Beruflich Dokumente
Kultur Dokumente
Huaraz-
Ancash - Per
DEDICATORIA
Dedico este presente trabajo a
Dios en primer lugar por
brindarme la vida, a mis Padres, y
a mis Hermanos quienes con sus
sabios consejos me orientan en el
presente en busca deun maana
mejor. Sencillamente, ustedes son
la base de mi vida profesional y
toda la vida les estar agradecido.
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 3
AGRADECIMIENTO
Al
NDICE
N Pg
INTRODUCCIN
.VII
CAPTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. CARACTERIZACIN DE LA
EMPRESA..9
1.1.1.
NATURALEZA
DE
LA
EMPRESA.9
1.1.2.
UBICACIN
GEOGRFICA9
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
1.1.3.
VISIN
11
1.1.4.
MISIN
..11
1.1.5.
OBJETIVOS
ESTRATGICOS..11
1.1.5.1.
ANLISIS
FODA.11
1.1.5.2.
METAS
ORGANIZACIONALES..12
1.1.5.3.
OBJETIVOS
ESTRATGICOS..12
1.1.6.
ORGANIGRAMA
DE
LA
EMPRESA13
1.1.6.1. DESCRIPCIN DE LA GERENCIA Y
REAS14
1.2. METODOLOGA
COBIT..15
1.2.1.
MODELOS
DE
MADUREZ..15
1.2.2.
AUDITORIA
DE
TICS
CON
COBIT..17
1.2.2.1.
REA
A
AUDITAR.17
1.2.2.2.
RECLUTAMIENTO
DE
LA
INFORMACIN17
1.2.2.3. DOCUMENTOS DE GESTIN DEL REA
DE
Auditor: Ramrez Huamn, Luis Angello
Pgina 5
INFORMTICA..1
7
1.2.2.4. PLAN DE LA AUDITORIA EN EL REA
DE
INFORMTICA..
18
1.2.2.5.
HERRAMIENTAS
Y
TCNICAS..18
1.2.2.6. MOTIVO O NECESIDAD DE UNA
AUDITORIA
INFORMTICA.
.18
1.2.2.7. MODELOS DE MADUREZ A NIVEL
CUALITATIVO
(COSO)
...19
CAPTULO II
EJECUCIN DE LA AUDITORIA
2.1. SITUACIN ACTUAL DEL REA DE
SISTEMAS...22
2.1.1.
OBJETIVOS
DEL
DEPARTAMENTO..23
2.1.2.
ORGANIGRAMA
DEL
DEPARTAMENTO..24
2.1.3.
SEGURIDAD
DEL
DEPARTAMENTO.24
2.1.4. CARACTERIZACIN DE LAS
TECNOLOGAS
DE INFORMACIN Y
COMUNICACIN26
2.1.5.
TOPOLOGA
DE
LA
EMPRESA.28
2.1.6.
CARACTERIZACIN
DE
LA
CARGA29
2.1.7. DETERMINACIN
DE
PROBLEMAS
Y
6
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
PLANTEAMIENTO DE HIPTESIS.
29
2.1.7.1. POSIBLES PROBLEMAS..
....29 2.1.7.2. FORMULACIN DE
HIPTESIS..29
2.2. REALIZACIN DE LA
AUDITORIA30
2.2.1. MODELOS DE MADUREZ DE LOS
PROCESOS..30
2.2.2. REPORTE GENERAL DE GRADOS DE
MADUREZ.52
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE
INFORMACIN POR IMPACTO.
55
2.2.4. RESULTADOS FINALES DEL IMPACTO
SOBRE LOS
CRITERIOS DE
INFORMACIN58
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO
DE LOS
CRITERIOS DE
INFORMACIN60
CAPTULO III
ANLISIS DE LOS
RESULTADOS
3.1. INFORME
TCNICO..
62 3.2. INFORME
Auditor: Ramrez Huamn, Luis Angello
Pgina 7
EJECUTIVO.
70
CAPTULO IV
CONCLUSIONES Y
RECOMENDACIONES
4.1.
CONCLUSIONES
.74 4.2.
RECOMENDACIONES
.75
GLOSARIO
..76
BIOGRAFA
.77
ANEXOS
..78
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se
han constituido en las herramientas ms poderosas
para materializar uno de los conceptos ms vitales y
necesarios para cualquier Organizacin Empresarial,
los Sistemas de Informacin de la Organizacin.
Donde los Sistemas Informticos hoy en da
constituyen una herramienta bastante poderosa
para la mejora de rendimiento de toda la
Organizacin.
Por lo ello se realiza una auditoria informtica en la
Organizacin DATA CENTER E.I.R.L tomando muy
en cuenta la dependencia critica de muchos
procesos de negocios sobre las Tecnologas de la
Informacin, con el objetivo de cumplir con los
requerimientos existentes y los beneficios de
administrar los riesgos efectivamente, utilizando
como modelo de referencia COBIT 4.1, mediante la
evaluacin de 34 procesos que define esta
metodologa, agrupados en 4 dominios (Planear y
Organizar, Adquirir e Implementar, Entregar y Dar
Soporte, y Monitorear y Evaluar), estos procesos son
ubicados en los niveles de madurez en los cuales se
encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1,
mediante este trabajo se pretende solucionar varios
problemas como el servicio eficiente a los clientes y
el aprovechamiento eficaz y eficiente de los recursos
tecnolgicos y humanos que cuenta la Organizacin
en estudio.
Auditor: Ramrez Huamn, Luis Angello
Pgina 9
10
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 11
12
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina
Pgina 13
Ubicacin Exacta:
1.1.3. VISIN
Ser la Organizacin Lder en Gestin de
Tecnologas de la Informacin de nuestra
14
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
ANLISIS INTERNO
FORTALEZAS
DEBILIDADES
Tratamiento personalizado Control de Almacn.
a clientes, orientacin y Realizar grandes proyectos
asesoramiento.
en el sector privado y
pblico.
Integracin de productos y
servicios
buscando Dependencia de los
sinergias entre ellos.
servicios subcontratados.
Innovacin Constante.
Sistema de Informacin
Personal
debidamente
Integrado (Compras,
Capacitado
y
ventas, Almacn y
comprometido con la visin
Krdex).
de la Organizacin.
ANLISIS EXTERNO
OPORTUNIDADES
AMENAZAS
Pgina 15
Oferta de productos a
menor precio por parte de
la competencia.
La inestabilidad
econmica de los
pobladores de la cuidad de
Huaraz.
Cambios repentinos de
los
Sistemas Informticos.
Incremento de la
Competencia.
Pgina
16
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 17
Universidad Nacional
Santiago Antnez de Mayolo
Pgina 13
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 21
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 22
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 23
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
2
REPETIBLE
3
DEFINIDO
4
ADMINISTRAD
O
5
OPTIMIZADA
Pgina 24
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 25
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
4
5
6
7
Tcnicos cuentas.
