Beruflich Dokumente
Kultur Dokumente
pe/bitstream/handle/UNPRG/1221/BC-TES-
5923.pdf?sequence=1&isAllowed=y
1. RESUMEN EJECUTIVO
Se propuso evaluar los niveles de gestión de la empresa Dayola, para ello se trabajó en
un proceso de auditoria genérico y de alto nivel, compuesto por planificación,
ejecución y desarrollo del informe. Mediante la utilización del marco de
referencia COBIT, a fin de identificar debilidades y emitir recomendaciones que
permitan minimizar los riesgos.
El presente resumen fue elaborado en base a los check-list realizados, para lo cual en cada dominio se dio una valoración del 100% a todos los procesos
realizados en la empresa, de los cuales se analizó las preguntas que conforman cada proceso y contabilizó cuantas presentan conformidad y no
conformidad y en base al total de preguntas de dicho proceso se sacó el porcentaje de aceptación de cada proceso, y para obtener el porcentaje de cada
dominio se realizó un promedio de todos los porcentajes obtenidos por los procesos que lo abarcan.
REQUERIMIENTOS PROMEDIO
DOMINIO OBJETIVO DE CONTROL NO PORCENTAJE DE
CONFORMIDAD
CONFORMIDAD ACEPTACION
Definición de planes estratégicos 5 1 83,33%
Definición de la organización y las
5 1 83,33%
relaciones de TI
Manejo de inversiones 4 2 66.66%
Comunicación de los objetivos y
1 1 50%
PLANIFICACION Y direccionamiento de las TI
58.33%
ORGANIZACIÓN Administración de los recursos humanos 2 1 66.66%
Administración de calidad 2 1 66.66%
Evaluar y administrar los riesgos de TI 3 1 75%
Administración de proyectos 0 5 0%
Cumplimiento de requerimientos
2 1 33,33%
externos
Adquirir y mantener la arquitectura
8 6 57.14%
tecnológica
ADQUISICION E Mantenimiento preventivo para hardware 6 0 100%
74.29%
IMPLEMENTACION
Verificación de control de cambios 2 3 40%
Objetivos
Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una
auditoría a la gestión y control de las TI de la organización.
Objetivos específicos:
Planificar la auditoría que permita identificar las condiciones actuales de la gestión de las TI de la
organización
Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT
como herramienta de apoyo en el proceso evaluación de la gestión de las TI.
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del
hardware, software, procesos, procedimientos y la red de datos y eléctrica de la organización,
con el fin de verificar el cumplimiento de normas y la prestación de sus servicios para optimizar
el uso de los recursos existentes para mejorar el servicio a los usuarios.
Instalaciones eléctricas
Instalación cableada de la red de datos
Sistemas de protección eléctrico
Seguridad de acceso físico a las instalaciones
Seguridad de acceso lógico a las instalaciones
B. Metodología de la investigación
El presente trabajo, describe la Auditoría Informática de los Sistemas de Tecnología e Información
a realizar a Dayola empresa aseguradora. Utilizando la metodología COBIT, "una herramienta
desarrollada para, ayudar a los administradores de negocios a entender y administrar los riesgos
asociados con la implementación de nuevas tecnologías, las buenas prácticas de COBIT están
enfocadas en el ambiente de control óptimo que debe tener una empresa para de esta manera
lograr una alineación efectiva entre TI y los objetivos de negocio.
El fin de esta revisión técnica es identificar debilidades y emitir recomendaciones que permitan
minimizar riesgos.
Para llevar a cabo la presente Auditoría, se realizaron las siguientes actividades:"
- Entregar un listado de requerimientos a la entidad a ser auditada.
- Revisar la documentación entregada al Equipo de Auditoría.
- Se formularán preguntas, con el fin de aclarar ciertos puntos de la documentación.
- Se elaborarán encuestas al personal de la entidad.
- En base a los resultados obtenidos, se llevaron a cabo las entrevistas que constituye un método
de auditoría personalizada, para profundizar en la indagación.
- Tomando como base las encuestas y las entrevistas, se elaboraron las pruebas sustantivas
(checklist) y se recopilaron evidencias.
- De acuerdo con los resultados obtenidos en las encuestas, entrevistas y pruebas sustantivas y,
alineando todos estos resultados con cada objetivo de control, que 18 propone COBIT, se
presentaron las observaciones y recomendaciones emitidas en un informe a la Gerencia.
D. Trabajo de campo
El proceso de la auditoría informática es similar al que se lleva a cabo a los de estados financieros,
en el cual, los objetivos principales son: salvaguardar los activos, asegurar la integridad de los
datos, la consecución de los objetivos gerenciales y, la utilización racional de los recursos, con
eficiencia y eficacia, para lo que se realiza la recolección y evaluación de evidencias.
