Cobit

UNIVERSIDAD NACIONAL
SANTIAGO ANTNEZ DE MAYOLO
Huaraz-
Ancash - Per
DEDICATORIA
Dedico este presente trabajo a
Dios en primer lugar por
brindarme la vida, a mis Padres, y
a mis Hermanos quienes con sus
sabios consejos me orientan en el
presente en busca deun maana
mejor. Sencillamente, ustedes son
la base de mi vida profesional y
toda la vida les estar agradecido.
Universidad Nacional
Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
Auditor: Ramrez Huamn, Luis Angello
Pgina 3
AGRADECIMIENTO
Al
Ing. Fabian M. Espinoza Barreto

por toda su dedicacin brindada
en este proceso de
asesoramiento brindado ya que
sin l no tendra los resultados
obtenidos, muchas gracias.
NDICE
N Pg
INTRODUCCIN
.VII
CAPTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. CARACTERIZACIN DE LA
EMPRESA..9
1.1.1.
NATURALEZA
DE
LA
EMPRESA.9
1.1.2.
UBICACIN
GEOGRFICA9
1.1.3.
VISIN
11
1.1.4.
MISIN
..11
1.1.5.
OBJETIVOS
ESTRATGICOS..11
1.1.5.1.
ANLISIS
FODA.11
1.1.5.2.
METAS
ORGANIZACIONALES..12
1.1.5.3.
OBJETIVOS
ESTRATGICOS..12
1.1.6.
ORGANIGRAMA
DE
LA
EMPRESA13
1.1.6.1. DESCRIPCIN DE LA GERENCIA Y
REAS14
1.2. METODOLOGA
COBIT..15
1.2.1.
MODELOS
DE
MADUREZ..15
1.2.2.
AUDITORIA
DE
TICS
CON
COBIT..17
1.2.2.1.
REA
A
AUDITAR.17
1.2.2.2.
RECLUTAMIENTO
DE
LA
INFORMACIN17
1.2.2.3. DOCUMENTOS DE GESTIN DEL REA
DE
Pgina 5
INFORMTICA..1
7
1.2.2.4. PLAN DE LA AUDITORIA EN EL REA
DE
INFORMTICA..
18
1.2.2.5.
HERRAMIENTAS
Y
TCNICAS..18
1.2.2.6. MOTIVO O NECESIDAD DE UNA
AUDITORIA
INFORMTICA.
.18
1.2.2.7. MODELOS DE MADUREZ A NIVEL
CUALITATIVO
(COSO)
...19
CAPTULO II
EJECUCIN DE LA AUDITORIA
2.1. SITUACIN ACTUAL DEL REA DE
SISTEMAS...22
2.1.1.
OBJETIVOS
DEL
DEPARTAMENTO..23
2.1.2.
ORGANIGRAMA
DEL
DEPARTAMENTO..24
2.1.3.
SEGURIDAD
DEL
DEPARTAMENTO.24
2.1.4. CARACTERIZACIN DE LAS
TECNOLOGAS
DE INFORMACIN Y
COMUNICACIN26
2.1.5.
TOPOLOGA
DE
LA
EMPRESA.28
2.1.6.
CARACTERIZACIN
DE
LA
CARGA29
2.1.7. DETERMINACIN
DE
PROBLEMAS
Y
6
PLANTEAMIENTO DE HIPTESIS.
29
2.1.7.1. POSIBLES PROBLEMAS..
....29 2.1.7.2. FORMULACIN DE
HIPTESIS..29
2.2. REALIZACIN DE LA
AUDITORIA30
2.2.1. MODELOS DE MADUREZ DE LOS
PROCESOS..30
2.2.2. REPORTE GENERAL DE GRADOS DE
MADUREZ.52
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE
INFORMACIN POR IMPACTO.
55
2.2.4. RESULTADOS FINALES DEL IMPACTO
SOBRE LOS
CRITERIOS DE
INFORMACIN58
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO
DE LOS
CRITERIOS DE
INFORMACIN60
CAPTULO III
ANLISIS DE LOS
RESULTADOS
3.1. INFORME
TCNICO..
62 3.2. INFORME
Pgina 7
EJECUTIVO.
70
CAPTULO IV
CONCLUSIONES Y
RECOMENDACIONES
4.1.
CONCLUSIONES
.74 4.2.
RECOMENDACIONES
.75
GLOSARIO
..76
BIOGRAFA
.77
ANEXOS
..78
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se
han constituido en las herramientas ms poderosas
para materializar uno de los conceptos ms vitales y
necesarios para cualquier Organizacin Empresarial,
los Sistemas de Informacin de la Organizacin.
Donde los Sistemas Informticos hoy en da
constituyen una herramienta bastante poderosa
para la mejora de rendimiento de toda la
Organizacin.
Por lo ello se realiza una auditoria informtica en la
Organizacin DATA CENTER E.I.R.L tomando muy
en cuenta la dependencia critica de muchos
procesos de negocios sobre las Tecnologas de la
Informacin, con el objetivo de cumplir con los
requerimientos existentes y los beneficios de
administrar los riesgos efectivamente, utilizando
como modelo de referencia COBIT 4.1, mediante la
evaluacin de 34 procesos que define esta
metodologa, agrupados en 4 dominios (Planear y
Organizar, Adquirir e Implementar, Entregar y Dar
Soporte, y Monitorear y Evaluar), estos procesos son
ubicados en los niveles de madurez en los cuales se
encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1,
mediante este trabajo se pretende solucionar varios
problemas como el servicio eficiente a los clientes y
el aprovechamiento eficaz y eficiente de los recursos
tecnolgicos y humanos que cuenta la Organizacin
en estudio.
Pgina 9
10
1.1. CARACTERIZACIN DE LA EMPRESA
Pgina 11
1.1.1. NATURALEZA DE LA EMPRESA

El 20 de Agosto de 2001 nace DATA CENTER
E.I.R.L en Huaraz Paraso Natural capital del
Departamento de Ancash, para brindar un
servicio de calidad y excelencia al pueblo de
Huaraz, la regin de Ancash y al Pas, de
acuerdo a la necesidad existente en cada uno
de
estos
entes,
buscando
lograr
la
competitividad, reconocimiento e innovacin en
dicho rubro.
Uno de los hechos ms resaltantes de su
historia es el haber apostado por el negocio de
venta de computadoras y accesorios, soporte
tcnico, diseo de pgina webs y redes. Siendo
sus inicios el soporte tcnico de computadoras,
logrando as con el tiempo ser reconocida en el
mercado local, para posteriormente realizar
venta
de
computadoras
y
accesorio,
conjuntamente con los dems servicios que
brinda. El valor agregado que DATA CENTER
E.I.R.L es transmitir a sus clientes la seguridad
en la compra de computadoras y accesorios,
sabiendo que cuenta con una slida garanta,
respaldo y servicio de post-venta. Sin embargo,
DATA CENTER E.I.R.L mantuvo su estrategia y
fue reconocida claramente por sus clientes
como una Organizacin netamente integradora.
1.1.2. UBICACIN GEOGRFICA
La Organizacin DATA CENTER E.I.R.L se
encuentra ubicado en el Jr. San Martin 561 en el
Distrito de Huaraz, Provincia de Huaraz,
Departamento de Ancash.
12
Pgina
Cdigo de Ubicacin Geogrfica (UBIGEO):
Pgina 13
Ubicacin Exacta:
DATA CENTER E.I.R.L
1.1.3. VISIN
Ser la Organizacin Lder en Gestin de
Tecnologas de la Informacin de nuestra
14
localidad, regin y pas, reconocida por la

excelencia de sus servicios, y por la calidad
profesional y tica de sus miembros
1.1.4. MISIN
La Organizacin DATA CENTER E.I.R.L es una
compaa dedicada a la prestacin de servicios
informticos, as como al completo suministros
de equipos de cmputo, localizada en el sector
de las PYMES y particulares, llevando a cabo su
funcin con criterios de una alta calidad,
profesionalismo y rigor, utilizando para ello las
ms modernas tecnologas y
orientada a la plena satisfaccin del cliente
1.1.5. OBJETIVOS ESTRATGICOS
1.1.5.1. Anlisis FODA
ANLISIS INTERNO
FORTALEZAS
DEBILIDADES
Tratamiento personalizado Control de Almacn.
a clientes, orientacin y Realizar grandes proyectos
asesoramiento.
en el sector privado y
pblico.
Integracin de productos y
servicios
buscando Dependencia de los
sinergias entre ellos.
servicios subcontratados.
Innovacin Constante.
Sistema de Informacin
Personal
debidamente
Integrado (Compras,
Capacitado
y
ventas, Almacn y
comprometido con la visin
Krdex).
de la Organizacin.
ANLISIS EXTERNO
OPORTUNIDADES
AMENAZAS
Pgina 15
Valoracin positiva de las

TIC en la Organizacin.
Costos cada vez menores
para las Organizaciones
para la aplicacin de las
TIC.
Lealtad de los clientes
hacia la Organizacin.
Ubicacin Cntrica del
Local.
Oferta de productos a
menor precio por parte de
la competencia.
La inestabilidad
econmica de los
pobladores de la cuidad de
Huaraz.
Cambios repentinos de
los
Sistemas Informticos.
Incremento de la
Competencia.
Pgina
1.1.5.2. Metas Organizacionales

a. Corto Plazo
Abastecimiento de las reas de
la Organizacin segn sus
necesidades primarias.
b. Mediano Plazo
Realizar la capacitacin a todo el
personal,
la
renovacin
tecnolgica,
humana y la
infraestructura
de
la
Organizacin.
c. Largo Plazo
Lograr la expansin demogrfica
en el rubro, con innovaciones
tecnolgicas y el desarrollo de
un sistema de informacin
integrado.
1.1.5.3. Objetivos Estratgicos
Desarrollar
estrategias
para
llamar la atencin de nuevos
clientes.
Aprovechar la Tecnologa para
Desarrolla
un
Sistema
de
Informacin Integral de Calidad.
16
Aprovechar el buen clima para

capacitar al personal de la
Organizacin.
Desarrollar servicios nuevos que
mejoren el nivel del servicio.
Explotar el potencial humano y
tecnolgico para una ptima
productividad de los mismos.
Pgina 17
1.1.6. ORGANIGRAMA DE LA EMPRESA
Pgina 13
1.1.6.1 Descripcin de la Gerencia y reas

a. Gerencia General.- Tiene como
propsito, organizar, dirigir y
coordinar el funcionamiento y
desarrollo de los procesos y
actividades diarias, de acuerdo a
las polticas de la Organizacin.
b. rea de Negocios.- Se encarga de
planificar, controlar y verificar los
procesos de compra y venta; como
tambin
la
recepcin
y
clasificacin en almacn, de los
equipos de cmputo, accesorios y
otros.
c. rea
de
Administracin.Se
encarga
de
velar
por
una
adecuada organizacin, soporte
logstico, administracin eficiente
en el uso de los bienes, muebles e
inmuebles, y el recurso humano de
la Organizacin en General.
d. rea de Informtica.- Se encarga
de integrar y coordinar los
servicios informticos, la misma
que tiene que estar subdividida a
su vez por tres unidades internas
(hardware, software y redes), con
el fin de ser ms especficos al
equipamiento, comunicaciones y
aplicaciones, para brindar un
servicio de calidad.
1.2. METODOLOGA COBIT
Marco de Trabajo Completo de COBIT
Pgina 21
1.2.1. MODELOS DE MADUREZ

