cobit

UNIVERSIDAD NACIONAL “SANTIAGO ANTÚNEZ DE MAYOLO”

II

Perú-Ancash-Huaraz

toda la vida les estaré agradecido.la base de mi vida profesional y

mejor. Sencillamente, ustedes son un mañana presente en busca de

sabios consejos me orientan en el a mis Hermanos quienes con sus

brindarme la vida, a mis Padres, y Dios en primer lugar por

Dedico este presente trabajo a

DEDICATORIA

III

obtenidos, muchas gracias.tendría los resultados sin él no

asesoramiento brindado ya que en este proceso de

por toda su dedicación brindada Ing. Fabian M. Espinoza Barreto Al

AGRADECIMIENTO

ÍNDICE

Nº Pág

INTRODUCCIÓN……………………………………………………………………….VII

CAPÍTULO I PLANTEAMIENTO DEL PROBLEMA

1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9 1.1.1. NATURALEZA DE LA EMPRESA……………………………….9 1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9 1.1.3. VISIÓN…………………………………………………………………11 1.1.4. MISIÓN………………………………………………………………..11 1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11

1.1.5.1. ANÁLISIS FODA……………………………………………….11 1.1.5.2. METAS ORGANIZACIONALES…………………………..12 1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12

1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13 1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………14

1.2. METODOLOGÍA COBIT…………………………………………………..15 1.2.1. MODELOS DE MADUREZ……………………………………..15 1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17

1.2.2.1. ÁREA A AUDITAR…………………………………………….17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17 1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE

INFORMÁTICA………………………………………………..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE

INFORMÁTICA……………………………………………..…18 1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA

INFORMÁTICA…………………………………………….….18

IV

1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)…………………………………………………………...19

CAPÍTULO II

EJECUCIÓN DE LA AUDITORIA

2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22 2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24 2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIÓN………………………26 2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28 2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29 2.1.7. DETERMINACIÓN DE PROBLEMAS Y

PLANTEAMIENTO DE HIPÓTESIS……………………….…29 2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29 2.1.7.2.

FORMULACIÓN DE HIPÓTESIS………………………..29 2.2. REALIZACIÓN DE LA AUDITORIA……………………………………30

2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE

INFORMACIÓN POR IMPACTO……………………….……55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS

CRITERIOS DE INFORMACIÓN………………………………58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS

CRITERIOS DE INFORMACIÓN………………………………60

CAPÍTULO III ANÁLISIS DE LOS RESULTADOS

3.1. INFORME TÉCNICO……………………………………………..…………62 3.2. INFORME EJECUTIVO…………………………………………….………70

V

CAPÍTULO IV CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES……………………………………………….……………74 4.2. RECOMENDACIONES…………………………………………….………75 GLOSARIO…………………………………………………………………………..…76 BIOGRAFÍA………………………………………………………………………….…77 ANEXOS………………………………………………………………………………..78

VI

INTRODUCCIÓN A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización. Por lo ello se realiza una auditoria informática en la Organización “DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio.

VII

VIII

Universidad Nacional

“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática

1.1. CARACTERIZACIÓN DE LA EMPRESA

1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro. Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes. Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una

Organización netamente integradora. 1.1.2. UBICACIÓN GEOGRÁFICA La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.

Auditor: Ramírez Huamán, Luis Angello Página 10



Página

Código de Ubicación Geográfica (UBIGEO):

Auditor: Ramírez Huamán, Luis Angello 11




DATA CENTER E.I.R.L Ubicación Exacta:



1.1.3. VISIÓN “Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros” 1.1.4. MISIÓN “La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente” 1.1.5. OBJETIVOS ESTRATÉGICOS

1.1.5.1. Análisis FODA ANÁLISIS INTERNO

FORTALEZAS DEBILIDADES

• Tratamiento personalizado a clientes, orientación y asesoramiento.

• Integración de productos y servicios buscando sinergias entre ellos.

• Innovación Constante. • Personal debidamente Capacitado

y comprometido con la visión de la Organización.

• Control de Almacén. • Realizar grandes proyectos en el

sector privado y público. • Dependencia de los servicios

subcontratados. • Sistema de Información

Integrado (Compras, ventas, Almacén y Kárdex).

ANÁLISIS EXTERNO

OPORTUNIDADES AMENAZAS




• Valoración positiva de las TIC en la Organización.

• Costos cada vez menores para las Organizaciones para la aplicación de las TIC.

• Lealtad de los clientes hacia la Organización.

• Ubicación Céntrica del Local.

• Oferta de productos a menor precio por parte de la competencia.

• La inestabilidad económica de los pobladores de la cuidad de Huaraz.

• Cambios repentinos de los

Sistemas Informáticos. • Incremento de la Competencia.

Página

1.1.5.2. Metas Organizacionales a. Corto Plazo

Abastecimiento de las Áreas de la Organización según sus necesidades primarias.

b. Mediano Plazo Realizar la capacitación a todo el

personal, la renovación tecnológica, humana y la infraestructura de la Organización.

c. Largo Plazo Lograr la expansión demográfica en el

rubro, con innovaciones tecnológicas y el desarrollo de un sistema de información integrado.

1.1.5.3. Objetivos Estratégicos Desarrollar estrategias para llamar la

atención de nuevos clientes. Aprovechar la Tecnología para Desarrolla

un Sistema de Información Integral de Calidad.

Aprovechar el buen clima para capacitar al personal de la Organización.




Desarrollar servicios nuevos que mejoren el nivel del servicio.

Explotar el potencial humano y tecnológico para una óptima productividad de los mismos.


1.1.6. ORGANIGRAMA DE LA EMPRESA


Ing. de Sistemas e Informática “Santiago Antúnez de Mayolo” Universidad Nacional

Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática

1.1.6.1 Descripción de la Gerencia y Áreas a. Gerencia General.- Tiene como propósito,

organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización.

b. Área de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros.

c. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General.

d. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de

calidad. 1.2. METODOLOGÍA COBIT Marco de Trabajo Completo de COBIT



1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de la Tecnologías de la Información. Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería



como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administración podrá identificar: El desempeño real de la Organización: Donde se

encuentra la Organización hoy. El Status actual de la industria: La comparación EL objetivo de la mejora de la Organización: Donde

desea estar la Organización. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría:

0 NO EXISTENTE

Carencia completa de cualquier proceso reconocible. La Organización no ha reconocido siquiera que existe un problema a resolver.