Verificar si que los equipos de los que se cuenta
en la actualidad concuerdan con su inventario.
Anlisis de las claves de acceso, control,
seguridad, confiabilidad y respaldos.
Evaluar las tecnologas de informacin (TI), tanto
en hardware como en software.
Evaluacin de la seguridad fsica, lgica y de
redes.
1.2.2.5. Herramientas y Tcnicas
HERRAMIENTAS
TECNICAS
Cuaderno de Apuntes,
Observacin,
Papel, Lapicero, Antivirus
entrevistas
y
Eset Smart Security 4.0,
cuestionarios.
Microsoft Office 2010 y
otros.
1.2.2.6. Motivo o necesidad de una Auditoria
Informtica
Sntomas de mala imagen e insatisfaccin
de los usuarios.
Sntomas
de
debilidad
econmico
financiero.
Sntomas de Inseguridad.
Sntomas
de
descoordinacin
y
desorganizacin.
Pgina 26
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
PLANEAR Y ORGANIZAR
PO1
PO2
PO3
PO4
PO5
CRITERIOS
INFORMACIN DE
DE
RECURSOS
DE TI DE
COBIT
COBIT
DA DA DA OT AD
N N AR
AD
DI LIBN
DI LA D
CI CI UTCU
NO
IM
IE
ICNIERG
DIV T
D
A
L
B
P
RT
L
TE
P
I
I
I
IC
IA
M A
S
M
D
C
I A
I F
ES
I FNO
N
R LP
U
N
C
I NE
ARF
FO
O
N
ICI
N
AS
NO
EFE
SRE
A
I
D
EF
C C
I
C
P
I
X
X
X
X
X
X
Pgina 27
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
PO6
PO7
PO8
PO9
AI1
P S
AI2
Identificar
las
soluciones
automatizadas.
Adquirir y mantener software
aplicativo.
Adquirir y mantener la
infraestructura tecnolgica.
S
P
P
P
S
S
AI5
AI6
AI7
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
X
X
X
X
S
S
P S
S
S
S
S
S
S
P
P
P
P
P
P
P
P
P
P
P
S
S
S
S
S
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
AI3
AI4
X
X
S
X
P
X
X
X
Pgina 28
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
ME1
ME2
ME3
ME4
Monitorear y evaluar el
desempeo de
TI.
Monitorear y evaluar el control
interno.
Garantizar
el
cumplimiento
regulatorio.
Proporcionar gobierno de TI.
50%
75%
95%
IMPACT PROMED
O
IO
BAJO
32
MEDIO
63
ALTO
86
Pgina 29
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 30
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Ubicacin
Fsica
Informtica
del
rea
de
Cargos
Cargos Funcionales
Operativos
Gerente
General
Realiza la compra y
venta de los productos,
organiza y coordina las
actividades, y delega
funciones al personal
Tcnico en
Realiza
el
Soporte
Informtica y Tcnico
de
Redes
Computadoras y Redes
Asistente
Realiza
el
Soporte
Tcnico en
Tcnico
de
Informtica y
Computadoras y Redes
Redes
Realiza las ventas de
Vendedora
equipos Informticos
Pgina 31
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 32
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
REA DE
INFORMTICA
SERVICIO
TCNICO
REDES
DISEO WEB
SOFTWARE MICROSOFT
HARDWARE
LINUX
WEB
CORPORATIVO
WEB
PERSONAL
SATELITAL
2.1.3. SEGURIDAD DEL DEPARTAMENTO
a. Seguridad Fsica:
Establecer
un
sistema
contra
incendios y la capacitacin adecuada
para el manejo de estos.
Contar con agentes de seguridad
para
el
resguardo
del
Auditor: Ramrez Huamn, Luis Angello
Pgina 33
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
establecimiento, principalmente en
las noches, debido a la creciente
delincuencia.
Contar con un espacio adecuado para
el alojamiento de los servidores.
b. Seguridad Legal:
Hacer
uso
de
estndares
y
metodologas de calidad (IEEE, ISO y
otros) al brindar los servicios de
redes y diseo de pginas web.
Contar con las licencias de los
sistemas operativos (Microsoft) en
uso.
Realizar
una
auditoria
de
la
tecnologas de la informacin externa
a DATA CENTER E.I.R.L
c. Seguridad de Datos:
Realizar peridicamente backups de
la base de datos del sistema de
informacin.
Procesar los datos ms importantes
de
la
Organizacin
en
las
aplicaciones tecnolgicas (hojas de
clculo, procesadores de texto y
otros) y al sistema de informacin.
Restringir al acceso al sistema de
informacin y al servidor para que la
data no sea adulterada.
d. Seguridad de Personas:
Renovar
los
implementos
de
seguridad
de los
tcnicos
de
informtica.
Auditor: Ramrez Huamn, Luis Angello
Pgina 34
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 35
Universidad Nacional
Santiago Antnez de Mayolo
2.1.4. CARACTERIZACIN
COMUNICACIN
DE
LAS
TECNOLOGAS
DE
INFORMACIN
a. Recursos Humanos:
APELLIDOS Y
GERENCIA/R NOMBRES
CARGOS
EA LABORAL (TRABAJADOR
ES)
Gerencia
General
rea de
Informtica
rea de
Informtica
rea de
Comercio
Ing. Lzaro
Montaez,
Heyner
Gerente
General
Tcnico
Romero
en
Castillo, Jos Informtic
Carlos
ay
Redes
Ramrez
Asistente
Huamn,
Tcnico
Luis Angello en
Informtic
TITULO
FUNCIN
Realiza la compra y
Ing. de
venta de los productos,
Informtica organiza y coordina las
y Sistemas actividades, y delega
funciones al personal
Tcnico
Tcnico
TIEMPO
DE
SERVICI
O
Estable
Realiza
el
Soporte
Tcnico
de 7 meses
Computadoras y Redes
Realiza
el
Soporte 3 meses
Tcnico
de
Computadoras y Redes
ay
Redes
Montaez
Araujo, Sarita
Eva
Secretariado
Vendedor
Ejecutivo Realiza las ventas de
a
Computariza equipos Informticos
do
2 aos
Pgina 26
Universidad Nacional
Santiago Antnez de Mayolo
Sistemas e Informtica
Ing. de
b. Hardware:
NOMBRE DEL
EQUIPO
CARACTERSTICAS
CPU
Memoria
RAM
Disco Duro
PC 01
CPU
Memoria
RAM
Disco Duro
PC 02
Tarjeta de Red
Monitor
Impresora
CPU
Memoria
RAM
Disco Duro
PC 03
Tarjeta de Red
Monitor
Impresora
I5
1.8 GHz
4 GB
1 TB
Corel 2 duo
2.0 GHz
4 GB
S-ATA 7200
500 GB
D-Link DFE-530
PCI Fast Ethernet
Adapter
Samsumg 17 "
Hp Laserjet
1200 series
Corel 2 duo
2.8 GHz
2 GB
S-ATA 7200
300 GB
D-Link DFE-530
PCI Fast Ethernet
Adapter
Samsumg 17 "
Hp Laserjet
1200 series
UTILIDAD
Servidor
Proxy
PC para el
Sistema de
Informacin
PC para
Soporte
Tcnico
c. Software:
NOMBRE
EQUIPO
PC 01
DEL
SISTEMA OPERATIVO
APLICACIONES
MySQL 5.1
Server
Open Office 3.5
Pgina 38
Universidad Nacional
Santiago Antnez de Mayolo
Sistemas e Informtica
Ing. de
Apache 6.0
FileZilla Server
3.5.2
DBMS SQL
Server 2005
PC 02
PC 03
NetBeans 6.7.1
Suite Office
2010
Utilitarios
Bsicos
Suite Office
2010
Utilitarios
Bsicos
Pgina 39
Universidad Nacional
Santiago Antnez de Mayolo
Pgina 28
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 42
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
CUMPLE
CUMPLE
OBSERVACIONES
NO
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Las decisiones estratgicas
se toman proyecto por
Nivel proyecto,
sin
ser
2
consistentes
con
una
estrategia
global
de la
organizacin.
