Este documento presenta la caracterización de la Organización "DATA CENTER E.I.R.L" y establece el planteamiento para realizar una auditoría informática utilizando la metodología COBIT. Se describe la naturaleza, ubicación, visión, misión y objetivos estratégicos de la empresa. Además, se presenta el organigrama organizacional y las áreas que la componen. Finalmente, se introducen los modelos de madurez de COBIT que serán utilizados durante la auditoría.
Proyecto de auditoría informática aplicando la metodología cobit 4.1
1. UNIVERSIDAD NACIONAL
“SANTIAGO ANTÚNEZ DE MAYOLO”
FACULTAD DE CIENCIAS
TEMA:
“Proyecto de Auditoría Informática en la
Organización DATA CENTER E.I.R.L
aplicando la Metodología COBIT 4.1”
DOCENTE:
Ing. Fabian M. Espinoza Barreto
ALUMNO:
Ramírez Huamán, Luis Angello
SEMESTRE / CICLO:
2011-II / IX
Huaraz-Ancash-Perú
2. DEDICATORIA
Dedico este presente trabajo a
Dios en primer lugar por
brindarme la vida, a mis Padres, y
a mis Hermanos quienes con sus
sabios consejos me orientan en el
presente en busca de un mañana
mejor. Sencillamente, ustedes son
la base de mi vida profesional y
toda la vida les estaré agradecido.
II
3. AGRADECIMIENTO
Al Ing. Fabian M. Espinoza Barreto
por toda su dedicación brindada
en este proceso de
asesoramiento brindado ya que
sin él no tendría los resultados
obtenidos, muchas gracias.
III
4. ÍNDICE
Nº Pág
INTRODUCCIÓN……………………………………………………………………….VII
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9
1.1.1. NATURALEZA DE LA EMPRESA……………………………….9
1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9
1.1.3. VISIÓN…………………………………………………………………11
1.1.4. MISIÓN………………………………………………………………..11
1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11
1.1.5.1. ANÁLISIS FODA……………………………………………….11
1.1.5.2. METAS ORGANIZACIONALES…………………………..12
1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12
1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13
1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………14
1.2. METODOLOGÍA COBIT…………………………………………………..15
1.2.1. MODELOS DE MADUREZ……………………………………..15
1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17
1.2.2.1. ÁREA A AUDITAR…………………………………………….17
1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17
1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE
INFORMÁTICA………………………………………………..17
1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE
INFORMÁTICA……………………………………………..…18
1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18
1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA
INFORMÁTICA…………………………………………….….18
1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO
(COSO)…………………………………………………………...19
IV
5. CAPÍTULO II
EJECUCIÓN DE LA AUDITORIA
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22
2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24
2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24
2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE
INFORMACIÓN Y COMUNICACIÓN………………………26
2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28
2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29
2.1.7. DETERMINACIÓN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPÓTESIS……………………….…29
2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29
2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..29
2.2. REALIZACIÓN DE LA AUDITORIA……………………………………30
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30
2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE
INFORMACIÓN POR IMPACTO……………………….……55
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS
CRITERIOS DE INFORMACIÓN………………………………58
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS
CRITERIOS DE INFORMACIÓN………………………………60
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
3.1. INFORME TÉCNICO……………………………………………..…………62
3.2. INFORME EJECUTIVO…………………………………………….………70
CAPÍTULO IV
CONCLUSIONES Y RECOMENDACIONES
4.1. CONCLUSIONES……………………………………………….……………74
4.2. RECOMENDACIONES…………………………………………….………75
V
7. INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se han
constituido en las herramientas más poderosas para materializar
uno de los conceptos más vitales y necesarios para cualquier
Organización Empresarial, los Sistemas de Información de la
Organización. Donde los Sistemas Informáticos hoy en día
constituyen una herramienta bastante poderosa para la mejora
de rendimiento de toda la Organización.
Por lo ello se realiza una auditoria informática en la Organización
“DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia
critica de muchos procesos de negocios sobre las Tecnologías de
la Información, con el objetivo de cumplir con los requerimientos
existentes y los beneficios de administrar los riesgos
efectivamente, utilizando como modelo de referencia COBIT 4.1,
mediante la evaluación de 34 procesos que define esta
metodología, agrupados en 4 dominios (Planear y Organizar,
Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y
Evaluar), estos procesos son ubicados en los niveles de madurez
en los cuales se encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1, mediante
este trabajo se pretende solucionar varios problemas como el
servicio eficiente a los clientes y el aprovechamiento eficaz y
eficiente de los recursos tecnológicos y humanos que cuenta la
Organización en estudio.
VII
8.
9. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.1. CARACTERIZACIÓN DE LA EMPRESA
1.1.1. NATURALEZA DE LA EMPRESA
El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en
Huaraz “Paraíso Natural” capital del Departamento de
Ancash, para brindar un servicio de calidad y excelencia al
pueblo de Huaraz, la región de Ancash y al País, de acuerdo
a la necesidad existente en cada uno de estos entes,
buscando lograr la competitividad, reconocimiento e
innovación en dicho rubro.
Uno de los hechos más resaltantes de su historia es el
haber apostado por el negocio de venta de computadoras y
accesorios, soporte técnico, diseño de página webs y redes.
Siendo sus inicios el soporte técnico de computadoras,
logrando así con el tiempo ser reconocida en el mercado
local, para posteriormente realizar venta de computadoras
y accesorio, conjuntamente con los demás servicios que
brinda. El valor agregado que “DATA CENTER E.I.R.L” es
transmitir a sus clientes la seguridad en la compra de
computadoras y accesorios, sabiendo que cuenta con una
sólida garantía, respaldo y servicio de post-venta.
Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia
y fue reconocida claramente por sus clientes como una
Organización netamente integradora.
1.1.2. UBICACIÓN GEOGRÁFICA
La Organización “DATA CENTER E.I.R.L” se encuentra
ubicado en el Jr. San Martin 561 en el Distrito de Huaraz,
Provincia de Huaraz, Departamento de Ancash.
Auditor: Ramírez Huamán, Luis Angello Página 9
10. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Código de Ubicación Geográfica (UBIGEO):
Ubicación Exacta: DATA CENTER E.I.R.L
Auditor: Ramírez Huamán, Luis Angello Página 10
11. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.1.3. VISIÓN
“Ser la Organización Líder en Gestión de Tecnologías de la
Información de nuestra localidad, región y país, reconocida
por la excelencia de sus servicios, y por la calidad
profesional y ética de sus miembros”
1.1.4. MISIÓN
“La Organización DATA CENTER E.I.R.L es una compañía
dedicada a la prestación de servicios informáticos, así como
al completo suministros de equipos de cómputo, localizada
en el sector de las PYMES y particulares, llevando a cabo su
función con criterios de una alta calidad, profesionalismo y
rigor, utilizando para ello las más modernas tecnologías y
orientada a la plena satisfacción del cliente”
1.1.5. OBJETIVOS ESTRATÉGICOS
1.1.5.1. Análisis FODA
ANÁLISIS INTERNO
FORTALEZAS DEBILIDADES
Tratamiento personalizado a Control de Almacén.
clientes, orientación y Realizar grandes proyectos en el
asesoramiento. sector privado y público.