1 INICIAL

Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 REPETIBLE

Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.



3 DEFINIDO

Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 ADMINISTRADO

Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

5 OPTIMIZADA

Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

1.2.2. AUDITORIA DE TICS CON COBIT

1.2.2.1. Área a Auditar La Auditoría realizada por Ramírez Huamán, Luis Angello, será en el Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”. 1.2.2.2. Reclutamiento de la Información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más especifico.

(Anexo A, B, C) 1.2.2.3. Documentos de Gestión del Área de Informática Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos,



ni tampoco cuenta con la documentación requerida las cuales son:

Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias. Seguridad de datos y equipos de Cómputo.

1.2.2.4. Plan de la Auditoria en el Área de Informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:

Nº ACTIVIDADES

1 Observación General del Área de Informática.

2 Entrevistas a los trabajadores del Área de Informática.

3 Analizar con que documentos de Gestión y Técnicos cuentas.

4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario.

5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.

6 Evaluar las tecnologías de información (TI), tanto en hardware como en software.

7 Evaluación de la seguridad física, lógica y de redes.

1.2.2.5. Herramientas y Técnicas

HERRAMIENTAS TECNICAS

Observación, entrevistas y cuestionarios.



2010 y otros.

1.2.2.6. Motivo o necesidad de una Auditoria Informática Síntomas de mala imagen e insatisfacción de los

usuarios. Síntomas de debilidad económico financiero. Síntomas de Inseguridad. Síntomas de descoordinación y desorganización. 1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos.

OBJETIVOS DE CONTROL DE COBIT

CRITERIOS DE INFORMACIÓN DE

COBIT RECURSOS DE TI

DE COBIT

PLANEAR Y ORGANIZAR


EFEC

TIVI

DAD

EFIC

IEN

CIA

CON

FID

ENCI

ALID

AD

INTE

GRI

DAD

DIS

PON

IBIL

IDAD

CUM

PLIM

IEN

TO

CON

FIAB

ILID

AD

PERS

ON

AS

INFO

RMAC

IÓN

APLI

CACI

ÓN

INFR

AEST

RUCT

URA


PO1 Definir un plan estratégico de TI. X X X X PO2 Definir la arquitectura de la información X X PO3 Definir la dirección tecnológica. X X

PO4

Definir los procesos, organización y

relaciones de TI.

X

PO5 Administrar la inversión en TI. X X X PO6

Comunicar las metas y la dirección de la

gerencia.

X

X

PO7 Administrar los recursos humanos de TI. X PO8 Administrar la calidad. X X X X PO9 Evaluar y administrar los riegos de TI. X X X X PO10 Administrar los proyectos. P P X X X ADQUIRIR E IMPLEMENTAR

AI1 Identificar las soluciones automatizadas. P S X X AI2 Adquirir y mantener software aplicativo. P P S S X

AI3

Adquirir y mantener la infraestructura

tecnológica.

S

P

S

S

X AI4 Facilitar la operación y el uso. P P S S S S X X X AI5 Procurar recursos de TI. S P S X X X X AI6 Administrar los cambios. P P P P S X X X X AI7 Instalar y acreditar soluciones y cambios. P S S S X X X X ENTREGAR Y DAR SOPORTE

DS1

Definir y administrar los niveles de

servicio.

P

P

S

S

S

S

S

X

X

X

X DS2 Administrar los servicios de terceros. P P S S S S S X X X X DS3 Administrar el desempeño y capacidad. P P S X X DS4 Asegurar el servicio continuo. P S P X X X X DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X DS6 Identificar y asignar costos. P P X X X X DS7 Educar y entrenar a los usuarios. P S X

DS8

Administrar la mesa de servicio y los

incidentes.

P

P

X

X

DS9 Administrar la configuración. P S S S X X X DS10 Administrar los problemas. P P S X X X X DS11 Administrar los datos. P P X DS12 Administrar el ambiente físico. P P X DS13 Administrar las operaciones. P P S S X X X X MONITOREAR Y EVALUAR

ME1

Monitorear y evaluar el desempeño de

TI.

P

P

S

S

S

S

S

X

X

X

X ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X ME3 Garantizar el cumplimiento regulatorio. P S X X X X



ME4 Proporcionar gobierno de TI. P P S S S S S X X X X

Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla.

CALIFICACION IMPACTO PROMEDIO

15% 50% BAJO 32

51% 75% MEDIO 63

76% 95% ALTO 86

Promedio de Impactos, fuente COBIT 4.1



2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS a. Ubicación:

El Área de Informática se ubica al lado del Área de Negocios, teniendo la responsabilidad de gestionar los procesos técnicos de informática.

Ubicación Física del Área de Informática

b. Cargos Funcionales y Operativos:

Apellidos y Nombres (Trabajadores)

Cargos Operativos

Cargos Funcionales

Ing. Lázaro Montañez, Heyner

Romero Castillo, José Carlos

Gerente General

Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal

Técnico en Informática y

Redes

Realiza el Soporte Técnico de Computadoras y Redes

Asistente Técnico en




Ramírez Huamán, Luis Angello

Montañez Araujo, Sarita Eva

Informática y Redes

Vendedora Realiza las ventas de equipos Informáticos

2.1.1. OBJETIVOS DEL DEPARTAMENTO Recomendar la adquisición de hardware, software

básico y de aplicaciones conveniente y necesario. Estructurar, ejecutar y actualizar el plan estratégico del

Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.

Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.

Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.

Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.

Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.

Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.

Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.

Proponer a la alta gerencia de poder involucrarnos en



proyectos corporativos y sociales.

2.1.2. ORGANIGRAMA DEL DEPARTAMENTO

2.1.3. SEGURIDAD DEL DEPARTAMENTO

a. Seguridad Física: Establecer un sistema contra incendios y la

capacitación adecuada para el manejo de estos.

Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente


PERSONALWEB

CORPORATIVOWEB

DISEÑO WEB

SATELITAL

LINUX

MICROSOFT

REDES

HARDWARE

SOFTWARE

TÉCNICOSERVICIO

INFORMÁTICAÁREA DE


delincuencia. Contar con un espacio adecuado para el

alojamiento de los servidores.

b. Seguridad Legal: Hacer uso de estándares y metodologías de

calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseño de páginas web.

