Beruflich Dokumente
Kultur Dokumente
ESCUELA PROFESIONAL
DE INGENIERÍA DE SISTEMAS
Curso:
Auditoria de Sistemas
“COBIT 4.1”
Grupo: 18
Docente:
Ing. Jesús Zuñiga Cueva
Integrantes:
Arequipa Perú
201
Tabla de Contenido
I. MODELO DE MEJORES PRÁCTICAS UTILIZADO: COBIT ..................................................................... 4
II. PROCESOS DE COBIT RELACIONADOS CON LA AUDITORIA ............................................................ 6
III. COBIT Y AUDITORIA ........................................................................................................................ 7
3.1 ENTIDAD AUDITADA: SOFTMASMAS S.A.C. .............................................................................. 7
3.2 ALCANCE DE LA AUDITORIA ...................................................................................................... 7
3.3 NORMA APLICADA..................................................................................................................... 8
3.4 DIAGNÓSTICO DE LA EMPRESA “SOFTMASMAS S.A.C” ............................................................ 9
Ubicación Geográfica .................................................................................................................. 9
Antecedentes .............................................................................................................................. 9
Misión, Visión y Objetivos ........................................................................................................... 9
Fortalezas, Oportunidades, Debilidades y Amenazas ............................................................... 10
Fortalezas .................................................................................................................................. 10
Oportunidades .......................................................................................................................... 11
Debilidades ................................................................................................................................ 11
Amenazas .................................................................................................................................. 12
IV. REALIZACIÓN DE LA AUDITORIA .................................................................................................. 13
4.1 MODELOS DE MADUREZ DE LOS PROCESOS ........................................................................... 13
REPORTE GENERAL DE GRADOS DE MADUREZ ......................................................................... 30
RESUMEN DE ANÁLISIS POR DOMINIOS: .................................................................................. 30
V. ANALISIS Y RESULTADOS ............................................................................................................... 31
Informe Técnico ............................................................................................................................ 31
ALCANCE .................................................................................................................................... 31
OBJETIVOS ................................................................................................................................. 31
Dominio a Plantear y Organizar .................................................................................................... 31
Dominio Adquirir e implementar .................................................................................................. 32
Dominio Entregar y Dar Soporte ................................................................................................... 32
Dominio Monitorear y Evaluar ...................................................................................................... 33
Impacto sobre los Criterios de Información .................................................................................. 33
VI. CONCLUSIONES Y RECOMENDACIONES....................................................................................... 34
CONCLUSIONES ............................................................................................................................. 34
RECOMENDACIONES ..................................................................................................................... 35
BIBLIOGRAFIA .................................................................................................................................... 35
ANEXOS ............................................................................................................................................. 36
Auditoría a la Empresa:
“SOFTMASMAS S.A.C.”
Eficiencia
Efectividad
Confidencialidad
Integridad
Disponibilidad
Cumplimiento y
Confiabilidad de la información.
a) Planeación y Organización,
b) Adquisición e Implementación
d) Monitoreo.
Específicamente COBIT provee Modelos de Madurez para el control sobre los procesos de TI de tal
forma que la Administración puede ubicarse en el punto donde la organización está hoy, donde está
en relación con los “mejores de su clase” en su industria y con los estándares internacionales y así
mismo determinar adonde quiere llegar.
Por lo tanto, COBIT está diseñado para ser la herramienta de gobierno de TI que ayude al
entendimiento y a la administración de los riesgos así como de los beneficios asociados con la
información y sus tecnologías relacionadas.
PROCESOS COBIT
P05 Administrar las inversiones (en TI) DS5 Garantizar la seguridad de los sistemas
Gerencia
General
Hardware Adicional:
• 2 PCs Tipo Desktop, RAM: 8G, Procesador Intel:Corei5 – (Servidor Web y Correo – Servidor
de Archivos y Servidor Proxy )
Ubicación Geográfica
Antecedentes
SOFTMASMAS S.A.C.es una empresa de desarrollo de software creada en el año 2012 en Arequipa,
Perú. Como empresa de desarrollo de software, nuestro objetivo es utilizar las más modernas
tecnologías para brindar a las empresas de la región, aplicaciones y software de última generación
que logren automatizar los complejos procesos empresariales y productivos con la mayor eficiencia
y rentabilidad posible.