Integración de productos y Dependencia de los servicios
servicios buscando sinergias entre subcontratados.
ellos. Sistema de Información
Innovación Constante. Integrado (Compras, ventas,
Personal debidamente Capacitado Almacén y Kárdex).
y comprometido con la visión de
la Organización.
ANÁLISIS EXTERNO
OPORTUNIDADES AMENAZAS
Valoración positiva de las TIC en Oferta de productos a menor
la Organización. precio por parte de la
Costos cada vez menores para las competencia.
Organizaciones para la aplicación La inestabilidad económica de
de las TIC. los pobladores de la cuidad de
Lealtad de los clientes hacia la Huaraz.
Organización. Cambios repentinos de los
Ubicación Céntrica del Local. Sistemas Informáticos.
Incremento de la Competencia.
Auditor: Ramírez Huamán, Luis Angello Página 11
12. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.1.5.2. Metas Organizacionales
a. Corto Plazo
Abastecimiento de las Áreas de la
Organización según sus necesidades
primarias.
b. Mediano Plazo
Realizar la capacitación a todo el
personal, la renovación tecnológica,
humana y la infraestructura de la
Organización.
c. Largo Plazo
Lograr la expansión demográfica en el
rubro, con innovaciones tecnológicas y
el desarrollo de un sistema de
información integrado.
1.1.5.3. Objetivos Estratégicos
Desarrollar estrategias para llamar la
atención de nuevos clientes.
Aprovechar la Tecnología para Desarrolla
un Sistema de Información Integral de
Calidad.
Aprovechar el buen clima para capacitar
al personal de la Organización.
Desarrollar servicios nuevos que mejoren
el nivel del servicio.
Explotar el potencial humano y
tecnológico para una óptima
productividad de los mismos.
Auditor: Ramírez Huamán, Luis Angello Página 12
13. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.1.6. ORGANIGRAMA DE LA EMPRESA
Gerencia
General
Área de Área de Área de
Comercio Administración Informática
Recursos Servicio Diseño
Almacén Compras Ventas Contabilidad Logística Redes
Humanos Técnico Web
Auditor: Ramírez Huamán, Luis Angello Página 13
14. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.1.6.1 Descripción de la Gerencia y Áreas
a. Gerencia General.- Tiene como propósito,
organizar, dirigir y coordinar el
funcionamiento y desarrollo de los
procesos y actividades diarias, de acuerdo
a las políticas de la Organización.
b. Área de Negocios.- Se encarga de
planificar, controlar y verificar los procesos
de compra y venta; como también la
recepción y clasificación en almacén, de los
equipos de cómputo, accesorios y otros.
c. Área de Administración.- Se encarga de
velar por una adecuada organización,
soporte logístico, administración eficiente
en el uso de los bienes, muebles e
inmuebles, y el recurso humano de la
Organización en General.
d. Área de Informática.- Se encarga de
integrar y coordinar los servicios
informáticos, la misma que tiene que estar
subdividida a su vez por tres unidades
internas (hardware, software y redes), con
el fin de ser más específicos al
equipamiento, comunicaciones y
aplicaciones, para brindar un servicio de
calidad.
Auditor: Ramírez Huamán, Luis Angello Página 14
15. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.2. METODOLOGÍA COBIT
Marco de Trabajo Completo de COBIT
1.2.1. MODELOS DE MADUREZ
En la actualidad se pide a los directivos y ejecutivos de la
Organización que tomen muy en cuenta una correcta
administración de las TI. Para esto se debe realizar un plan
de negocio para alcanzar un nivel óptimo de administración
y control de la Tecnologías de la Información.
Auditor: Ramírez Huamán, Luis Angello Página 15
16. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Estos modelos de madurez están diseñados como perfiles
de procesos de TI que una Organización los reconocería
como estados posiblemente actuales y futuros, estos
modelos no están diseñados para ser limitantes, donde no
se puede pasar a los niveles superiores sin haber cumplido
antes los niveles antecesores, al usar los modelos de
madurez para los 34 procesos de TI de COBIT, la
administración podrá identificar:
El desempeño real de la Organización: Donde se
encuentra la Organización hoy.
El Status actual de la industria: La comparación
EL objetivo de la mejora de la Organización: Donde
desea estar la Organización.
Se ha definido un modelo de madurez para cada uno de
los 34 procesos de TI, con una escala de medición
creciente a partir de 0, no existente, hasta 5,
optimizado, la ventaja es que es relativamente fácil para la
dirección ubicarse a sí misma en una escala y de esta
forma evaluar que se debe hacer si se requiere una
mejora.
A continuación se presenta el modelo de madurez
genérico a usarse en esta auditoría:
Carencia completa de cualquier proceso reconocible.
0
La Organización no ha reconocido siquiera que existe un
NO EXISTENTE
problema a resolver.
Existe evidencia que la empresa ha reconocido que
los problemas existen y requieren ser resueltos. Sin
1 embargo; no existen procesos estándar en su lugar
INICIAL existen enfoques ad hoc que tienden a ser aplicados de
forma individual o caso por caso. El enfoque general
hacia la administración es desorganizado.
Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes áreas
que realizan la misma tarea. No hay entrenamiento o
2
comunicación formal de los procedimientos estándar, y
REPETIBLE
se deja la responsabilidad al individuo. Existe un alto
grado de confianza en el conocimiento de los individuos y,
por lo tanto, los errores son muy probables.
Auditor: Ramírez Huamán, Luis Angello Página 16
17. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Los procedimientos se han estandarizado y
documentado, y se han difundido a través de
3 entrenamiento. Sin embargo, se deja que el individuo
DEFINIDO decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en sí no son
sofisticados pero formalizan las prácticas existentes.
Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos
4 no estén trabajando de forma efectiva. Los procesos están
ADMINISTRADO bajo constante mejora y proporcionan buenas prácticas.
Se usa la automatización y herramientas de una manera
limitada o fragmentada.
Los procesos se han refinado hasta el nivel de mejor práctica,
se basan en los resultados de mejoras continuas y en un
5 modelo de madurez con otras empresas. TI se usa de forma
OPTIMIZADA integrada para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rápida.
