http://repositorio.unprg.edu.

pe/bitstream/handle/UNPRG/1221/BC-TES-
5923.pdf?sequence=1&isAllowed=y

1. RESUMEN EJECUTIVO

Se propuso evaluar los niveles de gestión de la empresa Dayola, para ello se trabajó en
un proceso de auditoria genérico y de alto nivel, compuesto por planificación,
ejecución y desarrollo del informe. Mediante la utilización del marco de
referencia COBIT, a fin de identificar debilidades y emitir recomendaciones que
permitan minimizar los riesgos.

Para la obtención de información se aplicaron técnicas e instrumentos siendo estos,

entrevistas, cuestionarios y check-list, respectivamente; las mismas que fueron
dirigidas al personal asignado por la empresa en donde efectuamos evaluaciones de las
políticas, controles de aplicación, procedimientos de TI existentes, monitoreo y
evaluación.

Hallando un nivel de cumplimiento del 58.3% en planificación y organización, del

83,08% en adquisición e implementación, 49,85 en servicios - transporte y en
monitoreo de 46,46%, en donde se puede observar que tiene un cumplimiento medio-
alto sin embargo existe una baja en adquisición e implementación y a pesar de sus
puntuaciones no cuenta con documentación formal, sin embargo, si realiza en cierto
ámbito los procedimientos.
 2. RESUMEN VISUAL

El presente resumen fue elaborado en base a los check-list realizados, para lo cual en cada dominio se dio una valoración del 100% a todos los procesos
realizados en la empresa, de los cuales se analizó las preguntas que conforman cada proceso y contabilizó cuantas presentan conformidad y no
conformidad y en base al total de preguntas de dicho proceso se sacó el porcentaje de aceptación de cada proceso, y para obtener el porcentaje de cada
dominio se realizó un promedio de todos los porcentajes obtenidos por los procesos que lo abarcan.

REQUERIMIENTOS PROMEDIO
DOMINIO OBJETIVO DE CONTROL NO PORCENTAJE DE
CONFORMIDAD
CONFORMIDAD ACEPTACION
Definición de planes estratégicos 5 1 83,33%
Definición de la organización y las
5 1 83,33%
relaciones de TI
Manejo de inversiones 4 2 66.66%
Comunicación de los objetivos y
1 1 50%
PLANIFICACION Y direccionamiento de las TI
58.33%
ORGANIZACIÓN Administración de los recursos humanos 2 1 66.66%
Administración de calidad 2 1 66.66%
Evaluar y administrar los riesgos de TI 3 1 75%
Administración de proyectos 0 5 0%
Cumplimiento de requerimientos
2 1 33,33%
externos
Adquirir y mantener la arquitectura
8 6 57.14%
tecnológica
ADQUISICION E Mantenimiento preventivo para hardware 6 0 100%
74.29%
IMPLEMENTACION
Verificación de control de cambios 2 3 40%

Cambios de Emergencia 4 0 100%

 Definir niveles de servicio 7 1 87,5%

Asegurar Servicio Continuo 6 1 85,7%

SERVICIOS Y
Garantizar la Seguridad de Sistemas 6 0 100% 84,92%
SOPORTE
Protección contra factores ambientales 4 1 80,0%

Administración de instalaciones 10 4 71,42%

Monitoreo y Evaluación del desempeño
6 2 75,0%
de TI
MONITOREO 77,5%
Garantizar el cumplimiento regulatorio 4 1 80,0%
 3. DESARROLLO

Antecedentes: En las instalaciones de la organización se realiza anualmente un plan de

seguimiento a todos los procesos técnicos y operativos, esto debido a que las instituciones
requieren la acreditación de calidad en el manejo de sus procesos y para ello se hace necesario
realizar auditorías internas permanentes y de tipo externo periódicamente para lograrlo.

Objetivos

Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una
auditoría a la gestión y control de las TI de la organización.

Objetivos específicos:

Planificar la auditoría que permita identificar las condiciones actuales de la gestión de las TI de la
organización

Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT
como herramienta de apoyo en el proceso evaluación de la gestión de las TI.

Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del
hardware, software, procesos, procedimientos y la red de datos y eléctrica de la organización,
con el fin de verificar el cumplimiento de normas y la prestación de sus servicios para optimizar
el uso de los recursos existentes para mejorar el servicio a los usuarios.

Los puntos que evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas
 Instalación cableada de la red de datos
 Sistemas de protección eléctrico
 Seguridad de acceso físico a las instalaciones
 Seguridad de acceso lógico a las instalaciones

De equipos o hardware se evaluará:

 Inventarios de hardware de redes y equipos

 Mantenimiento preventivo y correctivo de equipos y redes
 Hojas de vida de los equipos de cómputo y redes.
 Los programas de mantenimiento de los equipos de cómputo y redes
 Revisión de informes de mantenimiento.
 Personal encargado de mantenimiento
 Obsolescencia de la tecnología
Se detalla a continuación el proceso de auditoría y al cual hemos dividido en 3 etapas:
 Planificación de la auditoría Informática
 Ejecución de la auditoría Informática
 Finalización de la auditoría Informática
El proceso de auditoria se lo detalla de mejor manera en el cronograma de auditoria.

Actividad Semana 1 Semana 2 Semana 3

L M MI J L M MI J L M MI J
Planificar laEstudio Preliminar
auditoría Determinación de
Áreas Críticas de
Auditoria
Aplicar el Elaboración de
modelo de Programa de Auditoria
auditoria Evaluación de Riesgos
Ejecución de Pruebas y
Obtención de
Evidencias
Construir los Elaboración de Informe
planes de Sustentación de
mejoramiento Informe

METODOLOGÍA Y DIAGNÓSTICO DE LA INVESTIGACIÓN

A. Fuentes de información
Para desarrollar los indicadores se necesitan datos, siendo indispensable identificar la fuente de
información de donde las obtendremos. Las principales fuentes de información, en el área
investigada serian:
Fuente de información de acuerdo con el origen de la información
Fuente de información de acuerdo con el nivel informativo o contenido

B. Metodología de la investigación
El presente trabajo, describe la Auditoría Informática de los Sistemas de Tecnología e Información
a realizar a Dayola empresa aseguradora. Utilizando la metodología COBIT, "una herramienta
desarrollada para, ayudar a los administradores de negocios a entender y administrar los riesgos
asociados con la implementación de nuevas tecnologías, las buenas prácticas de COBIT están
enfocadas en el ambiente de control óptimo que debe tener una empresa para de esta manera
lograr una alineación efectiva entre TI y los objetivos de negocio.
El fin de esta revisión técnica es identificar debilidades y emitir recomendaciones que permitan
minimizar riesgos.
Para llevar a cabo la presente Auditoría, se realizaron las siguientes actividades:"
- Entregar un listado de requerimientos a la entidad a ser auditada.
- Revisar la documentación entregada al Equipo de Auditoría.
- Se formularán preguntas, con el fin de aclarar ciertos puntos de la documentación.
- Se elaborarán encuestas al personal de la entidad.
- En base a los resultados obtenidos, se llevaron a cabo las entrevistas que constituye un método
de auditoría personalizada, para profundizar en la indagación.
- Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas sustantivas
(checklist) y se recopilaron evidencias.
- De acuerdo con los resultados obtenidos en las encuestas, entrevistas y pruebas sustantivas y,
alineando todos estos resultados con cada objetivo de control, que 18 propone COBIT, se
presentaron las observaciones y recomendaciones emitidas en un informe a la Gerencia.

