Beruflich Dokumente
Kultur Dokumente
DIFERENTES
ACTIVIDADES
OPERATIVAS
CONTROLES DE LAS
DIFERENTES
ACTIVIDADES
OPERATIVAS
CONTROLES DE LAS
DIFERENTES
ACTIVIDADES
OPERATIVAS
9. Normas de seguridad
9. Normas de seguridad
PREGUNTAS PLANTEADAS
PREGUNTAS PLANTEADAS
PREGUNTAS PLANTEADAS
ARGUMENTACION DE LA
RESPUESTA
ARGUMENTACION DE LA
RESPUESTA
ARGUMENTACION DE LA
RESPUESTA
Encargado de Informtica
1 vez al ao
PONDERACION
PROBABILIDAD
58%
22%
20%
1. RARO
2. IMPROBABLE
3. POSIBLE
4. PROBABLE
5. CASI CERTEZA
RIESGO
38%
35%
28%
41%
63%
82%
42%
25%
13%
35%
55%
13%
61%
60%
23%
60%
60%
23%
PONDERACI
PROBABILIDAD
RIESGO
1. RARO
42%
61%
2. IMPROBABLE
3. POSIBLE
4. PROBABLE
5. CASI CERTEZA
RIESGO
45%
63%
25%
62%
60%
81%
82%
72%
60%
62%
41%
25%
45%
35%
60%
50%
60%
5. CATASTROFICO
4. MAYOR
3. MODERADO
2. MENOR
1. INSIGNIFICATIVO
IMPACTO
PORCENTAJE
PONDERACION
59%
25%
24%
21%
21%
35%
37%
29%
32%
42%
35%
40%
41%
75%
69%
23%
53%
40%
41%
76%
40%
51%
27%
25%
40%
30%
48%
43%
28%
25%
43%
20%
40%
30%
27%
60%
60%
65%
30%
63%
27%
IMPACTO
PORCENTAJE
PONDERACION
42%
40%
42%
65%
63%
45%
45%
81%
72%
33%
5. CATASTROFICO
4. MAYOR
3. MODERADO
2. MENOR
1. INSIGNIFICATIVO
PORCENTAJE
45%
54%
55%
58%
21%
51%
23%
53%
79%
40%
76%
50%
78%
70%
62%
52%
40%
33%
58%
52%
42%
39%
75%
70%
68%
60%
MATRIZ DE RIESGO
A1
A2
A3
B1
B2
B3
C1
C2
C3
D1
D2
D3
E1
E2
E3
F1
F2
F3
G1
G2
G3
MATRIZ DE
RIESGO
MATRIZ DE
RIESGO
H1
H2
H3
I1
I2
I3
J1
J2
J3
K1
K2
K3
L1
L2
L3
M1
M2
M3
INSIGNIFICANTE
1
MENOR
2
C3
CASI CERTEZA
IMPACTO
MODERADO
3
J2
J3
ENTRE 81% Y
100%
F1
PROBABLE
ENTRE 61% Y
80%
POSIBLE
ENTRE 41% Y
60%
RARO
ENTRE 21% Y
40%
I3
C2
K3
F2
IMPROBABLE
MAYOR
4
C1
D1
E2
E3
K2
A2
B1
B2
E1
F3
G3
I2
L2
A3
D3
A1
G1
H1
H3
J1
L3
B3
M1
G2
D2
ENTRE 0% Y
20%
EXTREMO
Los riesgos Extremos deben ponerse en conocimiento de los Directores y ser objeto de seguimiento permanente
ALTO
MEDIO
BAJO
rmanente
MAYOR
4
H2
CATASTROFICO
5
K1
M3
L1
M2
I1
ccin
DIMENSION
DE CMI
META CORPORATIVA
FINANCIERA
CLIENTE
10
11
AP Y CREC
INTERNA
12
13
14
15
16
17
META CORPORATIVA
Transparencia financiera
DE COBIT 5
REALIZACION CON LOS OBJETIVOS DE GOBIERNO
Prestar
servicios de
asesora de
calidad
Promover
negocios
rentables con
clientes
Optimizar el uso
de de activos y
infraestructura
METAS RELACIONADAS CO
DIMENSION DE CMI
CLIENTE
FINANCIERA
9 Agilidad de las TI
NA
10
INTERNA
11
14
AP Y CREC
17
ACIONADAS CON TI
REALIZACION CON LOS OBJETIVOS TI
Controlar la efectividad
Capacitar a los usuarios
de los sistemas, equipos
del sistema
y instalaciones
Mantener control de
activos y informacin
P
P
P
P
P
P
P
P
P
P
P
P
P
P
P
FINANCIERA
CLIENTE
10
INTERNA
11
12
AP Y CREC
13
14
15
16
IN
17
AP Y CREC
Agilidad de las TI
Cumplimiento de leyes y
regulaciones externas
FINANCIERA
Transparencia financiera
CLIENTE
10
11
Optimizacin de la funcionalidad
de los procesos de negocio
S CON LAS TI
12
NTE
INTERNA
13
14
15
16
INTERNA
AP Y CREC
17
