Upload
yimi-obispo-viscaino
View
227
Download
0
Embed Size (px)
Citation preview
7/23/2019 Cobit Cuestionario
1/21
Universidad Nacional Jos Faustino
Snchez CarrinE.A.P: Inenier!a de Siste"as
Curso: Auditor!aP#$FES$#: In. %art!n Fiueroa #evilla
#ESU&'A($S (E&
CUES'I$NA#I$ (E C$)I'(ianstico de la Seuridad de
In*or"acin + Anlisis de #iesos
,-/
Presentado 0or:1 2nel acu3a4 %anuel1 (urand silva4 Carlos
1 &eandro %endoza4 %artin1 &eandro 5s6uez4 (ulas
1 Navarro #ivera4 Jairo
1 $7is0o 5izca!no4 8il"ar
CUESTIONARIO DE COBITDominio 1: Planear Y Organizar (PO)
PO1: Definir un Plan E!ra!"gi#o $e TI
PO1%1 A$mini!ra#i&n $el 'alor $e TI
Existen inversiones obligatorias, de sustento y
discrecionales que difieren en complejidad y gradode libertad en cuanto a la asignacin de fondos?
0.
7/23/2019 Cobit Cuestionario
2/21
PO1% Alinea#i&n $e TI #on el Nego#io
Se encuentran integradas las estrategias de
negocio y de TI, relacionando de manera clara las
metas de la empresa y las metas de TI?
PO1% E*alua#i&n $el Deem+e,o - la Ca+a#i$a$ A#!ual
Evalan el desempe!o de los planes existentes y
de los sistemas de informacin?
PO1%. Plan E!ra!"gi#o $e TI
Tienen creado un plan estrat"gico de TI?
PO1%/ Plane T0#!i#o $e TI
Tienen creado un portafolio de planes t#cticos de
TI que se deriven del plan estrat"gico de TI?
PO1% A$mini!ra#i&n $el Por!afolio $e TI
$levan una buena administracin del portafolio
de programas de inversin de TI requerido para
lograr objetivos de negocio estrat"gicos?
PO Definir la Ar2ui!e#!ura $e la Informa#i&n
PO%1 3o$elo $e Ar2ui!e#!ura $e Informa#i&n Em+rearial
%uentan con un modelo de informacin
empresarial que facilite el desarrollo de
aplicaciones y las actividades de soporte a la tomade decisiones?
PO% Di##ionario $e Da!o Em+rearial - Regla $e Sin!a4i $e Da!o
&anejan un diccionario de datos empresarial que
incluye las reglas de sintaxis de datos de la
organi'acin?
PO% E2uema $e Claifi#a#i&n $e Da!o
Tienen establecido un esquema de clasificacin
de datos que se encuentre basado en lo sensible
de la informacin?
PO%. A$mini!ra#i&n $e In!egri$a$Tienen implementado procedimientos que
garanticen la integridad de la informacin dentro
de $a empresa (graria ('ucarera (nda)uasi?
PO De!erminar la Dire##i&n Te#nol&gi#a
PO%1 Planea#i&n $e la Dire##i&n Te#nol&gi#a
$as tecnolog*as existentes son apropiadas para
tomar decisiones y sirve como potencial para crear
oportunidades de negocio?
PO% Plan $e Infrae!ru#!ura Te#nol&gi#a$a infraestructura tecnolgica est# implementada
0. ,
7/23/2019 Cobit Cuestionario
3/21
de manera correcta de acuerdo con los planes
estrat"gicos y t#cticos de TI?
PO% 3oni!oreo $e Ten$en#ia - Regula#ione 5u!ura
&anejan procesos para monitorear las
tendencias ambientales del sector + industria,
tecnolgicas, de infraestructura, legales y
regulatorias?
PO%. E!0n$are Te#nol&gi#o
roporcionan a tiempo soluciones tecnolgicas
consistentes, efectivas y seguras para toda $a
empresa (graria ('ucarera (nda)uasi?
PO%/ Cone6o $e Ar2ui!e#!ura $e TI
Tienen establecido un comit" de arquitectura de
TI que proporcione directrices sobre la arquitectura
y asesor*a sobre su aplicacin, y que verifique elcumplimiento?