C. Técnicas e instrumentos de recolección de datos

En la Auditoria Informática vamos a hacer referencia a las siguientes técnicas e instrumentos de
recolección de datos:
Análisis y revisión bibliográficos. - Para recopilar información de libros, textos y documentos
relacionados y apropiados con la problemática de la investigación.
Lectura crítica. - Para determinar los contenidos teóricos y metodológicos que permiten de forma
adecuada la investigación y sus instrumentos respectivos.
Consulta de fuentes secundarias. - en caso de que sea necesario incrementar la información en
las diferentes etapas y capítulos de la investigación.
Entrevistas. - De manera especial a los funcionarios de alto rango de la institución, objeto de
estudio y a quienes directa o indirectamente tienen relación con los Sistemas de Información que
soporta la infraestructura tecnológica.
Cuestionarios. - Para obtener información puntual de quienes participan en los procesos que
permiten dar cumplimiento a los objetivos de control y objetivos institucionales
Listas de Verificación. - Servirán para determinar el nivel de cumplimiento de Seguros del
Pichincha de los objetivos de control planteados por el modelo de gestión y control COBIT.

D. Trabajo de campo
El proceso de la auditoría informática es similar al que se lleva a cabo a los de estados financieros,
en el cual, los objetivos principales son: salvaguardar los activos, asegurar la integridad de los
datos, la consecución de los objetivos gerenciales y, la utilización racional de los recursos, con
eficiencia y eficacia, para lo que se realiza la recolección y evaluación de evidencias.
Para que una auditoría sea exitosa, debe tomar en cuenta muchos de los aspectos tratados en el
punto anterior. A continuación, se muestra un gráfico que muestra cómo actúan conjuntamente
todos los componentes, tanto de la empresa como del auditor, para que se genere una auditoría
efectiva y eficaz.
Matriz de Campo
DOMINIO PLANIFICACION Y ORGANIZACION
OBJETIVOS DE CONTROL
DETALLADOS CONTROLES POR
VERIFICAR
PO-1 Definición de plan balance óptimo de
estratégico oportunidades en
tecnología de información y
requerimientos de negocio
de TI, así como asegurar su
logro futuro
PO-3 Definición de la Modelo administrativo de la
organización y las organización, funciones y
relaciones de TI actividades de los administrativas, funciones y actividades relaciones de TI
encargados del laboratorio.
PO-4 Evaluación de manejo de
Manejo de inversiones inversiones
PO-5 Comunicación de los
Comunicación la objetivos y personal tenga conocimientos sobre los
direcciones y aspiraciones direccionamiento de las TI
de la gerencia
PO-6 Marco de trabajo de los
Administración de los recursos humanos
recursos humanos
PO-7 Administración de Estándares, procedimientos
calidad y políticas de calidad.
PO-8 Marco de trabajo de
administración de riesgos.
DOCUMENTACION DE REFERENCIA INSTRUMENTO DE INVESTIGACION DE
CAMPO
Solicitar a la empresa los planes Cuestionario
estratégicos Anexo: Definición planes estratégicos
Solicitar a la empresa el Modelo de Cuestionario
Organización: estructuras Anexo: Definición de la organización y las
Solicitar a la empresa sus análisis al Cuestionario:
momento de realizar una inversión Anexo: Manejo de Inversiones
Solicitar documentación donde el Cuestionario:
Anexo: Comunicación de direcciones y
objetivos de TI aspiraciones de la gerencia
Solicitar documentación de la Cuestionario:
administración de los recursos Anexo: Administración de los recursos
humanos humanos
Solicitar documentación de la Cuestionario
administración de calidad Anexo: Administración de calidad
Solicitar el plan de acción frente a Cuestionario
alguna eventualidad en la empresa.
Evaluar y administrar los Anexo: Evaluar y administrar los riesgos
Riesgos de TI de TI

PO-9 Marco de trabajo para la Solicitar la documentación sobre Cuestionario

Administración de administración de proyectos actuales y futuros de la Anexo: Administración de proyectos
Proyectos proyectos empresa

PO-10 Marco de trabajo del Solicitar la documentación sobre los Cuestionario

Análisis de requerimientos cumplimiento de requerimientos externos Anexo: Asegurar el cumplimiento de
externos requerimientos externos requerimientos externos

DOMINIO ADQUISICION E IMPLEMENTACION

1) Evaluación de Nuevo Solicitar a la empresa el plan de Cuestionario:

AI3.1 Plan de adquisición
de infraestructura
tecnológica
1) Mantenimiento
AI3.3 Mantenimiento de la
Infraestructura
Hardware adquisición, implantación y Anexo Instrumentos 2:
mantenimiento de la infraestructura
tecnológica.
Plan de Administración de cambios
Solicitar a la empresa el plan de Anexo Instrumentos 3 :
Preventivo para adquisición, implantación y
Hardware mantenimiento de la infraestructura
tecnológica
Plan de
Administración de cambios
 Administración de cambios Solicitar a la empresa el documento de Lista de Chequeo:
AI6.1
formales para cualquier control de cambios (manuales, guías, Anexo Instrumentos 4
Estándares y
procedimiento o proceso. procedimientos y caracterizaciones) en
Procedimientos para
donde se registran los cambios
Cambios
realizados.

Definición de cambios de Solicitar a personal responsable de la Lista de Chequeo:

emergencia y
AI6.3 Cambios de procedimientos para
Emergencia controlar estos cambios
empresa:
- Documentación que permita Anexo Instrumentos 5
declarar, evaluar, autorizar y
registrar cambios de
emergencia.

DOMINIO ENTREGA DE SERVICIOS Y SOPORTE

Definir
1 y manejar niveles de servicio Cuestionario
Solicitar a la empresa la documentación Cuestionario: Definir y administrar los
DS1. Definición de Monitorear niveles de servicio correspondiente a los acuerdos de niveles de servicio niveles de servicio
acuerdo de niveles 2 (SLA) y un plan de monitoreo de estos.
de servicio )
Estado
1 de la empresa para Cuestionario
establecer
) y mantener un plan de Solicitar a la empresa el plan de continuidad de Cuestionario: Evaluar el estado (Plan
DS4. Garantizar la continuidad del servicio servicios. de continuidad de negocio)
continuidad del Estado del BCP (Plan de continuidad
servicio de negocio)
 2
)

Estado
1 de la empresa para Cuestionario
DS5. Garantizar la establecer
) y mantener un plan de Solicitar a la empresa el plan de seguridad de los Check-List : Evaluar la seguridad de
seguridad de los seguridad de los sistemas sistemas sistemas
sistemas

DS12 Protección Controles ambientales Cuestionario

contra Factores Solicitar a la empresa el plan de protección ante Lista de Chequeo: Protección contra
Ambientales situaciones ambientales. factores ambientales (controles
ambientales)
DS12 Administración Seguridad física Solicitar a la empresa los planes o procedimientos de Cuestionario
de Instalaciones Escolta de visitantes seguridad física interna y externa.
Cuestionario: Protección contra factores
ambientales (Seguridad Fisica)
DOMINIO MONITOREO Y SEGUIMIENTO