La planeacin estratgica
de TI sigue un enfoque
estructurado,
el cual se
documenta
y se da a
conocer a todo el equipo.
Nivel
Las estrategias de recursos
3
humanos,
tcnicos
y
financieros
de
TI
influencian cada vez ms la
adquisicin
de nuevos
productos y tecnologas.
Existen
procesos
bien
definidos para determinar e
Nivel uso de
recursos
internos
y
4
externos requeridos en el
desarrollo y las
operaciones de los sistemas.
No se realizar planes a
largo plazo de TI, haciendo
solo actualizaciones debido
a los avances tecnolgicos.
Se
desarrollan
planes
realistas a largo plazo de TI y
se actualizan de manera
Nivel
constante para reflejar los
5
cambiantes
avances
tecnolgicos y el progreso
relacionado al negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los
planes existentes, as como de los sistemas de informacin y su impacto
de los objetivos de DATA CENTER
E.I.R.L
En el Largo
Plazo:
Auditor: Ramrez Huamn, Luis Angello
Pgina 44
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Crear planes tctico de TI a futuro, que resulten del plan estratgico de
TI, estos planes deben ser bien detallados para poder realizar la
definicin de planes proyectados.
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
El conocimiento, la experiencia
y
las
responsabilidades
necesarias para desarrollar
esta arquitectura no existen
en la organizacin.
La
gerencia
reconoce
la
necesidad de una arquitectura
de informacin. El desarrollo
de algunos componentes de
una
arquitectura
de
informacin ocurre de manera
ad hoc.
Las personas obtienen sus
habilidades al construir
la
arquitectura de informacin
por medio de experiencia
prctica
y
la
aplicacin
repetida de tcnicas.
Existe
una
funcin
de
administracin
de
datos
definida formalmente, que
establece
estndares
para
toda
la
organizacin,
y
empieza a reportar sobre la
aplicacin
y
uso
de
la
arquitectura de la informacin.
GRADO DE MADUREZ
El
proceso
de
Definir
la
Arquitectura de la Informacin
esta en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Que
no
se
resolvi
necesidades futuras del
negocio
realizando
el
proceso de la arquitectura
de la informacin.
Aprovechar las habilidades
personales
para
la
construccin
de
la
arquitectura
de
la
informacin.
Pgina 45
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
El proceso de definicin de la
arquitectura de informacin es
Nivel
proactivo y se enfoca en
4 resolver necesidades
futuras
del negocio.
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y
Nivel dar mantenimiento a una
5 arquitectura de informacin
robusta y sensible que refleje
todos los requerimientos
del
negocio.
RECOMENDACIONES
Para el proceso PO2 de COBIT estable los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la
informacin.
Ser participe de la construccin de la arquitectura de la informacin para
incrementar sus habilidades.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para
facilitar el desarrollo de aplicaciones y actividades de soporte a la toma
de decisiones, este modelo ser til para la creacin, uso y comparticin
ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y
consistencia de todos los datos que se encuentran almacenado en
formato electrnico, como bases de datos, almacenamiento de datos y
archivos.
DOMINIO: PLANIFICAR Y
ORGANIZAR PO3: Determinar la
Direccin Tecnologa
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel No existe conciencia sobre
0
la
importancia
de
la
planeacin
de
la
infraestructura tecnolgica
para la entidad.
GRADO DE MADUREZ
El proceso de Determinar la
Direccin Tecnologa esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Pgina 46
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
La gerencia reconoce la
necesidad de planear la
infraestructura tecnolgica.
Nivel El
desarrollo
de
1
componentes tecnolgicos y
la
implantacin
de
tecnologas emergentes son
ad hoc y aisladas.
La
evaluacin
de
los
cambios tecnolgicos se
Nivel
delega a individuos que
2
siguen procesos intuitivos,
aunque similares.
Existe un plan de
infraestructura tecnolgica
Nivel
definido, documentado
3 y bien difundido, aunque
se
aplica
de
forma inconsistente.
El rea de informtica cuenta
con la experiencia y las
Nivel
habilidades necesarias para
4
desarrollar
un
plan
de
infraestructura tecnolgica.
La direccin del plan de
infraestructura
tecnolgica
est
impulsada
por
los
Nivel estndares
y
avances
5 industriales
e
internacionales, en lugar de
estar
orientada
por
los
proveedores de tecnologa.
Pgina 47
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Para el proceso PO3 de COBIT estable los siguientes objetivos de control:
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los
proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida
experiencia. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias: En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas
existentes y emergentes, para tomar en cuenta cual direccin tecnolgica
es apropiada para lograr cumplir con las estrategias de TI, y la
arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es
posible establecer un foro tecnolgico, para de esta forma brindar
directrices tecnolgicas.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO4: Definir los Procesos, la Organizacin y las Relaciones
de TI
NIVEL DE MADUREZ
La organizacin de TI no
est establecida de forma
Nivel
efectiva para enfocarse en
0
el logro de los objetivos del
negocio.
La
funcin
de
TI
se
considera como una funcin
Nivel
de
soporte,
sin
una
1
perspectiva organizacional
general.
La necesidad de contar con
una
organizacin
Nivel
estructurada,
pero
las
2
decisiones todava depende
del
conocimiento y habilidades
de individuos clave.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Definir
los
Procesos, la Organizacin y las
Relaciones de TI esta en el nivel
de madurez 2.
OBJETIVOS NO CUMPLIDOS
Formular las relaciones con
terceros para la TI.