1.2.2. AUDITORIA DE TICS CON COBIT
1.2.2.1. Área a Auditar
La Auditoría realizada por Ramírez Huamán, Luis Angello,
será en el Área de Informática de “DATA CENTER
E.I.R.L”, debido a que allí se encuentran ubicados gran
parte de los equipos de cómputo con los que cuenta la
Organización “DATA CENTER E.I.R.L”.
1.2.2.2. Reclutamiento de la Información
Por medio de la observación realizada se procedió a la
realización de entrevistas y cuestionarios con el Gerente
General de “DATA CENTER E.I.R.L”; y así poder
determinar con más precisión cuales son los problemas
presentados y poder dar un dictamen más especifico.
(Anexo A, B, C)
1.2.2.3. Documentos de Gestión del Área de Informática
Actualmente “DATA CENTER E.I.R.L” no cuenta con el
manual de procedimientos administrativos informáticos,
ni tampoco cuenta con la documentación requerida las
cuales son:
Mantenimiento de Equipos de Cómputo.
Un Plan de Contingencias.
Auditor: Ramírez Huamán, Luis Angello Página 17
18. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Seguridad de datos y equipos de Cómputo.
1.2.2.4. Plan de la Auditoria en el Área de Informática
Para el Plan de desarrollo de la Auditoria, se cuenta con
el apoyo de la alta gerencia de la Organización,
solicitando la participación de los principales
trabajadores de la Organización y en donde se realizaran
las siguientes acciones:
Nº ACTIVIDADES
1 Observación General del Área de Informática.
2 Entrevistas a los trabajadores del Área de Informática.
3 Analizar con que documentos de Gestión y Técnicos cuentas.
Verificar si que los equipos de los que se cuenta en la
4
actualidad concuerdan con su inventario.
Análisis de las claves de acceso, control, seguridad,
5
confiabilidad y respaldos.
Evaluar las tecnologías de información (TI), tanto en
6
hardware como en software.
7 Evaluación de la seguridad física, lógica y de redes.
1.2.2.5. Herramientas y Técnicas
HERRAMIENTAS TECNICAS
Cuaderno de Apuntes, Papel, Observación, entrevistas
Lapicero, Antivirus Eset Smart y cuestionarios.
Security 4.0, Microsoft Office
2010 y otros.
1.2.2.6. Motivo o necesidad de una Auditoria Informática
Síntomas de mala imagen e insatisfacción de los
usuarios.
Síntomas de debilidad económico financiero.
Síntomas de Inseguridad.
Síntomas de descoordinación y desorganización.
Auditor: Ramírez Huamán, Luis Angello Página 18
19. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO)
A continuación se representa en una tabla el impacto
de los objetivos de control de COBIT 4.1 sobre los
criterios y recursos de TI.
La nomenclatura utilizada en los criterios de
información para esta tabla es la siguiente (P), cuando
el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene
un impacto indirecto es decir no completo sobre el
requerimiento, y finalmente ( ) vacío, cuando el objetivo
de control no ejerce ningún impacto sobre el
requerimiento, en cambio cuando se encuentra con (X)
significa que los objetivos de control tienen impacto en
los recursos, y cuando se encuentra en blanco ( ), es que
los objetivos de control no tienen ningún impacto con los
recursos.
CRITERIOS DE INFORMACIÓN DE RECURSOS DE TI
OBJETIVOS DE CONTROL DE COBIT COBIT DE COBIT
CONFIDENCIALIDAD
INFRAESTRUCTURA
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
INFORMACIÓN
EFECTIVIDAD
INTEGRIDAD
APLICACIÓN
EFICIENCIA
PERSONAS
PLANEAR Y ORGANIZAR
PO1 Definir un plan estratégico de TI. X X X X
PO2 Definir la arquitectura de la información X X
PO3 Definir la dirección tecnológica. X X
Definir los procesos, organización y
PO4 relaciones de TI. X
PO5 Administrar la inversión en TI. X X X
Comunicar las metas y la dirección de la
PO6 gerencia. X X
PO7 Administrar los recursos humanos de TI. X
PO8 Administrar la calidad. X X X X
PO9 Evaluar y administrar los riegos de TI. X X X X
PO10 Administrar los proyectos. P P X X X
ADQUIRIR E IMPLEMENTAR
AI1 Identificar las soluciones automatizadas. P S X X
AI2 Adquirir y mantener software aplicativo. P P S S X
Adquirir y mantener la infraestructura
AI3 tecnológica. S P S S X
AI4 Facilitar la operación y el uso. P P S S S S X X X
AI5 Procurar recursos de TI. S P S X X X X
AI6 Administrar los cambios. P P P P S X X X X
AI7 Instalar y acreditar soluciones y cambios. P S S S X X X X
Auditor: Ramírez Huamán, Luis Angello Página 19
20. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
ENTREGAR Y DAR SOPORTE
Definir y administrar los niveles de
DS1 servicio. P P S S S S S X X X X
DS2 Administrar los servicios de terceros. P P S S S S S X X X X
DS3 Administrar el desempeño y capacidad. P P S X X
DS4 Asegurar el servicio continuo. P S P X X X X
DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X
DS6 Identificar y asignar costos. P P X X X X
DS7 Educar y entrenar a los usuarios. P S X
Administrar la mesa de servicio y los
DS8 incidentes. P P X X
DS9 Administrar la configuración. P S S S X X X
DS10 Administrar los problemas. P P S X X X X
DS11 Administrar los datos. P P X
DS12 Administrar el ambiente físico. P P X
DS13 Administrar las operaciones. P P S S X X X X
MONITOREAR Y EVALUAR
Monitorear y evaluar el desempeño de
ME1 TI. P P S S S S S X X X X
ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X
ME3 Garantizar el cumplimiento regulatorio. P S X X X X
ME4 Proporcionar gobierno de TI. P P S S S S S X X X X
Para tener un porcentaje de los criterios de la información,
asignamos un valor para el impacto primario, de igual forma
tendremos un valor para el impacto secundario.
Este porcentaje lo estableceremos en base a la propuesta
metodológica para el manejo de riesgos COSO (Sponsoring
Organizations of the Treadway), como se muestra en la tabla.
CALIFICACION IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86
Promedio de Impactos, fuente COBIT 4.1
Auditor: Ramírez Huamán, Luis Angello Página 20
21.
22. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS
a. Ubicación:
El Área de Informática se ubica al lado del Área de
Negocios, teniendo la responsabilidad de gestionar los
procesos técnicos de informática.