AP Y CREC
Alineamiento de TI y la
estrategia de negocio
1
Procesos de COBIT 5
Supervisar
EDM01
Asegurar el
Establecimiento y
Mantenimiento del
Marco de Gobierno
EDM02
Asegurar la Entrega de
Beneficios
EDM03
Asegurar la
Optimizacin del
Riesgo
EDM04
Asegurar la
Optimizacin de los
Recursos
EDM05
Asegurar la
Transparencia hacia las
partes interesadas
APO01
Gestionar el Marco de
Gestin de TI
APO02
Gestionar la Estrategia
APO03
Gestionar la
Arquitectura
Empresarial
APO04
Gestionar la Innovacin
APO05
Gestionar el portafolio
APO06
Gestionar el
Presupuesto y los Coste
APO07
APO08
Al
APO09
APO10
Gestionar los
Proveedores
APO11
Gestionar la Calidad
APO12
Gestionar el Riesgo
APO13
Gestionar la Seguridad
Alineamiento de TI y la estrategia de
negocio
1
Procesos de COBIT 5
BAI01
BAI02
Gestionar la Definicin
de Requisitos
BAI03
Gestionar la
Identificacin y la
Construccin de
Soluciones
BAI04
Gestionar la
Disponibilidad y la
Capacidad
BAI05
Gestionar la
introduccin de
Cambios Organizativos
BAI06
BAI07
Gestionar la Aceptacin
del Cambio y de la
Transicin
BAI08
Gestionar el
Conocimiento
BAI09
BAI10
Gestionar la
Configuracin
DSS01
Gestionar las
Operaciones
DSS02
DSS03
DSS04
Gestionar la
Continuidad
DSS05
DSS06
MEA01
Supervisar, Evaluar y
Valorar Rendimiento y
Conformidad
MEA02
Supervisar, Evaluar y
Valorar el Sistema de
Control Interno
MEA03
Supervisar, Evaluar y
Valorar la Conformidad
con los Requerimientos
Externos
Cumplimiento y soporte de la TI
al cumplimiento del negocio de
las leyes y regulaciones externas
Compromiso de la direccin
ejecutiva para tomar decisiones
relacionadas con TI
Riesgos de negocio relacionados
con las TI gestionados
Realizacin de beneficios del
portafolio de Inversiones y
Servicios relacionados con las TI
2
3
4
5
FINANCIERA
Cumplimiento y soporte de la TI al
cumplimiento del negocio de las leyes
y regulaciones externas
Compromiso de la direccin ejecutiva
para tomar decisiones relacionadas
con TI
Riesgos de negocio relacionados con
las TI gestionados
Realizacin de beneficios del portafolio
de Inversiones y Servicios relacionados
con las TI
2
3
4
5
FINANCIERA
Agilidad de las TI
6
7
8
9
CLIENTE
Agilidad de las TI
6
7
8
9
CLIENTE
10
11
Capacitacin y soporte de
procesos de negocio integrando
aplicaciones y tecnologa en
procesos de negocio
Entrega de Programas que
proporcionen beneficios a
tiempo, dentro del presupuesto y
satisfaciendo los requisitos y
normas de calidad.
Seguridad de la informacin,
infraestructura de procesamiento
y aplicaciones
12
S
13
INTERNA
Seguridad de la informacin,
infraestructura de procesamiento y
aplicaciones
Optimizacin de activos, recursos y
capacidades de las TI
Capacitacin y soporte de procesos de
negocio integrando aplicaciones y
tecnologa en procesos de negocio
Entrega de Programas que
proporcionen beneficios a tiempo,
dentro del presupuesto y satisfaciendo
los requisitos y normas de calidad.