En la actualidad se pide a los directivos y
ejecutivos de la Organizacin que tomen muy
en cuenta una correcta administracin de las TI.
Para esto se debe realizar un plan de negocio
para alcanzar un nivel ptimo de administracin
y control de la Tecnologas de la Informacin.
Pgina 22
Estos modelos de madurez estn diseados

como perfiles de procesos de TI que una
Organizacin los reconocera como estados
posiblemente actuales y futuros, estos modelos
no estn diseados para ser limitantes, donde
no se puede pasar a los niveles superiores sin
haber cumplido antes los niveles antecesores,
al usar los modelos de madurez para los 34
procesos de TI de COBIT, la administracin
podr identificar:
El desempeo real de la Organizacin: Donde
se encuentra la Organizacin hoy.
El Status actual de la industria: La
comparacin
EL objetivo de la mejora de la Organizacin:
Donde desea estar la Organizacin.
Se ha definido un modelo de madurez para
cada uno de los 34 procesos de TI, con una
escala de medicin creciente a partir de 0,
no existente, hasta 5, optimizado, la ventaja
es que es relativamente fcil para la direccin
ubicarse a s misma en una escala y de esta
forma evaluar que se debe hacer si se requiere
una mejora.
A continuacin se presenta el modelo de
madurez genrico a usarse en esta auditora:
Carencia
completa
de
cualquier
proceso
0
reconocible. La Organizacin no ha reconocido
NO EXISTENTE
siquiera que existe un problema a resolver.
Existe
evidencia
que
la
empresa
ha
reconocido
que
los problemas existen y
requieren ser resueltos. Sin embargo; no existen
1
procesos estndar en su lugar existen enfoques
INICIAL
ad hoc que tienden a ser aplicados de forma
individual o caso por caso. El enfoque general
hacia la administracin es desorganizado.
Pgina 23
2
REPETIBLE
3
DEFINIDO
4
ADMINISTRAD
O
5
OPTIMIZADA
Se han desarrollado los procesos hasta el punto

en que se siguen procedimientos similares en
diferentes reas que realizan la misma tarea. No
hay entrenamiento o comunicacin formal de los
procedimientos
estndar,
y
se
deja
la
responsabilidad al individuo. Existe un alto grado
de confianza en el conocimiento de los individuos
y, por lo tanto, los errores son muy probables.
Los procedimientos se han estandarizado y
documentado, y se han difundido a travs de
entrenamiento. Sin embargo, se deja que el
individuo decida utilizar estos procesos, y es poco
probable que se detecten desviaciones. Los
procedimientos en s no son sofisticados pero
formalizan las prcticas existentes.
Es posible monitorear y medir el cumplimiento de
los procedimientos y tomar medidas cuando
los procesos no estn trabajando de forma
efectiva. Los procesos estn bajo constante
mejora y proporcionan buenas prcticas. Se usa
la automatizacin y herramientas de una
manera limitada o fragmentada.
Los procesos se han refinado hasta el nivel de
mejor prctica, se basan en los resultados de
mejoras continuas y en un modelo de madurez
con otras empresas. TI se usa de forma integrada
para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la
efectividad, haciendo que la empresa se adapte
de manera rpida.
1.2.2. AUDITORIA DE TICS CON COBIT

1.2.2.1. rea a Auditar
La Auditora realizada por Ramrez Huamn,
Luis Angello, ser en el rea de Informtica
de DATA CENTER E.I.R.L, debido a que all
se encuentran ubicados gran parte de los
equipos de cmputo con los que cuenta la
Organizacin DATA CENTER E.I.R.L.
Pgina 24
1.2.2.2. Reclutamiento de la Informacin

Por medio de la observacin realizada se
procedi a la realizacin de entrevistas y
cuestionarios con el Gerente General de
DATA CENTER E.I.R.L; y as poder determinar
con ms precisin cuales son los problemas
presentados y poder dar un dictamen ms
especifico.
(Anexo A, B, C)
1.2.2.3. Documentos de Gestin del rea de
Informtica Actualmente DATA CENTER
E.I.R.L no cuenta con el manual de
procedimientos administrativos informticos,
ni tampoco cuenta con la documentacin
requerida las cuales son:
Mantenimiento de Equipos de Cmputo.
Un Plan de Contingencias.
Seguridad de datos y equipos de
Cmputo.
1.2.2.4. Plan de la Auditoria en el rea de
Informtica Para el Plan de desarrollo de la
Auditoria, se cuenta con el apoyo de la alta
gerencia de la Organizacin, solicitando la
participacin de los principales trabajadores
de la Organizacin y en donde se realizaran
las siguientes acciones:
N
ACTIVIDADES
1 Observacin General del rea de Informtica.

2 Entrevistas a los trabajadores del rea de
Informtica.
3 Analizar con que documentos de Gestin y
Pgina 25
4
5
6
7
Tcnicos cuentas.
Verificar si que los equipos de los que se cuenta
en la actualidad concuerdan con su inventario.
Anlisis de las claves de acceso, control,
seguridad, confiabilidad y respaldos.
Evaluar las tecnologas de informacin (TI), tanto
en hardware como en software.
Evaluacin de la seguridad fsica, lgica y de
redes.
1.2.2.5. Herramientas y Tcnicas
HERRAMIENTAS
TECNICAS
Cuaderno de Apuntes,
Observacin,
Papel, Lapicero, Antivirus
entrevistas
y
Eset Smart Security 4.0,
cuestionarios.
Microsoft Office 2010 y
otros.
1.2.2.6. Motivo o necesidad de una Auditoria
Informtica
Sntomas de mala imagen e insatisfaccin
de los usuarios.
Sntomas
de
debilidad
econmico
financiero.
Sntomas de Inseguridad.
Sntomas
de
descoordinacin
y
desorganizacin.
Pgina 26
1.2.2.7. Modelos de Madurez a nivel

Cualitativo (COSO)
A continuacin se representa en una tabla el
impacto de los objetivos de control de COBIT
4.1 sobre los criterios y recursos de TI.
La nomenclatura utilizada en los criterios de
informacin para esta tabla es la siguiente
(P), cuando el objetivo de control tiene un
impacto directo al requerimiento, (S), cuando
el objetivo de control tiene un impacto
indirecto es decir no completo sobre el
requerimiento, y finalmente ( ) vaco, cuando
el objetivo de control no ejerce ningn
impacto sobre el requerimiento, en cambio
cuando se encuentra con (X) significa que los
objetivos de control tienen impacto en los
recursos, y cuando se encuentra en blanco
( ), es que los objetivos de control no tienen
ningn impacto con los recursos.
OBJETIVOS DE CONTROL DE COBIT
PLANEAR Y ORGANIZAR
PO1
PO2
PO3
PO4
PO5
CRITERIOS
INFORMACIN DE
DE
RECURSOS
DE TI DE
COBIT
COBIT
DA DA DA OT AD
N N AR
AD
DI LIBN
DI LA D
CI CI UTCU
NO
IM
IE
ICNIERG
DIV T
D
A
L
B
P
RT
L
TE
P
I
I
I
IC
IA
M A
S
M
D
C
I A
I F
ES
I FNO
N
R LP
U
N
C
I NE
ARF
FO
O
N
ICI
N
AS
NO
EFE
SRE
A
I
D
EF
C C
I
C
P
I
Definir un plan estratgico de TI.

Definir la arquitectura de la
informacin
Definir la direccin tecnolgica.
Definir los procesos, organizacin
y relaciones de TI.
Administrar la inversin en TI.
X
X
X
X
X
X
Pgina 27
PO6
PO7
PO8
PO9
Comunicar las metas y la

direccin de la gerencia.
Administrar los recursos
humanos de TI.
Administrar la calidad.
Evaluar y administrar los riegos
de TI.
PO1 Administrar los proyectos.

0
ADQUIRIR E IMPLEMENTAR
AI1
P S
AI2
Identificar
las
soluciones
automatizadas.
Adquirir y mantener software
aplicativo.
Adquirir y mantener la
infraestructura tecnolgica.
Facilitar la operacin y el uso.
S
P
P
P
S
S
AI5
Procurar recursos de TI.
AI6
Administrar los cambios.
AI7
Instalar y acreditar soluciones y

cambios.
ENTREGAR Y DAR SOPORTE
DS1
DS2
DS3
DS4
DS5
Definir y administrar los niveles

de servicio.
Administrar los servicios de
terceros.
Administrar el desempeo y
capacidad.
Asegurar el servicio continuo.
DS6
Garantizar la seguridad de los

sistemas.
Identificar y asignar costos.
DS7
Educar y entrenar a los usuarios.
DS8
DS9
Administrar la mesa de servicio y

los incidentes.
Administrar la configuracin.
DS1 Administrar los problemas.

0
DS1 Administrar los datos.
1
DS1 Administrar el ambiente fsico.
2
DS1 Administrar las operaciones.
3
MONITOREAR Y EVALUAR
X
X
X
X
S
S
P S
S
S
S
S
S
S
P
P
P
P
P
P
P
P
P
P
P
S
S
S
S
S
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
AI3
AI4
X
X
S
X
P
X
X
X
Pgina 28
ME1
ME2
ME3
ME4
Monitorear y evaluar el
desempeo de
TI.
Monitorear y evaluar el control
interno.
Garantizar
el
cumplimiento
regulatorio.
Proporcionar gobierno de TI.
Para tener un porcentaje de los criterios de la

informacin, asignamos un valor para el impacto
primario, de igual forma tendremos un valor para el
impacto secundario.
Este porcentaje lo estableceremos en base a la
propuesta metodolgica para el manejo de riesgos
COSO (Sponsoring Organizations of the Treadway),
como se muestra en la tabla.
CALIFICACION
15%
51%
76%
50%
75%
95%
IMPACT PROMED
O
IO
BAJO
32
MEDIO
63
ALTO
86
Promedio de Impactos, fuente COBIT 4.1
Pgina 29
2.1. SITUACIN ACTUAL DEL REA DE

SISTEMAS
a. Ubicacin:
El rea de Informtica se ubica al lado del
rea
de
Negocios,
teniendo
la
responsabilidad de gestionar los procesos
tcnicos de informtica.
Pgina 30
Ubicacin
Fsica
Informtica
del
rea
de
b. Cargos Funcionales y Operativos:

Apellidos y Nombres
(Trabajadores)
Ing. Lzaro Montaez,
Heyner
Romero Castillo, Jos

Carlos
Ramrez Huamn, Luis

Angello
Montaez Araujo,
Sarita Eva
Cargos
Cargos Funcionales
Operativos
Gerente
General
Realiza la compra y
venta de los productos,
organiza y coordina las
actividades, y delega
funciones al personal
Tcnico en
Realiza
el
Soporte
Informtica y Tcnico
de
Redes
Computadoras y Redes
Asistente
Realiza
el
Soporte
Tcnico en
Tcnico
de
Informtica y
Redes
Realiza las ventas de
Vendedora
equipos Informticos
Pgina 31
2.1.1. OBJETIVOS DEL DEPARTAMENTO