Contar con las licencias de los sistemas operativos (Microsoft) en uso.

Realizar una auditoria de la tecnologías de la información externa a “DATA CENTER E.I.R.L”

c. Seguridad de Datos: Realizar periódicamente backups de la base de

datos del sistema de información. Procesar los datos más importantes de la

Organización en las aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.

Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada.

d. Seguridad de Personas: Renovar los implementos de seguridad de los

técnicos de informática. Realizar las señalizaciones sísmicas pertinentes

en el establecimiento ante un desastre sísmico.

Establecer políticas de integridad física y mental para el personal que labora, dentro de sus horas de trabajo.


2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN

a. Recursos Humanos:

GERENCIA/ÁREA LABORAL

APELLIDOS Y NOMBRES

(TRABAJADORES) CARGOS TITULO FUNCIÓN

TIEMPO DE SERVICIO

Gerencia General

Área de Informática

Área de Informática

Área de Comercio

Ing. Lázaro Montañez,

Heyner

Gerente General

Ing. de Informática y

Sistemas

Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal

Estable

Romero Castillo, José Carlos

Técnico en Informática y

Redes Técnico


7 meses

Ramírez Huamán, Luis Angello

Asistente Técnico en Informática y

Redes

Técnico Realiza el Soporte Técnico de Computadoras y Redes

3 meses

Montañez Araujo, Sarita Eva

Vendedora Secretariado

Ejecutivo Computarizado

Realiza las ventas de equipos Informáticos

2 años




b. Hardware:

NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD

PC 01

CPU I5

1.8 GHz Servidor Proxy

Memoria RAM Disco Duro

4 GB

1 TB

PC 02

CPU Corel 2 duo

2.0 GHz

PC para el Sistema de

Información

Memoria RAM Disco Duro

4 GB

S-ATA 7200 500 GB

Tarjeta de Red D-Link DFE-530 PCI

Fast Ethernet Adapter Monitor Samsumg 17 "

Impresora Hp Laserjet 1200 series

PC 03

CPU Memoria RAM

Disco Duro

Corel 2 duo 2.8 GHz

PC para Soporte Técnico

2 GB S-ATA 7200 300

GB

Tarjeta de Red D-Link DFE-530 PCI

Fast Ethernet Adapter Monitor Samsumg 17 "

Impresora Hp Laserjet 1200 series

c. Software:

NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES

PC 01 Linux-CentOS Ver. 5.0

MySQL 5.1 Server

Open Office 3.5

Apache 6.0

FileZilla Server 3.5.2

PC 02 Microsoft Windows Seven Ultimate con

Service Pack 2

DBMS SQL Server 2005



NetBeans 6.7.1

Suite Office 2010

Utilitarios Básicos

PC 03 Microsoft Windows Seven Ultimate con

Service Pack 2 Suite Office 2010

Utilitarios Básicos


2.1.5. TOPOLOGÍA DE LA EMPRESA La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topología de red estrella.




2.1.6. CARACTERIZACIÓN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte técnico y PC para el funcionamiento de Sistema de Información, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeñen dentro de la Organización. Las actividades que se realizan en la empresa son de lunes a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseño de pagina web y otros, como también a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS

2.1.7.1. Posibles Problemas Falta total o parcial de seguridades lógicas y físicas

que garanticen la integridad del personal, equipos e información.

Falta de una planificación informática. Disminución considerable e injustificable del

presupuesto del Área de Comercio. Falta de documentación del sistema de

información y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos.

Organización que no funciona correctamente por la falta de políticas, normas, metodología, asignación de tareas, debidamente establecida por la Gerencia General.

2.1.7.2. Formulación de Hipótesis No se cuenta con la seguridad en general de los

recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una



planificación informática, teniendo como consecuencia problemas económicos y de tecnología de información (Hardware y Software).

2.2. REALIZACIÓN DE LA AUDITORIA

2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organización que a su vez califica el nivel en dicho objetivo.

DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información

NIVEL DE MADUREZ OBSERVACIONES

Nivel 0

No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio.

√

GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Que no existe un plan estratégico de TI y estrategias de recursos de la Organización.

• No se realizar planes a largo plazo de TI, haciendo solo actualizaciones debido a los avances tecnológicos.

Nivel 1

La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia.

√

Nivel 2

Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización.

√

Nivel 3

La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la

√


CUM

PLE

NO

CU

MPL

E


adquisición de nuevos productos y tecnologías.

Nivel 4

Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las

√

operaciones de los sistemas.

Nivel 5

Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio.

√

RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control:

• Planes a largo plazo de TI. • Tomar decisiones estratégicas. • Definir los recursos internos y externos necesarios.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “DATA CENTER E.I.R.L” En

el Largo Plazo: • Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes

deben ser bien detallados para poder realizar la definición de planes proyectados.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO2: Definir la Arquitectura de la Información


Nivel 0

El conocimiento, la experiencia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en la organización.

√

GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Que no se resolvió necesidades futuras del negocio realizando el

Nivel 1

La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes

√


CUM

PLE

NO

CU

MPL

E


de una arquitectura de información ocurre de manera ad hoc.

proceso de la arquitectura de la información.

• Aprovechar las habilidades personales para la construcción de la arquitectura de la información.

Nivel 2

Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.

√

Nivel 3

Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.

√

Nivel 4

El proceso de definición de la arquitectura de información es proactivo y se enfoca en resolver necesidades futuras del negocio.

√

Nivel 5

El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.

√


• Desarrollar y mantener la arquitectura de la información. • Tener en claro la definición del proceso de la arquitectura de la información. • Ser participe de la construcción de la arquitectura de la información para incrementar sus

habilidades. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital.

En el Largo Plazo: • Definir e implementar procedimientos para brindar integridad y consistencia de todos los

datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.

DOMINIO: PLANIFICAR Y ORGANIZAR PO3:

Determinar la Dirección Tecnología




Nivel 0

No existe conciencia sobre la importancia de la planeación de la infraestructura tecnológica para la entidad.

√

GRADO DE MADUREZ El proceso de Determinar la Dirección Tecnología esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Desarrollar las habilidades para la elaboración del plan de la infraestructura tecnológica.

• Realizar un plan de infraestructura tecnológica.