 Enfoque del Monitoreo Recolección de Solicitar a la empresa Lista de control

Datos de Monitoreo  Documentos de Recolección Lista de control: Monitorear y evaluar el
ME1 – Monitorear  Método de Monitoreo datos. desempeño de TI
y evaluar el  Evaluación del Desempeño  Documentos de la Evaluación del
desempeño de TI desempeño de TI
 Reportes del Monitoreo al
Consejo Directivo
 Identificar los Requerimientos de las Leyes, Regulaciones a nivel organizacional Lista de control
Regulaciones y Cumplimientos Lista de control: Garantizar el
ME3 – Garantizar Contractuales cumplimiento regulatorio
el cumplimiento  Evaluación del Cumplimiento para los
regulatorio Requerimientos Externos
 4. HALLAZGOS DE LA AUDITORIA

Teniendo en cuenta la aplicación de los instrumentos para recolección de información, los

objetivos planteados con anterioridad y los riesgos definidos en la Matriz se obtienen las
siguientes tablas de hallazgos para cada uno de ellos.
Planificación preliminar(exploración)

PLANIFICACIÓN PRELIMINAR
Nombre de la Aseguradora DAYOLA
empresa
ITEMS ESTRATÉGICOS Y ORGANIZACIONALES

Laboratorios de investigación y desarrollo (laboratorio de servidores, aplicaciones

móviles y sistemas embebidos). Modelos de gestión utilizados Cobit e Itil, cuenta con
3 meses en producción, el plan estratégico se base en el POA de la carrera de Ciencias
de la Computación e Ingeniería de sistemas y Departamento de TI.
Valores.  Respeto Acepta, valora actúa con mente abierta ante las
diversas opiniones, creencias, culturas y formas de ser de las
personas que lo rodean.
 Honestidad Capacidad para interiorizar valores éticos y
morales y comportarse consecuentemente con estos.
 Compromiso Capacidad de responder con alto sentido del
deber en todas las situaciones, entregando su empeño para el
éxito de la empresa.
 Trabajo en Equipo: Diversidad de talentos unidos con un solo
propósito que colaboran y trabajan coordinadamente,
empujando en la misma dirección, priorizando las metas
comunes.
 Liderazgo: Posee autoridad moral. Dirige, orienta, guía, tiene
credibilidad, contagia entusiasmo y compromiso, obtiene
eficacia del equipo; mueve la empresa.
Misión Desarrollar la actividad de seguros optimizando la rentabilidad de
largo plazo con un servicio sobresaliente y dentro de los más altos
principios de ética profesional.
Visión
Ser líderes en el mercado asegurador de personas, entregando a sus
clientes servicios con valor agregado de alto impacto social, con
profesionales éticos, comprometidos y en constante desarrollo;
generando sólidos resultados que aporten al crecimiento económico
y social del país.
 Objetivos
Generales
Lograr el posicionamiento de los productos en la mente del
consumidor como la compañía de protección y servicio a la familia
por excelencia. Mantener un millón de clientes satisfechos antes de
finalizar la segunda década del siglo XXI. Generar un portafolio de
inversiones equivalentes al 200% de las primas recaudadas.
Objetivos Liderar el desarrollo de SEGURO.. Aprovechar y desarrollar nuevos
Específicos canales de distribución de venta cruzada, así como con otras
instituciones del sector financiero. Obtener una importante
participación en el mercado de seguros, ofertando productos
estándar, de bajo costo, tanto a la familia como a la mediana y
pequeña industria. Comercializar los seguros por cuenta de terceros
– vida grupo y demás, como garantía de desembolso de cualquier
tipo de crédito. Desarrollar los seguros provisionales, de salud,
pensiones y otros derivados de la seguridad social, que integran
mayor servicio y asistencia.
Estructura Junta General de Accionistas
organizacional Auditoría Externa.
Directorio
Asesoría laboral y tributaria.
Presidencia Ejecutiva.
Gerencias
 PLANIFICACION Y ORGANIZACION
Nombre del Definición de planes estratégicos
proceso
Descripción Identifica cuáles son sus metas a corto o largo plazo mediante la
elaboración de los planes estratégicos de la empresa.

Objetivo(s)
 Verificar que la empresa cuente con un plan estratégico que
defina sus objetivos, misión, visión.
 Analizar que las metas de la empresa se cumplan a largo o corto
plazo.
Métricas  Planes estratégicos
 Niveles de investigación de proyectos de TI
 Inversión en infraestructura
 Niveles financieros
.
Técnicas / Se realizó una entrevista al administrador de la empresa y los auxiliares
Instrumentos del mismo, los instrumentos a usar fueron un cuestionario

Resultados
La empresa cuenta con planes estratégicos

Responsable(s)
Importancia o Alta Escala de medición Baja 83.3%
criticidad

Dominio de Planificación y Organización

PLANIFICACION Y ORGANIZACION
Nombre del Definición de la organización y las relaciones de TI
proceso
Descripción Establecer habilidades, tareas y responsabilidades que aseguran la
transparencia y el control, así como el involucramiento de los altos
ejecutivos y de la gerencia del negocio.

Objetivo(s)
 Definir los requerimientos del personal, funciones, rendición de
cuentas, autoridad, roles, responsabilidades y supervisión de la
empresa
 Métricas  Determinación del marco de trabajo de los procesos de TI
 Definición de un modelo de infraestructura organizacional
apropiada.
 Modelo de cargos, roles y habilidades.
Técnicas / Se realizó una entrevista gerente de la empresa, el instrumento a usar
Instrumentos fue un cuestionario.

Resultados La empresa si cuenta con la documentación de la estructura interna

organizacional, se concibe bajo la siguiente organización en la cual la
máxima autoridad es:
La Dirección de TI, organiza su gestión por procesos, los mismos que se
ajustan a ITIL
Responsable(s)
Importancia o Alta Escala de medición Alta 83.3%
criticidad

PLANIFICACION Y ORGANIZACION
Nombre del Manejo de la Inversión
proceso
Descripción Generar un plan para generar las inversiones que deben tener un gran
control por parte de los departamentos financieros, ya que estas son la que
en un momento pueden darle a la organización un aporte de recursos
importantes.
Objetivo(s)
 Verificar si la organización cuenta con la realización de una planeación
y análisis de inversiones adecuados.
 Obtener información acerca de las transacciones de inversiones más
representativas en relación con los procedimientos.
 Revisar que exista un completo análisis del manejo de las inversiones
para identificar fallas y aplicar las correcciones necesarias.

Métricas  Inversiones de equipos de la empresa.

 tipo de mantenimiento para los equipos de laboratorio.

Técnicas / Entrevista al gerente de la empresa

Instrumentos El instrumento utilizado fue un Cuestionario.