Ubicación Física del Área de Informática
b. Cargos Funcionales y Operativos:
Apellidos y Nombres Cargos
Cargos Funcionales
(Trabajadores) Operativos
Realiza la compra y venta de
Gerente los productos, organiza y
Ing. Lázaro Montañez, Heyner
General coordina las actividades, y
delega funciones al personal
Técnico en
Realiza el Soporte Técnico de
Romero Castillo, José Carlos Informática y
Computadoras y Redes
Redes
Asistente
Técnico en Realiza el Soporte Técnico de
Ramírez Huamán, Luis Angello
Informática y Computadoras y Redes
Redes
Realiza las ventas de equipos
Montañez Araujo, Sarita Eva Vendedora
Informáticos
Auditor: Ramírez Huamán, Luis Angello Página 22
23. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1.1. OBJETIVOS DEL DEPARTAMENTO
Recomendar la adquisición de hardware, software
básico y de aplicaciones conveniente y necesario.
Estructurar, ejecutar y actualizar el plan estratégico del
Sistema de Información, según los requerimientos de las
áreas y la coordinación con la Gerencia General.
Proporcionar mecanismos de seguridad tanto lógica y
física del hardware, software y redes de “DATA CENTER
E.I.R.L”.
Aprovechar de las Redes Sociales (Facebook, MySpace y
otros) para publicitar a la Organización, ya que no
incurre ningún costo.
Mantener actualizado el inventario del parque
informático y los precios de los productos de la base de
datos, para la cotización correcta.
Planificar y mantener actividades de Backups (copias de
respaldo) de forma periódica en medios físicos de
almacenamiento masivo.
Aprovechar la tecnología existente para rediseñar el
Website actual, convirtiéndolo en portal dinámico,
donde puedan realizarse las operaciones
transaccionales de la Organización y consultas comunes
para los usuarios y clientes.
Asesorar, administrar y proporcionar el soporte
tecnológico al personal de todas las áreas de “DATA
CENTER E.I.R.L”.
Proponer a la alta gerencia de poder involucrarnos en
proyectos corporativos y sociales.
Auditor: Ramírez Huamán, Luis Angello Página 23
24. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO
ÁREA DE
INFORMÁTICA
SERVICIO
REDES DISEÑO WEB
TÉCNICO
WEB
SOFTWARE MICROSOFT
CORPORATIVO
WEB
HARDWARE LINUX
PERSONAL
SATELITAL
2.1.3. SEGURIDAD DEL DEPARTAMENTO
a. Seguridad Física:
Establecer un sistema contra incendios y la
capacitación adecuada para el manejo de
estos.
Contar con agentes de seguridad para el
resguardo del establecimiento, principalmente
en las noches, debido a la creciente
delincuencia.
Contar con un espacio adecuado para el
alojamiento de los servidores.
Auditor: Ramírez Huamán, Luis Angello Página 24
25. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
b. Seguridad Legal:
Hacer uso de estándares y metodologías de
calidad (IEEE, ISO y otros) al brindar los
servicios de redes y diseño de páginas web.
Contar con las licencias de los sistemas
operativos (Microsoft) en uso.
Realizar una auditoria de la tecnologías de la
información externa a “DATA CENTER E.I.R.L”
c. Seguridad de Datos:
Realizar periódicamente backups de la base de
datos del sistema de información.
Procesar los datos más importantes de la
Organización en las aplicaciones tecnológicas
(hojas de cálculo, procesadores de texto y
otros) y al sistema de información.
Restringir al acceso al sistema de información
y al servidor para que la data no sea
adulterada.
d. Seguridad de Personas:
Renovar los implementos de seguridad de los
técnicos de informática.
Realizar las señalizaciones sísmicas
pertinentes en el establecimiento ante un
desastre sísmico.
Establecer políticas de integridad física y
mental para el personal que labora, dentro de
sus horas de trabajo.
Auditor: Ramírez Huamán, Luis Angello Página 25
26. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN
a. Recursos Humanos:
APELLIDOS Y
GERENCIA/ÁREA TIEMPO DE
NOMBRES CARGOS TITULO FUNCIÓN
LABORAL SERVICIO
(TRABAJADORES)
Realiza la compra y venta de
Ing. Lázaro Ing. de
Gerencia Gerente los productos, organiza y
Montañez, Informática y Estable
General General coordina las actividades, y
Heyner Sistemas
delega funciones al personal
Técnico en
Área de Romero Castillo, Realiza el Soporte Técnico de
Informática Técnico 7 meses
Informática José Carlos Computadoras y Redes
y Redes
Asistente
Área de Ramírez Huamán, Técnico en Realiza el Soporte Técnico de
Técnico 3 meses
Informática Luis Angello Informática Computadoras y Redes
y Redes
Secretariado
Área de Montañez Realiza las ventas de equipos
Vendedora Ejecutivo 2 años
Comercio Araujo, Sarita Eva Informáticos
Computarizado
Auditor: Ramírez Huamán, Luis Angello Página 26
27. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
b. Hardware:
NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD
I5
CPU
1.8 GHz
PC 01 Servidor Proxy
Memoria RAM 4 GB
Disco Duro 1 TB
Corel 2 duo
CPU
2.0 GHz
Memoria RAM 4 GB
S-ATA 7200
Disco Duro PC para el
500 GB
PC 02 Sistema de
D-Link DFE-530 PCI
Tarjeta de Red Información
Fast Ethernet Adapter
Monitor Samsumg 17 "
Hp Laserjet
Impresora
1200 series
Corel 2 duo
CPU
2.8 GHz
Memoria RAM 2 GB
S-ATA 7200
Disco Duro PC para
300 GB
PC 03 Soporte
D-Link DFE-530 PCI
Tarjeta de Red Técnico
Fast Ethernet Adapter
Monitor Samsumg 17 "
Hp Laserjet
Impresora
1200 series
c. Software:
NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES
MySQL 5.1 Server
Open Office 3.5
PC 01 Linux-CentOS Ver. 5.0
Apache 6.0
FileZilla Server 3.5.2
DBMS SQL Server
2005
Microsoft Windows Seven Ultimate con
PC 02 NetBeans 6.7.1
Service Pack 2
Suite Office 2010
Utilitarios Básicos
Microsoft Windows Seven Ultimate con Suite Office 2010
PC 03
Service Pack 2 Utilitarios Básicos
Auditor: Ramírez Huamán, Luis Angello Página 27
28. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1.5. TOPOLOGÍA DE LA EMPRESA
La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con
el tipo de servicio a internet ADSL, con una topología de red estrella.
Auditor: Ramírez Huamán, Luis Angello Página 28
29. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
2.1.6. CARACTERIZACIÓN DE LA CARGA
"DATA CENTER E.I.R.L" cuenta con 3 computadoras que son
las siguientes: Servidor Proxy, PC para soporte técnico y PC
para el funcionamiento de Sistema de Información, donde
cada trabajador ingresa a los mismos dependiendo de la
actividad que desempeñen dentro de la Organización.