NADA CON TI
10
11
12
13
INTERNA
14
15
16
17
APR Y CRE
14
15
16
17
APR Y CRE
PONDERACION
10
11
PONDERACION
10
10
13
EDM01
Asegurar el Establecimiento y
Mantenimiento del Marco de Gobierno
AP001
AP008
CONSTRU
CONSTRUIR ADQUIRIR IMPLEMENTAR
BAI01
BAI 08
Gestionar el Conocimiento
SUPERVISAR
EDM02
ORGANIZAR
AP002
Gestionar la Estrategia
AP009
IMPLEMENTAR
BAI02
BAI09
ERVICIO Y SOPORTE
DSS02
PROCESO G
EDM03
AP003
AP010
BAI03
Gestionar la Identificacin y la
Construccin de Soluciones
BAI10
Gestionar la Configuracin
DSS03
PROCESO GOBIERNO DE TI
EDM04
AP004
Gestionar la Innovacin
AP011
Gestionar la Calidad
BAI04
Gestionar la Disponibilidad y la
Capacidad
DSS04
Gestionar la Continuidad
GOBIERNO DE TI EMPRESARIAL
EDM05
AP005
Gestionar el portafolio
AP012
Gestionar el Riesgo
BAI05
DSS05
I EMPRESARIAL
AP006
AP013
Gestionar la Seguridad
BAI06
DSS06
AP007
BAI07
SUPERVISAR EVALUAR Y
VALORAR
MEA01
MEA02
MEA03
AP001
Gestionar el Marco de
Gestin de TI
Descripcin de Proceso
Proporcionar un enfoque de gestin consistente que permita cumplir los requisitos de gob
y responsabilidades organizativos, actividades fiables y reproducibles y habilidades comp
META TI
METRICAS RELACIONAD
Alineamiento de TI y la
estrategia de negocio
Cumplimiento y soporte de
la TI al cumplimiento del
negocio de las leyes y
regulaciones externas
Agilidad de las TI
Optimizacin de activos,
11 recursos y capacidades de
las TI
Cumplimiento de las
15 polticas internas por parte
de las TI
Personal del negocio y de
16 las TI competente y
motivado
Conocimiento ,experiencia e
Nivel de satisfaccin de las partes interesadas con los n
17 iniciativas para la
de innovacin de TI
motivacin del negocio
PROMEDIO
METRICA
JUSTIFICACION
1 El nivel de satisfaccin de las partes interesadas respecto a los servicios prestados es buena
2 La no conformidad respecto a los proveedores es baja debido a que no existen problemas co
3 La respuesta de Ti respecto a ejecutivos de la empresa es alta debido q se solucionan los inc
4 Se trata de optimizar los costes y evaluaciones de madurez para reducir costes innecesarios
5 La mayora del personal conoce las polticas de seguridad y uso de equipos
6 No existe una capacitacin por parte de TI para el uso de equipos y actualizaciones
7 Se mantiene actualizaciones continuas para mejorar el servicio y la experiencia del usuario
APO11
Gestionar la Calidad
Descripcin de Proceso
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y resultados r
constante y el uso de prcticas probadas y estndares de mejora continua y esfuerzos de eficienc
Asegurar la entrega consistente de soluciones y servicios que cumplan con los requisitos de la org
META TI
METRICAS RELACIONAD
Entrega de servicios de TI de
acuerdo a los requisitos del
negocio.
13
PROMEDIO
METRICA
JUSTIFICACION
DSS05
Gestionar Servicios de
Seguridad
Descripcin de Proceso
META TI
METRICAS RELACIONAD
Cumplimiento y soporte de TI al
cumplimiento del negocio de las
leyes y regulaciones externas
10
Seguridad de la informacin,
infraestructura de procesamiento Frecuencia de la evaluacin de seguridad frente a los ltimo
y aplicaciones.
PROMEDIO
METRICA
La informacin procesada,
almacenada y transmitida en Porcentaje de
los dispositivos de usuario final usuario final.
est protegida.
Justificacin
Con relacin a los riesgos del negocio relacionados con las TI se identificaron, analizaron y e
son 10 riesgos significativos para la empresa de los cuales se detectaron que dos de estos r
resolviendo dichos indicadores nos da un promedio del 20% lo que significa que se ha evalu
tratamiento apropiado y as llvalos a un nivel aceptable para la organizacin.