Nivel 1

La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.

√

Nivel 2

La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares.

√

Nivel 3

Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de

forma inconsistente.

√

Nivel 4

El área de informática cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica.

√

Nivel 5

La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología.

√


• Elaborar un plan de infraestructura tecnológica. • Impulsar la orientación de la infraestructura tecnológica hacia los proveedores. • No delegar los cambios tecnológicos a personas que no tienen la debida experiencia. Para

pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: • Planear la dirección tecnológica, es decir analizar las tecnologías existentes y


CUM

PLE

NO

CU

MPL

E


emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.

En el Largo Plazo: • Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un

foro tecnológico, para de esta forma brindar directrices tecnológicas.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO4: Definir los Procesos, la Organización y las Relaciones de TI


Nivel 0

La organización de TI no está establecida de forma efectiva para enfocarse en el logro de los objetivos del negocio.

√

GRADO DE MADUREZ El proceso de Definir los Procesos, la Organización y las Relaciones de TI esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS

• Formular las relaciones con terceros para la TI.

• No satisfacer los requerimientos del negocio.

Nivel 1 La función de TI se considera como una función de soporte, sin una perspectiva organizacional general.

√

Nivel 2 La necesidad de contar con una organización estructurada, pero las decisiones todavía depende del

√

conocimiento y habilidades de individuos clave.

Nivel 3

Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores.

√

Nivel 4

La organización de TI responde de forma pro activa al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio.

√

Nivel 5 La estructura organizacional de TI es flexible y adaptable.

√


• Ser flexible y adaptable a la estructura organizacional de TI. • Responder de forma pro actica a los requerimientos del negocio. • Formular relaciones con terceros como auditoria interna.

Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En


CUM

PLE

NO

CU

MPL

E


el Corto Plazo: • Realizar una evaluación permanente de personal, para así asegurar que el personal

involucrado en las TI sea el pertinente para la función asignada. En el Largo Plazo:

• Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente.

DOMINIO: PLANIFICAR Y ORGANIZAR PO5:

Administrar la Inversión de TI


Nivel 0

No existe conciencia de la importancia de la selección y presupuesto de las inversiones en TI. No existe seguimiento o monitoreo de las inversiones y gastos de TI.

√

GRADO DE MADUREZ El proceso de Administrar la Inversión de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Formular las relaciones con terceros para la TI.

Nivel 1

La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente.

√

Nivel 2

Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI.

√

Nivel 3

El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados.

√

Nivel 4

La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven.

√

Nivel 5 Se utilizan las mejores prácticas de √


CUM

PLE

NO

CU

MPL

E


la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.


• Reconocer la necesidad de administrar la inversión en TI. • Utilizar las mejores prácticas para la evaluación de costos de inversión. • Documentar y formalizar el presupuesto en TI.


• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.

En el Largo Plazo: • Mejorar de forma continua la administración de inversiones en base a las lecciones

aprendidas del análisis del desempeño real de las inversiones.

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1: Identificar Soluciones Automatizadas


Nivel 0

La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas,

√

GRADO DE MADUREZ El proceso de Identificar Soluciones Automatizadas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

servicios, infraestructura y datos. • Determinar el proceso para la solución de TI, según el requerimiento del negocio.

• Documentación de los proyectos realizados.

Nivel 1 Existe una investigación o análisis estructurado mínimo de la tecnología disponible.

√

Nivel 2

El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de

√


CUM

PLE

NO

CU

MPL

E


decisiones varía de forma considerable.

Nivel 3

El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original.

√

Nivel 4 La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.

√

Nivel 5

La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas.

√

RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

• Soportar la metodología de TI en base de datos. • Determinar los procesos para las soluciones de TI. • Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al

nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.

En el Largo Plazo: • Que exista el alineamiento con las estrategias de la Organización y de TI.

DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo


Nivel 0 Típicamente, las aplicaciones se √ GRADO DE MADUREZ


CUM

PLE

NO

CU

MPL

E


obtienen con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal de TI con productos específicos, considerando poco o nada los requerimientos actuales.

El proceso de Adquirir y Mantener Software Aplicativo esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS

• Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones.

• Determinar la metodología formal para la documentación del software en uso.

Nivel 1

Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte.

√

Nivel 2

Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI.

√

Nivel 3

Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio.

√

Nivel 4

Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación.

√

Nivel 5

El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del

√



negocio.


• Asegurar que el software diseñado sea de calidad. • Realizar un diseño detallado, y los requerimientos técnicos del software. • Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al

nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo:

• Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.


AI3: Adquirir y Mantener Infraestructura Tecnológica


Nivel 0

No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto.

√

GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnológica esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Definir una estrategia para la adquisición y mantenimiento de la infraestructura.

• Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura.

Nivel 1

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo.

√

Nivel 2

La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar.

√

Nivel 3

El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma

√


CUM

PLE

NO

CU

MPL

E


consistente.

Nivel 4

La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo.

√

Nivel El proceso de adquisición y √

5 mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.


• Crear un plan de adquisición de infraestructura tecnológica. • Garantizar la disponibilidad de la infraestructura tecnológica. • Identificar que necesidades se tiene para adquisición de infraestructura tecnológica. Para

pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Crear un plan de adquisición de infraestructura tecnológica. En el Largo Plazo:

• Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.


AI4: Facilitar la Operación y el Uso


Nivel 0

No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento.

√

GRADO DE MADUREZ El proceso de Facilitar la Operación y el Uso esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Falta generar los materiales de entretenimiento buscando su calidad.

• Garantizar la compañía de estándares para el desarrollo del proceso.

Nivel 1 Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable.

√


CUM

PLE

NO

CUM

PLE


Nivel 2

Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran.

√

Nivel 3

Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella.

√

Nivel 4 Existen controles para garantizar que se adhieren los estándares y

√

que se desarrollan y mantienen procedimientos para todos los procesos.

Nivel 5

Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.

√


• Control para garantizar adherir los estándares para el mantenimiento de los procesos. • Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y

documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.


• Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.

En el Largo Plazo: • Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos

usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización.


AI5: Adquirir Recursos de TI




Nivel 0

No existe un proceso definido de adquisición de recursos de TI.

√ GRADO DE MADUREZ El proceso de Adquirir Recursos de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Falta de buenas relaciones con algunos proveedores de forma estratégica.

