.
Evaluar de forma permanente los riesgos detectados.
Desarrollar y mantener un proceso de respuesta a riesgos detectados.







Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Elaborar de forma especfica un Plan de Seguridad teniendo en cuenta todas las reas de la empresa tanto interna como externamente.
Aplicar los planes de seguridad de forma consciente.
Realizar permanentes evaluaciones de riesgos
Recomendar y comunicar planes de accin para mitigar riesgos a todo el personal de la empresa.

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
La organizacin no requiere de la identificacin de los
requerimientos funcionales y operativos para el desarrollo,
implantacin o modificacin de soluciones, tales como sistemas,
servicios, infraestructura y datos. X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 1.

Objetivos no cumplidos

Definir enfoques claros para determinar los
requerimientos e identificar las soluciones de TI.
Definir una poltica que defina como y cuando
realizar la planeacin estratgica de TI.
La adquisicin de nuevos equipos y tecnologa no
son influenciados por los recursos humanos.





NIVEL
1
Existe una investigacin o anlisis estructurado mnimo de la
tecnologa disponible. X
NIVEL
2
El xito de cada proyecto depende de la experiencia de unos
cuantos individuos clave. La calidad de la documentacin y de la
toma de decisiones vara de forma considerable.

X
NIVEL
3
El proceso para determinar las soluciones de TI se aplica para
algunos proyectos con base en factores tales como las decisiones
tomadas por el personal involucrado, la cantidad de tiempo
administrativo dedicado, y el tamao y prioridad del requerimiento
de negocio original.

X
NIVEL
4
La documentacin de los proyectos es de buena calidad y cada
etapa se aprueba adecuadamente.

X
NIVEL
5
La metodologa est soportada en bases de datos de conocimiento
internas y externas que contienen material de referencia sobre
soluciones tecnolgicas. X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Definir requerimientos tcnicos y de Negocio considerando a los recursos humanos.
Determinar procesos para las soluciones de TI
Considerar la experiencia de los trabajadores en la toma de decisiones.
Realizar estudios de factibilidad econmica, oportunidades tecnolgicas para escoger las mejores decisiones

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Definir requerimientos tcnicos y de negocio especificando los requerimientos funcionales y tcnicos, priorizando el desempeo, el costo, la
confiabilidad, la compatibilidad, la auditora, la seguridad, la disponibilidad, continuidad, etc.
Llevar a cabo estudios de factibilidad econmica, oportunidades tecnolgicas para optar por las mejores soluciones

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI2: Adquirir y mantener el software aplicativo
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
Tpicamente, las aplicaciones se obtienen con base en ofertas de
proveedores, en el reconocimiento de la marca o en la familiaridad del
personal de TI con productos especficos, considerando poco o
nada los requerimientos actuales. X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 2.

Objetivos no cumplidos

Definir y dar a conocer el proceso de adquisicin
y mantenimientos de los dispositivos de Hardware
Definir una documentacin formal para la
documentacin del hardware en uso.





NIVEL
1
Es probable que se hayan adquirido en forma independiente
una variedad de soluciones individuales para requerimientos
particulares del negocio, teniendo como resultado ineficiencias en
el mantenimiento y soporte. X
NIVEL
2
Existen procesos de adquisicin y mantenimiento de aplicaciones,
con diferencias pero similares, en base a la experiencia dentro de
la operacin de TI. X
NIVEL
3
Existe un proceso claro, definido y de comprensin general para
la adquisicin y mantenimiento de software aplicativo. Este
proceso va de acuerdo con la estrategia de TI y del negocio

X
NIVEL
4
Existe una metodologa formal y bien comprendida que incluye
un proceso de diseo y especificacin, un criterio de adquisicin, un
proceso de prueba y requerimientos para la documentacin.

X
NIVEL
5
El enfoque se extiende para toda la empresa. La metodologa de
adquisicin y mantenimiento presenta un buen avance y permite
un posicionamiento estratgico rpido, que permite un
alto grado de reaccin y flexibilidad para responder a
requerimientos cambiantes del negocio. X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Identificar los requerimientos de hardware y tecnologa.
Llevar a cabo un diseo detallado de los requerimientos de hardware y tecnologas del negocio.
Elaborar un plan de adquisicin e mantenimientos de hardware que garantice la toma de decisiones futuras como al adquisicin de nuevos
equipos y tecnologa.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Llevar a cabo un plan estratgico de mantenimiento.
Llevar a cabo de manera separada las actividades de adquisicin de equipos y prueba de estos.