Nuestro equipo formado por un experimentado grupo de jóvenes profesionales de alta calificación,
nos hace una importante empresa de desarrollo de software en el mercado local y con una gran
experiencia en el desarrollo de software de última generación.
Nuestra meta frente a nuestros clientes es ser su empresa de desarrollo de software aliada, para
logar de forma conjunta la mayor eficiencia de sus procesos productivos y empresariales, garantizar
el crecimiento y la productividad de la empresa.
Misión
Brindar soluciones informáticas innovadoras y de alta calidad, permitiendo a nuestros clientes poder
administrar e integrar su información, automatizando sus procesos de negocio e incrementando su
competitividad.
Visión
Ser reconocidos como líderes en la Región por la calidad de nuestros productos y servicios. Y
establecer relaciones comerciales duraderas basadas en la excelencia y la satisfacción. Nuestro
método de trabajo está adaptado a la filosofía de la empresa: Software a medida del cliente.
Objetivos
Objetivo general
Objetivos Específicos
Fortalezas
En el área de Proyectos la empresa de “SOFTMASMAS S.A.C.” cuenta con una fiel lista
de clientes que debido a su adecuado desempeño, se han convertido en su mejor
respaldo para el cumplimiento de sus objetivos como empresa.
El personal con el que se cuenta se sienten identificados con los objetivos de la empresa
y es por lo cual se consiguen los logros obtenidos y así también con los de nuestros
clientes.
El área de proyectos cuenta con las herramientas tanto de hardware como software
para implementar los sistemas deseados.
Oportunidades
Existencia de gran variedad de sistemas en el mercado que pueden ser adaptados a las
necesidades internas de la empresa.
Debilidades
Quizá uno de sus aspectos en contra es su poca inversión en publicidad lo cual conlleva
a ser poco conocidos entre la población.
El ser una empresa nueva en el rubro de alguna manera hace que sus clientes tengan
una mínima pero relevante percepción de desconfianza.
Presupuesto.
Por ser un nuevo negocio las demás empresas sienten un grado de desconfianza al
momento de optar por nuestros servicios.
Amenazas
La continua oferta que tienen las demás empresas en busca de ganar demanda de los
clientes
La inconformidad de los clientes por servicios o productos que no han llenado sus
necesidades.
Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de
los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la
Organización que a su vez califica el nivel en dicho objetivo.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones del
√
4 negocio. El proceso está bien
organizado y es preventivo.
El proceso de adquisición y √
Nivel mantenimiento de la infraestructura
5 de tecnología es preventivo y está
estrechamente en línea con las
aplicaciones críticas del negocio y con
la arquitectura de la tecnología.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisición de infraestructura tecnológica.
Garantizar la disponibilidad de la infraestructura tecnológica.
Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI5: Adquirir Recursos de TI
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisión con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes objetivos de control:
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
detección de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementación de la seguridad, de igual forma monitorear
esta.
DOMINIO: MONITOREAR Y EVALUAR
ME1: Monitorear y Evaluar el Desempeño de TI
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
Se ha definido un programa de
educación y entrenamiento para el
monitoreo del control interno. Se ha
Nivel definido también un proceso para
3 auto evaluaciones y revisiones de √
aseguramiento del control interno, con
roles definidos para los
responsables de la administración
del negocio y de TI.
Se han implantado herramientas para
estandarizar evaluaciones y para
detectar de forma
automática las excepciones de
control. Se ha establecido una función
Nivel √
4 formal para el control interno de TI, con
profesionales especializados y
certificados que utilizan un marco de
trabajo de control formal avalado por la
alta dirección.