Para que una auditoría sea exitosa, debe tomar en cuenta muchos de los aspectos tratados en el
punto anterior. A continuación, se muestra un gráfico que muestra cómo actúan conjuntamente
todos los componentes, tanto de la empresa como del auditor, para que se genere una auditoría
efectiva y eficaz.
Matriz de Campo
DOMINIO PLANIFICACION Y ORGANIZACION
Definir
1 y manejar niveles de servicio Cuestionario
Solicitar a la empresa la documentación Cuestionario: Definir y administrar los
DS1. Definición de Monitorear niveles de servicio correspondiente a los acuerdos de niveles de servicio niveles de servicio
acuerdo de niveles 2 (SLA) y un plan de monitoreo de estos.
de servicio )
Estado
1 de la empresa para Cuestionario
establecer
) y mantener un plan de Solicitar a la empresa el plan de continuidad de Cuestionario: Evaluar el estado (Plan
DS4. Garantizar la continuidad del servicio servicios. de continuidad de negocio)
continuidad del Estado del BCP (Plan de continuidad
servicio de negocio)
2
)
Estado
1 de la empresa para Cuestionario
DS5. Garantizar la establecer
) y mantener un plan de Solicitar a la empresa el plan de seguridad de los Check-List : Evaluar la seguridad de
seguridad de los seguridad de los sistemas sistemas sistemas
sistemas
PLANIFICACIÓN PRELIMINAR
Nombre de la Aseguradora DAYOLA
empresa
ITEMS ESTRATÉGICOS Y ORGANIZACIONALES
Objetivo(s)
Verificar que la empresa cuente con un plan estratégico que
defina sus objetivos, misión, visión.
Analizar que las metas de la empresa se cumplan a largo o corto
plazo.
Métricas Planes estratégicos
Niveles de investigación de proyectos de TI
Inversión en infraestructura
Niveles financieros
.
Técnicas / Se realizó una entrevista al administrador de la empresa y los auxiliares
Instrumentos del mismo, los instrumentos a usar fueron un cuestionario
Resultados
La empresa cuenta con planes estratégicos
Responsable(s)
Importancia o Alta Escala de medición Baja 83.3%
criticidad
PLANIFICACION Y ORGANIZACION
Nombre del Definición de la organización y las relaciones de TI
proceso
Descripción Establecer habilidades, tareas y responsabilidades que aseguran la
transparencia y el control, así como el involucramiento de los altos
ejecutivos y de la gerencia del negocio.
Objetivo(s)
Definir los requerimientos del personal, funciones, rendición de
cuentas, autoridad, roles, responsabilidades y supervisión de la
empresa
Métricas Determinación del marco de trabajo de los procesos de TI
Definición de un modelo de infraestructura organizacional
apropiada.
Modelo de cargos, roles y habilidades.
Técnicas / Se realizó una entrevista gerente de la empresa, el instrumento a usar
Instrumentos fue un cuestionario.
PLANIFICACION Y ORGANIZACION
Nombre del Manejo de la Inversión
proceso
Descripción Generar un plan para generar las inversiones que deben tener un gran
control por parte de los departamentos financieros, ya que estas son la que
en un momento pueden darle a la organización un aporte de recursos
importantes.
Objetivo(s)
Verificar si la organización cuenta con la realización de una planeación
y análisis de inversiones adecuados.
Obtener información acerca de las transacciones de inversiones más
representativas en relación con los procedimientos.
Revisar que exista un completo análisis del manejo de las inversiones
para identificar fallas y aplicar las correcciones necesarias.
PLANIFICACION Y ORGANIZACION
Nombre del Comunicación de la dirección y aspiraciones de la gerencia
proceso
Descripción Satisfacer los requerimientos de negocio de TI para una información precisa y
oportuna sobre los servicios actuales y futuros, los riesgos asociados y las
responsabilidades enfocándose en proporcionar políticas, procedimientos,
directrices y otra documentación aprobada, de forma precisa y entendible y que
se encuentre dentro del marco de trabajo de control de TI.
Objetivo(s)
Verificar si la organización cuenta con la realización de una planeación y
análisis de inversiones adecuados.
Obtener información acerca de las transacciones de inversiones más
representativas en relación con los procedimientos.
Revisar que exista un completo análisis del manejo de las inversiones para
identificar fallas y aplicar las correcciones necesarias.
Responsable(s)
Importancia o Media Media 50%
criticidad Escala de medición
PLANIFICACION Y ORGANIZACION
Nombre del proceso Administración de Recursos Humanos
Descripción La administración de recursos humanos de las políticas, los procedimientos,
la documentación y los sistemas de recursos humanos, con el fin de
identificar las necesidades de mejora y crecimiento de la función de
recursos humanos, así como de asegurar el cumplimiento de las siempre
cambiantes normas y reglamentos.