Las actividades que se realizan en la empresa son de lunes
a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los
servicios de mantenimiento de PC, diseño de pagina web y
otros, como también a la venta de equipos y accesorios de
computo.
2.1.7. DETERMINACIÓN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPÓTESIS
2.1.7.1. Posibles Problemas
Falta total o parcial de seguridades lógicas y físicas
que garanticen la integridad del personal, equipos
e información.
Falta de una planificación informática.
Disminución considerable e injustificable del
presupuesto del Área de Comercio.
Falta de documentación del sistema de
información y del servidor en uso, lo que dificulta
efectuar el mantenimiento de estos.
Organización que no funciona correctamente por
la falta de políticas, normas, metodología,
asignación de tareas, debidamente establecida por
la Gerencia General.
2.1.7.2. Formulación de Hipótesis
No se cuenta con la seguridad en general de los
recursos informáticos y humanos de la
Organización, debido a que no existen políticas de
negocio bien definidas, como también una
planificación informática, teniendo como
Auditor: Ramírez Huamán, Luis Angello Página 29
30. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
consecuencia problemas económicos y de
tecnología de información (Hardware y Software).
2.2. REALIZACIÓN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS
Se mostrara a continuación una ficha por cada uno de los
objetivos haciendo un análisis de los modelos de madurez
de COBIT 4.1, para determinar el nivel mínimo que no
cumple la Organización que a su vez califica el nivel en
dicho objetivo.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratégico de Tecnología de la Información
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No existe conciencia por parte de GRADO DE MADUREZ
la gerencia de que la planeación El proceso de Definir el Plan Estratégico
Nivel
estratégica de TI es requerida para √ de Tecnología Información esta en el
0
dar soporte a las metas del nivel de madurez 1.
negocio. OBJETIVOS NO CUMPLIDOS
La planeación estratégica de TI se Que no existe un plan estratégico
Nivel
discute de forma ocasional en las √ de TI y estrategias de recursos de
1
reuniones de la gerencia. la Organización.
Las decisiones estratégicas se No se realizar planes a largo plazo
toman proyecto por proyecto, de TI, haciendo solo
Nivel
sin ser consistentes con una √ actualizaciones debido a los
2
estrategia global de la avances tecnológicos.
organización.
La planeación estratégica de TI
sigue un enfoque estructurado, el
cual se documenta y se da a
conocer a todo el equipo. Las
Nivel
estrategias de recursos humanos, √
3
técnicos y financieros de TI
influencian cada vez más la
adquisición de nuevos productos
y tecnologías.
Existen procesos bien definidos
Nivel para determinar e uso de
√
4 recursos internos y externos
requeridos en el desarrollo y las
Auditor: Ramírez Huamán, Luis Angello Página 30
31. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
operaciones de los sistemas.
Se desarrollan planes realistas a
largo plazo de TI y se actualizan de
Nivel manera constante para reflejar los
√
5 cambiantes avances tecnológicos
y el progreso relacionado al
negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratégicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así
como de los sistemas de información y su impacto de los objetivos de “DATA CENTER
E.I.R.L”
En el Largo Plazo:
Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes
deben ser bien detallados para poder realizar la definición de planes proyectados.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO2: Definir la Arquitectura de la Información
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
El conocimiento, la experiencia y las GRADO DE MADUREZ
Nivel responsabilidades necesarias para El proceso de Definir la Arquitectura de
√
0 desarrollar esta arquitectura no la Información esta en el nivel de
existen en la organización. madurez 1.
La gerencia reconoce la necesidad de OBJETIVOS NO CUMPLIDOS
una arquitectura de información. El
Nivel Que no se resolvió necesidades
desarrollo de algunos componentes √
1 de una arquitectura de información futuras del negocio realizando el
ocurre de manera ad hoc. proceso de la arquitectura de la
Las personas obtienen sus información.
habilidades al construir la Aprovechar las habilidades
Nivel
arquitectura de información por √ personales para la construcción
2 medio de experiencia práctica y la de la arquitectura de la
aplicación repetida de técnicas. información.
Existe una función de administración
de datos definida formalmente, que
Nivel establece estándares para toda la
√
3 organización, y empieza a reportar
sobre la aplicación y uso de la
arquitectura de la información.
Auditor: Ramírez Huamán, Luis Angello Página 31
32. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
El proceso de definición de la
Nivel arquitectura de información es pro-
√
4 activo y se enfoca en resolver
necesidades futuras del negocio.
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y dar
Nivel
mantenimiento a una arquitectura de √
5 información robusta y sensible que
refleje todos los requerimientos del
negocio.
RECOMENDACIONES
Para el proceso PO2 de COBIT estable los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la información.
Tener en claro la definición del proceso de la arquitectura de la información.
Ser participe de la construcción de la arquitectura de la información para incrementar sus
habilidades.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la información para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
será útil para la creación, uso y compartición óptimas de la información vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrónico, como bases de datos,
almacenamiento de datos y archivos.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO3: Determinar la Dirección Tecnología
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No existe conciencia sobre la GRADO DE MADUREZ
Nivel importancia de la planeación de la El proceso de Determinar la Dirección
√
0 infraestructura tecnológica para la Tecnología esta en el nivel de madurez 1.
entidad. OBJETIVOS NO CUMPLIDOS
La gerencia reconoce la necesidad Desarrollar las habilidades para la
de planear la infraestructura elaboración del plan de la
Nivel tecnológica. El desarrollo de infraestructura tecnológica.
√
1 componentes tecnológicos y la Realizar un plan de
implantación de tecnologías infraestructura tecnológica.
emergentes son ad hoc y aisladas.
La evaluación de los cambios
Nivel tecnológicos se delega a individuos
√
2 que siguen procesos intuitivos,
aunque similares.
Auditor: Ramírez Huamán, Luis Angello Página 32
33. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Existe un plan de infraestructura
tecnológica definido,
Nivel
documentado y bien difundido, √
3
aunque se aplica de forma
inconsistente.
El área de informática cuenta con
Nivel la experiencia y las habilidades
√
4 necesarias para desarrollar un plan
de infraestructura tecnológica.
La dirección del plan de
infraestructura tecnológica está
impulsada por los estándares y
Nivel
avances industriales e √
5
internacionales, en lugar de estar
orientada por los proveedores de
tecnología.
RECOMENDACIONES
Para el proceso PO3 de COBIT estable los siguientes objetivos de control:
Elaborar un plan de infraestructura tecnológica.
Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.