 En el plan de inversiones se proyecta la compra de software y

hardware tanto de propósito general como de componentes
Resultados específicos de servicios. De igual forma se contemplan las
contrataciones de desarrollo de nuevos servicios y el mantenimiento
de los existentes.
 La adquisición de software y hardware de propósito general se lo
realiza de ser posible, una vez por año.
  La contratación de desarrollo de servicios se lo realiza según el
cronograma que se defina en el portafolio de servicios atendiendo la
prioridad de cada servicio.
Responsable(s)

Importancia o Media Media 66.66%

criticidad Escala de
medición

PLANIFICACION Y ORGANIZACION
Nombre del Comunicación de la dirección y aspiraciones de la gerencia
proceso
Descripción Satisfacer los requerimientos de negocio de TI para una información precisa y
oportuna sobre los servicios actuales y futuros, los riesgos asociados y las
responsabilidades enfocándose en proporcionar políticas, procedimientos,
directrices y otra documentación aprobada, de forma precisa y entendible y que
se encuentre dentro del marco de trabajo de control de TI.
Objetivo(s)
 Verificar si la organización cuenta con la realización de una planeación y
análisis de inversiones adecuados.
 Obtener información acerca de las transacciones de inversiones más
representativas en relación con los procedimientos.
 Revisar que exista un completo análisis del manejo de las inversiones para
identificar fallas y aplicar las correcciones necesarias.

Métricas  Implantar y comunicar a todo el personal relevante.

 Definir elementos de control para TI basada en una cultura la apoya
entrega de valor.
 Enfoque general empresarial hacia los riesgos.

Técnicas / Entrevista al gerente y personal administrativo, el instrumento utilizado fue un

Instrumentos Cuestionario.

Si obtienen la información del personal para poder saber cómo y cuando

exista algún cambio de personal.
 Cada integrante del personal obtiene el conocimiento al momento de
Resultados adquirir algún equipo que sea necesario en la empresa, realizan una
reunión con los proveedores y respectivos encargados.

Responsable(s)
Importancia o Media Media 50%
criticidad Escala de medición

PLANIFICACION Y ORGANIZACION
Nombre del proceso Administración de Recursos Humanos
Descripción La administración de recursos humanos de las políticas, los procedimientos,
la documentación y los sistemas de recursos humanos, con el fin de
identificar las necesidades de mejora y crecimiento de la función de
recursos humanos, así como de asegurar el cumplimiento de las siempre
cambiantes normas y reglamentos.
Objetivo(s)
 Verificar si la organización cuenta con un sistema o un manual
para realizar el debido monitoreo, práctica.
 Identificar si existe una adecuada capacitación del personal al
momento de ingresar al trabajo con los equipos.

Métricas
 Títulos de capacitaciones del personal
 Nivel de capacidad del personal encargado de manejar cada
departamento
Técnicas / Se realizó una entrevista a los encargados
Instrumentos instrumento utilizado fue un cuestionario. Anexo: Administración de los
recursos humanos

Resultados
 La administración cuenta con un sistema en planeación por lo
que obtiene 3 meses de funcionamiento
 Existe un reporte de horas de capacitación al personal.
Responsable(s)
Importancia o Media Escala de Alta 66.66%
criticidad medición

PLANIFICACION Y ORGANIZACION
Nombre del proceso Asegurar el cumplimiento de requerimientos externos
 Descripción Su propósito es que se cumplan las leyes y ordenanzas impuestas por el
estado.
Objetivo(s)
 Verificar el cumplimiento de los requerimientos externos.
 Evaluar el impacto de los requerimientos externos en las TI.

Métricas  Leyes tributarias

 Planes de actualización del conocimiento frente a cambios
del reglamento.

Técnicas / Se realizó una entrevista al personal asignado y los auxiliares del mismo,
Instrumentos los instrumentos fueron dos cuestionarios. Anexo: Asegurar el
cumplimiento de requerimientos externos

Resultados La empresa cumple con todas las leyes y ordenanzas impuestas por la Ley
y estas sí afectan a los activos de TI ya que deben estar sujetos a todos los
requerimientos externos. Cuenta con un plan de actualización de la
información para realizar cambios oportunos en caso de que cambien los
requerimientos externos.
Responsable(s)
Importancia o Alta Escala de Alta 66.66%
criticidad medición

PLANIFICACION Y ORGANIZACION
Nombre del Evaluación de riesgos
proceso
Descripción Busca asegurar el logro de los objetivos de TI y responder a las amenazas
hacia la provisión de medidas para mitigar los riesgos.

Objetivo(s)
 Mitigar los posibles riesgos que puedan presentar los activos de
TI.
 Asegurar que los activos de TI se encuentren alineados con los
objetivos de los mismos.
Métricas  Medidas de seguridad para el ingreso del personal.
 Medidas de seguridad para el resguardo de la integridad
física de TI.
 Medidas de seguridad para el resguardo de la información.
Técnicas / Se realizó una entrevista al personal asignado, los instrumentos fueron
Instrumentos dos cuestionarios. Anexo: Evaluar y administrar los riesgos de TI
 Resultados Se cuenta con medidas de seguridad tanto físicas como lógicas lo cual ha
resguardado la integridad física de los equipos, su software, programas e
información de manera efectiva.

Responsable(s)
Importancia o Alta Escala de medición Alta 75%
criticidad

PLANIFICACION Y ORGANIZACION
Nombre del Administración de proyectos
proceso
Descripción Busca asegurar el logro de los objetivos de TI por medio de proyectos
alineados con los objetivos de TI del laboratorio.

Objetivo(s)
 Establecer prioridades y entregar servicios oportunamente.
 Monitoreo de proyectos en ejecución y finalizados.

Métricas  Documentación de los proyectos.

 Metodología de los proyectos.
 Proyectos en desarrollo.
 Proyectos finalizados.
Técnicas / Se realizó una entrevista al personal encargado, los instrumentos fueron
Instrumentos dos cuestionarios. Anexo: Administración de proyectos

Resultados Actualmente no se cuenta con proyectos en ejecución, pero ninguno de

estos tiene una metodología establecida ni alcance definido. Al momento
todos los proyectos se encuentran en desarrollo, ninguno de ellos con
responsabilidades asignadas al personal encargado y no cuenta con
ningún proyecto finalizado.
Responsable(s)
Importancia o Alta Escala de medición Baja 0%
criticidad

PLANIFICACION Y ORGANIZACION
Nombre del Administración de calidad
proceso
Descripción Busca cumplir con los requerimientos o necesidades del cliente.
 Objetivo(s)
 Cumplir con la satisfacción del cliente mediante la
implementación de estándares de calidad y sistemas de
administración de la calidad.
Métricas  Documentación de administración de calidad.

Técnicas / Se realizó una entrevista al personal encargado, los instrumentos fueron

Instrumentos dos cuestionarios. Anexo: Administración de calidad

Resultados No se cuenta con documentación de administración de calidad por lo

tanto no pueden ser monitoreados, actualizados ni mejorados. Para la
administración de la calidad se cuenta únicamente con reporte de
incidentes.
Responsable(s)
Importancia o Alta Escala de medición Baja 33.33%
criticidad

Dominio Adquisición e Implementación

ADQUISICION E IMPLEMENTACION
Nombre del Plan de Adquisición de Infraestructura Tecnológica
proceso
Descripción Generar un plan para adquirir, implantar y mantener la infraestructura
tecnológica que satisfaga los requerimientos establecidos funcionales y
técnicos del negocio y, que esté de acuerdo con la dirección tecnológica de
la organización.
Objetivo(s)
 Verificar si la organización cuenta con un plan de adquisición e
implantación de infraestructura tecnológica.