No
satisfacer
los
requerimientos del negocio.
Pgina 48
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Se formulan las relaciones
con terceros, incluyendo los
Nivel comits
de
direccin,
3 auditora
interna
y
administracin
de
proveedores.
La
organizacin
de
TI
responde de forma pro activa
Nivel al cambio e incluye todos los
4 roles
necesarios
para
satisfacer los requerimientos
del negocio.
Nivel La estructura organizacional
5 de TI es flexible y adaptable.
RECOMENDACIONES
Para el proceso PO4 de COBIT estable los siguientes objetivos de control:
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Formular relaciones con terceros como auditoria interna.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes
estrategias: En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el
personal involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para
asegurar que los roles y responsabilidades se ejerzan correctamente.
DOMINIO: PLANIFICAR Y
ORGANIZAR PO5: Administrar
la Inversin de TI
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
No existe conciencia de la
importancia de la seleccin
y
presupuesto
de
las
Nivel
inversiones en TI. No existe
0
seguimiento o monitoreo de
las inversiones y gastos de
TI.
GRADO DE MADUREZ
El proceso de Administrar la
Inversin de TI esta en el nivel de
madurez 4.
OBJETIVOS NO CUMPLIDOS
Formular las relaciones con
terceros para la TI.
Pgina 49
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
La organizacin reconoce la
necesidad de administrar la
Nivel
inversin en TI, aunque esta
1
necesidad se comunica de
manera inconsistente.
Existe un entendimiento
Nivel implcito de la necesidad de
2
seleccionar y presupuestar
las inversiones en TI.
El presupuesto de TI est
alineado con los planes
estratgicos de TI y con los
planes del negocio. Los
Nivel
procesos de seleccin de
3
inversiones en TI y de
presupuestos
estn
formalizados, documentados
y comunicados.
La responsabilidad y la
rendicin de cuentas por la
seleccin y presupuestos de
Nivel inversiones se asignan a un
4 individuo
especfico.
Las
diferencias
en
el
presupuesto se identifican
y se resuelven.
Se utilizan las mejores
prcticas de la industria para
evaluar
los
costos
por
comparacin e identificar la
Nivel efectividad
de
las
5 inversiones. Se utiliza el
anlisis de los avances
tecnolgicos en el proceso
de seleccin y presupuesto
de inversiones.
Pgina 50
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Para el proceso PO5 de COBIT estable los siguientes objetivos de control:
Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes
estrategias: En el Corto Plazo:
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de
vida en la toma de decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administracin de inversiones en base a las
lecciones aprendidas del anlisis del desempeo real de las inversiones.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE MADUREZ
La organizacin no requiere
de la identificacin de los
requerimientos funcionales
Nivel
y
operativos
para
el
0
desarrollo, implantacin o
modificacin de soluciones,
tales como sistemas,
servicios, infraestructura y
datos.
Existe una investigacin o
Nivel
anlisis estructurado mnimo
1
de la tecnologa disponible.
Nivel El xito de cada proyecto
2 depende de la experiencia de
unos
cuantos
individuos
clave. La calidad de la
documentacin y de la toma
de decisiones vara de forma
considerable.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Identificar
Soluciones Automatizadas esta en
el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Pgina 51
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
El proceso para determinar
las soluciones de TI se aplica
para algunos proyectos con
base en factores tales como
las decisiones tomadas por el
Nivel
personal
involucrado,
la
3
cantidad
de
tiempo
administrativo dedicado, y el
tamao
y
prioridad
del
requerimiento de negocio
original.
La documentacin de los
Nivel proyectos
es
de
buena
5 externas
que
contienen
material de referencia sobre
soluciones tecnolgicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodologa de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de
decisiones. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias:
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos,
priorizando el desempeo, el costo, la confiabilidad, la compatibilidad, la
auditora, la seguridad, la disponibilidad, y continuidad, la ergonoma,
funcionalidad y la legislacin.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organizacin y de TI.
Pgina 52
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Tpicamente,
las
aplicaciones se obtienen
con base en ofertas de
proveedores,
en
el
reconocimiento de la marca
o en la familiaridad del
personal
de
TI
con
productos
especficos,
considerando poco o nada
los requerimientos actuales.
Es probable que se hayan
adquirido
en
forma
independiente una variedad
de soluciones individuales
para
requerimientos
particulares del negocio,
teniendo como resultado
ineficiencias
en
el
mantenimiento y soporte.
Existen
procesos
de
adquisicin
y
mantenimiento
de
aplicaciones,
con
diferencias pero similares,
en base a la experiencia
dentro de la operacin de
TI.
Existe un proceso claro,
definido y de comprensin
general para la adquisicin
y
mantenimiento
de
software aplicativo. Este
proceso va de acuerdo con
la estrategia de TI y del
negocio.
GRADO DE MADUREZ
El
proceso
de
Adquirir
y
Mantener Software Aplicativo
esta en el nivel de madurez 2.
OBJETIVOS NO CUMPLIDOS
Dar a conocer el proceso
de
adquisicin
y
mantenimiento del Sistema
de Informacin
(software) y aplicaciones.
Determinar la metodologa
formal
para
la
documentacin
del
software en uso.
Pgina 53
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Existe
una
metodologa
formal y bien comprendida
que incluye un proceso de
Nivel diseo y especificacin, un
4
criterio de adquisicin, un
proceso
de
prueba
y
requerimientos
para
la
documentacin.
El enfoque se extiende para
toda
la
empresa.
La
metodologa de adquisicin
y mantenimiento presenta
un buen avance y permite
Nivel
un
posicionamiento
5
estratgico
rpido,
que
permite un alto grado de
reaccin y flexibilidad para
responder a requerimientos
cambiantes del
negocio.
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes
estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y
pistas de auditora.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y Mantener Infraestructura Tecnolgica
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel No
se
reconoce
la
0
administracin
de
la
infraestructura
de
tecnologa como un asunto
GRADO DE MADUREZ
El
proceso
de
Adquirir
y
Mantener
Infraestructura
Tecnolgica esta en el nivel de
Pgina 54
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
importante al cual deba ser
resuelto.
Se realizan cambios a la
infraestructura para cada
nueva aplicacin, sin ningn
Nivel
plan
en
conjunto.
La
1
actividad de mantenimiento
reacciona a necesidades de
corto plazo.
La
adquisicin
y
mantenimiento
de
la
infraestructura de TI no se
Nivel basa en una estrategia
2
definida y no considera las
necesidades
de
las
aplicaciones del negocio
que se deben respaldar.
El
proceso respalda las
necesidades
de
las
aplicaciones
crticas
del
Nivel
negocio y concuerda con la
3
estrategia de negocio de TI,
pero no se aplica en forma
consistente.