Recomendar la adquisicin de hardware,
software
bsico
y
de
aplicaciones
conveniente y necesario.
Estructurar, ejecutar y actualizar el plan
estratgico del Sistema de Informacin,
segn los requerimientos de las reas y la
coordinacin con la Gerencia General.
Proporcionar mecanismos de seguridad tanto
lgica y fsica del hardware, software y redes
de DATA CENTER
E.I.R.L.
Aprovechar de las Redes Sociales (Facebook,
MySpace y otros) para publicitar a la
Organizacin, ya que no incurre ningn costo.
Mantener actualizado el inventario del
parque informtico y los precios de los
productos de la base de datos, para la
cotizacin correcta.
Planificar y mantener actividades de Backups
(copias de respaldo) de forma peridica en
medios fsicos de almacenamiento masivo.
Aprovechar la tecnologa existente para
redisear el Website actual, convirtindolo en
portal dinmico, donde puedan realizarse las
operaciones
transaccionales
de
la
Organizacin y consultas comunes para los
usuarios y clientes.
Asesorar, administrar y proporcionar el
soporte tecnolgico al personal de todas las
reas de DATA CENTER E.I.R.L.
Pgina 32
Proponer a la alta gerencia de poder

involucrarnos en proyectos corporativos y
sociales.
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO
REA DE
INFORMTICA
SERVICIO
TCNICO
REDES
DISEO WEB
SOFTWARE MICROSOFT
HARDWARE
LINUX
WEB
CORPORATIVO
WEB
PERSONAL
SATELITAL
2.1.3. SEGURIDAD DEL DEPARTAMENTO
a. Seguridad Fsica:
Establecer
un
sistema
contra
incendios y la capacitacin adecuada
para el manejo de estos.
Contar con agentes de seguridad
para
el
resguardo
del
Pgina 33
establecimiento, principalmente en
las noches, debido a la creciente
delincuencia.
Contar con un espacio adecuado para
el alojamiento de los servidores.
b. Seguridad Legal:
Hacer
uso
de
estndares
y
metodologas de calidad (IEEE, ISO y
otros) al brindar los servicios de
redes y diseo de pginas web.
Contar con las licencias de los
sistemas operativos (Microsoft) en
uso.
Realizar
una
auditoria
de
la
tecnologas de la informacin externa
a DATA CENTER E.I.R.L
c. Seguridad de Datos:
Realizar peridicamente backups de
la base de datos del sistema de
informacin.
Procesar los datos ms importantes
de
la
Organizacin
en
las
aplicaciones tecnolgicas (hojas de
clculo, procesadores de texto y
otros) y al sistema de informacin.
Restringir al acceso al sistema de
informacin y al servidor para que la
data no sea adulterada.
d. Seguridad de Personas:
Renovar
los
implementos
de
seguridad
de los
tcnicos
de
informtica.
Pgina 34
Realizar las sealizaciones ssmicas

pertinentes en el establecimiento
ante un desastre ssmico.
Establecer polticas de integridad
fsica y mental para el personal que
labora, dentro de sus horas de
trabajo.
Pgina 35
2.1.4. CARACTERIZACIN
COMUNICACIN
DE
LAS
TECNOLOGAS
DE
INFORMACIN
a. Recursos Humanos:
APELLIDOS Y
GERENCIA/R NOMBRES
CARGOS
EA LABORAL (TRABAJADOR
ES)
Gerencia
General
rea de
Informtica
rea de
Informtica
rea de
Comercio
Ing. Lzaro
Montaez,
Heyner
Gerente
General
Tcnico
Romero
en
Castillo, Jos Informtic
Carlos
ay
Redes
Ramrez
Asistente
Huamn,
Tcnico
Luis Angello en
Informtic
TITULO
FUNCIN
Realiza la compra y
Ing. de
venta de los productos,
Informtica organiza y coordina las
y Sistemas actividades, y delega
funciones al personal
Tcnico
Tcnico
TIEMPO
DE
SERVICI
O
Estable
Realiza
el
Soporte
Tcnico
de 7 meses
Realiza
el
Soporte 3 meses
Tcnico
de
ay
Redes
Montaez
Araujo, Sarita
Eva
Secretariado
Vendedor
Ejecutivo Realiza las ventas de
a
Computariza equipos Informticos
do
2 aos
Pgina 26
Sistemas e Informtica
Ing. de
b. Hardware:
NOMBRE DEL
EQUIPO
CARACTERSTICAS
CPU
Memoria
RAM
Disco Duro
PC 01
CPU
Memoria
RAM
Disco Duro
PC 02
Tarjeta de Red
Monitor
Impresora
CPU
Memoria
RAM
Disco Duro
PC 03
Tarjeta de Red
Monitor
Impresora
I5
1.8 GHz
4 GB
1 TB
Corel 2 duo
2.0 GHz
4 GB
S-ATA 7200
500 GB
D-Link DFE-530
PCI Fast Ethernet
Adapter
Samsumg 17 "
Hp Laserjet
1200 series
Corel 2 duo
2.8 GHz
2 GB
S-ATA 7200
300 GB
D-Link DFE-530
PCI Fast Ethernet
Adapter
Samsumg 17 "
Hp Laserjet
1200 series
UTILIDAD
Servidor
Proxy
PC para el
Sistema de
Informacin
PC para
Soporte
Tcnico
c. Software:
NOMBRE
EQUIPO
PC 01
DEL
SISTEMA OPERATIVO
APLICACIONES
Linux-CentOS Ver. 5.0
MySQL 5.1
Server
Open Office 3.5
Pgina 38
Sistemas e Informtica
Ing. de
Apache 6.0
FileZilla Server
3.5.2
DBMS SQL
Server 2005
PC 02
PC 03
Microsoft Windows Seven Ultimate

con
Service Pack 2
NetBeans 6.7.1
Suite Office
2010
Utilitarios
Bsicos
Microsoft Windows Seven Ultimate

con
Service Pack 2
Suite Office
2010
Utilitarios
Bsicos
Pgina 39
2.1.5. TOPOLOGA DE LA EMPRESA

La empresa proveedora a DATA CENTER E.I.R.L de Internet es Movistar (Per)Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topologa de red
estrella.
Pgina 28
2.1.6. CARACTERIZACIN DE LA CARGA

"DATA
CENTER
E.I.R.L"
cuenta
con
3
computadoras que son las siguientes: Servidor
Proxy, PC para soporte tcnico y PC para el
funcionamiento de Sistema de Informacin,
donde cada trabajador ingresa a los mismos
dependiendo de la actividad que desempeen
dentro de la Organizacin. Las actividades que
se realizan en la empresa son de lunes a
sbado desde 9:00 a.m hasta 8:00 p.m,
realizando los servicios de mantenimiento de
PC, diseo de pagina web y otros, como
tambin a la venta de equipos y accesorios de
computo.
2.1.7. DETERMINACIN
DE PROBLEMAS Y
PLANTEAMIENTO DE HIPTESIS
2.1.7.1. Posibles Problemas
Falta total o parcial de seguridades
lgicas y fsicas que garanticen la
integridad del personal, equipos e
informacin.
Falta de una planificacin informtica.
Disminucin considerable e injustificable
del presupuesto del rea de Comercio.
Falta de documentacin del sistema de
informacin y del servidor en uso, lo que
dificulta efectuar el mantenimiento de
estos.
Organizacin
que
no
funciona
correctamente por la falta de polticas,
normas, metodologa, asignacin de
tareas, debidamente establecida por la
Gerencia General.
Pgina 42
2.1.7.2. Formulacin de Hiptesis

No se cuenta con la seguridad en
general de los recursos informticos y
humanos de la
Organizacin, debido a que no existen
polticas de negocio bien definidas, como
tambin una planificacin informtica,
teniendo como consecuencia problemas
econmicos
y
de
tecnologa
de
informacin (Hardware y Software).
2.2. REALIZACIN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS
PROCESOS
Se mostrara a continuacin una ficha por cada
uno de los objetivos haciendo un anlisis de los
modelos de madurez de COBIT 4.1, para
determinar el nivel mnimo que no cumple la
Organizacin que a su vez califica el nivel en
dicho objetivo.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratgico de Tecnologa de la
Informacin
NIVEL DE MADUREZ
CUMPLE
CUMPLE
OBSERVACIONES
NO
No existe conciencia por

GRADO DE MADUREZ
parte de la gerencia de que
El proceso de Definir el Plan
Estratgico
de
Tecnologa
Nivel la planeacin estratgica de
Informacin esta en el nivel de

0
TI es requerida para dar
madurez 1.
soporte a las metas del
OBJETIVOS NO CUMPLIDOS
negocio.
Que no existe un plan
Nivel La planeacin estratgica
estratgico
de
TI
y
1
de TI se discute de forma
estrategias de recursos de
ocasional en las reuniones
la Organizacin.
de la gerencia.
Pgina 43
Las decisiones estratgicas
se toman proyecto por
Nivel proyecto,
sin
ser
2
consistentes
con
una
estrategia
global
de la
organizacin.
La planeacin estratgica
de TI sigue un enfoque
estructurado,
el cual se
documenta
y se da a
conocer a todo el equipo.
Nivel
Las estrategias de recursos
3
humanos,
tcnicos
y
financieros
de
TI
influencian cada vez ms la
adquisicin
de nuevos
productos y tecnologas.
Existen
procesos
bien
definidos para determinar e
Nivel uso de
recursos
internos
y
4
externos requeridos en el
desarrollo y las
operaciones de los sistemas.
No se realizar planes a
largo plazo de TI, haciendo
solo actualizaciones debido
a los avances tecnolgicos.
Se
desarrollan
planes
realistas a largo plazo de TI y
se actualizan de manera
Nivel
constante para reflejar los
5
cambiantes
avances
tecnolgicos y el progreso
relacionado al negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los
planes existentes, as como de los sistemas de informacin y su impacto
de los objetivos de DATA CENTER
E.I.R.L
En el Largo
Plazo:
Pgina 44
Crear planes tctico de TI a futuro, que resulten del plan estratgico de
TI, estos planes deben ser bien detallados para poder realizar la
definicin de planes proyectados.

PO2: Definir la Arquitectura de la Informacin
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
El conocimiento, la experiencia
y
las
responsabilidades
necesarias para desarrollar
esta arquitectura no existen
en la organizacin.
La
gerencia
reconoce
la
necesidad de una arquitectura
de informacin. El desarrollo
de algunos componentes de
una
arquitectura
de
informacin ocurre de manera
ad hoc.
Las personas obtienen sus
habilidades al construir
la
arquitectura de informacin
por medio de experiencia
prctica
y
la
aplicacin
repetida de tcnicas.
Existe
una
funcin
de
administracin
de
datos
definida formalmente, que
establece
estndares
para
toda
la
organizacin,
y
empieza a reportar sobre la
aplicacin
y
uso
de
la
arquitectura de la informacin.
GRADO DE MADUREZ
El
proceso
de
Definir
la
Arquitectura de la Informacin
esta en el nivel de madurez 1.
Que
no
se
resolvi
necesidades futuras del
negocio
realizando
el
proceso de la arquitectura
de la informacin.
Aprovechar las habilidades
personales
para
la
construccin
de
la
arquitectura
de
la
informacin.
Pgina 45
El proceso de definicin de la
arquitectura de informacin es
Nivel
proactivo y se enfoca en
4 resolver necesidades
futuras
del negocio.
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y
Nivel dar mantenimiento a una
5 arquitectura de informacin
robusta y sensible que refleje
todos los requerimientos
del
negocio.
RECOMENDACIONES
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la
informacin.
Ser participe de la construccin de la arquitectura de la informacin para
incrementar sus habilidades.
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para
facilitar el desarrollo de aplicaciones y actividades de soporte a la toma
de decisiones, este modelo ser til para la creacin, uso y comparticin
ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y
consistencia de todos los datos que se encuentran almacenado en
formato electrnico, como bases de datos, almacenamiento de datos y
archivos.
DOMINIO: PLANIFICAR Y
ORGANIZAR PO3: Determinar la
Direccin Tecnologa
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel No existe conciencia sobre
0
la
importancia
de
la
planeacin
de
la
infraestructura tecnolgica
para la entidad.
GRADO DE MADUREZ
El proceso de Determinar la
Direccin Tecnologa esta en el
nivel de madurez 1.
Pgina 46
La gerencia reconoce la
necesidad de planear la
Nivel El
desarrollo
de
1
componentes tecnolgicos y
la
implantacin
de
tecnologas emergentes son
ad hoc y aisladas.
La
evaluacin
de
los
cambios tecnolgicos se
Nivel
delega a individuos que
2
siguen procesos intuitivos,
aunque similares.
Existe un plan de
infraestructura tecnolgica
Nivel
definido, documentado
3 y bien difundido, aunque
se
aplica
de
forma inconsistente.
El rea de informtica cuenta
con la experiencia y las
Nivel
habilidades necesarias para
4
desarrollar
un
plan
de
La direccin del plan de
infraestructura
tecnolgica
est
impulsada
por
los
Nivel estndares
y
avances
5 industriales
e
internacionales, en lugar de
estar
orientada
por
los
proveedores de tecnologa.
Desarrollar las habilidades