 Evidenciar si se cuenta con un plan de mantenimiento para los

equipos informáticos.

Métricas  Inventario de equipos de cómputo.

 Nivel de prioridad en la atención ante fallas en los equipos.
 Frecuencia y tipo de mantenimiento para los equipos.
 Nivel de capacidad del personal encargado del mantenimiento
de la infraestructura tecnológica.

Técnicas / Se realizó una entrevista al personal asignado, el instrumento utilizado fue

Instrumentos un cuestionario. Anexo: Error! Reference source not found.
  Los computadores deben estar en condiciones mínimas de ser
Resultados conectados a la red LAN principal de datos de cada administración zonal.
Los dispositivos telefónicos deben ser compatibles con la central
telefónica.
 Los dispositivos y equipos que la institución compre deben cumplir
requisitos mínimos de especificación de hardware.
Importancia o Alta Alta 57.14%
criticidad Escala de medición

ADQUISICION E IMPLEMENTACION
Nombre del proceso Mantenimiento Preventivo para Hardware

Descripción Proteger los equipos de la empresa a través de un mantenimiento

preventivo y correctivo periódico analizando la planificación y
presupuesto para cuando los equipos fallen y se tenga que adquirir
buenos equipos.
Llevar un control diario de los equipos que fallen a través de una ficha
o informes para dar a conocer al equipo técnico.
Objetivo(s)  Evaluar el estado de los equipos de la data center.
 Evaluar el rendimiento de los equipos a adquirir y elegir el
mejor.
 Verificar si los equipos cuentan con garantía.
 Controlar y verificar diariamente el funcionamiento de los
equipos.
Métricas  Cantidad de equipos que posean garantía.
 Nivel de prioridad en la atención ante fallas en los
equipos.
 Nivel de capacidad del personal encargado del
mantenimiento preventivo y correctivo del hardware.
 Procedimientos de adquisición de nuevos equipos.
Técnicas / Se realizó una entrevista al personal asignado, el instrumento
Instrumentos usado para la recolección de información fue una Lista de
Chequeo. Anexo: Hoja de Mantenimiento Preventivo para
Hardware
Resultados Los servicios tecnológicos que posee necesitan mantenimiento
preventivo así como la implementación de mejoras y/o control de
correcto funcionamiento. Este mantenimiento lo proporciona el
Departamento de Tecnología de la Información o el desarrollador del
servicio con supervisión directa de éste Departamento.
 En lo referente al software comercial, se solicita asistencia a los
vendedores del producto o directamente a los fabricantes, de ser
posible y si el caso lo requiere.
Responsable(s)
Importancia o Alta Escala de Alta 100%
criticidad medición

ADQUISICION E IMPLEMENTACION
Nombre del Cambios de Emergencia
proceso
Descripción Establecer un proceso para definir, plantear, evaluar y autorizar los cambios
de emergencia que no sigan el proceso de cambio establecido. La
documentación y pruebas se realizan, posiblemente, después de la
implantación del cambio de emergencia.

Objetivo(s)
 Verificar si la organización cuenta con un sistema de
administración que defina parámetros, características y
procedimientos que identifiquen emergencias.
 Identificar si existe una autorización formal previa frente a los
cambios de emergencia y si estos son documentados y probados
antes o después de la implementación.

Métricas  Numero de interrupciones o errores reportados y solucionados

emergentemente.

 Porcentaje de cambios que siguen el procedimiento de

autorización, documentación, prueba e implementación.

Técnicas / Se realizó una entrevista al personal encargado, el instrumento utilizado fue

Instrumentos un cuestionario. Anexo: Hoja de Evaluación: Cambios de emergencia

Resultados
La administración cuenta con un sistema de monitoreo escaso que define
parámetros, características y procedimientos para la identificación y
declaración de emergencias que se reporta mediante correo electrónico.
Existe un reporte no detallado de incidencias de los cambios emergentes
previos a la implementación.
No existe un documento que respalde que los cambios emergentes son
probados antes de su implementación.

Responsable(s
)
Importancia o Alta Escala de medición Alta 40%
criticidad

ADQUISICION E IMPLEMENTACION
Nombre del Administrar Cambios
proceso
Descripción Los cambios deben administrarse debidamente y controladamente, los
cambios tanto en mantenimiento, procedimientos, procesos, sistemas y
parámetros del servicio deben registrar, evaluar y autorizar previo a la
implementación, esto garantiza la reducción de riesgos.
Objetivo(s)
 Minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores.
 Establecer que las solicitudes de cambio se evalúen de una manera
ordenada en cuanto a impactos en el sistema operacional y su
funcionalidad.

Métricas  Documento de control de cambios (manuales, guías, procedimientos

y caracterizaciones) en donde se registran los cambios realizados.
 Número de interrupciones o errores de datos provocados por
especificaciones
 inexactas o una evaluación de impacto incompleta
 Porcentaje de cambios que siguen procesos de control de cambio
formales
Técnicas / Se realizó una entrevista personal encargado, el instrumento usado para la
Instrumentos recolección de información fue una Lista de Chequeo.
Anexo: Error! Reference source not found.
Resultados La empresa no cuenta con un documento de control de cambios, tampoco
cuenta con un procedimiento que maneje las solicitudes para cambios en
la infraestructura, solicitudes de cambio y plan de revisiones para
garantizar la implantación de cambios, debido a que los equipos son
nuevos, y se lo está desarrollando en una tesis, para implementarlo a
futuro.
Para realizar un seguimiento de cambios a los interesados, por el momento
se lo realiza verbalmente a dirección de carrera, y no existe una evidencia
física.
Para la actualización de la documentación de usuario y procedimientos
después de un cambio, existen manuales de usuario.
Responsable(s) Administrador de los laboratorios
Ing. Jorge López
Importancia o Media Escala de medición Media 100%
criticidad
Dominio Entrega de Servicios y soporte

Instalaciones de la organización R/PT: P4

Hallazgos de la Auditoría H1
Dominio Entrega de Servicios y Soportes
Proceso Garantizar la seguridad de los sistemas
Objetivo de Control Plan de seguridad de los sistemas
Descripción
A pesar de realizar pruebas, vigilancia y monitoreo de la seguridad esta se la hace
semestralmente. Y su respuesta frente a fallas es correctiva.
Recomendación
La respuesta frente a amenazas debe ser autónoma o preventiva, si se realiza las
pruebas, vigilancia y monitoreo de la seguridad semanalmente.
Causa
El departamento de seguridad responde ante incidencias de acuerdo estas vayan
ocurriendo.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es leve

Instalaciones de la organización R/PT: P4

Hallazgos de la Auditoría H2
Dominio Entrega de Servicios y Soportes
Proceso Garantizar la continuidad del servicio
Objetivo de Control Estado del plan de continuidad del negocio
Descripción
No conformidad en la información necesaria sobre los requerimientos necesarios
para los backups de respaldo de información.
Recomendación
Se debe implementar un plan definido sobre los requerimientos necesarios para los
backups de información.
Causa
No existe la documentación.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en bajo, en cuanto al
impacto es leve.