La infraestructura de TI
soporta adecuadamente las
Nivel
aplicaciones del negocio. El
4
proceso
est
bien
organizado y es preventivo.
NivelEl proceso de adquisicin y
5
madurez 1.
OBJETIVOS NO CUMPLIDOS
Definir una estrategia para
la
adquisicin
y
mantenimiento
de
la
infraestructura.
Organizar y prevenir el
proceso de adquisicin y
mantenimiento
de
la
infraestructura.
mantenimiento
de
la
infraestructura de tecnologa
es
preventivo
y
est
estrechamente en lnea con
las aplicaciones crticas del
negocio y con la arquitectura
de la tecnologa.
Pgina 55
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura
tecnolgica. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control
interno, seguridad y auditabilidad durante la configuracin, integracin y
mantenimiento de hardware y software de la infraestructura tecnolgica.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI4: Facilitar la Operacin y el Uso
CUMPLE
CUMPLE
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Facilitar
la
Operacin y el Uso esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Falta
generar
los
materiales
de
entretenimiento buscando
su calidad.
Garantizar la compaa de
estndares
para
el
desarrollo del proceso.
Pgina 56
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Nivel Existen
controles
para
4
garantizar que se adhieren
los estndares y
que
se
desarrollan
y
mantienen
procedimientos
para todos los procesos.
Los
materiales
de
procedimiento
y
de
entrenamiento
se
tratan
como
una
base
de
conocimiento en evolucin
constante que se mantiene
Nivel
en forma electrnica, con el
5
uso de administracin de
conocimiento
actualizada,
workflow y tecnologas de
distribucin, que los hacen
accesibles
y
fciles
de
mantener.
RECOMENDACIONES
Para el proceso AI4 de COBIT estable los siguientes objetivos de control:
Control para garantizar adherir los estndares para el mantenimiento de
los procesos.
Desarrollar un plan para realizar soluciones de operacin el cual sirva
para identificar y documentar todos los aspectos tcnicos, la
capacidad de operacin y los niveles de servicio requeridos.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitir que estos tomen posesin del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales
se lograra que estos usen los sistemas con efectividad y eficiencia para
el apoyo a los procesos de la Organizacin.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI5: Adquirir Recursos de TI
NIVEL DE MADUREZ
Nivel No
existe
un
proceso
0
definido de adquisicin de
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Adquirir Recursos
Pgina 57
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
recursos de TI.
Los
contratos
para
la
adquisicin de recursos de
TI
son
elaborados
y
administrados por gerentes
Nivel de
proyecto
y
otras
1
personas que ejercen su
juicio profesional ms que
seguir
resultados
de
procedimientos y polticas
formales.
Nivel Se
determinan
2
responsabilidades
y
rendicin de cuentas para la
administracin de adquisicin
y contrato de TI segn la
experiencia particular del
gerente de contrato.
La adquisicin de TI se
Nivel integra en gran parte con los
3 sistemas
generales
de
adquisicin del negocio.
La adquisicin de TI se
integra en gran parte con los
sistemas
generales
de
Nivel
adquisicin
del
negocio.
4
Existen estndares de TI para
la adquisicin de recursos de
TI.
Se
establecen
buenas
relaciones con el tiempo con
la
mayora
de
los
Nivel proveedores y socios, y se
5 mide y vigila la calidad de
estas relaciones. Se manejan
las relaciones en forma
estratgica.
Pgina 58
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Para el proceso AI5 de COBIT estable los siguientes objetivos de control:
Tomar medidas en la administracin de contratos y adquisiciones.
Establecer buenas relaciones con la mayora de proveedores y socios. Para
pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratgicamente los estndares, polticas y procedimientos de TI para
adquirir los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los
trminos contractuales.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE MADUREZ
La gerencia no reconoce la
Nivel necesidad de un proceso
0
para definir los niveles de
servicio.
La responsabilidad y la
rendicin de cuentas sobre
Nivel
para la definicin y la
1
administracin de servicios
no est definida.
Nivel Los reportes de los niveles
2
de
servicio
estn
incompletos y
pueden ser irrelevantes o
engaosos para los clientes.
Los reportes de los niveles
de servicio dependen, en
forma individual, de las
habilidades y la iniciativa de
los administradores.
Nivel El proceso de desarrollo del
3 acuerdo
de
niveles
de
servicio esta en orden y
cuenta con puntos de control
para revalorar los niveles de
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Definir
y
Administrar
los
Niveles
de
Servicio esta en el nivel de
madurez 1.
OBJETIVOS NO CUMPLIDOS
No ordenar los procesos de
desarrollo por niveles de
servicio.
Realizar reportes de servicio
de
forma completa y relevante.
Pgina 59
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
servicio y la satisfaccin de
cliente.
4 desempeo
reflejan
las
necesidades del cliente, en
lugar de las metas de TI.
Todos
los
procesos
de
administracin de niveles de
servicio estn sujetos a
Nivel mejora continua. Los niveles
CUMPLE
CUMPLE
OBSERVACIONES
NO
Pgina 60
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
GRADO DE MADUREZ
El proceso de Administrar los
Servicios de Terceros esta en el
nivel de madurez 3.
OBJETIVOS NO CUMPLIDOS
Verificar de forma continua
las
capacidades
del
proveedor.
Monitorear e implementar
acciones correctivas.
Pgina 61
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Para el proceso DS2 de COBIT estable los siguientes objetivos de control:
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definicin
de los trminos del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.
NIVEL DE MADUREZ
La gerencia no reconoce
que los procesos clave del
negocio pueden requerir
Nivel altos niveles de desempeo
0
de TI o que el total de los
requerimientos de servicios
de TI del negocio pueden
exceder la capacidad.
Los responsables de los
procesos
del
negocio
valoran poco la necesidad
de llevar a cabo una
Nivel
planeacin de la capacidad
1
y del desempeo. Las
acciones para administrar el
desempeo y la capacidad
son tpicamente reactivas.
Nivel Las
necesidades
de
2
desempeo se logran por lo
general
con
base
en
evaluaciones de sistemas
individuales
y
el
conocimiento y soporte de
equipos de proyecto.
GRADO DE MADUREZ
El proceso de Administrar el
Desempeo y la Capacidad esta en
el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Realizar evaluaciones de la
infraestructura
de
TI
logrando
una
capacidad
optima.
Establecer
mtodos
de
desempeo y evaluacin.
Pgina 62
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Los
pronsticos
de
la
capacidad y el desempeo
Nivel se modelan por medio de un
3
proceso
definido.
Los
reportes se generan con
estadsticas de desempeo.
Hay
informacin
actualizada
disponible,
brindando estadsticas de
Nivel desempeo estandarizadas
4
y
alertando
sobre
incidentes causados por
falta de desempeo o de
capacidad.