No delegar los cambios tecnológicos a personas que no tienen la debida experiencia.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Planear la dirección tecnológica, es decir analizar las tecnologías existentes y
emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer
un foro tecnológico, para de esta forma brindar directrices tecnológicas.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO4: Definir los Procesos, la Organización y las Relaciones de TI
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
La organización de TI no está GRADO DE MADUREZ
Nivel establecida de forma efectiva para El proceso de Definir los Procesos, la
√
0 enfocarse en el logro de los Organización y las Relaciones de TI esta
objetivos del negocio. en el nivel de madurez 2.
La función de TI se considera como OBJETIVOS NO CUMPLIDOS
Nivel
una función de soporte, sin una √ Formular las relaciones con
1
perspectiva organizacional general. terceros para la TI.
La necesidad de contar con una No satisfacer los requerimientos
Nivel
organización estructurada, pero las √ del negocio.
2
decisiones todavía depende del
Auditor: Ramírez Huamán, Luis Angello Página 33
34. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
conocimiento y habilidades de
individuos clave.
Se formulan las relaciones con
Nivel terceros, incluyendo los comités de
√
3 dirección, auditoría interna y
administración de proveedores.
La organización de TI responde de
forma pro activa al cambio e
Nivel
incluye todos los roles necesarios √
4
para satisfacer los requerimientos
del negocio.
Nivel La estructura organizacional de TI
√
5 es flexible y adaptable.
RECOMENDACIONES
Para el proceso PO4 de COBIT estable los siguientes objetivos de control:
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Formular relaciones con terceros como auditoria interna.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una evaluación permanente de personal, para así asegurar que el personal
involucrado en las TI sea el pertinente para la función asignada.
En el Largo Plazo:
Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.
DOMINIO: PLANIFICAR Y ORGANIZAR
PO5: Administrar la Inversión de TI
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No existe conciencia de la GRADO DE MADUREZ
importancia de la selección y El proceso de Administrar la Inversión de
Nivel presupuesto de las inversiones en TI esta en el nivel de madurez 4.
√
0 TI. No existe seguimiento o OBJETIVOS NO CUMPLIDOS
monitoreo de las inversiones y Formular las relaciones con
gastos de TI. terceros para la TI.
La organización reconoce la
necesidad de administrar la
Nivel
inversión en TI, aunque esta √
1
necesidad se comunica de manera
inconsistente.
Existe un entendimiento implícito
Nivel
de la necesidad de seleccionar y √
2
presupuestar las inversiones en TI.
Auditor: Ramírez Huamán, Luis Angello Página 34
35. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
El presupuesto de TI está alineado
con los planes estratégicos de TI y
con los planes del negocio. Los
Nivel
procesos de selección de √
3
inversiones en TI y de
presupuestos están formalizados,
documentados y comunicados.
La responsabilidad y la rendición
de cuentas por la selección y
Nivel presupuestos de inversiones se
√
4 asignan a un individuo específico.
Las diferencias en el presupuesto
se identifican y se resuelven.
Se utilizan las mejores prácticas de
la industria para evaluar los costos
por comparación e identificar la
Nivel efectividad de las inversiones. Se
√
5 utiliza el análisis de los avances
tecnológicos en el proceso de
selección y presupuesto de
inversiones.
RECOMENDACIONES
Para el proceso PO5 de COBIT estable los siguientes objetivos de control:
Reconocer la necesidad de administrar la inversión en TI.
Utilizar las mejores prácticas para la evaluación de costos de inversión.
Documentar y formalizar el presupuesto en TI.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administración de inversiones en base a las lecciones
aprendidas del análisis del desempeño real de las inversiones.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
La organización no requiere de la GRADO DE MADUREZ
identificación de los El proceso de Identificar Soluciones
Nivel requerimientos funcionales y Automatizadas esta en el nivel de
√
0 operativos para el desarrollo, madurez 1.
implantación o modificación de OBJETIVOS NO CUMPLIDOS
soluciones, tales como sistemas,
Auditor: Ramírez Huamán, Luis Angello Página 35
36. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
servicios, infraestructura y datos. Determinar el proceso para la
Existe una investigación o análisis solución de TI, según el
Nivel
estructurado mínimo de la √ requerimiento del negocio.
1
tecnología disponible. Documentación de los proyectos
El éxito de cada proyecto depende realizados.
de la experiencia de unos cuantos
Nivel individuos clave. La calidad de la
√
2 documentación y de la toma de
decisiones varía de forma
considerable.
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
Nivel
tomadas por el personal √
3
involucrado, la cantidad de tiempo
administrativo dedicado, y el
tamaño y prioridad del
requerimiento de negocio original.
La documentación de los proyectos
Nivel
es de buena calidad y cada etapa √
4
se aprueba adecuadamente.
La metodología está soportada en
bases de datos de conocimiento
Nivel
internas y externas que contienen √
5
material de referencia sobre
soluciones tecnológicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodología de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de decisiones.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el
desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la
disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organización y de TI.
Auditor: Ramírez Huamán, Luis Angello Página 36
37. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI2: Adquirir y Mantener Software Aplicativo
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
Típicamente, las aplicaciones se GRADO DE MADUREZ
obtienen con base en ofertas de El proceso de Adquirir y Mantener
proveedores, en el reconocimiento Software Aplicativo esta en el nivel de
Nivel
de la marca o en la familiaridad del √ madurez 2.
0
personal de TI con productos OBJETIVOS NO CUMPLIDOS
específicos, considerando poco o Dar a conocer el proceso de
nada los requerimientos actuales. adquisición y mantenimiento del
Es probable que se hayan Sistema de Información
adquirido en forma independiente (software) y aplicaciones.
una variedad de soluciones Determinar la metodología
Nivel
individuales para requerimientos √ formal para la documentación del
1
particulares del negocio, teniendo software en uso.
como resultado ineficiencias en el
mantenimiento y soporte.
Existen procesos de adquisición y
mantenimiento de aplicaciones,
Nivel
con diferencias pero similares, en √
2
base a la experiencia dentro de la
operación de TI.
Existe un proceso claro, definido y
de comprensión general para la
Nivel adquisición y mantenimiento de
√
3 software aplicativo. Este proceso
va de acuerdo con la estrategia de
TI y del negocio.
Existe una metodología formal y
bien comprendida que incluye un
proceso de diseño y especificación,
Nivel
un criterio de adquisición, un √
4
proceso de prueba y
requerimientos para la
documentación.
El enfoque se extiende para toda la
empresa. La metodología de
adquisición y mantenimiento
presenta un buen avance y
Nivel
permite un posicionamiento √
5
estratégico rápido, que permite un
alto grado de reacción y
flexibilidad para responder a
requerimientos cambiantes del
Auditor: Ramírez Huamán, Luis Angello Página 37
38. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
negocio.