Instalaciones de la organización R/PT: P4

Hallazgos de la Auditoría H3
Dominio Entrega de Servicios y Soportes
Proceso Definición de acuerdo de niveles de servicio
Objetivo de Control Acuerdos de niveles de servicio.
Descripción
Existen acuerdos de niveles de servicio, pero no se realizan frecuentemente
reuniones para notificar su cumplimiento.
Recomendación
El encargado de evaluar los SLA debe comunicar constantemente sobre el
complimiento de los acuerdos a los altos mandos de la organización.
Causa
La información cobre el cumplimiento de los acuerdos de niveles de servicio se lo
hace verbalmente a manera de reporte.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en bajo, en cuanto al
impacto es leve

Instalaciones de la organización R/PT: P3

Hallazgos de la Auditoría H4
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Objetivo de Control Escolta de Visitantes
Descripción
No existen identificación de áreas restringidas en la oficina del administrador, No
existen ningún tipo de detectores de humo, temperatura dentro de las oficinas, No
se cuenta con carteles visibles sobre las prohibiciones dentro de la organización.
Recomendación
El personal encargado del control y mantenimiento de las instalaciones debe realizar
identificación adecuada de las oficinas, debe solicitar los recursos económicos para
la adecuación y el mejoramiento de los espacios de trabajo
Causa
La gerencia no ha asignado recursos propios para la operación y buen
funcionamiento de la tecnología de las oficinas.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es medio

Instalaciones de la organización R/PT: P4

Hallazgos de la Auditoría H5
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Controles Ambientales
Descripción
No se cuenta con un contrato actualizado sobre el manteamiento para los equipos
de control ambiental.
Recomendación
El Administrador debe actualizar el contrato.
 Causa
Confusión en las fechas de vencimiento del contrato
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en bajo, en cuanto al
impacto es leve

Instalaciones de la organización R/PT: P6

Hallazgos de la Auditoría H6
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones
Objetivo de Control Seguridad Física
Descripción
Posiblemente existe acceso restringido a ciertos lugares de la organización, pero no
existe señalización de aquello.
Recomendación
El personal de seguridad física de la organización debe implementar señalética sobre
las prohibiciones, reglamentos de la organización.
Causa
Descoordinación.
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es leve

Dominio Monitoreo y seguimiento

Instalaciones de la organización R/PT: P6

Hallazgos de la Auditoría H7
Dominio Monitoreo y seguimiento
Proceso Monitorear y evaluar el desempeño de TI
Descripción
No existe documentación definida sobre las herramientas para realizar el monitoreo
y desempeño de las TI. No se realizan mediciones de desempeño de acuerdo con el
nivel de satisfacción de los usuarios.
Recomendación
Se debe documentar además de los procesos, la utilización de las herramientas de
monitoreo. Incluir in modulo integrado de quejas, sugerencias, opiniones sobre los
procesos de la organización.
Causa
Enfoque solo en los procesos de monitoreo
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en medio, en cuanto al
impacto es leve

Instalaciones de la organización R/PT: P6

 Hallazgos de la Auditoría H8
Dominio Monitoreo y seguimiento
Proceso Garantizar el cumplimiento regulatorio
Descripción
No se capacita al personal sobre las regulaciones y leyes externas aplicables a la
organización.
Recomendación
Se debe establecer reuniones periódicas o comunicados informando sobre las
regulaciones.
Causa
Desconocida
Nivel del Riesgo
En cuanto a la probabilidad de ocurrencia está clasificado en bajo, en cuanto al
impacto es leve
 5. CONCLUSIONES

 Los sistemas de monitoreo y evaluación del manejo de inversiones van siendo

implementados y deben orientarse no sólo hacia los departamentos financieros,
sino también de manera fundamental como un instrumento de planificación y
toma de decisiones.
 Es necesario la implementación de señalética sobre los reglamentos,
prohibiciones, lugares restringidos que sean visibles en cualquier área de las
instalaciones y en cualquier situación.

6. ANEXOS
Anexo: Definición planes estratégicos
Dominio Planificación y Organización
Proceso PO1: Definición de plan estratégico
Objetivo de Control Verificación el plan estratégico

Pregunta Si No OBSERVACIONES
¿La empresa tiene establecido el X
plan estratégico?

¿Existe una metodología para llevar X

acabo tal planificación?

¿La empresa cuenta con objetivos o X Su principal objetivo es el

metas planteadas? incremento de clientes

¿Se ha planteado planes X Llegar a un nivel de madurez alto

estratégicos a corto y largo plazo?

¿La empresa cuenta con una misión X

y visión las cuáles especifican las
metas a cumplirse?

¿La empresa cuenta con planes que X

reflejen el desarrollo de la
estructura de la tecnología?
Anexo: Definición de la organización y las relaciones de TI
Dominio Planificación y Organización
Proceso PO3: Definición de la organización y las
relaciones de TI
Objetivo de Control Verificación de las relaciones de TI

Pregunta Si No OBSERVACIONES
¿La empresa cuenta con una X
organización apropiada que se
encargue de vigilar la función de
servicios de información y sus
actividades?

¿Las funciones y responsabilidades X

de la empresa están claramente
definidas?

¿El personal que trabaja en la X Se realizan capacitaciones

empresa tiene la experiencia permanentes para su personal
necesaria para realizar sus
actividades?

¿Existen procesos, políticas de X

administración y procedimientos
para todas las actividades de la
empresa?

¿La empresa esta está conformado X

por una organización jerárquica?

¿Alguna entidad superior que X

forme parte del control de la
empresa realiza actividades dentro
de la empresa?

Anexo: Manejo de inversiones

Dominio Planificación y Organización
Proceso PO4: Manejo de inversiones
Objetivo de Control Verificación de las inversiones

Pregunta Si No OBSERVACIONES
Existe un presupuesto definido para X
la inversión en TI.

La institución identifica y controla X

los costos/beneficios de la inversión
realizada en TI.
¿Las inversiones son autorizadas, y
son propiedad de la empresa?
¿Todas las inversiones que posee la
empresa están incluidas en los
saldos de las cuentas
correspondientes?
¿Los valores con los cuales se
presentan las inversiones en los
Estados Financieros son correctos y
están debidamente revelados?
¿Tienen un valor en general los
activos de TI que se encuentra en la
empresa?
Anexo: Comunicación de direcciones y aspiraciones de la gerencia
Dominio
Proceso
Pregunta
¿De existir dichos proyectos sobre
las aspiraciones de las TI, esto da a
conocer con alguna metodología?
¿Se conoce cada uno de los
direccionamientos de los TI?
Anexo: Administración de los recursos humanos
Dominio
Proceso
X Algunas inversiones no son
propias de la empresa, ya que
como son intermediarios, las
aseguradoras les proporcionan
algunas herramientas
X La información del
departamento financiero
carece de alguna información.
X
X Tienen un estimado $50.000
Planificación y Organización
PO5: Comunicación la direcciones y
aspiraciones de la gerencia
Si No OBSERVACIONES
X
X Si se realiza la actividad, pero
no está documentada
Planificación y Organización
PO6: Administración de los recursos
humanos
 Pregunta Si No OBSERVACIONES
¿Disponen un manual de funciones X
para el personal de la empresa?