La infraestructura de TI y la
demanda del negocio estn
sujetas
a
revisiones
Nivel
regulares para asegurar que
5
se logre una capacidad
ptima con el menor costo
posible.
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
Establecer mtricas de desempeo y evaluacin de la capacidad.
Realizar revisiones de forma peridica la demanda del negocio con menor
costo.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los
recursos de TI en intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los
recursos de TI.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS4: Garantizar la Continuidad del Servicio
NIVEL DE MADUREZ
Nivel No hay entendimiento de
0
los riesgos, vulnerabilidades
y
amenazas
a
las
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar la
Continuidad del Servicio esta en el
Pgina 63
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
operaciones de TI.
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Mantener un plan de servicios.
Integrar
los
procesos
de
servicios
para
mejores
prcticas externas.
1
autoridad
para
ejecutar
responsabilidades
es
limitada.
Los
reportes
sobre
la
disponibilidad
son
Nivel espordicos, pueden estar
2
incompletos y no toman en
cuenta el impacto en el
negocio.
Las responsabilidades de la
planeacin y de las pruebas
Nivel
de la continuidad de los
3
servicios estn claramente
asignadas y definidas.
Se asigna la responsabilidad
Nivel
de mantener un plan de
4
continuidad de servicios.
Los procesos integrados de
servicio continuo toman en
Nivel
cuenta referencias de la
5
industria y las mejores
prcticas externas.
RECOMENDACIONES
Para el proceso DS4 de COBIT estable los siguientes objetivos de control:
Pgina 64
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
reportes de seguridad de TI
ni un proceso de respuesta
para resolver brechas de
seguridad de TI.
La seguridad de TI se lleva a
cabo de forma reactiva. No
se mide la seguridad de TI.
Las brechas de seguridad
de TI ocasionan respuestas
con acusaciones personales,
debido
a
que
las
responsabilidades no son
claras. Las respuestas a las
brechas de seguridad de TI
son impredecibles.
La conciencia sobre la
necesidad de la seguridad
esta fraccionada y limitada.
Aunque
los
sistemas
producen
informacin
relevante respecto a la
seguridad,
sta
no
se
analiza.
Las responsabilidades de la
seguridad de TI estn
asignadas y entendidas,
pero
no
continuamente
implementadas. Existe un
plan de seguridad de TI y
existen
soluciones
de
seguridad motivadas por un
anlisis de riesgo.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar la
Seguridad de los Sistemas esta en
el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Concientizar el valor de la
seguridad de la informacin.
Elaborar un plan de seguridad
de
TI.
Pgina 65
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
El contacto con mtodos
para promover la conciencia
de
la
seguridad
es
Nivel obligatorio.
La
4
identificacin, autenticacin
y
autorizacin
de
los
usuarios
est
estandarizada.
Nivel Los usuarios y los clientes se
5
responsabilizan cada vez
ms de
definir requerimientos de
seguridad, y las funciones de
seguridad estn integradas
con las aplicaciones en la
fase de diseo.
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes
objetivos de control: Se debe administrar la seguridad
TI.
igual forma
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar
el Desempeo de TI esta en el
nivel de madurez 0.
OBJETIVOS NO CUMPLIDOS
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
Pgina 66
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
No se han identificado
procesos
estndar
de
recoleccin y evaluacin. El
monitoreo se implanta y las
Nivel
mtricas se seleccionan de
1
acuerdo a cada caso, de
acuerdo a las necesidades
de proyectos y procesos de
TI especficos.
La interpretacin de los
Nivel resultados del monitoreo se
2
basa en la experiencia de
individuos clave.
Las
mediciones
de
la
contribucin de la funcin
de servicios de informacin
Nivel al
desempeo
de
la
3
organizacin
se
han
definido, usando criterios
financieros
y
operativos
tradicionales.
Hay una integracin de
mtricas a lo largo de todos
Nivel los proyectos y procesos de
5
integradas en los marcos de
trabajo estratgicos, tales
como el Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un mtodo de monitoreo como Balance Scorecard.
Evaluar el desempeo comparndolo peridicamente con las metas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la
gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Auditor: Ramrez Huamn, Luis Angello
Pgina 67
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar
el Control Interno esta en el nivel
de madurez 0.
OBJETIVOS NO CUMPLIDOS
Establecer los procesos para
la
evaluacin
y
aseguramiento del control
interno.
Utilizar
herramientas
integradas para la deteccin
del control interno de TI.
Pgina 68
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
responsables
de
la
administracin del negocio y
de TI.
Se
han
implantado
herramientas
para
estandarizar evaluaciones y
para detectar
de forma
automtica las excepciones
de control. Se ha establecido
Nivel
una funcin formal para el
4
control interno de TI, con
profesionales especializados
y certificados que utilizan un
marco de trabajo de control
formal avalado por la alta
direccin.
La
organizacin
utiliza
herramientas integradas y
actualizadas,
donde
es
Nivel apropiado, que permiten una
Pgina 69
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
DOMINIO: MONITOREAR Y EVALUAR
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Existe
poca
conciencia
respecto
a
los
requerimientos
externos
que afectan a TI, sin
procesos
referentes
al
cumplimiento de requisitos
regulatorios,
legales
y
contractuales.
Se
siguen
procesos
informales para mantener el
cumplimiento, pero solo si
la necesidad surge en
nuevos proyectos o como
respuesta a auditoras o
revisiones.
No existe, sin embargo, un
enfoque
estndar.
Hay
mucha confianza en el
conocimiento
y
responsabilidad
de
los
individuos, y los errores son
posibles.
Se brinda entrenamiento
sobre requisitos legales y
regulatorios externos que
afectan a la organizacin y
se instruye respecto a los
procesos de cumplimiento
definidos.
Las responsabilidades son
claras y el empoderamiento
de
los
procesos
es
entendido.
El
proceso
incluye una revisin del
entorno
para
identificar
requerimientos externos y
cambios recurrentes.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar el
Cumplimiento Regulatorio esta en
el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Brindar capacitacin sobre
requisitos
legales
y
regulatorios externos.
Conocer los requerimientos
aplicables, como la solucin
de nuevas necesidades.
Pgina 70
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Hay un amplio conocimiento
de
los
requerimientos
externos
aplicables,
Nivel incluyendo sus tendencias
5
futuras
y
cambios
anticipados, as como la
necesidad
de
nuevas
soluciones.
RECOMENDACIONES
Para el proceso ME3 de COBIT estable los siguientes objetivos de control:
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificacin de requerimientos locales e
internacionales legales, contractuales de polticas, y regulatorios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos del comercio electrnico,
privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de
TI.
DOMINIO: MONITOREAR Y
EVALUAR ME4: Proporcionar
Gobierno de TI
NIVEL DE MADUREZ
Existe
una
carencia
completa
de
cualquier
proceso
reconocible
de
gobierno
de
TI.