DSS06
Descripcin de Proceso
Definir y mantener contorles apropiados de proceso de negocio para asegurar que la informacin
satisface todos los requerimientos relevantes para el control d la informacin. Identificar los requi
adecuado har asegurar que la informacin y su procedimiento satisfacen estos requerimientos.
informacin de acuerdo con la poltica de seguridad. Establecer y mantener los roles de seguridad
seguridad.
META TI
Entrega de servicios de TI de
acuerdo a los requisitos del
negocio.
METRICAS RELACIONAD
PROMEDIO
METRICA
La cobertura y efectividad de
los controles clave para
cumplir con los requerimientos
de negocio para el
procedimiento de la
informacin es completa.
1
2
3
4
Justificacin
De 45 procesos revisados 10 no fueron identificado en la evaluacin de riesgos.
Los usuarios se sienten satisfechos con la calidad de servicios en TI ya que de 55 procesos s
Las partes interesadas corresponden a los 33 empleados de la empresa.
Los beneficios esperados son iguales a los proyectos revisados.
MEA02
Descripcin de Proceso
Ofrecer transparencia a las partes interesadas claves respecto de la adecuacin del sistema de co
los objetivos de la compaa y un entendimiento adecuado del riesgo residual.
META TI
METRICAS RELACIONAD
Cumplimiento y soporte de la TI al
Numero de problemas de no conformidad con respecto a acu
cumplimiento del negocio de las
proveedores de servicios de TI
leyes y regulaciones externas
15
PROMEDIO
METRICA
Se proporciona aseguramiento
independiente de que el
Porcentaje de procesos bajo revisin independiente.
sistema de control interno es
operativo y efectivo
Justificacin
1
Con relacin a los riesgos del negocio relacionados con las TI se identificaron, analizaron y e
que se ha evaluado la mayor parte de los riesgos identificados, con el fin de darles un tratam
organizacin.
En el cumplimiento de las polticas internas por parte de las TI, la compaa dispone de docu
de control. La falencia es que algunos manuales de politicas no han sido socializados al pers
REA
DOMINIO
Gestin
Alinear, Planificar y Organizar
ermita cumplir los requisitos de gobierno corporativo e incluya procesos de gestin, estructuras, role
y reproducibles y habilidades competitivas.
METRICAS RELACIONADAS
INDICADOR
4/5
1/5
8/9
5/6
4/5
3/8
4/5
PROMEDIO
METRICAS RELACIONADAS
ecto a los servicios prestados es buena debido a la atencin personalizada a cada cliente
debido a que no existen problemas con los acuerdos ni con los servicios prestados con TI
a es alta debido q se solucionan los inconvenientes y se da soluciones oportunas a problemas
durez para reducir costes innecesarios en los procesos de TI
dad y uso de equipos
de equipos y actualizaciones
el servicio y la experiencia del usuario
REA
DOMINIO
Gestin
Alinear, Planificar y Organizar
ue cumplan con los requisitos de la organizacin y que satisfagan las necesidades de las partes interesadas.
METRICAS RELACIONADAS
INDICADOR
4/5
24/33
21/33
PROMEDIO
METRICAS RELACIONADAS
dos de la empresa.
evisados.
os de calidad
REA
DOMINIO
Gestin
Entregar, dar Servicio y Soporte
able el nivel de riesgo de seguridad de la informacin de acuerdo con la poltica de seguridad. Establecer y
la informacin y realizar la supervisin de la seguridad.
METRICAS RELACIONADAS
INDICADOR
1/3
2/10
significativos relacionados con las TI que no fueron identificados en la
3/3
PROMEDIO
METRICAS RELACIONADAS
rabilidades descubiertas.
cumplimiento del negocio de las leyes y regulaciones externas, en los cuales se analiz el nmero de
s contractuales con proveedores de servicios TI. Se Encontr que existen 3 acuerdos contractuales de los
pli con uno de los puntos establecidos en dicho acuerdo es por esto que nos da un promedio del 33% lo que
a el bienestar de la organizacin.
n las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en la matriz de calor que
uales se detectaron que dos de estos riesgos tienen que ver directamente con los servicios de seguridad
el 20% lo que significa que se ha evaluado los riesgos identificados en este proceso, con el fin de darles un
ble para la organizacin.