¿Se cumple las funciones por parte X

del personal de la empresa?

La base de evaluación se aplica X

consistentemente, de acuerdo con
la política aprobada por el consejo

Anexo: Administración de calidad

Dominio Planificación y Organización
Proceso PO7: Administración de calidad

Pregunta Si No OBSERVACIONES
¿Cuenta la empresa con estándares X
y sistemas de administración de
calidad para sus clientes y
proveedores?

¿Los planes de administración de X

calidad son actualizados y
mejorados con regularidad?

¿La empresa brinda un servicio de X

calidad?

Anexo: Evaluar y administrar los riesgos de TI

Dominio Planificación y Organización
Proceso PO8: Evaluar y administrar los riesgos de
TI
Pregunta Si No OBSERVACIONES
¿La empresa posee medidas de X  Acceso de tarjetas
seguridad? magnéticas

¿La empresa posee seguridad para X

resguardar la integridad física de los
equipos?
¿la empresa posee seguridad para X  Contraseñas estandarizadas,
resguardar el software y la respaldo de máquinas,
información? configuración tolerancia a
fallos
¿Cumplen las medidas de seguridad X
con el resultado esperado?
Anexo: Administración de proyectos
Dominio Planificación y Organización
Proceso PO9: Administración de proyectos
Pregunta Si No OBSERVACIONES
¿Existen proyectos que se X  Análisis de parámetros
encuentren en ejecución
actualmente en la empresa?
¿De existir dichos proyectos, X
cuentan estos con una metodología
establecida y alcance definido?
¿Cuenta la empresa con un plan de X  Si se realiza la actividad pero
prueba, entrenamiento y revisión no se encuentra
luego de ser aprobados? documentada
¿Tiene el proyecto X
responsabilidades asignadas al
personal encargado de la empresa?
¿Cuenta la empresa con proyectos X  Aún está en desarrollo todos
terminados y aprobados? los proyectos
¿Cuántos?

Anexo: Asegurar el cumplimiento de requerimientos externos

Dominio Planificación y Organización
Proceso PO10: Asegurar el cumplimiento de
requerimientos externos
Pregunta Si No OBSERVACIONES
¿Cumple la empresa con todas las X
regulaciones impuestas por el
estado?

¿Afectan las regulaciones X

mencionadas en la pregunta
anterior a los recursos de TI?

¿Cuenta la empresa con planes de X

búsqueda y actualización de las
regulaciones externas con el
propósito de actuar
oportunamente?

Hoja de Evaluación Nuevo Hardware

CUESTIONARIO PARA HARDWARE

Dominio Adquisición e Implementación
Proceso AI3: Adquirir y mantener la arquitectura tecnológica

Pregunta Si No OBSERVACIONES
X
¿Se cuenta con un inventario de
equipos de cómputo?
¿Si existe inventario contiene los X
siguientes ítems? Los inventarios no son detallados
Número del computador correctamente. La base de datos
Fecha posee algunos campos vacíos.
Ubicación
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene X
los datos?
Numero de hoja de vida
Número del computador
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas X Existe un registro de incidencias, ya
detectadas en los equipos? que hasta el momento solo se ha
presentado una incidencia.
¿En el registro de fallas se tiene en X Esta información no es presentada
cuenta con los siguientes datos? con detalle.
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una La atención es inmediata y de una a
falla en el equipo, la atención que 24 horas.
se presta es? X
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de X
mantenimiento para todos los
equipos?
¿Qué tipo de mantenimiento se Se lleva a cabo un 90% en el caso de
lleva a cabo? X mantenimiento preventivo y un 10
Mantenimiento preventivo % en el caso de mantenimiento
Mantenimiento correctivo correctivo
¿El personal puede instalar y X La empresa maneja aplicaciones
desinstalar programas en los específicas para su trabajo
equipos?
¿Al finalizar el horario de trabajo, X Los empleados entregan su equipo
se hace una revisión de los con un pequeño informe
equipos?

¿El personal que se encarga del X

mantenimiento es personal
capacitado?
X
¿Se lleva un procedimiento para la
adquisición de nuevos equipos?
¿La infraestructura tecnológica de X Solamente trabajan con windows
los equipos soporta la instalación
de diferentes sistemas operativos?
X
¿Son compatibles software y
hardware?
Hoja de Mantenimiento Preventivo para Hardware

Dominio Adquisición e Implementación

Proceso AI3: Adquirir y mantener la
arquitectura tecnológica
Objetivo de Control Mantenimiento Preventivo para
Hardware
Cuestionario
Pregunta SI NO OBSERVACIONES
¿Se lleva un control de los equipos en X
garantía, para que, a la finalización de ésta, se
integren a algún programa de
mantenimiento?

¿Se cuenta con servicio de mantenimiento X

para todos los equipos?

¿se realiza con frecuencia mantenimiento a X El mantenimiento se realiza

los equipos? con una frecuencia de 3
meses
¿Se cuenta con procedimientos definidos X
para la adquisición de nuevos equipos?
¿Se tienen criterios de evaluación para X
determinar el rendimiento de los equipos a
adquirir y así elegir el mejor?

Documentos probatorios presentados: X

AI3: Administrar Cambios

Dominio Adquisición e Implementación

Proceso AI3: Administrar Cambios
Objetivo de Verificación de Control de Cambios
Control
Cuestionario
Pregunta SI NO OBSERVACIÓN
 ¿Existe un procedimiento que maneje X Se encuentra en elaboración.
las solicitudes para cambios en la
infraestructura?

¿Se evalúan las solicitudes de cambio X

de los sistemas en términos
operacionales y funcionales?
X
¿Se realiza seguimiento y se reportan
los cambios a los interesados?

¿Se actualiza la documentación de X Cuenta con los manuales de

usuario y procedimientos después de usuario
un cambio?

¿Posee un plan de revisiones para X Se encuentra en elaboración.

garantizar la completa implantación
de cambios?

Hoja de Evaluación: Cambios de emergencia

Dominio Adquisición e Implementación

Proceso AI6.3 Cambios de Emergencia

Pregunta Si No OBSERVACIONES

En este caso se usa un sistema de

¿La administración define X monitoreo y se reporta mediante
parámetros, características y correo electrónico.
procedimientos que identifican y
declaran emergencias?
De existir cuales son.

¿Todos los cambios de emergencia X Cuenta con un reporte de

son documentados sino antes, incidencias de las emergencias
después de la implementación? acontecidas.

¿Todos los cambios de emergencia X Si son cambios de emergencia, se

son probados, sino antes, después de los realiza en el momento que se
la implementación? presenta la emergencia, y luego se
 realiza el procedimiento, pero no
existe un documento de respaldo.

¿Todos los cambios de emergencia

son formalmente autorizados por la X
universidad y el responsable de la
data center antes de su
implementación?