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
Asegurar que el software diseñado sea de calidad.
Realizar un diseño detallado, y los requerimientos técnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la información, control de acceso, respaldo y pistas de
auditoría.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI3: Adquirir y Mantener Infraestructura Tecnológica
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No se reconoce la administración GRADO DE MADUREZ
Nivel de la infraestructura de tecnología El proceso de Adquirir y Mantener
√
0 como un asunto importante al cual Infraestructura Tecnológica esta en el
deba ser resuelto. nivel de madurez 1.
Se realizan cambios a la OBJETIVOS NO CUMPLIDOS
infraestructura para cada nueva Definir una estrategia para la
Nivel aplicación, sin ningún plan en adquisición y mantenimiento de
√
1 conjunto. La actividad de la infraestructura.
mantenimiento reacciona a Organizar y prevenir el proceso
necesidades de corto plazo. de adquisición y mantenimiento
La adquisición y mantenimiento de de la infraestructura.
la infraestructura de TI no se basa
Nivel en una estrategia definida y no
√
2 considera las necesidades de las
aplicaciones del negocio que se
deben respaldar.
El proceso respalda las
necesidades de las aplicaciones
Nivel críticas del negocio y concuerda
√
3 con la estrategia de negocio de TI,
pero no se aplica en forma
consistente.
La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones
√
4 del negocio. El proceso está bien
organizado y es preventivo.
Nivel El proceso de adquisición y √
Auditor: Ramírez Huamán, Luis Angello Página 38
39. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
5 mantenimiento de la
infraestructura de tecnología es
preventivo y está estrechamente
en línea con las aplicaciones
críticas del negocio y con la
arquitectura de la tecnología.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisición de infraestructura tecnológica.
Garantizar la disponibilidad de la infraestructura tecnológica.
Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisición de infraestructura tecnológica.
En el Largo Plazo:
Proteger la infraestructura tecnológica mediante medidas de control interno,
seguridad y auditabilidad durante la configuración, integración y mantenimiento de
hardware y software de la infraestructura tecnológica.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI4: Facilitar la Operación y el Uso
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No existe el proceso con respecto GRADO DE MADUREZ
Nivel a la producción de documentación El proceso de Facilitar la Operación y el
√
0 de usuario, manuales de operación Uso esta en el nivel de madurez 1.
y material de entrenamiento. OBJETIVOS NO CUMPLIDOS
Mucha de la documentación y Falta generar los materiales de
muchos de los procedimientos ya entretenimiento buscando su
Nivel caducaron. Los materiales de calidad.
√
1 entrenamiento tienden a ser Garantizar la compañía de
esquemas únicos con calidad estándares para el desarrollo del
variable. proceso.
Individuos o equipos de proyecto
generan los materiales de
Nivel
entrenamiento, y la calidad √
2
depende de los individuos que se
involucran.
Se guardan y se mantienen los
Nivel procedimientos en una biblioteca
√
3 formal y cualquiera que necesite
saber tiene acceso a ella.
Nivel Existen controles para garantizar
√
4 que se adhieren los estándares y
Auditor: Ramírez Huamán, Luis Angello Página 39
40. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
que se desarrollan y mantienen
procedimientos para todos los
procesos.
Los materiales de procedimiento y
de entrenamiento se tratan como
una base de conocimiento en
evolución constante que se
Nivel mantiene en forma electrónica,
√
5 con el uso de administración de
conocimiento actualizada,
workflow y tecnologías de
distribución, que los hacen
accesibles y fáciles de mantener.
RECOMENDACIONES
Para el proceso AI4 de COBIT estable los siguientes objetivos de control:
Control para garantizar adherir los estándares para el mantenimiento de los procesos.
Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y
documentar todos los aspectos técnicos, la capacidad de operación y los niveles de
servicio requeridos.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que
estos tomen posesión del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales se lograra que
estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la
Organización.
DOMINIO: ADQUIRIR E IMPLEMENTAR
AI5: Adquirir Recursos de TI
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
Nivel No existe un proceso definido de GRADO DE MADUREZ
√
0 adquisición de recursos de TI. El proceso de Adquirir Recursos de TI
Los contratos para la adquisición esta en el nivel de madurez 4.
de recursos de TI son elaborados y OBJETIVOS NO CUMPLIDOS
administrados por gerentes de Falta de buenas relaciones con
Nivel proyecto y otras personas que algunos proveedores de forma
√
1 ejercen su juicio profesional más estratégica.
que seguir resultados de
procedimientos y políticas
formales.
Nivel Se determinan responsabilidades y
√
2 rendición de cuentas para la
Auditor: Ramírez Huamán, Luis Angello Página 40
41. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
administración de adquisición y
contrato de TI según la experiencia
particular del gerente de contrato.
La adquisición de TI se integra en
Nivel gran parte con los sistemas
√
3 generales de adquisición del
negocio.
La adquisición de TI se integra en
gran parte con los sistemas
Nivel generales de adquisición del
√
4 negocio. Existen estándares de TI
para la adquisición de recursos de
TI.
Se establecen buenas relaciones
con el tiempo con la mayoría de los
Nivel proveedores y socios, y se mide y
√
5 vigila la calidad de estas relaciones.
Se manejan las relaciones en forma
estratégica.
RECOMENDACIONES
Para el proceso AI5 de COBIT estable los siguientes objetivos de control:
Tomar medidas en la administración de contratos y adquisiciones.
Establecer buenas relaciones con la mayoría de proveedores y socios.
Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir
los recursos de TI.
En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos
contractuales.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
La gerencia no reconoce la GRADO DE MADUREZ
Nivel
necesidad de un proceso para √ El proceso de Definir y Administrar los
0
definir los niveles de servicio. Niveles de Servicio esta en el nivel de
La responsabilidad y la rendición madurez 1.
Nivel de cuentas sobre para la definición OBJETIVOS NO CUMPLIDOS
√
1 y la administración de servicios no No ordenar los procesos de
está definida. desarrollo por niveles de servicio.
Nivel Los reportes de los niveles de Realizar reportes de servicio de
√
2 servicio están incompletos y
Auditor: Ramírez Huamán, Luis Angello Página 41
42. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
pueden ser irrelevantes o forma completa y relevante.
engañosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de
las habilidades y la iniciativa de los
administradores.
El proceso de desarrollo del
acuerdo de niveles de servicio esta
Nivel en orden y cuenta con puntos de
√
3 control para revalorar los niveles
de servicio y la satisfacción de
cliente.