Nivel 1

Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional más que seguir resultados de procedimientos y políticas formales.

√

Nivel 2

Se determinan responsabilidades y rendición de cuentas para la

√

administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato.

Nivel 3

La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio.

√

Nivel 4

La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio. Existen estándares de TI para la adquisición de recursos de TI.

√

Nivel 5

Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégica.

√


CUM

PLE

NO

CU

MPL

E



• Tomar medidas en la administración de contratos y adquisiciones. • Establecer buenas relaciones con la mayoría de proveedores y socios. Para pasar al nivel de

madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir los recursos de TI.

En el Largo Plazo: • Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos

contractuales.

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio


Nivel 0 La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio.

√ GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • No ordenar los procesos de

desarrollo por niveles de servicio. • Realizar reportes de servicio de

Nivel 1

La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.

√

Nivel 2 Los reportes de los niveles de servicio están incompletos y

√

pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores.

forma completa y relevante.

Nivel 3

El proceso de desarrollo del acuerdo de niveles de servicio esta en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente.

√


CUM

PLE

NO

CU

MPL

E


Nivel 4

La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI.

√

Nivel 5

Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua.

√

RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control:

• Realizar un portafolio de servicios. • Realizar acuerdos de niveles de servicio.


• Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio.

En el Largo Plazo: • Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte

deben mantener un formato entendible por parte de los interesados.

DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros


Nivel 0

Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan.

√

GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros esta en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS

• Verificar de forma continua las capacidades del proveedor.

• Monitorear e implementar acciones correctivas.

Nivel 1

No hay condiciones estandarizadas para los convenios con los prestadores de servicios.

√

Nivel 2

Se utiliza un contrato pro forma con términos y condiciones √


CUM

PLE

NO

CU

MPL

E


estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).

Nivel 3

Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.

√

Nivel 4

Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua.

√

Nivel 5

Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas.

√


• Monitorear e implementar acciones correctivas. • Verificar de forma continua las capacidades del proveedor.


• Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.

En el Largo Plazo: • Mantener acuerdos de confidencialidad con los proveedores.


DS3: Administrar el Desempeño y la Capacidad


Nivel 0

La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de

√

GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Realizar evaluaciones de la


CUM

PLE

NO

CU

MPL

E


TI del negocio pueden exceder la capacidad.

infraestructura de TI logrando una capacidad optima.

• Establecer métodos de desempeño y evaluación.

Nivel 1

Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.

√

Nivel 2

Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyecto.

√

Nivel 3

Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño.

√

Nivel 4

Hay información actualizada disponible, brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta de desempeño o de capacidad.

√

Nivel 5

La infraestructura de TI y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible.

√


Establecer métricas de desempeño y evaluación de la capacidad.

• Realizar revisiones de forma periódica la demanda del negocio con menor costo. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares.

En el Largo Plazo:



• Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.


DS4: Garantizar la Continuidad del Servicio


Nivel 0

No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.

√ GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Mantener un plan de servicios. • Integrar los procesos de servicios para

mejores prácticas externas.

Nivel 1

Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.

√

Nivel 2

Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio.

√

Nivel 3

Las responsabilidades de la planeación y de las pruebas de la continuidad de los servicios están claramente asignadas y definidas.

√

Nivel 4

Se asigna la responsabilidad de mantener un plan de continuidad de servicios.

√

Nivel 5

Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas.

√


• Desarrollar y tomar muy en cuenta planes de continuidad. • Realizar un marco de trabajo de continuidad.


• Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.


CUM

PLE

NO

CU

MPL

E


En el Largo Plazo: Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad

del plan de continuidad y realiza actualizaciones a este según amerite.


DS5: Garantizar la Seguridad de los Sistemas


Nivel 0

Las medidas para soportar la administrar la seguridad de TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI.

√

GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS • Concientizar el valor de la seguridad

de la información. • Elaborar un plan de seguridad de

TI.

Nivel 1

La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.

√

Nivel 2

La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.

√

Nivel 3

Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo.

√

Nivel 4 El contacto con métodos para promover la conciencia de la √


CUM

PLE

NO

CU

MPL

E


seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios está estandarizada.

Nivel 5 Los usuarios y los clientes se responsabilizan cada vez más de

√

definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.


Se debe administrar la seguridad TI.

• Realizar un plan de seguridad de TI. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad, detección de intrusos, etc.) En el Largo Plazo:

• Realizar pruebas a la implementación de la seguridad, de igual forma monitorear esta.

DOMINIO: MONITOREAR Y EVALUAR

ME1: Monitorear y Evaluar el Desempeño de TI


Nivel 0

TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.

√

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

• Poder identificar los procesos estándares de evaluación.

• Integrar todos los procesos y proyectos de TI.

Nivel 1

No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI

√


CUM

PLE

NO

CU

MPL

E


específicos.

Nivel 2 La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave.

√

Nivel 3

Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.

√

Nivel 4

Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados.

√

Nivel 5

Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el Balanced Scorecard.

√

RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control:

• Definir un método de monitoreo como Balance Scorecard. • Evaluar el desempeño comparándolo periódicamente con las metas.


• Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo:

• Identificar e iniciar medidas correctivas sobre el desempeño de TI.


ME2: Monitorear y Evaluar el Control Interno


Nivel 0

Los métodos de reporte de control interno gerenciales no existen. Existe una falta generalizada de conciencia sobre la seguridad

√

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno esta en el nivel de madurez 0.


CUM

PLE

NO

CU

MPL

E


operativa y el aseguramiento del control interno de TI.

OBJETIVOS NO CUMPLIDOS • Establecer los procesos para la

evaluación y aseguramiento del control interno.

• Utilizar herramientas integradas para la detección del control interno de TI.

Nivel 1

La gerencia de TI no ha asignado de manera formal las

responsabilidades para monitorear la efectividad de los controles internos.

√

Nivel 2

La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en

√

un plan.

Nivel 3

Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI.

√

Nivel 4

Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección.

√



Nivel 5

La organización utiliza herramientas integradas y actualizadas, donde es apropiado, que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI.

√


• Monitorear el marco de trabajo de control interno de forma continua. • Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre

las TI. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.

En el Largo Plazo: • Identificar e iniciar medidas correctivas sobre el desempeño de TI.