La
Nivel organizacin ni siquiera ha
0
reconocido que existe un
problema a resolver; por lo
tanto,
no
existe
comunicacin respecto al
tema.
Nivel El enfoque de la gerencia es
1
reactivo y solamente existe
una
comunicacin
espordica e inconsistente
sobre los temas y los
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Proporcionar
Gobierno de TI esta en el nivel de
madurez 0.
OBJETIVOS NO CUMPLIDOS
Comunicar por parte de la
Gerencia los procedimientos
estandarizados.
Pgina 71
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
enfoques para resolverlos.
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como
Nivel mtodos de evaluacin y
2
tcnicas; sin embargo, el
proceso
no
ha
sido
adoptado a lo largo de la
organizacin.
La gerencia ha comunicado
los
procedimientos
estandarizados
y
el
Nivel entrenamiento
est
3
establecido.
Se
han
identificado
herramientas
para apoyar a la supervisin
del gobierno de TI.
Los procesos de TI y el
gobierno
de
TI
estn
alineados e integrados con
la estrategia corporativa de
TI. La mejora de los
Nivel procesos de TI se basa
4
principalmente
en
un
entendimiento cuantitativo
y es posible monitorear y
medir el cumplimiento con
procedimientos y mtricas
de procesos.
Nivel La implantacin de las
5 polticas de
TI ha resultado en una
organizacin,
personas
y
procesos que se adaptan
rpidamente, y que dan
soporte
completo
a
los
requisitos de gobierno de TI.
Todos
los
problemas
y
desviaciones se analizan por
medio de la tcnica de causa
raz y se identifican e
Pgina 72
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
implementan
medidas
eficientes de forma rpida.
RECOMENDACIONES
Para el proceso ME4 de COBIT estable los siguientes objetivos de control:
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos
de TI mediante evaluaciones peridicas.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,
procesos, roles y responsabilidades.
En el Largo Plazo:
Conformar un comit de auditora para asegurar el cumplimiento de TI.
MADUREZ
NIVEL DE
PROCESO
Pgina 73
1
1
1
2
4
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
5
AI1 Identificar Soluciones Automatizadas
ENTAR
AI2 Adquirir y Mantener Software Aplicativo
1
2
1
1
4
1
3
1
1
1
0
1
0
Pgina 74
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 75
Universidad Nacional
Santiago Antnez de Mayolo
DOMINIO
RECUROS TI
Nivel de M
PROCESOS
idad
Datos
Eficiencia Integridad
Tecnologia
Instalaciones
Confiabilidad
Cumplimiento
Disponibilidad
Confidencialidad
Recursos Humanos
Sistemas de Aplicacin
Efectiv
Pgina 76
Universidad Nacional
Santiago Antnez de Mayolo
0.83 0.61
0.83 0.61 0.0
0
4.15 3.05 0.0
0
0.6
0.61 0.83
1
0.61 0.83 0.6
1
3.05 4.15 3.0
5
x
0.0
0
0.0
0
0.8
3
0.8
3
4.1
5
0.0
0
0.0
0
0.00 0.00
0.0
0
0.0
0
x
1
0.00 0.00
5
x
0.0
0
0.0
0
0.00 0.00
0.83 0.83
0.83 0.83 0.0
0
4.15 4.15 0.0
0
0.00 0.00
x
0.0
0
0.0
0
0.00 0.00
0.00 0.00
1.69 1.69
0.00 0.00
0.00 0.00
Pgina 77
Universidad Nacional
Santiago Antnez de Mayolo
PO
Administrar la Inversin de TI
5
Total real (impacto*Nivel real)
Total ideal (impacto*Nivel ideal)
AI1 Identificar Soluciones Automatizadas
Total real (impacto*Nivel real)
ADQUIRIR E IMPLEMENTAR
Total ideal (impacto*Nivel ideal)
3.41 3.41
13.6
4
17.0
5
13.6
4
17.0
5
2.49
0.0
0
0.0
0
0.61 0.83
0.83 0.83
0.0
0
0.0
0
0.0
0
0.0
0
0.00 12.4
5
5
x
0.00 0.00
0.00 0.00
1.23
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
0.6
1
0.6
x
4
x
0.0
0
0.0
0
1.2
3
2.4
6
6.1
5
0.6
1
0.6
1
3.0
5
0.6
1
0.6
0.00 9.96
0.83 0.61
0.0
0
0.0
0
0.00 2.46
0.00 6.15
5
x
0.00 0.00
0.00 0.00
0.61 0.61
0.61 0.61
Pgina 78
Universidad Nacional
Santiago Antnez de Mayolo
0
Total ideal (impacto*Nivel ideal)
AI5
Adquirir Recursos de TI
DS
Definir y Administrar los Niveles de Servicio
1
Total real(impacto*Nivel real)
ENTREGAR Y DAR SOPORTE
Total ideal(impacto*Nivel ideal)
DS
Administrar los Servicios de Terceros
2
Total real(impacto*Nivel real)
Total ideal(impacto*Nivel ideal)
DS
Administrar el Desempeo y la Capacidad
3
Total real(impacto*Nivel real)
3.05 3.05
2.49 3.41
2.49
9.96 13.6
4
12.4 17.0
5
5
0.83 0.83
0.83 0.83
4.15 4.15
2.55 2.55
7.65 7.65
12.7 12.7
5
5
0.83 0.83
0.83 0.83
0.0
0
0.0
0
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.6
1
0.0 0.0 0.6
0
0
1
5
x
9.96 0.00
12.4
5
0.00
0.61 0.61
0.61 0.61
3.05 3.05
1.86 1.86
5.58 5.58
9.30 9.30
5
x
0.00 0.00
Pgina 79
Universidad Nacional
Santiago Antnez de Mayolo
ME
Monitorear y Evaluar el Control Interno
2
Total real(impacto*Nivel real)
0.00 0.00
5
x
0.00 0.00
0.00 0.00
0.61 0.61
0.0
0
0.0
0
0.0
0
0.0
0
3.05 3.05
5
x
0.00 0.00
0.00 0.00
x
0.00 0.00 0.0 0.0 0.0
0
0
0
0.61 0.61
x
0.00 0.00 0.0
0
0.00 0.00 0.0
0
0.00 0.00
Pgina 80
Universidad Nacional
Santiago Antnez de Mayolo
0.00 0.00
0.83 0.61
0.0
0
0.0
0
0.0
0
0.0
0
5
x
0.83 0.61
4.15 3.05
5
x
0.0
0
0.0
0
0.0
0
0.0
0
0.00 0.00
0.00 0.00
45.04 48.50
Porcentaje Alcanzado
7.63 11.53
Pgina 81
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 82
Pgina 59
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 84
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 86
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 88
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 90
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
responsabilidades
claras. RECOMENDACIONES
COBIT
Realizar pruebas a la implementacin de la
seguridad, de igual forma monitorear esta.