La satisfacción del cliente es
medida y valorada de forma
Nivel rutinaria. Las medidas de
√
4 desempeño reflejan las
necesidades del cliente, en lugar
de las metas de TI.
Todos los procesos de
administración de niveles de
servicio están sujetos a mejora
Nivel
continua. Los niveles de √
5
satisfacción del cliente son
administrados y monitoreados de
manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisión con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
Auditor: Ramírez Huamán, Luis Angello Página 42
43. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
DOMINIO: ENTREGAR Y DAR SOPORTE
DS2: Administrar los Servicios de Terceros
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
Los servicios de terceros no son ni GRADO DE MADUREZ
aprobados ni revisados por la El proceso de Administrar los Servicios de
Nivel
gerencia. No hay actividades de √ Terceros esta en el nivel de madurez 3.
0
medición y los terceros no OBJETIVOS NO CUMPLIDOS
reportan. Verificar de forma continua las
No hay condiciones estandarizadas capacidades del proveedor.
Nivel
para los convenios con los √ Monitorear e implementar
1
prestadores de servicios. acciones correctivas.
Se utiliza un contrato pro forma
con términos y condiciones
Nivel
estándares del proveedor (por √
2
ejemplo, la descripción de servicios
que se prestarán).
Cuando se hace un acuerdo de
prestación de servicios, la relación
con el tercero es meramente
Nivel
contractual. La naturaleza de los √
3
servicios a prestar se detalla en el
contrato e incluye requerimientos
legales, operacionales y de control.
Las aptitudes, capacidades y
Nivel
riesgos del proveedor son √
4
verificadas de forma continua.
Se monitorea el cumplimiento de
Nivel las condiciones operacionales,
√
5 legales y de control y se implantan
acciones correctivas.
RECOMENDACIONES
Para el proceso DS2 de COBIT estable los siguientes objetivos de control:
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definición de los términos
del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.
Auditor: Ramírez Huamán, Luis Angello Página 43
44. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
DOMINIO: ENTREGAR Y DAR SOPORTE
DS3: Administrar el Desempeño y la Capacidad
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
La gerencia no reconoce que los GRADO DE MADUREZ
procesos clave del negocio pueden El proceso de Administrar el Desempeño y
requerir altos niveles de la Capacidad esta en el nivel de madurez 1.
Nivel
desempeño de TI o que el total de √ OBJETIVOS NO CUMPLIDOS
0
los requerimientos de servicios de Realizar evaluaciones de la
TI del negocio pueden exceder la infraestructura de TI logrando una
capacidad. capacidad optima.
Los responsables de los procesos Establecer métodos de desempeño
del negocio valoran poco la y evaluación.
necesidad de llevar a cabo una
Nivel planeación de la capacidad y del
√
1 desempeño. Las acciones para
administrar el desempeño y la
capacidad son típicamente
reactivas.
Las necesidades de desempeño se
logran por lo general con base en
Nivel
evaluaciones de sistemas √
2
individuales y el conocimiento y
soporte de equipos de proyecto.
Los pronósticos de la capacidad y
el desempeño se modelan por
Nivel
medio de un proceso definido. Los √
3
reportes se generan con
estadísticas de desempeño.
Hay información actualizada
disponible, brindando estadísticas
Nivel de desempeño estandarizadas y
√
4 alertando sobre incidentes
causados por falta de desempeño
o de capacidad.
La infraestructura de TI y la
demanda del negocio están sujetas
Nivel a revisiones regulares para
√
5 asegurar que se logre una
capacidad óptima con el menor
costo posible.
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
Establecer métricas de desempeño y evaluación de la capacidad.
Auditor: Ramírez Huamán, Luis Angello Página 44
45. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
Realizar revisiones de forma periódica la demanda del negocio con menor costo.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS4: Garantizar la Continuidad del Servicio
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
No hay entendimiento de los GRADO DE MADUREZ
Nivel
riesgos, vulnerabilidades y √ El proceso de Garantizar la Continuidad del
0
amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1.
Las responsabilidades sobre la OBJETIVOS NO CUMPLIDOS
continuidad de los servicios son Mantener un plan de servicios.
Nivel
informales y la autoridad para √ Integrar los procesos de servicios
1
ejecutar responsabilidades es para mejores prácticas externas.
limitada.
Los reportes sobre la
disponibilidad son esporádicos,
Nivel
pueden estar incompletos y no √
2
toman en cuenta el impacto en el
negocio.
Las responsabilidades de la
Nivel planeación y de las pruebas de la
√
3 continuidad de los servicios están
claramente asignadas y definidas.
Se asigna la responsabilidad de
Nivel
mantener un plan de continuidad √
4
de servicios.
Los procesos integrados de servicio
Nivel continuo toman en cuenta
√
5 referencias de la industria y las
mejores prácticas externas.
RECOMENDACIONES
Para el proceso DS4 de COBIT estable los siguientes objetivos de control:
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.
Auditor: Ramírez Huamán, Luis Angello Página 45
46. Universidad Nacional
“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática
En el Largo Plazo:
Una vez realizada la reanudación exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este según amerite.
DOMINIO: ENTREGAR Y DAR SOPORTE
DS5: Garantizar la Seguridad de los Sistemas
CUMPLE
CUMPLE
NO
NIVEL DE MADUREZ OBSERVACIONES
Las medidas para soportar la GRADO DE MADUREZ
administrar la seguridad de TI no El proceso de Garantizar la Seguridad de
Nivel están implementadas. No hay los Sistemas esta en el nivel de madurez 1.
√
0 reportes de seguridad de TI ni un OBJETIVOS NO CUMPLIDOS
proceso de respuesta para resolver Concientizar el valor de la
brechas de seguridad de TI. seguridad de la información.
La seguridad de TI se lleva a cabo Elaborar un plan de seguridad de
de forma reactiva. No se mide la TI.
seguridad de TI. Las brechas de
seguridad de TI ocasionan
Nivel
respuestas con acusaciones √
1
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son impredecibles.
La conciencia sobre la necesidad
de la seguridad esta fraccionada y
Nivel limitada. Aunque los sistemas
√
2 producen información relevante
respecto a la seguridad, ésta no se
analiza.
Las responsabilidades de la
seguridad de TI están asignadas y
entendidas, pero no
Nivel continuamente implementadas.
√
3 Existe un plan de seguridad de TI y
existen soluciones de seguridad
motivadas por un análisis de
riesgo.
El contacto con métodos para
promover la conciencia de la
Nivel seguridad es obligatorio. La
√
4 identificación, autenticación y
autorización de los usuarios está
estandarizada.
Nivel Los usuarios y los clientes se
√
5 responsabilizan cada vez más de
Auditor: Ramírez Huamán, Luis Angello Página 46