RECOMENDACIONES
Para el proceso ME2 de COBIT estable los siguientes objetivos de control:
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre
las TI.
Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el
Corto Plazo:
Realizar una auto-evaluación del control interno de la administración de procesos,
políticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeño de TI.
REPORTE GENERAL DE GRADOS DE MADUREZ
No todo el personal de “SOFTMASMAS S.A.C” entiende los objetivos de TI, son pocos los usuarios
que comprenden la importancia de estos para el cumplimiento de las metas de “SOFTMASMAS
S.A.C”
V. ANALISIS Y RESULTADOS
Informe Técnico
ALCANCE
Mediante esta auditoría se pretende evaluar el estado actual de la Empresa “SOFTMASMAS S.A.C”,
mediante este proceso se podrá brindar a la Empresa c sus respectivas conclusiones y
recomendaciones para cada uno de los procesos evaluados en cada dominio según la
metodología COBIT 4.1.
OBJETIVOS
RECOMENDACIONES COBIT
• Establecer un diseño de clasificación de datos que aplique a todo “SOFTMASMAS S.A.C”,
basado en la información crítica y sensible.
• Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrónico, como bases de datos,
almacenamiento de datos y archivos.
PO5. ADMINISTRAR LA INVERSIÓN DE TI
RECOMENDACIONES COBIT
• Mejorar de forma continua la administración de inversiones
en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.
• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma
de decisiones de inversiones.
RECOMENDACIONES COBIT
• Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.
• Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de
cambios de esta.
RECOMENDACIONES COBIT
• Establecer buenas relaciones con la mayoría de proveedores y
socios.
• Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los
términos contractuales.
RECOMENDACIONES COBIT
• Realizar pruebas a la implementación de la seguridad, de igual forma monitorear
esta.
• Garantizar que las características de posibles incidentes de seguridad sean definidas y
comunicadas de forma clara y oportuna.
RECOMENDACIONES COBIT
• Definir y recolectar los datos del monitoreo mediante un conjunto de
objetivos, mediciones, metas y comparaciones de desempeño.
• Evaluar el desempeño comparándolo periódicamente con las metas.
RECOMENDACIONES COBIT
• Realizar una auto-evaluación del control interno de la administración de procesos,
políticas y contratos de TI.
• Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de
los controles internos.
• Verificar que los proveedores externos cumplan con los requerimientos legales y
regulatorios y con las obligaciones contractuales.
CONCLUSIONES
Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear
TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así
como el nivel de madurez de cada uno de los procesos de “SOFTMASMAS S.A.C”.
Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco
de referencia ayuda a estos individuos a entender sus sistemas de TI, de igual forma decidir
el nivel de seguridad y control para proteger los activos (información, hardware, software,
etc.) de “SOFTMASMAS S.A.C” mediante un modelo de desarrollo de gobernación de TI.
Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos
de TI en “SOFTMASMAS S.A.C” de Arequipa. También se ha diagnosticado cada uno de los
criterios de la información, los cuales son efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
RECOMENDACIONES
Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son
los de carácter crítico.
Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos
estudiados en este trabajo.
Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones
del área de informática, puesto que el espacio de trabajo de este es muy limitado e inseguro
y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en
TI.
BIBLIOGRAFIA
http://www.isaca.org/Knowledge-Center/cobit/Pages/Overview.aspx
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Studies.aspx
http://en.wikipedia.org/wiki/COBIT
http://www.eafit.edu.co/escuelas/administracion/consultorio-
contable/Documents/boletines/auditoria-control/b13.pdf
ANEXOS
SI ( ) NO ( )
SI ( ) NO ( )
SI ( ) NO ( )
SI ( ) NO ( )
SI ( ) NO ( )
SI ( ) NO ( )
_______________________________________________________________________
_______________________________________________________________________
¿Existen controles especiales para mantener la disponibilidad de
los servicios de red y computadoras conectadas?
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________
_______________________________________________________________________