para la elaboracin del plan
de la
infraestructura
tecnolgica.
Realizar
un
plan
de
Pgina 47
RECOMENDACIONES
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los
proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida
experiencia. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias: En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas
existentes y emergentes, para tomar en cuenta cual direccin tecnolgica
es apropiada para lograr cumplir con las estrategias de TI, y la
arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es
posible establecer un foro tecnolgico, para de esta forma brindar
directrices tecnolgicas.
PO4: Definir los Procesos, la Organizacin y las Relaciones
de TI
NIVEL DE MADUREZ
La organizacin de TI no
est establecida de forma
Nivel
efectiva para enfocarse en
0
el logro de los objetivos del
negocio.
La
funcin
de
TI
se
considera como una funcin
Nivel
de
soporte,
sin
una
1
perspectiva organizacional
general.
La necesidad de contar con
una
organizacin
Nivel
estructurada,
pero
las
2
decisiones todava depende
del
conocimiento y habilidades
de individuos clave.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Definir
los
Procesos, la Organizacin y las
Relaciones de TI esta en el nivel
de madurez 2.
Formular las relaciones con
terceros para la TI.
No
satisfacer
los
requerimientos del negocio.
Pgina 48
Se formulan las relaciones
con terceros, incluyendo los
Nivel comits
de
direccin,
3 auditora
interna
y
administracin
de
proveedores.
La
organizacin
de
TI
responde de forma pro activa
Nivel al cambio e incluye todos los
4 roles
necesarios
para
satisfacer los requerimientos
del negocio.
Nivel La estructura organizacional
5 de TI es flexible y adaptable.
RECOMENDACIONES
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Formular relaciones con terceros como auditoria interna.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes
estrategias: En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el
personal involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para
asegurar que los roles y responsabilidades se ejerzan correctamente.
DOMINIO: PLANIFICAR Y
ORGANIZAR PO5: Administrar
la Inversin de TI
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
No existe conciencia de la
importancia de la seleccin
y
presupuesto
de
las
Nivel
inversiones en TI. No existe
0
seguimiento o monitoreo de
las inversiones y gastos de
TI.
GRADO DE MADUREZ
El proceso de Administrar la
Inversin de TI esta en el nivel de
madurez 4.
Formular las relaciones con
terceros para la TI.
Pgina 49
La organizacin reconoce la
necesidad de administrar la
Nivel
inversin en TI, aunque esta
1
necesidad se comunica de
manera inconsistente.
Existe un entendimiento
Nivel implcito de la necesidad de
2
seleccionar y presupuestar
las inversiones en TI.
El presupuesto de TI est
alineado con los planes
estratgicos de TI y con los
planes del negocio. Los
Nivel
procesos de seleccin de
3
inversiones en TI y de
presupuestos
estn
formalizados, documentados
y comunicados.
La responsabilidad y la
rendicin de cuentas por la
seleccin y presupuestos de
Nivel inversiones se asignan a un
4 individuo
especfico.
Las
diferencias
en
el
presupuesto se identifican
y se resuelven.
Se utilizan las mejores
prcticas de la industria para
evaluar
los
costos
por
comparacin e identificar la
Nivel efectividad
de
las
5 inversiones. Se utiliza el
anlisis de los avances
tecnolgicos en el proceso
de seleccin y presupuesto
de inversiones.
Pgina 50
RECOMENDACIONES
Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI.
estrategias: En el Corto Plazo:
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de
vida en la toma de decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administracin de inversiones en base a las
lecciones aprendidas del anlisis del desempeo real de las inversiones.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE MADUREZ
La organizacin no requiere
de la identificacin de los
requerimientos funcionales
Nivel
y
operativos
para
el
0
desarrollo, implantacin o
modificacin de soluciones,
tales como sistemas,
servicios, infraestructura y
datos.
Existe una investigacin o
Nivel
anlisis estructurado mnimo
1
de la tecnologa disponible.
Nivel El xito de cada proyecto
2 depende de la experiencia de
unos
cuantos
individuos
clave. La calidad de la
documentacin y de la toma
de decisiones vara de forma
considerable.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Identificar
Soluciones Automatizadas esta en
el nivel de madurez 1.
Determinar el proceso para la

solucin
de
TI,
segn
el requerimiento
del negocio.
Documentacin de los
proyectos realizados.
Pgina 51
El proceso para determinar
las soluciones de TI se aplica
para algunos proyectos con
base en factores tales como
las decisiones tomadas por el
Nivel
personal
involucrado,
la
3
cantidad
de
tiempo
administrativo dedicado, y el
tamao
y
prioridad
del
requerimiento de negocio
original.
La documentacin de los
Nivel proyectos
es
de
buena
4 calidad y cada etapa se

aprueba adecuadamente.
La
metodologa
est
soportada en bases de datos
Nivel de conocimiento internas y
5 externas
que
contienen
material de referencia sobre
soluciones tecnolgicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodologa de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de
decisiones. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias:
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos,
priorizando el desempeo, el costo, la confiabilidad, la compatibilidad, la
auditora, la seguridad, la disponibilidad, y continuidad, la ergonoma,
funcionalidad y la legislacin.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organizacin y de TI.

AI2: Adquirir y Mantener Software Aplicativo
Pgina 52
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Tpicamente,
las
aplicaciones se obtienen
con base en ofertas de
proveedores,
en
el
reconocimiento de la marca
o en la familiaridad del
personal
de
TI
con
productos
especficos,
considerando poco o nada
los requerimientos actuales.
Es probable que se hayan
adquirido
en
forma
independiente una variedad
de soluciones individuales
para
requerimientos
particulares del negocio,
teniendo como resultado
ineficiencias
en
el
mantenimiento y soporte.
Existen
procesos
de
adquisicin
y
mantenimiento
de
aplicaciones,
con
diferencias pero similares,
en base a la experiencia
dentro de la operacin de
TI.
Existe un proceso claro,
definido y de comprensin
general para la adquisicin
y
mantenimiento
de
software aplicativo. Este
proceso va de acuerdo con
la estrategia de TI y del
negocio.
GRADO DE MADUREZ
El
proceso
de
Adquirir
y
Mantener Software Aplicativo
esta en el nivel de madurez 2.
Dar a conocer el proceso
de
adquisicin
y
mantenimiento del Sistema
de Informacin
(software) y aplicaciones.
Determinar la metodologa
formal
para
la
documentacin
del
software en uso.
Pgina 53
Existe
una
metodologa
formal y bien comprendida
que incluye un proceso de
Nivel diseo y especificacin, un
4
criterio de adquisicin, un
proceso
de
prueba
y
requerimientos
para
la
documentacin.
El enfoque se extiende para
toda
la
empresa.
La
metodologa de adquisicin
y mantenimiento presenta
un buen avance y permite
Nivel
un
posicionamiento
5
estratgico
rpido,
que
permite un alto grado de
reaccin y flexibilidad para
responder a requerimientos
cambiantes del
negocio.
RECOMENDACIONES
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y
pistas de auditora.
AI3: Adquirir y Mantener Infraestructura Tecnolgica
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
Nivel No
se
reconoce
la
0
administracin
de
la
infraestructura
de
tecnologa como un asunto
GRADO DE MADUREZ
El
proceso
de
Adquirir
y
Mantener
Infraestructura
Tecnolgica esta en el nivel de
Pgina 54
importante al cual deba ser
resuelto.
Se realizan cambios a la
infraestructura para cada
nueva aplicacin, sin ningn
Nivel
plan
en
conjunto.
La
1
actividad de mantenimiento
reacciona a necesidades de
corto plazo.
La
adquisicin
y
mantenimiento
de
la
infraestructura de TI no se
Nivel basa en una estrategia
2
definida y no considera las
necesidades
de
las
aplicaciones del negocio
que se deben respaldar.
El
proceso respalda las
necesidades
de
las
aplicaciones
crticas
del
Nivel
negocio y concuerda con la
3
estrategia de negocio de TI,
pero no se aplica en forma
consistente.
La infraestructura de TI
soporta adecuadamente las
Nivel
aplicaciones del negocio. El
4
proceso
est
bien
organizado y es preventivo.
NivelEl proceso de adquisicin y
5
madurez 1.
Definir una estrategia para
la
adquisicin
y
mantenimiento
de
la
infraestructura.
Organizar y prevenir el
proceso de adquisicin y
mantenimiento
de
la
infraestructura.
mantenimiento
de
la
infraestructura de tecnologa
es
preventivo
y
est
estrechamente en lnea con
las aplicaciones crticas del
negocio y con la arquitectura
de la tecnologa.
Pgina 55
RECOMENDACIONES
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura
tecnolgica. Para pasar al nivel de madurez 2 se debe adoptar las
siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control
interno, seguridad y auditabilidad durante la configuracin, integracin y
mantenimiento de hardware y software de la infraestructura tecnolgica.
AI4: Facilitar la Operacin y el Uso
CUMPLE
CUMPLE
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
No existe el proceso con

respecto a la produccin de
documentacin de usuario,
manuales de operacin y
material de entrenamiento.
Mucha de la documentacin
y
muchos
de
los
procedimientos
ya
caducaron. Los materiales
de entrenamiento tienden a
ser esquemas nicos con
calidad variable.
Individuos o equipos de
proyecto
generan
los
materiales
de
entrenamiento, y la calidad
depende de los individuos
que se involucran.
Se guardan y se mantienen
los procedimientos en una
biblioteca
formal
y
cualquiera
que
necesite
saber tiene acceso a ella.
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Facilitar
la
Operacin y el Uso esta en el
nivel de madurez 1.
Falta
generar
los
materiales
de
entretenimiento buscando
su calidad.
Garantizar la compaa de
estndares
para
el
desarrollo del proceso.
Pgina 56
Nivel Existen
controles
para
4
garantizar que se adhieren
los estndares y
que
se
desarrollan
y
mantienen
procedimientos
para todos los procesos.
Los
materiales
de
procedimiento
y
de
entrenamiento
se
tratan
como
una
base
de
conocimiento en evolucin
constante que se mantiene
Nivel
en forma electrnica, con el
5
uso de administracin de
conocimiento
actualizada,
workflow y tecnologas de
distribucin, que los hacen
accesibles
y
fciles
de
mantener.
RECOMENDACIONES
Control para garantizar adherir los estndares para el mantenimiento de
los procesos.
Desarrollar un plan para realizar soluciones de operacin el cual sirva
para identificar y documentar todos los aspectos tcnicos, la
capacidad de operacin y los niveles de servicio requeridos.
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual
permitir que estos tomen posesin del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales
se lograra que estos usen los sistemas con efectividad y eficiencia para
el apoyo a los procesos de la Organizacin.
AI5: Adquirir Recursos de TI
NIVEL DE MADUREZ
Nivel No
existe
un
proceso
0
definido de adquisicin de
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Adquirir Recursos
Pgina 57
recursos de TI.
Los
contratos
para
la
adquisicin de recursos de
TI
son
elaborados
y
administrados por gerentes
Nivel de
proyecto
y
otras
1
personas que ejercen su
juicio profesional ms que
seguir
resultados
de
procedimientos y polticas
formales.
Nivel Se
determinan
2
responsabilidades
y
rendicin de cuentas para la
administracin de adquisicin
y contrato de TI segn la
experiencia particular del
gerente de contrato.
La adquisicin de TI se
Nivel integra en gran parte con los
3 sistemas
generales
de
adquisicin del negocio.
La adquisicin de TI se
integra en gran parte con los
sistemas
generales
de
Nivel
adquisicin
del
negocio.
4
Existen estndares de TI para
la adquisicin de recursos de
TI.
Se
establecen
buenas
relaciones con el tiempo con
la
mayora
de
los
Nivel proveedores y socios, y se
5 mide y vigila la calidad de
estas relaciones. Se manejan
las relaciones en forma
estratgica.
de TI esta en el nivel de madurez

4.
Falta de buenas relaciones
con algunos proveedores
de forma estratgica.
Pgina 58
RECOMENDACIONES
Tomar medidas en la administracin de contratos y adquisiciones.
Establecer buenas relaciones con la mayora de proveedores y socios. Para
pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratgicamente los estndares, polticas y procedimientos de TI para
adquirir los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los
trminos contractuales.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE MADUREZ
La gerencia no reconoce la
Nivel necesidad de un proceso
0
para definir los niveles de
servicio.
La responsabilidad y la
rendicin de cuentas sobre
Nivel
para la definicin y la
1
administracin de servicios
no est definida.
Nivel Los reportes de los niveles
2
de
servicio
estn
incompletos y
pueden ser irrelevantes o
engaosos para los clientes.
Los reportes de los niveles
de servicio dependen, en
forma individual, de las
habilidades y la iniciativa de
los administradores.
Nivel El proceso de desarrollo del
3 acuerdo
de
niveles
de
servicio esta en orden y
cuenta con puntos de control
para revalorar los niveles de
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Definir
y
Administrar
los
Niveles
de
Servicio esta en el nivel de
madurez 1.
No ordenar los procesos de
desarrollo por niveles de
servicio.
Realizar reportes de servicio
de
forma completa y relevante.
Pgina 59
servicio y la satisfaccin de
cliente.
La satisfaccin del cliente es

medida y valorada de forma
Nivel rutinaria. Las medidas de
4 desempeo
reflejan
las
necesidades del cliente, en
lugar de las metas de TI.
Todos
los
procesos
de
administracin de niveles de
servicio estn sujetos a
Nivel mejora continua. Los niveles
5 de satisfaccin del cliente

son
administrados
y
monitoreados de manera
continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
Realizar a menudo una revisin con los proveedores internos y externos
los acuerdos de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de
servicio, estos reporte deben mantener un formato entendible por
parte de los interesados.