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y mantener la infraestructura Tecnolgica
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No se reconoce la administracin de la infraestructura de
tecnologa como un asunto importante al cual deba ser resuelto. X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 1.

Objetivos no cumplidos

Definir estrategias para la adquisicin y
mantenimiento de hardware.
Organizar el proceso de adquisicin y
mantenimiento de la infraestructura de hardware.





NIVEL
1
Se realizan cambios a la infraestructura para cada nueva
aplicacin, sin ningn plan en conjunto. La actividad de
mantenimiento reacciona a necesidades de corto plazo. X
NIVEL
2
La adquisicin y mantenimiento de la infraestructura de TI no se
basa en una estrategia definida y no considera las necesidades de
las aplicaciones del negocio que se deben respaldar.

X
NIVEL
3
El proceso respalda las necesidades de las aplicaciones
crticas del negocio y concuerda con la estrategia de negocio de
TI, pero no se aplica en forma consistente.

X
NIVEL
4
La infraestructura de TI soporta adecuadamente las aplicaciones
del negocio. El proceso est bien organizado y es preventivo.

X
NIVEL
5
El proceso de adquisicin y mantenimiento de la infraestructura de
tecnologa es preventivo y est estrechamente en lnea con las
aplicaciones crticas del negocio y con la arquitectura de la
tecnologa. alto grado de reaccin y flexibilidad para responder a
requerimientos cambiantes del negocio. X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Crear un plan de adquisicin de infraestructura de Hardware que vaya de acuerdo a las necesidades del negocio.
Identificar las necesidades que se tienen de la adquisicin de infraestructura tecnolgica.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Establecer medidas de control estratgico interno y de seguridad para la proteccin del hardware.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI4: Facilitar la operacin y el uso
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No existe el proceso con respecto a la produccin de
documentacin de usuario, manuales de operacin y material de
entrenamiento. X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 1.

Objetivos no cumplidos

No generacin de materiales que garanticen la
calidad.
Garantizar la compaa de estndares para el
desarrollo del proceso.
Enfoque en el cumplimiento de estndares
No hay planeamiento de entrenamiento ni para
usuarios ni para el negocio lo que hace que el
personal se involucre de manera informal.




NIVEL
1
Mucha de la documentacin y muchos de los procedimientos ya
caducaron. Los materiales de entrenamiento tienden a ser
esquemas nicos con calidad variable. X
NIVEL
2
Individuos o equipos de proyecto generan los materiales de
entrenamiento, y la calidad depende de los individuos que se
involucran.

X
NIVEL
3
Se guardan y se mantienen los procedimientos en una biblioteca
formal y cualquiera que necesite saber tiene acceso a ella.

X
NIVEL
4
Existen controles para garantizar que se adhieren los estndares y
que se desarrollan y mantienen procedimientos para todos los
procesos.

X
NIVEL
5
Los materiales de procedimiento y de entrenamiento se tratan
como una base de conocimiento en evolucin constante que se
mantiene en forma electrnica, con el uso de administracin de
conocimiento actualizada, workflow y tecnologas de distribucin,
que los hacen accesibles y fciles de mantener. X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Implantar documentacin de tareas a cada empleado para llevar a cabo los procesos de evaluacin y control.
Entrenar a los usuarios
Elaborar un plan de para realizar solucin de operaciones

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Dar capacitaciones a la alta gerencia lo que permitir que estos tomen posesin del sistema y los datos
Mediante la capacitacin de los usuarios finales se lograra que estos usen de manera adecuada y eficientemente los equipos de Hardware.

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI5: Adquirir Recursos de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
No existe un proceso definido de adquisicin de recursos de TI.
X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 4.

Objetivos no cumplidos

No tener en cuenta la importancia de un plan de
adquisiciones como un proceso general de
adquisiciones de la organizacin.
No tener buena relacin con los proveedores



NIVEL
1
Los contratos para la adquisicin de recursos de TI son elaborados y
administrados por gerentes de proyecto y otras personas que
ejercen su juicio profesional ms que seguir resultados de
procedimientos y polticas formales. X
NIVEL
2
Se determinan responsabilidades y rendicin de cuentas para la
administracin de adquisicin y contrato de TI segn la experiencia
particular del gerente de contrato. X
NIVEL
3
La adquisicin de TI se integra en gran parte con los sistemas
generales de adquisicin del negocio. X

NIVEL
4
La adquisicin de TI se integra en gran parte con los sistemas
generales de adquisicin del negocio. Existen estndares de TI
para la adquisicin de recursos de TI.