Objetivo(s)
Verificar si la organización cuenta con un sistema o un manual
para realizar el debido monitoreo, práctica.
Identificar si existe una adecuada capacitación del personal al
momento de ingresar al trabajo con los equipos.
Métricas
Títulos de capacitaciones del personal
Nivel de capacidad del personal encargado de manejar cada
departamento
Técnicas / Se realizó una entrevista a los encargados
Instrumentos instrumento utilizado fue un cuestionario. Anexo: Administración de los
recursos humanos
Resultados
La administración cuenta con un sistema en planeación por lo
que obtiene 3 meses de funcionamiento
Existe un reporte de horas de capacitación al personal.
Responsable(s)
Importancia o Media Escala de Alta 66.66%
criticidad medición
PLANIFICACION Y ORGANIZACION
Nombre del proceso Asegurar el cumplimiento de requerimientos externos
Descripción Su propósito es que se cumplan las leyes y ordenanzas impuestas por el
estado.
Objetivo(s)
Verificar el cumplimiento de los requerimientos externos.
Evaluar el impacto de los requerimientos externos en las TI.
Técnicas / Se realizó una entrevista al personal asignado y los auxiliares del mismo,
Instrumentos los instrumentos fueron dos cuestionarios. Anexo: Asegurar el
cumplimiento de requerimientos externos
Resultados La empresa cumple con todas las leyes y ordenanzas impuestas por la Ley
y estas sí afectan a los activos de TI ya que deben estar sujetos a todos los
requerimientos externos. Cuenta con un plan de actualización de la
información para realizar cambios oportunos en caso de que cambien los
requerimientos externos.
Responsable(s)
Importancia o Alta Escala de Alta 66.66%
criticidad medición
PLANIFICACION Y ORGANIZACION
Nombre del Evaluación de riesgos
proceso
Descripción Busca asegurar el logro de los objetivos de TI y responder a las amenazas
hacia la provisión de medidas para mitigar los riesgos.
Objetivo(s)
Mitigar los posibles riesgos que puedan presentar los activos de
TI.
Asegurar que los activos de TI se encuentren alineados con los
objetivos de los mismos.
Métricas Medidas de seguridad para el ingreso del personal.
Medidas de seguridad para el resguardo de la integridad
física de TI.
Medidas de seguridad para el resguardo de la información.
Técnicas / Se realizó una entrevista al personal asignado, los instrumentos fueron
Instrumentos dos cuestionarios. Anexo: Evaluar y administrar los riesgos de TI
Resultados Se cuenta con medidas de seguridad tanto físicas como lógicas lo cual ha
resguardado la integridad física de los equipos, su software, programas e
información de manera efectiva.
Responsable(s)
Importancia o Alta Escala de medición Alta 75%
criticidad
PLANIFICACION Y ORGANIZACION
Nombre del Administración de proyectos
proceso
Descripción Busca asegurar el logro de los objetivos de TI por medio de proyectos
alineados con los objetivos de TI del laboratorio.
Objetivo(s)
Establecer prioridades y entregar servicios oportunamente.
Monitoreo de proyectos en ejecución y finalizados.
PLANIFICACION Y ORGANIZACION
Nombre del Administración de calidad
proceso
Descripción Busca cumplir con los requerimientos o necesidades del cliente.
Objetivo(s)
Cumplir con la satisfacción del cliente mediante la
implementación de estándares de calidad y sistemas de
administración de la calidad.
Métricas Documentación de administración de calidad.
ADQUISICION E IMPLEMENTACION
Nombre del Plan de Adquisición de Infraestructura Tecnológica
proceso
Descripción Generar un plan para adquirir, implantar y mantener la infraestructura
tecnológica que satisfaga los requerimientos establecidos funcionales y
técnicos del negocio y, que esté de acuerdo con la dirección tecnológica de
la organización.
Objetivo(s)
Verificar si la organización cuenta con un plan de adquisición e
implantación de infraestructura tecnológica.
ADQUISICION E IMPLEMENTACION
Nombre del proceso Mantenimiento Preventivo para Hardware
ADQUISICION E IMPLEMENTACION
Nombre del Cambios de Emergencia
proceso
Descripción Establecer un proceso para definir, plantear, evaluar y autorizar los cambios
de emergencia que no sigan el proceso de cambio establecido. La
documentación y pruebas se realizan, posiblemente, después de la
implantación del cambio de emergencia.
Objetivo(s)
Verificar si la organización cuenta con un sistema de
administración que defina parámetros, características y
procedimientos que identifiquen emergencias.
Identificar si existe una autorización formal previa frente a los
cambios de emergencia y si estos son documentados y probados
antes o después de la implementación.