DS2: Administrar los Servicios de Terceros
NIVEL DE MADUREZ
CUMPLE
CUMPLE
OBSERVACIONES
NO
Pgina 60
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Los servicios de terceros no

son
ni
aprobados
ni
revisados por la gerencia.
No hay actividades de
medicin y los terceros no
reportan.
No
hay
condiciones
estandarizadas
para
los
convenios
con
los
prestadores de servicios.
Se utiliza un contrato pro
forma
con
trminos
y
condiciones estndares del
proveedor (por ejemplo, la
descripcin de servicios que
se prestarn).
Cuando se hace un acuerdo
de prestacin de servicios,
la relacin con el tercero es
meramente contractual. La
naturaleza de los servicios a
prestar se detalla en el
contrato
e
incluye
requerimientos
legales,
operacionales y de control.
Las aptitudes, capacidades
y riesgos del proveedor son
verificadas
de
forma
continua.
Se
monitorea
el
cumplimiento
de
las
condiciones operacionales,
legales y de control y se
implantan
acciones
correctivas.
GRADO DE MADUREZ
El proceso de Administrar los
Servicios de Terceros esta en el
nivel de madurez 3.
Verificar de forma continua
las
capacidades
del
proveedor.
Monitorear e implementar
acciones correctivas.
Pgina 61
RECOMENDACIONES
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definicin
de los trminos del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.

DS3: Administrar el Desempeo y la Capacidad
CUMPLE
CUMPLE
OBSERVACIONES
NO
NIVEL DE MADUREZ
La gerencia no reconoce
que los procesos clave del
negocio pueden requerir
Nivel altos niveles de desempeo
0
de TI o que el total de los
requerimientos de servicios
de TI del negocio pueden
exceder la capacidad.
Los responsables de los
procesos
del
negocio
valoran poco la necesidad
de llevar a cabo una
Nivel
planeacin de la capacidad
1
y del desempeo. Las
acciones para administrar el
desempeo y la capacidad
son tpicamente reactivas.
Nivel Las
necesidades
de
2
desempeo se logran por lo
general
con
base
en
evaluaciones de sistemas
individuales
y
el
conocimiento y soporte de
equipos de proyecto.
GRADO DE MADUREZ
El proceso de Administrar el
Desempeo y la Capacidad esta en
Realizar evaluaciones de la
infraestructura
de
TI
logrando
una
capacidad
optima.
Establecer
mtodos
de
desempeo y evaluacin.
Pgina 62
Los
pronsticos
de
la
capacidad y el desempeo
Nivel se modelan por medio de un
3
proceso
definido.
Los
reportes se generan con
estadsticas de desempeo.
Hay
informacin
actualizada
disponible,
brindando estadsticas de
Nivel desempeo estandarizadas
4
y
alertando
sobre
incidentes causados por
falta de desempeo o de
capacidad.
La infraestructura de TI y la
demanda del negocio estn
sujetas
a
revisiones
Nivel
regulares para asegurar que
5
se logre una capacidad
ptima con el menor costo
posible.
RECOMENDACIONES
Establecer mtricas de desempeo y evaluacin de la capacidad.
Realizar revisiones de forma peridica la demanda del negocio con menor
costo.
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los
recursos de TI en intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los
recursos de TI.
DS4: Garantizar la Continuidad del Servicio
NIVEL DE MADUREZ
Nivel No hay entendimiento de
0
los riesgos, vulnerabilidades
y
amenazas
a
las
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar la
Continuidad del Servicio esta en el
Pgina 63
operaciones de TI.
nivel de madurez 1.
Mantener un plan de servicios.
Integrar
los
procesos
de
servicios
para
mejores
prcticas externas.
Las responsabilidades sobre

la
continuidad
de
los
Nivel servicios son informales y la
1
autoridad
para
ejecutar
responsabilidades
es
limitada.
Los
reportes
sobre
la
disponibilidad
son
Nivel espordicos, pueden estar
2
incompletos y no toman en
cuenta el impacto en el
negocio.
Las responsabilidades de la
planeacin y de las pruebas
Nivel
de la continuidad de los
3
servicios estn claramente
asignadas y definidas.
Se asigna la responsabilidad
Nivel
de mantener un plan de
4
continuidad de servicios.
Los procesos integrados de
servicio continuo toman en
Nivel
cuenta referencias de la
5
industria y las mejores
prcticas externas.
RECOMENDACIONES
Desarrollar y tomar muy en cuenta planes de continuidad.

Realizar un marco de trabajo de continuidad.
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se

asegura que los sistemas de TI sean recuperados de forma efectiva.
En el Largo Plazo:
Una vez realizada la reanudacin exitosa de las funciones de TI,
determinar la efectividad del plan de continuidad y realiza actualizaciones
a este segn amerite.
DS5: Garantizar la Seguridad de los Sistemas
Pgina 64
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Las medidas para soportar

la administrar la seguridad
de
TI
no
estn
implementadas.
No
hay
reportes de seguridad de TI
ni un proceso de respuesta
para resolver brechas de
seguridad de TI.
La seguridad de TI se lleva a
cabo de forma reactiva. No
se mide la seguridad de TI.
Las brechas de seguridad
de TI ocasionan respuestas
con acusaciones personales,
debido
a
que
las
responsabilidades no son
claras. Las respuestas a las
brechas de seguridad de TI
son impredecibles.
La conciencia sobre la
necesidad de la seguridad
esta fraccionada y limitada.
Aunque
los
sistemas
producen
informacin
relevante respecto a la
seguridad,
sta
no
se
analiza.
Las responsabilidades de la
seguridad de TI estn
asignadas y entendidas,
pero
no
continuamente
implementadas. Existe un
plan de seguridad de TI y
existen
soluciones
de
seguridad motivadas por un
anlisis de riesgo.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar la
Seguridad de los Sistemas esta en
Concientizar el valor de la
seguridad de la informacin.
Elaborar un plan de seguridad
de
TI.
Pgina 65
El contacto con mtodos
para promover la conciencia
de
la
seguridad
es
Nivel obligatorio.
La
4
identificacin, autenticacin
y
autorizacin
de
los
usuarios
est
estandarizada.
Nivel Los usuarios y los clientes se
5
responsabilizan cada vez
ms de
definir requerimientos de
seguridad, y las funciones de
seguridad estn integradas
con las aplicaciones en la
fase de diseo.
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes
objetivos de control: Se debe administrar la seguridad
TI.
Realizar un plan de seguridad de TI.

En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos
de seguridad, deteccin de intrusos, etc.) En el Largo Plazo:

Realizar pruebas a la implementacin de la seguridad, de
monitorear esta.
igual forma
DOMINIO: MONITOREAR Y EVALUAR

ME1: Monitorear y Evaluar el Desempeo de TI
NIVEL DE MADUREZ
TI no lleva a cabo monitoreo
de proyectos o procesos de
forma independiente. No se
cuenta con reportes tiles,
Nivel
oportunos y precisos. La
0
necesidad de entender de
forma clara los objetivos de
los
procesos
no
se
reconoce.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar
el Desempeo de TI esta en el
nivel de madurez 0.
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
Pgina 66
No se han identificado
procesos
estndar
de
recoleccin y evaluacin. El
monitoreo se implanta y las
Nivel
mtricas se seleccionan de
1
acuerdo a cada caso, de
acuerdo a las necesidades
de proyectos y procesos de
TI especficos.
La interpretacin de los
Nivel resultados del monitoreo se
2
basa en la experiencia de
individuos clave.
Las
mediciones
de
la
contribucin de la funcin
de servicios de informacin
Nivel al
desempeo
de
la
3
organizacin
se
han
definido, usando criterios
financieros
y
operativos
tradicionales.
Hay una integracin de
mtricas a lo largo de todos
Nivel los proyectos y procesos de
4 TI. Los sistemas de reporte

de la administracin de TI
estn formalizados.
Las mtricas impulsadas por
el negocio se usan de forma
rutinaria
para
medir
el
Nivel
desempeo,
y
estn
5
integradas en los marcos de
trabajo estratgicos, tales
como el Balanced Scorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un mtodo de monitoreo como Balance Scorecard.
Evaluar el desempeo comparndolo peridicamente con las metas.
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la
gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Pgina 67

ME2: Monitorear y Evaluar el Control Interno
NIVEL DE MADUREZ
Los mtodos de reporte de
control interno gerenciales
no existen. Existe una falta
Nivel
generalizada de conciencia
0
sobre la seguridad operativa
y el aseguramiento del
control interno de TI.
La gerencia de TI no ha
asignado de
manera
Nivel
formal
las
1
responsabilidades para
monitorear la efectividad de
los controles internos.
La gerencia de servicios de
informacin
realiza
monitoreo peridico sobre la
efectividad
de
lo
que
considera controles internos
Nivel crticos.
Se
estn
2
empezando
a
usar
metodologas
y
herramientas
para
monitorear los controles
internos, aunque no se
basan en
un plan.
Nivel Se ha definido un programa
3 de
educacin
y
entrenamiento
para
el
monitoreo
del
control
interno. Se ha definido
tambin un proceso para
auto
evaluaciones
y
revisiones de aseguramiento
del control interno, con roles
definidos
para
los
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar
el Control Interno esta en el nivel
de madurez 0.
Establecer los procesos para
la
evaluacin
y
aseguramiento del control
interno.
Utilizar
herramientas
integradas para la deteccin
del control interno de TI.
Pgina 68
responsables
de
la
administracin del negocio y
de TI.
Se
han
implantado
herramientas
para
estandarizar evaluaciones y
para detectar
de forma
automtica las excepciones
de control. Se ha establecido
Nivel
una funcin formal para el
4
control interno de TI, con
profesionales especializados
y certificados que utilizan un
marco de trabajo de control
formal avalado por la alta
direccin.
La
organizacin
utiliza
herramientas integradas y
actualizadas,
donde
es
Nivel apropiado, que permiten una
5 evaluacin efectiva de los