ME3: Garantizar el Cumplimiento Regulatorio


Nivel 0

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.

√

GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

• Brindar capacitación sobre requisitos legales y regulatorios externos.

• Conocer los requerimientos aplicables, como la solución de nuevas necesidades.

Nivel 1

Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones.

√

Nivel 2

No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos,

√


CUM

PLE

NO

CU

MPL

E


y los errores son posibles.

Nivel 3

Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.

√

Nivel 4

Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes.

√

Nivel 5

Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones.

√


• Integrar los reporte de TI sobre el cumplimiento regulatorio. • Garantizar la identificación de requerimientos locales e internacionales legales,

contractuales de políticas, y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:

En el Corto Plazo: • Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de

datos, reporte financieros, propiedad intelectual, etc. En el Largo Plazo:

• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.


ME4: Proporcionar Gobierno de TI


Nivel 0

Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe

√

GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS


CUM

PLE

NO

CU

MPL

E


un problema a resolver; por lo tanto, no existe comunicación respecto al tema.

Comunicar por parte de la Gerencia los procedimientos estandarizados.

Nivel 1

El enfoque de la gerencia es reactivo y solamente existe una comunicación esporádica e inconsistente sobre los temas y los enfoques para resolverlos.

√

Nivel 2

La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organización.

√

Nivel 3

La gerencia ha comunicado los procedimientos estandarizados y el entrenamiento está establecido. Se han identificado herramientas para apoyar a la supervisión del gobierno de TI.

√

Nivel 4

Los procesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos.

√

Nivel 5

La implantación de las políticas de TI ha resultado en una organización, personas y procesos que se adaptan rápidamente, y que dan soporte completo a los requisitos de gobierno de TI. Todos los problemas y desviaciones se analizan por medio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida.

√




• Administrar los riesgos de forma eficiente. • Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante

evaluaciones periódicas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo:

• Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles y responsabilidades.

En el Largo Plazo: • Conformar un comité de auditoría para asegurar el cumplimiento de TI.

2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ

PROCESO

PO1 Definir el Plan Estratégico de Tecnología de la Información 1

PO2 Definir la Arquitectura de la Información 1

PO3 Determinar la Dirección Tecnología 1

PO4 Definir los Procesos, la Organización y las Relaciones de TI 2

PO5 Administrar la Inversión de TI 4

AI1 Identificar Soluciones Automatizadas 1

AI2 Adquirir y Mantener Software Aplicativo 2

AI3 Adquirir y Mantener Infraestructura Tecnológica 1

AI4 Facilitar la Operación y el Uso 1

AI5 Adquirir Recursos de TI 4

DS1 Definir y Administrar los Niveles de Servicio 1

DS2 Administrar los Servicios de Terceros 3

DS3 Administrar el Desempeño y la Capacidad 1

DS4 Garantizar la Continuidad del Servicio 1

DS5 Garantizar la Seguridad de los Sistemas 1


DO

MIN

IO

NIV

EL D

E M

ADU

REZ

PLAN

IFIC

AR Y

O

RGAN

IZAR

ADQ

UIR

IR E

IM

PLEM

ENTA

R EN

TREG

AR Y

DAR

SO

PORT

E


ME1 Monitorear y Evaluar el Desempeño de TI 0

ME2 Monitorear y Evaluar el Control Interno 0

ME3 Garantizar el Cumplimiento Regulatorio 1

ME4 Proporcionar Gobierno de TI 0

Resumen de Análisis por Dominios:

Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del

negocio. “DATA CENTER E.I.R.L” no está alcanzando el uso optimo de los recursos ya que estos no son aprovechados al máximo o de también no se cuenta con los recursos necesarios para el desempeño de ciertas tareas. No todo el personal de “DATA CENTER E.I.R.L” entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia de estos para el cumplimiento de las metas de “DATA CENTER E.I.R.L”.

Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, así como la implementación e integración en los procesos del negocio.

Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de continuidad no es implementada la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la confidencialidad no se encuentran implementadas de forma óptima.


MO

NIT

ORE

AR Y

EV

ALU

AR


Dominio: Monitorear y Evaluar (ME)

La gerencia no monitorea ni evalúa el control interno en “DATA CENTER E.I.R.L”. Existe un poco vinculación en el desempeño de TI con las metas del negocio. No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento, desempeño y control.


2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO

PROCESOS

CRITERIOS DE INFORMACION RECUROS TI

PO1 Definir el Plan Estratégico de Tecnología de la Información 0.83 0.61 x x x

Total real (impacto*Nivel real) 0.83 0.61 0.00 0.00 0.00 0.00 0.00 1

Total ideal (impacto*Nivel ideal) 4.15 3.05 0.00 0.00 0.00 0.00 0.00 5

PO2 Definir la Arquitectura de la Información 0.61 0.83 0.61 0.83 x x x



PO3 Determinar la Dirección Tecnológica 0.83 0.83 x x x x



PO4 Definir los Procesos, la Organización y las Relaciones de TI 1.69 1.69 x x x


DO

MIN

IO

Niv

el d

e M

adur

ez

Efec

tivid

ad

Efici

enci

a

Confi

denc

ialid

ad

Inte

grid

ad

Dis

poni

bilid

ad

Cum

plim

ient

o

Confi

abili

dad

Recu

rsos

Hum

anos

Sist

emas

de

Aplic

ació

n

Tecn

olog

ia

Inst

alac

ione

s

Dat

os

PLAN

IFIC

AR Y

ORG

ANIZ

AR




PO5 Administrar la Inversión de TI 3.41 3.41 2.49 x x x



AI1 Identificar Soluciones Automatizadas 0.83 0.61 x x x x



AI2 Adquirir y Mantener Software Aplicativo 1.69 1.69 1.23 1.23 x x x



AI3 Adquirir y Mantener Infraestructura Tecnológica 0.61 0.83 0.61 0.61 x x x



AI4 Facilitar la Operación y el Uso 0.83 0.83 0.61 0.61 0.61 0.61 x x x x




ADQ

UIR

IR E

IMPL

EMEN

TAR

Ing. de Sistemas e Informática “Santiago Antúnez de Mayolo”