X

NIVEL
5
Se establecen buenas relaciones con el tiempo con la mayora de los
proveedores y socios, y se mide y vigila la calidad de estas
relaciones. Se manejan las relaciones en forma estratgica.
X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Asesora para los procedimientos de adquisicin de equipos.
Establecer buenas relaciones con los proveedores.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Manejo de estndares, polticas y procedimientos para adquirir recursos.
Cumplimiento de los derechos y obligaciones de cada una de las partes en la firma de contratos de adquisicin de equipos.

DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los niveles de servicio
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
NIVEL
0
La gerencia no reconoce la necesidad de un proceso para definir
los niveles de servicio. X
Grado de madurez:

El proceso de Identificar Soluciones Automatizadas
esta en el nivel de madurez 1.

Objetivos no cumplidos

No mantener procedimientos documentados para
controlar los servicios de los proveedores.
Evaluar el nivel de riesgo del negocio con terceros
ya que estos no se estn reportando
Realizar reportes de manera superficial e
incompleta.


NIVEL
1
La responsabilidad y la rendicin de cuentas sobre para la
definicin y la administracin de servicios no est definida. X
NIVEL
2
Los reportes de los niveles de servicio estn incompletos y
pueden ser irrelevantes o engaosos para los clientes. Los
reportes de los niveles de servicio dependen, en forma individual,
de las habilidades y la iniciativa de los administradores.

X
NIVEL
3
El proceso de desarrollo del acuerdo de niveles de servicio esta
en orden y cuenta con puntos de control para revalorar los
niveles de servicio y la satisfaccin de cliente.

X
NIVEL
4
La satisfaccin del cliente es medida y valorada de forma
rutinaria. Las medidas de desempeo reflejan las necesidades del
cliente, en lugar de las metas de TI.

X
NIVEL
5
Todos los procesos de administracin de niveles de servicio estn
sujetos a mejora continua. Los niveles de satisfaccin del cliente
son administrados y monitoreados de manera continua.
X
RECOMENDACIONES COBIT
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Establecer procedimientos de contratos con los proveedores de modo que nos garanticen que estos cumplir con lo que se requiere en una orden
de compra.

Estas recomendaciones son aplicadas para aumentar el nivel de madurez actual.
Llevar a cabo la revisin de los acuerdos y niveles de servicio de los proveedores.
Mediante monitoreo y reportes verificar los niveles de servicio de los proveedores.
7. REPORTE GENERAL DE LOS MODELOS DE MADUREZ

La siguiente tabla muestra el reporte del grado de madurez de cada proceso evaluado, se puede observar
que hay procesos con grado de madurez 1 o inicial, los cuales deben ser motivo de especial atencin por
parte del rea de Sistemas de la municipalidad Alto Selva Alegre. sta atencin debe dar como plan a
corto plazo, y a su vez ser informada a la alta direccin.
DOMINIO PROCESO
GRADO DE
MADUREZ
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R
PO1 Definir un Plan Estratgico de TI 1
PO3 Determinar la Direccin Tecnolgica 1
PO4 Definir los Procesos, Organizacin y Relaciones de TI 1
PO5 Administrar la Inversin en TI 1
PO9 Evaluar y Administrar los Riesgos de TI 1
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS10 Administrar los problemas
DS12 Administrar el ambiente fsico
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R

ME1 Monitorear y Evaluar el Desempeo de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio









8. CONCLUSIONES

Con este estudio se ha dado un pequeo conjunto de directrices, las cuales pueden ayudar a
alinear el rea de Hardware y Redes Locales con el negocio, en este caso con los objetivos del
rea de Sistemas y de la Municipalidad de Alto Selva Alegre. Es decir, identificar riesgos,
gestionar recursos y medir el desempeo, as como el nivel de madurez de cada uno de los
procesos de la institucin.
El jefe de rea de sistemas y los integrantes del mismo se beneficiarn con el desarrollo de
COBIT, ya que este marco de referencia ayudar a stas personas a tener un mejor control sobre
el rea de Hardware y redes locales, es decir tendrn un mejor control ya sea en seguridad,
planeacin, organizacin, administracin.