controles crticos de TI y una
deteccin
rpida
de
incidentes de control de TI.
RECOMENDACIONES
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditora reportar la efectividad de los controles
internos sobre las TI.
En el Corto Plazo:
Realizar una auto-evaluacin del control interno de la administracin de
procesos, polticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Pgina 69
ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Existe
poca
conciencia
respecto
a
los
requerimientos
externos
que afectan a TI, sin
procesos
referentes
al
cumplimiento de requisitos
regulatorios,
legales
y
contractuales.
Se
siguen
procesos
informales para mantener el
cumplimiento, pero solo si
la necesidad surge en
nuevos proyectos o como
respuesta a auditoras o
revisiones.
No existe, sin embargo, un
enfoque
estndar.
Hay
mucha confianza en el
conocimiento
y
responsabilidad
de
los
individuos, y los errores son
posibles.
Se brinda entrenamiento
sobre requisitos legales y
regulatorios externos que
afectan a la organizacin y
se instruye respecto a los
procesos de cumplimiento
definidos.
Las responsabilidades son
claras y el empoderamiento
de
los
procesos
es
entendido.
El
proceso
incluye una revisin del
entorno
para
identificar
requerimientos externos y
cambios recurrentes.
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El proceso de Garantizar el
Cumplimiento Regulatorio esta en
Brindar capacitacin sobre
requisitos
legales
y
regulatorios externos.
Conocer los requerimientos
aplicables, como la solucin
de nuevas necesidades.
Pgina 70
Hay un amplio conocimiento
de
los
requerimientos
externos
aplicables,
Nivel incluyendo sus tendencias
5
futuras
y
cambios
anticipados, as como la
necesidad
de
nuevas
soluciones.
RECOMENDACIONES
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificacin de requerimientos locales e
internacionales legales, contractuales de polticas, y regulatorios.
En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos del comercio electrnico,
privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de
TI.
DOMINIO: MONITOREAR Y
EVALUAR ME4: Proporcionar
Gobierno de TI
NIVEL DE MADUREZ
Existe
una
carencia
completa
de
cualquier
proceso
reconocible
de
gobierno
de
TI.
La
Nivel organizacin ni siquiera ha
0
reconocido que existe un
problema a resolver; por lo
tanto,
no
existe
comunicacin respecto al
tema.
Nivel El enfoque de la gerencia es
1
reactivo y solamente existe
una
comunicacin
espordica e inconsistente
sobre los temas y los
CUMPLE
CUMPLE
OBSERVACIONES
NO
GRADO DE MADUREZ
El
proceso
de
Proporcionar
Gobierno de TI esta en el nivel de
madurez 0.
Comunicar por parte de la
Gerencia los procedimientos
estandarizados.
Pgina 71
enfoques para resolverlos.
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como
Nivel mtodos de evaluacin y
2
tcnicas; sin embargo, el
proceso
no
ha
sido
adoptado a lo largo de la
organizacin.
La gerencia ha comunicado
los
procedimientos
estandarizados
y
el
Nivel entrenamiento
est
3
establecido.
Se
han
identificado
herramientas
para apoyar a la supervisin
del gobierno de TI.
Los procesos de TI y el
gobierno
de
TI
estn
alineados e integrados con
la estrategia corporativa de
TI. La mejora de los
Nivel procesos de TI se basa
4
principalmente
en
un
entendimiento cuantitativo
y es posible monitorear y
medir el cumplimiento con
procedimientos y mtricas
de procesos.
Nivel La implantacin de las
5 polticas de
TI ha resultado en una
organizacin,
personas
y
procesos que se adaptan
rpidamente, y que dan
soporte
completo
a
los
requisitos de gobierno de TI.
Todos
los
problemas
y
desviaciones se analizan por
medio de la tcnica de causa
raz y se identifican e
Pgina 72
implementan
medidas
eficientes de forma rpida.
RECOMENDACIONES
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos
de TI mediante evaluaciones peridicas.
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo,
procesos, roles y responsabilidades.
En el Largo Plazo:
Conformar un comit de auditora para asegurar el cumplimiento de TI.
2.2.2. REPORTE GENERAL DE GRADOS DE

MADUREZ
DOMINIO
MADUREZ
NIVEL DE
PROCESO
PO Definir el Plan Estratgico de Tecnologa de la

1ORGANIZAR
Informacin
PO Definir la Arquitectura de la Informacin
PLANIFICAR
Y
2
PO Determinar la Direccin Tecnologa
3
PO Definir los Procesos, la Organizacin y las Relaciones
4
de TI
PO Administrar la Inversin de TI
Pgina 73
1
1
1
2
4
5
AI1 Identificar Soluciones Automatizadas
ENTAR
AI2 Adquirir y Mantener Software Aplicativo
1
2
AI3 Adquirir y Mantener Infraestructura Tecnolgica

ADQUIRIR
IMPLEM
AI4E Facilitar la Operacin y el Uso
AI5 Adquirir Recursos de TI
1
1
4
DS Definir y Administrar los Niveles de Servicio

1
DS SOPORTE
Administrar los Servicios de Terceros
ENTREGAR Y DAR
2
DS Administrar el Desempeo y la Capacidad
3
DS Garantizar la Continuidad del Servicio
4
DS Garantizar la Seguridad de los Sistemas
5
1
3
1
1
1
ME Monitorear y Evaluar el Desempeo de TI

1
EVALUA
ME Monitorear
y Evaluar el Control Interno
MONITOREAR
Y
2
ME Garantizar el Cumplimiento Regulatorio
3
ME Proporcionar Gobierno de TI
4
0
1
0
Resumen de Anlisis por Dominios:

Dominio: Planear y Organizar (PO)
No se encuentran alineadas las estrategias de
TI y del negocio.
DATA CENTER E.I.R.L no est alcanzando el
uso optimo de los recursos ya que estos no son
aprovechados al mximo o de tambin no se
Pgina 74
cuenta con los recursos necesarios para el

desempeo de ciertas tareas.
No todo el personal de DATA CENTER E.I.R.L
entiende los objetivos de TI, son pocos los
usuarios que comprenden la importancia de
estos para el cumplimiento de las metas de
DATA CENTER E.I.R.L.
Dominio: Adquirir e Implementar (AI)
Para que se cumplan la estrategia de TI, se
debe identificar, desarrollar o adquirir las
soluciones de TI, as como la implementacin e
integracin en los procesos del negocio.
Dominio: Entrega y Dar Soporte (DS)
Los servicios de TI son medianamente
entregados de acuerdo a las prioridades del
negocio.
Los costos de TI no se encuentran totalmente
optimizados. Puesto que no existe un plan de
continuidad
no
es
implementada
la
disponibilidad de
forma completa de
los
sistemas de TI, de igual forma la integridad y
la
confidencialidad
no
se
encuentran
implementadas de forma ptima.
Dominio: Monitorear y Evaluar (ME)
La gerencia no monitorea ni evala el control
interno en DATA CENTER E.I.R.L.
Existe un poco vinculacin en el desempeo de
TI con las metas del negocio.
No existe una medicin ptima de riesgos y el
reporte de estos, as como el cumplimiento,
desempeo y control.
Pgina 75
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR

IMPACTO
CRITERIOS DE INFORMACION
DOMINIO
RECUROS TI
Nivel de M
PROCESOS
idad
Datos
Eficiencia Integridad
Tecnologia
Instalaciones
Confiabilidad
Cumplimiento
Disponibilidad
Confidencialidad
Recursos Humanos
Sistemas de Aplicacin
Efectiv
Pgina 76
PO Definir el Plan Estratgico de Tecnologa de la

1
Informacin
Total real (impacto*Nivel real)
PLANIFICAR Y ORGANIZAR
Total ideal (impacto*Nivel ideal)
PO
Definir la Arquitectura de la Informacin
2
PO
Determinar la Direccin Tecnolgica
3
PO Definir los Procesos, la Organizacin y las
4
Relaciones de TI
0.83 0.61
0.83 0.61 0.0
0
4.15 3.05 0.0
0
0.6
0.61 0.83
1
0.61 0.83 0.6
1
3.05 4.15 3.0
5
x
0.0
0
0.0
0
0.8
3
0.8
3
4.1
5
0.0
0
0.0
0
0.00 0.00
0.0
0
0.0
0
x
1
0.00 0.00
5
x
0.0
0
0.0
0
0.00 0.00
0.83 0.83
0.83 0.83 0.0
0
4.15 4.15 0.0
0
0.00 0.00
x
0.0
0
0.0
0
0.00 0.00
0.00 0.00
1.69 1.69
3.38 3.38 0.0 0.0 0.0

0
0
0
0.00 0.00
8.45 8.45 0.0 0.0 0.0

0
0
0
0.00 0.00
Pgina 77
PO
Administrar la Inversin de TI
5
AI1 Identificar Soluciones Automatizadas
ADQUIRIR E IMPLEMENTAR
3.41 3.41
13.6
4
17.0
5
13.6
4
17.0
5
2.49
0.0
0
0.0
0
0.83 0.61 0.0

0
4.15 3.05 0.0
0
1.69 1.69
3.38 3.38 0.0

0
8.45 8.45 0.0
0
AI3 Adquirir y Mantener Infraestructura Tecnolgica
0.61 0.83
0.61 0.83 0.0

0
3.05 4.15 0.0
0

AI4 Facilitar la Operacin y el Uso
0.83 0.83
0.83 0.83 0.0
0.0
0
0.0
0
0.0
0
0.0
0
0.00 12.4
5
5
x
0.00 0.00
0.00 0.00
1.23
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
0.6
1
0.6
x
4
x
0.0
0
0.0
0
1.2
3
2.4
6
6.1
5
0.6
1
0.6
1
3.0
5
0.6
1
0.6
0.00 9.96
0.83 0.61
AI2 Adquirir y Mantener Software Aplicativo
0.0
0
0.0
0
0.00 2.46
0.00 6.15
5
x
0.00 0.00
0.00 0.00
0.61 0.61
0.61 0.61
Pgina 78
0
AI5
Adquirir Recursos de TI
Total real(impacto*Nivel real)

Total ideal(impacto*Nivel ideal)
DS
Definir y Administrar los Niveles de Servicio
1
ENTREGAR Y DAR SOPORTE
DS
Administrar los Servicios de Terceros
2
DS
Administrar el Desempeo y la Capacidad
3
4.15 4.15 0.0 3.0 3.0

0
5
5
3.05 3.05
2.49 3.41
2.49
9.96 13.6
4
12.4 17.0
5
5
0.83 0.83
0.83 0.83
4.15 4.15
2.55 2.55
7.65 7.65
12.7 12.7
5
5
0.83 0.83
0.83 0.83
0.0
0
0.0
0
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.0
0
0.0
0
0.6
1
0.6
1
3.0
5
1.8
6
5.5
8
9.3
0
0.6
1
0.0 0.0 0.6
0
0
1
5
x
9.96 0.00
12.4
5
0.00
0.61 0.61
0.61 0.61
3.05 3.05
1.86 1.86
5.58 5.58
9.30 9.30
5
x
0.00 0.00
Pgina 79

DS
Garantizar la Continuidad del Servicio
4
DS
Garantizar la Seguridad de los Sistemas
5
ME
Monitorear y Evaluar el Desempeo de TI
R Y EVALUAR
1
MONITOREA
ME
Monitorear y Evaluar el Control Interno
2
4.15 4.15 0.0 0.0 3.0

0
0
5
0.8
0.83 0.61
3
0.83 0.61 0.0 0.0 0.8
0
0
3
4.15 3.05 0.0 0.0 4.1
0
0
5
0.8 0.8 0.6
3
3
1
0.00 0.00 0.8 0.8 0.6
3
3
1
0.00 0.00 4.1 4.1 3.0
5
5
5
0.00 0.00
5
x
0.00 0.00
0.00 0.00
0.61 0.61
0.0
0
0.0
0
0.0
0
0.0
0
3.05 3.05
5
x
0.00 0.00
0.00 0.00
x
0.00 0.00 0.0 0.0 0.0
0
0
0
0.61 0.61
x
0.00 0.00 0.0
0
0.00 0.00 0.0
0
0.00 0.00
Pgina 80

ME
Garantizar el Cumplimiento Regulatorio
3
ME
Proporcionar Gobierno de TI
4
0.00 0.00 0.0 0.0 0.0

0
0
0
0.00 0.00
0.83 0.61
0.00 0.00 0.0

0
0.00 0.00 0.0
0
0.0
0
0.0
0
0.0
0
0.0
0
5
x
0.83 0.61
4.15 3.05
5
x
0.00 0.00 0.0

0
0.00 0.00 0.0
0
0.0
0
0.0
0
0.0
0
0.0
0
0.00 0.00
0.00 0.00
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE

INFORMACIN
45.04 48.50
Porcentaje Alcanzado
47.7 49.5 39.0 35.0 32.9 51.9 50.9 43.9