Garantizar que las caractersticas de posibles
incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.
DOMINIO MONITOREAR Y EVALUAR
ME1. MONITOREAR Y EVALUAR EL DESEMPEO DE TI
CONCLUSIN.- Este proceso se encuentra en el nivel
de madurez 0, por cuanto no se cuenta con un
proceso implementado de monitoreo, as como con
reporte tiles, oportunos y precisos sobre el
desempeo.
RECOMENDACIONES COBIT
Definir y recolectar los datos del monitoreo
mediante
un
conjunto
de objetivos,
mediciones, metas y comparaciones de
desempeo.
Evaluar
el
desempeo
comparndolo
peridicamente con las metas.
ME2. MONITOREAR Y EVALUAR EL CONTROL
INTERNO
CONCLUSIN.- Este proceso se encuentra en el nivel
de madurez 0, por cuanto, No
se
tiene
procedimientos para monitorear la efectividad de
los controles internos.
RECOMENDACIONES COBIT
Realizar una auto-evaluacin del control interno
de la administracin de procesos, polticas y
contratos de TI.
Pgina 92
OBSERVACIONES
El objetivo es alcanzar el 100%, para
esto la informacin en DATA CENTER
E.I.R.L debe ser
Efectividad
47.76%
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
entregada de forma oportuna, correcta,
consistente y utilizable.
Eficiencia
optimizando los
recursos.
El objetivo es alcanzar el 100%, para lo cual se
Confidencialidad 39.03% debe proteger la informacin sensitiva
contra revelacin no autorizada.
El objetivo es alcanzar el 100%, para lo cual la
Integridad
35.05%
informacin debe ser precisa, completa y valida.
El objetivo es alcanzar el 100%, para la
cual
la
informacin
debe
estar
disponible cuando esta
Disponibilidad 32.96%
se requiera por parte de las reas del
negocio en cualquier momento.
El objetivo es alcanzar el 100%, para lo
cual se debe respetar las leyes,
reglamentos y acuerdos
Cumplimiento 51.93%
contractuales a los que esta sujeta el
proceso del negocio, como polticas
internas.
El objetivo es alcanzar el 100%, para lo
cual
se
debe
proporcionar
la
informacin apropiada, con
Confiabilidad
50.97%
el fin de que la Gerencia General
administre la entidad.
Pgina 94
52.24%
47.76%
Efectividad
Dficit
50.41%
49.59%
Eficiencia
Dficit
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
60.97%
39.03%
Confidencialidad
Dficit
64.95%
35.05%
Integridad
Dficit
67.04%
32.96%
Disponibilidad
Dficit
Pgina 96
48.07%
51.93%
Cumplimiento
Dficit
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
49.03%
50.97%
Confiabilidad
Dficit
Pgina 98
CONCLUSIONES
Con este estudio se ha dado un conjunto de
directrices las cuales pueden ayudar a alinear TI
con el negocio, es decir identificar riesgos,
gestionar recursos y medir el desempeo, as
como el nivel de madurez de cada uno de los
procesos de DATA CENTER E.I.R.L.
Los gerentes y usuarios son beneficiados con el
desarrollo de COBIT 4.1, ya que este marco de
referencia ayuda a estos individuos entender
sus sistemas de TI, de igual forma decidir el
nivel de seguridad y control para proteger los
activos (informacin, hardware, software, etc.)
de DATA CENTER E.I.R.L mediante un modelo
de desarrollo de gobernacin de TI.
Mediante el marco de referencia COBIT, se
ha podido evaluar y diagnosticar los procesos
de TI en DATA CENTER E.I.R.L de Huaraz.
Tambin se ha
diagnosticado cada uno de los criterios de la
informacin,
los cuales son
efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad, cumplimiento y confiabilidad.
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
RECOMENDACIONES
Tomar en cuenta los procesos que se
encuentran con el nivel de madurez de 0 y 1,
que son los de factor crtico.
Realizar evaluaciones peridicas con el fin de
medir el avance de cada uno de los procesos
estudiados en este trabajo.
Se debe utilizar software aplicativo con
licenciamiento,
as
como
adecuar
las
instalaciones del rea de informtica, puesto
que el espacio de trabajo de este es muy
limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de
tomarlo como gua para futuras mejoras en TI.
Pgina 100
GLOSARIO
Auditora Informtica.- Proceso de recoger, agrupar,
evaluar evidencias para evidenciar si un sistema
informtico o estructura informtica protege los
activos intangibles o tangibles de la empresa.
COBIT.(Control
Objetives
Information
Technologies), modelo de referencia utilizado en el
control de tecnologas de la informacin as como su
control.
Madurez.- Nos muestra en nivel de confiabilidad en
los procesos que utiliza una empresa.
Arquitectura de la informacin.- Es la disciplina y
arte encargada del estudio, anlisis, organizacin,
disposicin y estructuracin de la informacin en
espacios de informacin, y de la seleccin y
presentacin de los datos en los sistemas de
informacin interactivos y no interactivos.
COSO.- (Committee Of Sponsoring Organizations), es
un modelo de control de negocios, que proporciona
un estndar a partir del cual las organizaciones
(grandes o pequeas, en el sector pblico o privado,
con fines de lucro o sin l) pueden evaluar sus
procesos de control y determinar cmo mejorar
su desempeo.
TI.- Tecnologas de la Informacin.
Plan Estratgico.- Es un plan a largo plazo aprobado
por una empresa.
Problema.- Es la causa desconocida de uno o varios
incidentes.
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
BIOGRAFA
Direcciones Electrnicas:
ISACA
ORG.
Obtain
Cobit
http://www.isaca.org/Content/NavigationMenu/M
embers
and_Leaders1/COBIT6/Obtain_COBIT/Obtain_CO
BIT.htm Diciembre 2008.
WIKIPEDIA, Objetivos de control para
informacin y tecnologas relacionadas.
http://es.wikipedia.org/wiki/COBIT
WIKIPEDIA,
Auditoria
http://es.wikipedia.org/wiki/Auditor
%C3%ADa_inform%C3 %A1tica
la
Informtica
Textos:
Escuela Politcnica Nacional, Auditoria de la
Gestin de las Tecnologas de la Informacin en
el Gobierno Municipal de San Miguel de Urcuqui,
utilizando como modelo de referencia COBIT
4.0.
COBIT 4.1 Marco Referencial, Emitido por el
Comit Directivo de COBIT y El IT Governance
Institute 2007.
Auditor: Ramrez Huamn, Luis Angello
Pgina 102
ANEXOS
A. Cuestionario
de Auditora
correspondiente al funcionamiento
rea de Informtica:
del
persona
responsable
SI ( ) NO ( )
de
la
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 104
Existen
protocolos
establecida?
de
comunicaron
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Pgina 106