AI5 Adquirir Recursos de TI 2.49 3.41 2.49 x x x x

Total real(impacto*Nivel real) 9.96 13.64 0.00 0.00 0.00 9.96 0.00 4

Total ideal(impacto*Nivel ideal) 12.45 17.05 0.00 0.00 0.00 12.45 0.00 5

DS1 Definir y Administrar los Niveles de Servicio 0.83 0.83 0.61 0.61 0.61 0.61 0.61 x x x x



DS2 Administrar los Servicios de Terceros 2.55 2.55 1.86 1.86 1.86 1.86 1.86 x x x x



DS3 Administrar el Desempeño y la Capacidad 0.83 0.83 0.61 x x x



DS4 Garantizar la Continuidad del Servicio 0.83 0.61 0.83 x x x



DS5 Garantizar la Seguridad de los Sistemas 0.83 0.83 0.61 0.61 0.61 x x x



ENTR

EGAR

Y D

AR S

OPO

RTE



ME1 Monitorear y Evaluar el Desempeño de TI x x x x



ME2 Monitorear y Evaluar el Control Interno x x x x



ME3 Garantizar el Cumplimiento Regulatorio 0.83 0.61 x x



ME4 Proporcionar Gobierno de TI x x x



2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Total real (impacto*Nivel real) 45.04 48.50 7.63 11.53 9.46 18.20 20.44

Total ideal (impacto*Nivel ideal) 94.30 97.80 19.55 32.90 28.70 35.05 40.10



M

ON

ITO

REA

R Y

EVAL

UAR

Porcentaje Alcanzado 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90





A continuación analizamos cada uno de los criterios de la información:

EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%.

EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%.

CONFIDENCIALIDAD.- Para este criterio de información se

obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.

INTEGRIDAD.- Para este criterio de información se

obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%.

DISPONIBILIDAD.- Para este criterio de la información se


obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a


la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%.

CUMPLIMIENTO.- Para este criterio de la información se

obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%.

CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%.


2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN


3.1. INFORME TÉCNICO ALCANCE Mediante esta auditoría se pretende evaluar el estado actual del Departamento Informático “DATA CENTER E.I.R.L”, mediante este proceso se podrá brindar al “DATA CENTER E.I.R.L” sus respectivas conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 4.1. OBJETIVOS

OBJETIVO GENERAL • Realizar la auditoría de las tecnologías de la

información de “DATA CENTER E.I.R.L” de Huaraz, utilizando como modelo de referencia COBIT 4.1.

OBJETIVOS ESPECIFICOS • Identificar problemas técnicos en las TI y dar posibles

soluciones. • Definir controles que permitan disminuir riesgos. • Realizar un informe técnico y ejecutivo.

A continuación se detalla los resultados de la evaluación de cada uno de los 34 procesos divididos en sus respectivos dominios (Planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), basándonos en los niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo 5 (administrado). DOMINIO PLANEAR Y ORGANIZAR


PO1. DEFINIR UNPLAN ESTARTEGICO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que no se cuenta con un plan estratégico definido. RECOMENDACIONES COBIT • Alinear las TI con el negocio, instruir a los jefes de

departamento sobre las capacidades tecnológicas actuales y el



futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias. • Crear planes tácticos de TI, que se resulten del planestratégico de TI, estos servirán para describir las iniciativas y los requerimientos de recursos que necesitados por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados. PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora. RECOMENDACIONES COBIT • Establecer un diseño de clasificación de datos que aplique a

todo “DATA CENTER E.I.R.L”, basado en la información crítica y sensible.

• Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.

PO3. DETERMINAR LA DIRECCIÓN TECNOLÓGICA CONCLUSIÓN.-Este proceso se encuentra en el nivel de madurez 1, puesto que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. RECOMENDACIONES COBIT • Planear la dirección tecnológica, es decir analizar las

tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.



• Crear y mantener un plan de infraestructura tecnológica que este emparejado con los planes estratégicos y tácticos de TI. PO4. DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LASRELACIONES DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 puesto que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente. RECOMENDACIONES COBIT • Definir un marco de trabajo para el proceso de TI para la

ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI.

• Establecer un comité estratégico de TI a nivel del consejo directivo, para garantizar que el gobierno de TI se maneje de forma efectiva.

PO5. ADMINISTRAR LA INVERSIÓN DE TI CONCLUSIÓN.- Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero. RECOMENDACIONES COBIT • Mejorar de forma continua la administración de inversiones

en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.

• Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.

DOMINIO ADQUIRIR E IMPLEMENTAR



AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos. RECOMENDACIONES COBIT • Resaltar, priorizar, especificar los requerimientos

funcionales y técnicos de “DATA CENTER E.I.R.L”, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de “DATA CENTER

E.I.R.L”. • Identificar, documentar y analizar los riesgos relacionados

con los procesos del negocio para el desarrollo de los requerimientos.

AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático. RECOMENDACIONES COBIT • Realizar un diseño detallado, y los requerimientos técnicos

del software. • Garantizar integridad de la información, control de

acceso, respaldo y pistas de auditoría. AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica. RECOMENDACIONES COBIT



• Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.

• Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta.

AI4. FACILITAR LA OPERACIÓN Y EL USO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la documentación y procedimientos ya se encuentran caducados o desactualizados. RECOMENDACIONES COBIT • Realizar una transferencia de conocimiento a la parte

gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.

• Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de “DATA CENTER E.I.R.L”.

AI5. ADQUIRIR RECURSOS DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI. RECOMENDACIONES COBIT • Establecer buenas relaciones con la mayoría de

proveedores y socios. • Cumplir y hacer cumplir los derechos y obligaciones de



ambas partes en los términos contractuales. DOMINIO ESTREGAR Y DAR SOPORTE DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente. RECOMENDACIONES COBIT • Se debe definir un marco de trabajo para la administración

de los niveles de servicio. • Realizar un monitoreo y reporte del cumplimiento de los

niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.

DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores. RECOMENDACIONES COBIT • Establecer criterios formales y estandarizados para realizar

la definición de los términos del acuerdo. • Asignar responsables para la administración del contrato y

del proveedor. DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para aplacar las limitaciones de desempeño y capacidad. RECOMENDACIONES COBIT • Establecer métricas de desempeño y evaluación de la

capacidad. • Realizar un monitoreo continuo del desempeño y la



capacidad de los recursos de TI. DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios. RECOMENDACIONES COBIT • Realizar pruebas regulares del plan de continuidad, de

esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.

• Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite.

DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras. RECOMENDACIONES COBIT • Realizar pruebas a la implementación de la seguridad, de

igual forma monitorear esta. • Garantizar que las características de posibles incidentes de

seguridad sean definidas y comunicadas de forma clara y oportuna.

DOMINIO MONITOREAR Y EVALUAR ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño.



RECOMENDACIONES COBIT • Definir y recolectar los datos del monitoreo mediante

un conjunto de objetivos, mediciones, metas y comparaciones de desempeño.

• Evaluar el desempeño comparándolo periódicamente con las metas.

ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos. RECOMENDACIONES COBIT • Realizar una auto-evaluación del control interno de la

administración de procesos, políticas y contratos de TI. • Si es necesario, mediante revisiones de terceros asegurar la

completitud y efectividad de los controles internos. • Verificar que los proveedores externos cumplan con los

requerimientos legales y regulatorios y con las obligaciones contractuales.

ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio. RECOMENDACIONES COBIT • Tener muy en cuenta las leyes y reglamentos del comercio

electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.

• Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.

ME4. PROPORCIONAR GOBIERNO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 por cuanto no existe procesos de gobierno de TI.



RECOMENDACIONES COBIT • Contribuir al entendimiento del consejo directivo y de los

ejecutivos sobre temas estratégicos de TI tales como el rol de TI.

• Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

CRITERIOS DE LA PORCENTAJE OBSERVACIONES

INFORMACIÓN

El objetivo es alcanzar el 100%, para esto la información en “DATA CENTER E.I.R.L” debe ser

Efectividad 47.76% entregada de forma oportuna, correcta, consistente y utilizable.

El objetivo es alcanzar el 100%, para esto la Eficiencia 49.59% información debe ser generada optimizando los

recursos.

El objetivo es alcanzar el 100%, para lo cual se Confidencialidad 39.03% debe proteger la información sensitiva contra revelación no

autorizada.

El objetivo es alcanzar el 100%, para lo cual la Integridad 35.05%

información debe ser precisa, completa y valida.

El objetivo es alcanzar el 100%, para la cual la información debe estar disponible cuando esta

Disponibilidad 32.96% se requiera por parte de las áreas del negocio en cualquier momento.

El objetivo es alcanzar el 100%, para lo cual se debe respetar las leyes, reglamentos y acuerdos

Cumplimiento 51.93% contractuales a los que esta sujeta el proceso del negocio, como políticas internas.

El objetivo es alcanzar el 100%, para lo cual se



debe proporcionar la información apropiada, con Confiabilidad 50.97%

el fin de que la Gerencia General administre la entidad.

3.2. INFORME EJECUTIVO En el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz. Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.



Criterio de Informacion: Efectividad

Criterio de Información: Eficiencia La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%. La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.


Déficit

Efectividad %52.24 %47.76

Déficit

Eficiencia %50.41 %49.59


La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio del 39.03%.

La integridad consiste en que la información debe ser precisa, completa y valida, este criterio tiene un promedio del 35.05%.

La disponibilidad consiste en que la información este disponible


Déficit

Confidencialidad

Criterio de Información: Confidencialidad

%60.97 %39.03

Déficit

Integridad

Criterio de Información: Integridad

%64.95 %35.05

Déficit

Disponibilidad

Criterio de Información: Disponibilidad

%67.04 %32.96


cuando esta sea requerida por parte de las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.

El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como políticas internas, este criterio tiene un promedio del 51.93%.


Déficit

Cumplimiento

Criterio de Información: Cumplimiento

%48.07 %51.93


Criterio de Información: Confiabilidad La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.


Déficit

Confiabilidad

%49.03 %50.97

CONCLUSIONES

Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”.

Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los


activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI.

Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

RECOMENDACIONES

Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crítico.

Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.

Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.

Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.



GLOSARIO

Auditoría Informática.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informático o estructura informática protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologías de la información así como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. Arquitectura de la información.- Es la disciplina y arte encargada del estudio, análisis, organización, disposición y estructuración de la información en espacios de información, y de la selección y presentación de los datos en los sistemas de información interactivos y no interactivos. COSO.- (Committee Of Sponsoring Organizations), es un modelo de control de negocios, que proporciona un estándar a partir del cual las organizaciones (grandes o pequeñas, en el sector público o privado, con fines de lucro o sin él) pueden evaluar sus procesos de control y determinar cómo mejorar su desempeño. TI.- Tecnologías de la Información. Plan Estratégico.- Es un plan a largo plazo aprobado por una empresa.



Problema.- Es la causa desconocida de uno o varios incidentes.

BIOGRAFÍA

Direcciones Electrónicas:

ISACA ORG. Obtain Cobit http :// www . isaca . o rg/Content / NavigationMenu / Members and_Leaders 1 /COBIT 6/ Obtain _ COBIT / Obtain _ COBIT . htm Diciembre 2008.

WIKIPEDIA, Objetivos de control para la información y

tecnologías relacionadas. http://es.wikipedia.org/wiki/COBIT

WIKIPEDIA, Auditoria Informática

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3 %A1tica

Textos:

Escuela Politécnica Nacional, Auditoria de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0.

COBIT 4.1 Marco Referencial, Emitido por el Comité



Directivo de COBIT y El IT Governance Institute 2007.

ANEXOS A. Cuestionario de Auditoría correspondiente al

funcionamiento del Área de Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios?

SI ( ) NO ( )

¿Son funcionales los muebles asignados para los equipos de cómputo?

SI ( ) NO ( )

B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿“DATA CENTER E.I.R.L” cuenta con extintores de fuego?

SI ( ) NO ( )

¿Existe salida de emergencia?

SI ( ) NO ( )

¿Existe alarma para detectar fuego (calor o humo) en forma automática?

SI ( ) NO ( )



¿Existen una persona responsable de la seguridad?

SI ( ) NO ( )

El lugar donde se encuentra “DATA CENTER E.I.R.L” está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )

C. Cuestionario de Auditoria en Comunicaciones y Redes: ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados?

¿Existen controles especiales para mantener la



disponibilidad de los servicios de red y computadoras conectadas?

¿Existen protocolos de comunicaron establecida?

¿Existe un plan de infraestructura de redes?



¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?


Documents

cobit