6
9
3
5
6
3
7
0
7.63 11.53
9.46 18.20 20.44
94.30 97.80 19.55 32.90 28.70 35.05 40.10
Pgina 81
A continuacin analizamos cada uno de los

criterios de la informacin:
EFECTIVIDAD.Para
este
criterio
de
informacin se obtuvo un porcentaje del
47.76% sobre 100%, es decir que la
informacin que es de importancia para
DATA CENTER E.I.R.L, que tiene incidencia
en los procesos del negocio y debe ser
entregada de forma oportuna, consistente, y
veraz tiene un porcentaje del 47.76%.
EFICIENCIA.Para este criterio
de
49.59% sobre el 100%, es decir que la
informacin que debe generar el uso ptimo
de los recursos de DATA CENTER E.I.R.L
tiene un porcentaje del 49.59%.
CONFIDENCIALIDAD.- Para este criterio de
39.03% sobre el 100%, es decir
que la
proteccin de la informacin de DATA
CENTER E.I.R.L para que esta no sea
divulgada a personas o sectores extraos a
este tiene un porcentaje del 39.03%.
INTEGRIDAD.Para
este
criterio
de
35.05% sobre el 100%, es decir la
Pgina 82
distribucin de la informacin exacta y

correcta, as como su validez con las
expectativas de la empresa tiene un
porcentaje del 35.05%.
DISPONIBILIDAD.- Para este criterio de la
32.96% sobre el 100%, es decir la
accesibilidad de la informacin cuando esta
sea requerida por los procesos del negocio
y a la salvaguarda de los recursos y
capacidades asociadas a
Pgina 59
la misma en DATA CENTER E.I.R.L, tiene

porcentaje del 32.96%.
CUMPLIMIENTO.- Para este criterio de la
51.93% sobre el 100%, es decir que el
cumplimiento de las leyes, regulaciones, y
compromisos contractuales con los cuales
est comprometido DATA CENTER E.I.R.L,
tiene un porcentaje del 51.93%.
CONFIABILIDAD.- Para este criterio de la
50.97% sobre el 100%, es decir proveer la
informacin
apropiada
para
que
la
administracin tome decisiones adecuadas
para manejar DATA CENTER E.I.R.L y cumplir
con sus responsabilidades, tiene porcentaje
del 50.97%.
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO

DE LOS CRITERIOS DE INFORMACIN
Pgina 84
3.1. INFORME TCNICO

ALCANCE
Mediante esta auditora se pretende evaluar el
estado actual del Departamento Informtico DATA
CENTER E.I.R.L, mediante este proceso se podr
brindar al DATA CENTER E.I.R.L sus respectivas
conclusiones y recomendaciones para cada uno de
los procesos evaluados en cada dominio segn la
metodologa COBIT 4.1.
OBJETIVOS
OBJETIVO GENERAL
Realizar la auditora de las tecnologas de la
informacin de DATA CENTER E.I.R.L de
Huaraz, utilizando como modelo de
referencia COBIT 4.1.
OBJETIVOS ESPECIFICOS
Identificar problemas tcnicos en las TI y
dar posibles soluciones.
Definir controles que permitan disminuir
riesgos.
Realizar un informe tcnico y ejecutivo.
A continuacin se detalla los resultados de la
evaluacin de cada uno de los 34 procesos divididos
en sus respectivos dominios (Planear y organizar,
adquirir e implementar, entregar y dar soporte,
monitorear y evaluar.), basndonos en los niveles de
madurez los cuales van desde el grado 0 (no

existente) al grado mximo 5 (administrado).
DOMINIO PLANEAR Y ORGANIZAR
PO1. DEFINIR UNPLAN ESTARTEGICO
CONCLUSIN.- Este proceso se encuentra en el
nivel de madurez 1 puesto que no se cuenta con un
plan estratgico definido.
RECOMENDACIONES COBIT
Alinear las TI con el negocio, instruir a los jefes
de departamento sobre las capacidades
tecnolgicas actuales y el
futuro de estas, as como las oportunidades que
prestan las TI, para el mejor desempeo de las
labores diarias.
Crear planes tcticos de TI, que se resulten del
plan
estratgico de TI, estos servirn para describir las
iniciativas y los requerimientos de recursos que
necesitados por TI, estos planes deben ser bien
detallados para poder realizar la definicin de planes
proyectados.
PO2.
DEFINIR
LA
ARQUITECTURA
DE
LA
INFORMACIN
CONCLUSIN.- Este proceso se encuentra en el nivel
de madurez 1, puesto que se reconoce no tener una
arquitectura de informacin, pero a pesar de
reconocer su importancia no se la elabora.
Establecer un diseo de clasificacin de datos
que aplique a todo DATA CENTER E.I.R.L,
basado en la informacin crtica y sensible.
Definir e implementar procedimientos para
brindar integridad y consistencia de todos los
Pgina 86
datos que se encuentran almacenado en

formato electrnico, como bases de datos,
almacenamiento de datos y archivos.
PO3. DETERMINAR LA DIRECCIN TECNOLGICA
CONCLUSIN.-Este proceso se encuentra en el nivel
de madurez 1, puesto que el
desarrollo
de
componentes tecnolgicos y la implantacin de
tecnologas emergentes son ad hoc y aisladas.
Planear la direccin tecnolgica, es decir
analizar
las
tecnologas existentes y
emergentes, para tomar en cuenta cual
direccin tecnolgica es apropiada para lograr
cumplir con las estrategias de TI, y la
arquitectura de sistemas del negocio.
Crear y mantener un plan de infraestructura
tecnolgica que este emparejado con los planes
estratgicos y tcticos de TI.
PO4. DEFINIR LOS PROCESOS LA ORGANIZACIN Y
LAS
RELACIONES DE TI
de madurez 2 puesto que las necesidades de los
usuarios y relaciones con proveedores se responden
de forma tctica aunque inconsistentemente.
Definir un marco de trabajo para el proceso de
TI para la ejecucin del plan estratgico de TI,
incluyendo la estructura y relaciones de
procesos de TI.
Establecer un comit estratgico de TI a nivel
del consejo directivo, para garantizar que el
gobierno de TI se maneje de forma efectiva.
PO5. ADMINISTRAR LA INVERSIN DE TI
CONCLUSIN.- Las responsabilidades y rendicin de
cuentas para la seleccin de presupuestos de
inversiones son asignadas en especfico al Jefe

del departamento informtico y el jefe del
departamento financiero.
Mejorar de forma continua la administracin de
inversiones en base a las lecciones aprendidas
del anlisis del desempeo real de las
inversiones.
Incluir un anlisis de costos y beneficios a largo
plazo del ciclo total de vida en la toma de
decisiones de inversiones.
DOMINIO ADQUIRIR E IMPLEMENTAR
AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS
de madurez 1 puesto que existe la conciencia de la
necesidad de definir requerimientos y de identificar
soluciones tecnolgicas, las necesidades son
analizadas de manera informal y por ciertos
individuos.
Resaltar,
priorizar,
especificar
los
requerimientos funcionales y tcnicos de DATA
CENTER E.I.R.L, priorizando el desempeo, el
costo, la confiabilidad, la compatibilidad, la
auditora, la seguridad, la disponibilidad, y
continuidad, la ergonoma, funcionalidad y la
legislacin de DATA CENTER
E.I.R.L.
Identificar, documentar y analizar los riesgos
relacionados con los procesos del negocio para
el desarrollo de los requerimientos.
AI2. ADQUIRIR
Y
MANTENER SOFTWARE
APLICATIVO CONCLUSIN.- Este proceso se
Pgina 88
encuentra en el nivel de madurez 2 por cuanto

existen procesos de adquisicin y mantenimiento de
software aplicativo en base a la experiencia de TI, el
mantenimiento a menudo es problemtico.
Realizar
un
diseo
detallado,
y
los
requerimientos tcnicos del software.
Garantizar
integridad de
la
informacin,
control
de
acceso,
respaldo y pistas de
auditora.
AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA
TECNOLGICA CONCLUSIN.- Este proceso se
encuentra en el nivel de madurez 1, ya que no se
cuenta con un plan de adquisicin de tecnologa, por
lo tanto no se controlan los procesos de adquirir,
implantar y actualizar infraestructura tecnolgica.
Proteger
la
infraestructura
tecnolgica
mediante
medidas
de
control interno,
seguridad
y auditabilidad durante la
configuracin, integracin y mantenimiento de
hardware y software de la infraestructura
tecnolgica.
Desarrollar un plan
de mantenimiento
de la infraestructura y garantizar el control de
cambios de esta.
AI4. FACILITAR LA OPERACIN Y EL USO
de madurez 1, puesto que no
existe
una
generacin de documentacin, ni polticas de
generacin
de manuales, pero se tiene la
conciencia de que esto es necesario, la mayor parte
de la documentacin y procedimientos ya se
encuentran caducados o desactualizados.
Realizar una transferencia de conocimiento a la
parte gerencial lo cual permitir que estos
tomen posesin del sistema y los datos.
Mediante la transferencia de conocimientos a

los usuarios finales se lograra que estos usen
los sistemas con efectividad y eficiencia para el
apoyo a los procesos de DATA CENTER E.I.R.L.
AI5. ADQUIRIR RECURSOS DE TI
de madurez 4 ya que la adquisicin de TI se integra
totalmente con los sistemas generales del gobierno,
ya que se sigue el proceso de compras pblicas en
la adquisicin de algn recurso de TI.
Establecer buenas relaciones con la mayora de
proveedores y socios.
Cumplir y hacer cumplir los derechos y
obligaciones de ambas partes en los trminos
contractuales.
DOMINIO ESTREGAR Y DAR SOPORTE
DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO CONCLUSIN.- Este proceso se encuentra
en el nivel de madurez 1 ya que no se administra los
niveles de servicio, la rendicin de cuentas no se
encuentra definido realmente.
Se debe definir un marco de trabajo para la
administracin de los niveles de servicio.
Realizar
un
monitoreo
y
reporte
del
cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible
por parte de los interesados.
DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS
de madurez 3 por cuanto existen procedimientos
documentados para controlar los servicios de
Pgina 90
terceros, los procesos son claros para realizar la

negociacin con los proveedores.
Establecer criterios formales y estandarizados
para realizar la definicin de los trminos del
acuerdo.
Asignar responsables para la administracin del
contrato y del proveedor.
DS3. ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
de madurez 1, puesto que los
usuarios
regularmente
tienen
que
resolver
los
inconvenientes que se presenten para aplacar las
limitaciones de desempeo y capacidad.
Establecer mtricas de desempeo y evaluacin
de la capacidad.
Realizar un monitoreo continuo del desempeo
y la capacidad de los recursos de TI.
DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO
de madurez ,1 por cuanto no se cuenta con un plan
de continuidad de servicios.
Realizar pruebas regulares
del plan
de
continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma
efectiva.
Una vez realizada la reanudacin exitosa de
las funciones de TI, determinar la efectividad
del plan de continuidad y realiza actualizaciones
a este segn amerite.
DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
de madurez 1 ya que la seguridad de los sistemas se
encuentra a cargo de un solo individuo el cual es el
Jefe del departamento Informtico, no existen
responsabilidades
claras. RECOMENDACIONES
COBIT
Realizar pruebas a la implementacin de la
seguridad, de igual forma monitorear esta.
Garantizar que las caractersticas de posibles
incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.
DOMINIO MONITOREAR Y EVALUAR
ME1. MONITOREAR Y EVALUAR EL DESEMPEO DE TI
de madurez 0, por cuanto no se cuenta con un
proceso implementado de monitoreo, as como con
reporte tiles, oportunos y precisos sobre el
desempeo.
Definir y recolectar los datos del monitoreo
mediante
un
conjunto
de objetivos,
mediciones, metas y comparaciones de
desempeo.
Evaluar
el
desempeo
comparndolo
peridicamente con las metas.
ME2. MONITOREAR Y EVALUAR EL CONTROL
INTERNO
de madurez 0, por cuanto, No
se
tiene
procedimientos para monitorear la efectividad de
los controles internos.
Realizar una auto-evaluacin del control interno
de la administracin de procesos, polticas y
contratos de TI.
Pgina 92
Si es necesario, mediante revisiones de terceros

asegurar la completitud y efectividad de los
controles internos.
Verificar que los proveedores externos cumplan
con los requerimientos legales y regulatorios y
con las obligaciones contractuales.
ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO
de madurez 1 por cuanto, se siguen procesos
informales
para
mantener
el
cumplimiento
regulatorio.
Tener muy en cuenta las leyes y reglamentos
del comercio electrnico, privacidad, flujo de
datos, reporte financieros, propiedad intelectual,
etc.
Evaluar el cumplimiento de las polticas,
estndares y procedimientos de TI.
ME4. PROPORCIONAR GOBIERNO DE TI
de madurez 0 por cuanto no existe procesos de
gobierno de TI.
Contribuir al entendimiento del consejo directivo
y de los ejecutivos sobre temas estratgicos de
TI tales como el rol de TI.
Garantizar la optimizacin de la inversin, uso y
asignacin de los activos de TI mediante
evaluaciones peridicas.
IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN
CRITERIOS DE LA
PORCENTAJE
INFORMACIN
OBSERVACIONES
El objetivo es alcanzar el 100%, para
esto la informacin en DATA CENTER
E.I.R.L debe ser
Efectividad
47.76%
entregada de forma oportuna, correcta,
consistente y utilizable.
Eficiencia
optimizando los
El objetivo es alcanzar el 100%, para esto la