REA
DOMINIO
Gestin
Entregar, dar Servicio y Soporte
ocio para asegurar que la informacin de negocio y procesada dentro de la organizacin o de forma externa
ol d la informacin. Identificar los requisitos de control de la informacin y gestionar y operar los controles
ento satisfacen estos requerimientos.
ecer y mantener los roles de seguridad y privilegios de acceso de la informacin y realizar la supervisin de
los activos de informacin manejados en los procesos de negocio dentro de la empresa o externalizados.
METRICAS RELACIONADAS
PROMEDIO
METRICAS RELACIONADAS
INDICADOR
20/45
20/55
entes y evidencias del informe de auditoria indicando fallos de los controles clave.
n la evaluacin de riesgos.
servicios en TI ya que de 55 procesos se realizaron 20 con los mejores estndares de calidad.
dos de la empresa.
evisados.
REA
DOMINIO
Direccin
Supervisar, evaluar y valorar
ol, incluyendo tanto autoevaluaciones como revisiones externas independientes. Facilitar a la Direccin la
el inicio de acciones de mejora. Planificar, organizar y mantener normas para la evaluacin del control intern
cto de la adecuacin del sistema de control interno para generar confianza en las operaciones, en el logro de
del riesgo residual.
METRICAS RELACIONADAS
INDICADOR
3/5
5/6
7/10
PROMEDIO
METRICAS RELACIONADAS
cesos con la seguridad de que son conformes con las metas de control interno
no de control de la compaa con el fin de identificar las deficiencias en el control. Se identificaron ciertas
miento del negocio de las leyes y regulaciones externas debido a que en el contrato con algunos proveedore
n las TI se identificaron, analizaron y evaluaron los diferentes riesgos encontrados en un 83% lo que significa
ntificados, con el fin de darles un tratamiento apropiado y as llvalos a un nivel aceptable para la
de las TI, la compaa dispone de documentos formales de polticas, esto implica tener adecuadas directrice
oliticas no han sido socializados al personal.
gestin de informacin y
PORCENTAJE
80%
20%
89%
83%
80%
38%
80%
67%
no de control
cliente
s con TI
problemas
ontroles, vigilancia
ad.
PORCENTAJE
80%
73%
64%
72%
seguridad. Establecer y
PORCENTAJE
33%
20%
100%
51%
de dispositivos de
aliz el nmero de
os contractuales de los
n promedio del 33% lo que
cuencia de la evaluacin de
mpresa tiene establecidos
0% en esta meta.
realizar la supervisin de la
presa o externalizados.
PORCENTAJE
44%
36%
40%
s controles clave.
utorizacin asignados.
de calidad.
acilitar a la Direccin la
aluacin del control interno
operaciones, en el logro de
PORCENTAJE
60%
83%
70%
71%
control interno
miento aprobados y
Se identificaron ciertas
to con algunos proveedores
MATR
MATRIZ RACI
AP001
AP001.02
AP001.03
AP001.04
AP001.05
AP001.06
AP001.07
AP001.08
MATRIZ RACI
Director de Informtica
ilidades
Auditoria
ativa
Director de Operaciones
e del Gobierno
Director General
direccin de gestin
funcin de TI
a de los procesos
Supervisor de Operaciones de TI
R
I
I
C
I
I
R
C
I
I
R
C
C
Gestor de servicios
Jefe de operaciones de TI
MATRIZ DE MADUREZ
Atributo de
Rendimiento
del Proceso
Proceso
Incompleto
Proceso
Ejecutado
Gestin de
Rendimiento
Gestin de
Definicin de Despliegue de
Resultado de
Procesos
Procesos
trabajos
Proceso Gestionado
Proceso Establecido
Gestin de
Procesos
Control de
Procesos
Proceso Predecible
AP001
GESTIONAR
EL MARCO DE
GESTION DE
TI
APO011
GESTIONAR
LA CALIDAD
DSS05
GESTIONAR
SERVICIOS DE
SEGURIDAD
DSS06
Gestionar los
Controles de
los Procesos del
Negocio
MEA 02
Supervisar,
Evaluar y Valorar
el Sistema de CI
Innovacin de
Procesos
Proceso Optimizado
Optimizacin
de Procesos
Proceso Optimizado