Resultados
La administración cuenta con un sistema de monitoreo escaso que define
parámetros, características y procedimientos para la identificación y
declaración de emergencias que se reporta mediante correo electrónico.
Existe un reporte no detallado de incidencias de los cambios emergentes
previos a la implementación.
No existe un documento que respalde que los cambios emergentes son
probados antes de su implementación.
Responsable(s
)
Importancia o Alta Escala de medición Alta 40%
criticidad
ADQUISICION E IMPLEMENTACION
Nombre del Administrar Cambios
proceso
Descripción Los cambios deben administrarse debidamente y controladamente, los
cambios tanto en mantenimiento, procedimientos, procesos, sistemas y
parámetros del servicio deben registrar, evaluar y autorizar previo a la
implementación, esto garantiza la reducción de riesgos.
Objetivo(s)
Minimizar la probabilidad de interrupciones, alteraciones no
autorizadas y errores.
Establecer que las solicitudes de cambio se evalúen de una manera
ordenada en cuanto a impactos en el sistema operacional y su
funcionalidad.
6. ANEXOS
Anexo: Definición planes estratégicos
Dominio Planificación y Organización
Proceso PO1: Definición de plan estratégico
Objetivo de Control Verificación el plan estratégico
Pregunta Si No OBSERVACIONES
¿La empresa tiene establecido el X
plan estratégico?
Pregunta Si No OBSERVACIONES
¿La empresa cuenta con una X
organización apropiada que se
encargue de vigilar la función de
servicios de información y sus
actividades?
Pregunta Si No OBSERVACIONES
Existe un presupuesto definido para X
la inversión en TI.
Pregunta Si No OBSERVACIONES
¿De existir dichos proyectos sobre X
las aspiraciones de las TI, esto da a
conocer con alguna metodología?
Pregunta Si No OBSERVACIONES
¿Cuenta la empresa con estándares X
y sistemas de administración de
calidad para sus clientes y
proveedores?
Pregunta Si No OBSERVACIONES
X
¿Se cuenta con un inventario de
equipos de cómputo?
¿Si existe inventario contiene los X
siguientes ítems? Los inventarios no son detallados
Número del computador correctamente. La base de datos
Fecha posee algunos campos vacíos.
Ubicación
Responsable
Características (memoria,
procesador, monitor, disco duro)
Se lleva una hoja de vida por equipo
¿La hoja de vida del equipo tiene X
los datos?
Numero de hoja de vida
Número del computador
correspondiente
Falla reportada
Diagnóstico del encargado
Solución que se le dio
¿Se posee un registro de fallas X Existe un registro de incidencias, ya
detectadas en los equipos? que hasta el momento solo se ha
presentado una incidencia.
¿En el registro de fallas se tiene en X Esta información no es presentada
cuenta con los siguientes datos? con detalle.
Fecha
Hora
Número de registro
Número del computador
Encargado
¿Al momento de presentar una La atención es inmediata y de una a
falla en el equipo, la atención que 24 horas.
se presta es? X
Inmediata
De una a 24 horas
De un día a 5 días
Más de 5 días
¿Se cuenta con servicio de X
mantenimiento para todos los
equipos?
¿Qué tipo de mantenimiento se Se lleva a cabo un 90% en el caso de
lleva a cabo? X mantenimiento preventivo y un 10
Mantenimiento preventivo % en el caso de mantenimiento
Mantenimiento correctivo correctivo
¿El personal puede instalar y X La empresa maneja aplicaciones
desinstalar programas en los específicas para su trabajo
equipos?
¿Al finalizar el horario de trabajo, X Los empleados entregan su equipo
se hace una revisión de los con un pequeño informe
equipos?
Pregunta Si No OBSERVACIONES
R/PT
Cuestionario de Control LC6
Dominio Entrega de Servicios y Soportes
Proceso Garantizar la continuidad de los servicios
Cuestionario
Pregunta SI NO Observaciones
¿Cuenta con una serie de acciones a x
incidentes definidas después de cada
evento de interrupción?
¿Existen planes de continuidad efectivos x No se proporcionó documentación
implantados en los socios y proveedores?
¿Hay condiciones y procedimientos que x
permitan la reanudación de los procesos
del negocio?
¿Se lleva a cabo unos procesos de x Automatizados
actualización y conciliación de las bases
de datos que preserven la integridad de la
información?
¿Se definieron requerimientos sobre que x No existe documentación
documenten claramente que archivos,
ficheros y en general que tipo de
información se le deben hacer backups?
¿Lleva un registro del número de x
incidentes significativos relacionados con
las TI e incidentes en el servicio?
¿Existen registros que ayuden a x
identificar el nivel de satisfacción de los
clientes por el servicio de TI entregado?