49.59%
informacin debe ser generada
recursos.
El objetivo es alcanzar el 100%, para lo cual se
Confidencialidad 39.03% debe proteger la informacin sensitiva
contra revelacin no autorizada.
El objetivo es alcanzar el 100%, para lo cual la
Integridad
35.05%
informacin debe ser precisa, completa y valida.
El objetivo es alcanzar el 100%, para la
cual
la
informacin
debe
estar
disponible cuando esta
Disponibilidad 32.96%
se requiera por parte de las reas del
negocio en cualquier momento.
El objetivo es alcanzar el 100%, para lo
cual se debe respetar las leyes,
reglamentos y acuerdos
Cumplimiento 51.93%
contractuales a los que esta sujeta el
proceso del negocio, como polticas
internas.
El objetivo es alcanzar el 100%, para lo
cual
se
debe
proporcionar
la
informacin apropiada, con
Confiabilidad
50.97%
el fin de que la Gerencia General
administre la entidad.
3.2. INFORME EJECUTIVO

En el Informe Ejecutivo se detallara los resultados de
la evaluacin a cada uno de los 34 procesos
que recomienda COBIT 4.1 siendo evaluado en
DATA CENTER E.I.R.L de Huaraz. Los criterios de
informacin se encuentran en el siguiente
porcentaje todos sobre el 100%.
Pgina 94
52.24%
47.76%
Efectividad
Dficit
Criterio de Informacion: Efectividad
50.41%
49.59%
Eficiencia
Dficit
Criterio de Informacin: Eficiencia

La efectividad consiste en que la informacin
relevante sea entregada de forma oportuna,
correcta, consistente y utilizable, este criterio tiene
un promedio del 47.76%.
La eficiencia consiste en que la informacin debe ser
generada optimizando los recursos, este criterio
tiene un promedio del 49.59%.
Criterio de Informacin: Confidencialidad
60.97%
39.03%
Confidencialidad
Dficit
La confidencialidad consiste en que la informacin

vital sea protegida contra la revelacin no
autorizada, este criterio tiene un promedio del
39.03%.
Criterio de Informacin: Integridad
64.95%
35.05%
Integridad
Dficit
La integridad consiste en que la informacin debe

ser precisa, completa y valida, este criterio tiene un
promedio del 35.05%.
Criterio de Informacin: Disponibilidad
67.04%
32.96%
Disponibilidad
Dficit
Pgina 96
La disponibilidad consiste en que la informacin este

disponible cuando esta sea requerida por parte de
las reas del negocio en cualquier momento, este
criterio tiene un promedio del 32.96%.
Criterio de Informacin: Cumplimiento
48.07%
51.93%
Cumplimiento
Dficit
El cumplimiento consiste en que se debe respetar

las leyes, reglamentos y acuerdos contractuales a
los que esta sujeta el proceso del negocio, como
polticas internas, este criterio tiene un promedio del
51.93%.
49.03%
50.97%
Confiabilidad
Dficit
Criterio de Informacin: Confiabilidad

La confiabilidad consiste en que se debe respetar
proporcionar la informacin apropiada, con el fin de
que la Gerencia General administre la entidad, este
criterio tiene un promedio del 50.97%.
Pgina 98
CONCLUSIONES
Con este estudio se ha dado un conjunto de
directrices las cuales pueden ayudar a alinear TI
con el negocio, es decir identificar riesgos,
gestionar recursos y medir el desempeo, as
como el nivel de madurez de cada uno de los
procesos de DATA CENTER E.I.R.L.
Los gerentes y usuarios son beneficiados con el
desarrollo de COBIT 4.1, ya que este marco de
referencia ayuda a estos individuos entender
sus sistemas de TI, de igual forma decidir el
nivel de seguridad y control para proteger los
activos (informacin, hardware, software, etc.)
de DATA CENTER E.I.R.L mediante un modelo
de desarrollo de gobernacin de TI.
Mediante el marco de referencia COBIT, se
ha podido evaluar y diagnosticar los procesos
de TI en DATA CENTER E.I.R.L de Huaraz.
Tambin se ha
diagnosticado cada uno de los criterios de la
informacin,
los cuales son
efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad, cumplimiento y confiabilidad.
RECOMENDACIONES
Tomar en cuenta los procesos que se
encuentran con el nivel de madurez de 0 y 1,
que son los de factor crtico.
Realizar evaluaciones peridicas con el fin de
medir el avance de cada uno de los procesos
estudiados en este trabajo.
Se debe utilizar software aplicativo con
licenciamiento,
as
como
adecuar
las
instalaciones del rea de informtica, puesto
que el espacio de trabajo de este es muy
limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de
tomarlo como gua para futuras mejoras en TI.
Pgina 100
GLOSARIO
Auditora Informtica.- Proceso de recoger, agrupar,
evaluar evidencias para evidenciar si un sistema
informtico o estructura informtica protege los
activos intangibles o tangibles de la empresa.
COBIT.(Control
Objetives
Information
Technologies), modelo de referencia utilizado en el
control de tecnologas de la informacin as como su
control.
Madurez.- Nos muestra en nivel de confiabilidad en
los procesos que utiliza una empresa.
Arquitectura de la informacin.- Es la disciplina y
arte encargada del estudio, anlisis, organizacin,
disposicin y estructuracin de la informacin en
espacios de informacin, y de la seleccin y
presentacin de los datos en los sistemas de
informacin interactivos y no interactivos.
COSO.- (Committee Of Sponsoring Organizations), es
un modelo de control de negocios, que proporciona
un estndar a partir del cual las organizaciones
(grandes o pequeas, en el sector pblico o privado,
con fines de lucro o sin l) pueden evaluar sus
procesos de control y determinar cmo mejorar
su desempeo.
TI.- Tecnologas de la Informacin.
Plan Estratgico.- Es un plan a largo plazo aprobado
por una empresa.
Problema.- Es la causa desconocida de uno o varios
incidentes.
BIOGRAFA
Direcciones Electrnicas:
ISACA
ORG.
Obtain
Cobit
http://www.isaca.org/Content/NavigationMenu/M
embers
and_Leaders1/COBIT6/Obtain_COBIT/Obtain_CO
BIT.htm Diciembre 2008.
WIKIPEDIA, Objetivos de control para
informacin y tecnologas relacionadas.
http://es.wikipedia.org/wiki/COBIT
WIKIPEDIA,
Auditoria
http://es.wikipedia.org/wiki/Auditor
%C3%ADa_inform%C3 %A1tica
la
Informtica
Textos:
Escuela Politcnica Nacional, Auditoria de la
Gestin de las Tecnologas de la Informacin en
el Gobierno Municipal de San Miguel de Urcuqui,
utilizando como modelo de referencia COBIT
4.0.
COBIT 4.1 Marco Referencial, Emitido por el
Comit Directivo de COBIT y El IT Governance
Institute 2007.
Pgina 102
ANEXOS
A. Cuestionario
de Auditora
correspondiente al funcionamiento
rea de Informtica:
del
Se tiene restringida la operacin del sistema

de cmputo a los usuarios?
SI ( ) NO ( )
Son funcionales los muebles asignados para los
equipos de cmputo?
SI ( ) NO ( )
B. Cuestionario de Auditora correspondiente a la
seguridad fsica:
DATA CENTER E.I.R.L cuenta con extintores de
fuego?
SI ( ) NO ( )
Existe salida de emergencia?
SI ( ) NO ( )
Existe alarma para detectar fuego (calor o
humo) en forma automtica?
SI ( ) NO ( )
Existen una
seguridad?
persona
responsable
SI ( ) NO ( )
de
la
El lugar donde se encuentra DATA CENTER

E.I.R.L est situado a salvo de:
a) Inundacin? ( )
b)Terremoto? ( )
c) Fuego? ( )
d)Sabotaje? ( )
C. Cuestionario de Auditoria en Comunicaciones y
Redes:
Estn establecidos controles especiales para
salvaguardar la confidencialidad e integridad
del procesamiento de los datos que pasan a
travs de redes pblicas, y para proteger los
sistemas conectados?
Existen controles especiales para mantener la

disponibilidad de los servicios de red y
computadoras conectadas?
Pgina 104
Existen
protocolos
establecida?
de
comunicaron
Existe un plan de infraestructura de redes?
Existen controles y procedimientos de gestin

para proteger el acceso a las conexiones y
servicios de red?
Pgina 106

Cobit

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Cobit

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD NACIONAL

SANTIAGO ANTNEZ DE MAYOLO

Auditor: Ramrez Huamn, Luis Angello

Ing. Fabian M. Espinoza Barreto

1.1. CARACTERIZACIN DE LA EMPRESA

Auditor: Ramrez Huamn, Luis Angello

1.1.1. NATURALEZA DE LA EMPRESA

Cdigo de Ubicacin Geogrfica (UBIGEO):

Auditor: Ramrez Huamn, Luis Angello

DATA CENTER E.I.R.L

localidad, regin y pas, reconocida por la

Auditor: Ramrez Huamn, Luis Angello

Valoracin positiva de las

1.1.5.2. Metas Organizacionales

Aprovechar el buen clima para

Auditor: Ramrez Huamn, Luis Angello

Ing. de Sistemas e Informtica

1.1.6. ORGANIGRAMA DE LA EMPRESA

Auditor: Ramrez Huamn, Luis Angello

1.1.6.1 Descripcin de la Gerencia y reas

1.2.1. MODELOS DE MADUREZ

Estos modelos de madurez estn diseados

Se han desarrollado los procesos hasta el punto

1.2.2. AUDITORIA DE TICS CON COBIT

Auditor: Ramrez Huamn, Luis Angello

1.2.2.2. Reclutamiento de la Informacin

1 Observacin General del rea de Informtica.

Auditor: Ramrez Huamn, Luis Angello

1.2.2.7. Modelos de Madurez a nivel

OBJETIVOS DE CONTROL DE COBIT

Definir un plan estratgico de TI.

Auditor: Ramrez Huamn, Luis Angello

Comunicar las metas y la

PO1 Administrar los proyectos.

Facilitar la operacin y el uso.

Procurar recursos de TI.

Administrar los cambios.

Instalar y acreditar soluciones y

Definir y administrar los niveles

Garantizar la seguridad de los

Educar y entrenar a los usuarios.

Administrar la mesa de servicio y

DS1 Administrar los problemas.

Auditor: Ramrez Huamn, Luis Angello

Para tener un porcentaje de los criterios de la

Promedio de Impactos, fuente COBIT 4.1

Auditor: Ramrez Huamn, Luis Angello

2.1. SITUACIN ACTUAL DEL REA DE

Auditor: Ramrez Huamn, Luis Angello

b. Cargos Funcionales y Operativos:

Romero Castillo, Jos

Ramrez Huamn, Luis

Auditor: Ramrez Huamn, Luis Angello

2.1.1. OBJETIVOS DEL DEPARTAMENTO

Auditor: Ramrez Huamn, Luis Angello

Proponer a la alta gerencia de poder

Realizar las sealizaciones ssmicas

Auditor: Ramrez Huamn, Luis Angello

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Linux-CentOS Ver. 5.0

Auditor: Ramrez Huamn, Luis Angello

Microsoft Windows Seven Ultimate