Cuestionario: Evaluar el estado (Plan de continuidad de negocio)

R/PT
Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Garantizar la continuidad de los servicios
Cuestionario
Pregunta SI NO Observaciones
¿Cuenta con una serie de acciones a x
incidentes definidas después de cada
evento de interrupción?
¿Existen planes de continuidad efectivos x No se proporcionó documentación
implantados en los socios y proveedores?
¿Hay condiciones y procedimientos que x
permitan la reanudación de los procesos
del negocio?
¿Se lleva a cabo unos procesos de x Automatizados
actualización y conciliación de las bases
de datos que preserven la integridad de la
información?
¿Se definieron requerimientos sobre que x No existe documentación
documenten claramente que archivos,
ficheros y en general que tipo de
información se le deben hacer backups?
¿Lleva un registro del número de x
incidentes significativos relacionados con
las TI e incidentes en el servicio?
¿Existen registros que ayuden a x
identificar el nivel de satisfacción de los
clientes por el servicio de TI entregado?

Check-List : Evaluar la seguridad de sistemas

R/PT
Check-List de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Garantizar la seguridad de los sistemas
Cuestionario
Pregunta SI NO Observaciones
¿Cuenta con un plan de Seguridad de TI? x
Administración de Cuentas del Usuario x
Pruebas, Vigilancia y Monitoreo de la x Semestralmente
Seguridad
Documentación de Incidente de x
Seguridad
¿Se cuenta con planes de prevención, x Planes correctivos
detección y corrección de software
malicioso?
Seguridad de la Red x Manejo de proxys

Cuestionario: Protección contra factores ambientales (Seguridad Fisica)

Lista de chequeo Empresa DAYOLA R/PT
Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Seguridad Física
Control
Cuestionario
Pregunta SI NO Observaciones
¿Se tienen lugares de acceso restringido? x Pero no hay señalización
¿Se poseen mecanismos de seguridad x
para el acceso a estos lugares?
¿A este mecanismo de seguridad se le han x
detectado debilidades?
¿Tiene medidas implementadas ante la x
falla del sistema de seguridad?
¿Se tiene un registro de las personas que x
ingresan a las instalaciones?

Lista de Chequeo: Administración de instalaciones

Empresa DAYOLA R/PT
Lista de chequeo LC3
Dominio Entrega de Servicios y Soportes
Proceso DS12: Administración de Instalaciones.
Objetivo de Escolta de Visitantes
Control
 Cuestionario
Pregunta SI NO Observaciones
¿Las instalaciones (cubículos y oficinas) x
fueron diseñadas o adaptadas
específicamente para funcionar como una
empresa?
¿Se tiene una distribución del espacio x
adecuada, de forma tal que facilite el
trabajo y no existan distracciones?
¿Existe suficiente espacio dentro de las x
instalaciones de forma que permita una
circulación fluida?
¿Existen lugares de acceso restringido? x
¿Se cuenta con sistemas de seguridad x
para impedir el paso a lugares de acceso
restringido?
¿Se cuenta con sistemas de emergencia x
como son detectores de humo, alarmas, u
otro tipo de censores?
¿Existen señalizaciones adecuadas en las x
salidas de emergencia y se tienen
establecidas rutas de evacuación?
¿Se tienen medios adecuados para x
extinción de fuego en el centro de
cómputo?
¿Se cuenta con iluminación adecuada y x
con iluminación de emergencia en casos
de contingencia?
¿Se tienen sistemas de seguridad para x
evitar que se sustraiga equipo de las
instalaciones?
¿Son funcionales los muebles instalados x
dentro del centro de cómputo?
¿Existen prohibiciones para fumar, x
consumir alimentos y bebidas?
¿Se cuenta con suficientes carteles en x
lugares visibles que recuerdan estas
prohibiciones?
¿Con cuanta frecuencia se limpian las x Diariamente
instalaciones?

Lista de Chequeo: Protección contra factores ambientales (controles ambientales)

Empresa DAYOLA R/PT

Lista de chequeo LC4
Dominio Entrega de Servicios y Soportes
Proceso Protección contra Factores Ambientales
Objetivo de Control Controles Ambientales
Cuestionario
Pregunta SI NO Observaciones
¿Las instalaciones tienen alguna sección x
con sistema de refrigeración?

¿Con cuanta frecuencia se revisan y x semanal

calibran los controles ambientales?
¿Se tiene contrato de mantenimiento para x Desactualizado
los equipos que proporcionan el control
ambiental?
¿Se tienen instalados y se limpian x
regularmente los filtros de aire?
¿Se tiene plan de contingencia en caso de x Plan correctivo
que fallen los controles ambientales?

Cuestionario: Definir y administrar los niveles de servicio

Lista de chequeo Empresa DAYOLA R/PT
Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Definir y administrar los niveles de servicio
Cuestionario
Pregunta SI NO Observaciones
¿Se cuenta con acuerdos de niveles de X
servicio (SLA)?
¿Ha formalizado SLA internos y externos? X
¿Cuáles?
¿Existe notificación del cumplimiento de X
los SLA?
¿Realizan reuniones con frecuencia para X
notificar los SLA?
¿Mide el cumplimiento de los SLA en base X
a porcentajes de interesados satisfechos?
¿Brindan un “plus” para cumplir con algo X
más que no se encuentre en los SLA?
¿Quién es el encargado de evaluar los X Administrador de TI
SLA?
¿Los SLA le han permitido alinear sus X
servicios de TI con los requerimientos del
negocio?
Lista de control: Monitorear y evaluar el desempeño de TI
ME1 – MONITORER Y EVALUAR EL DESEMPEÑO DE TI
No. Pregunta SI No Observaciones
¿La organización cuenta con un proceso de
1 monitoreo?  Note inside
¿El monitoreo se encuentra implantado o se
realiza cuando ocurren incidentes que ha
2 ocasionado pérdidas a la organización?  Monitoreo Continuo
¿Se recolecta información del proceso de
3 monitoreo para su posterior evaluación? 
¿Existe un método o técnica para la recolección
4 de información?  Estadística
¿Las evaluaciones se realizan a nivel de
procesos y proyectos individuales de TI o a nivel
5 de los procesos en general? 
¿Se han definido herramientas para realizar el
monitoreo de los procesos y los niveles de
6 servicio de TI? x Solo Procesos
¿Se han definido mediciones del nivel de
satisfacción de los usuarios, del desempeño de
7 TI, las estrategias y los niveles de servicio? x
¿Las herramientas automatizadas son utilizadas
en todos los niveles de la organización para
monitorear y recolectar la información de los
8 procesos, sistemas y aplicaciones? 

Lista de control: Garantizar el cumplimiento regulatorio

ME3 – GARANTIZAR EL CUMPLIMIENTO REGULATORIO

No. Pregunta SI No Observaciones
¿Existen procesos para mantener el
cumplimiento de requisitos legales, estándares,
contractuales y regulatorios? ¿Se encuentran
1 actualizados? 
¿Estos procesos se siguen con regularidad o en
respuesta a auditorias o revisión? ¿Han sido
comunicadas a todos los niveles de la
2 organización? 
¿Se realiza capacitación y entrenamiento sobre
regulaciones y leyes externas aplicables a la
3 organización? x
 ¿Existe contratos proforma y procesos legales
4 estándar para minimizar el riesgo contractual? 

¿Se realiza monitoreo sobre el cumplimiento de

leyes y regulaciones? ¿Existen requisitos de
5 cumplimiento que no han sido resueltos? 