PO. Definir lo Pro#eo7 Organiza#i&n - Rela#ione $e TI
PO.%1 3ar#o $e Tra8a6o $e Pro#eo $e TI
Tienen -efinido un marco de trabajo para el
proceso de TI para ejecutar el plan estrat"gico de
TI?
PO.% Comi!" E!ra!"gi#o $e TI
Existe un comit" estrat"gico de TI a nivel del
consejo?
PO.% Comi!" Dire#!i*o $e TIExiste un comit" directivo de TI .o su
equivalente/ compuesto por la gerencia ejecutiva,
del negocio y de TI?
PO.%. U8i#a#i&n Organiza#ional $e la 5un#i&n $e TI
Se encuentra 0bicada la funcin de TI dentro de
la estructura organi'acional general?
PO.%/ E!ru#!ura Organiza#ional
Se encuentra establecida una estructura
organi'acional de TI interna y externa que refleje
las necesidades del negocio?PO.% E!a8le#imien!o $e Role - Re+ona8ili$a$e
Est#n definidos los roles y las responsabilidades
para el personal de TI y los usuarios que delimiten
la autoridad entre el personal de TI y los usuarios
finales?
PO.%9 Re+ona8ili$a$ $e Aeguramien!o $e Cali$a$ $e TI
Existen (signados las responsabilidades para el
desempe!o de la funcin de aseguramiento de
calidad .1(/?
PO.% Re+ona8ili$a$ o8re el Riego7 la Seguri$a$ - el Cum+limien!o
0. 9
7/23/2019 Cobit Cuestionario
4/21
Est#n Establecido la propiedad y la
responsabilidad de los riesgos relacionados con TI
a un nivel superior apropiado?
PO.%; Pro+ie$a$ $e Da!o - $e Si!ema
roporcionan al negocio los procedimientos y
)erramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos?
PO.%1< Su+er*ii&n
Implementan pr#cticas adecuadas de supervisin
dentro de la funcin de TI para garanti'ar que los
roles y las responsabilidades se ejer'an de forma
apropiada?
PO.%11 Segrega#i&n $e 5un#ione
2an Implementado una divisin de roles y
responsabilidades que redu'ca la posibilidad deque un solo individuo afecte negativamente un
proceso cr*tico?
PO.%1 Peronal $e TI
Evalan los requerimientos de personal de forma
regular o cuando existan cambios importantes en
el ambiente de negocios?
PO.%1 Peronal Cla*e $e TI
Est# definido el personal clave de TI para
minimi'ar la dependencia en un solo individuo
desempe!ando una funcin de trabajo cr*tica?PO.%1. Pol=!i#a - Pro#e$imien!o +ara Peronal Con!ra!a$o
%mo aseguraran que los consultores y el
personal contratado que soporta la funcin de TI
cumplan con las pol*ticas organi'acionales de
proteccin de los activos de informacin de la
empresa?
PO.%1/ Rela#ione
Establecen y mantienen una estructura ptima de
enlace, comunicacin y coordinacin entre la
funcin de TI y otros interesados dentro y fuera dela funcin de TI?
PO/ A$mini!rar la In*eri&n en TI
PO/%1 3ar#o $e Tra8a6o +ara la A$mini!ra#i&n 5inan#iera
Est# establecido un marco de trabajo financiero
para administrar las inversiones y el costo de los
activos y servicios de TI?
PO/% Priori$a$e Den!ro $el Preu+ue!o $e TI
Tienen implementado un proceso de toma de
decisiones para dar prioridades a la asignacin de
recursos a TI para operaciones, proyectos y
mantenimiento?
0.
7/23/2019 Cobit Cuestionario
5/21
PO/% Pro#eo Preu+ue!al
Tienen Establecido un proceso para elaborar y
administrar un presupuesto que refleje las
prioridades establecidas en el portafolio
empresarial de programas de inversin en TI?
PO/%. A$mini!ra#i&n $e Co!o $e TI
Tienen Implementado un proceso de
administracin de costos que compare los costos
reales con los presupuestados?
PO/%/ A$mini!ra#i&n $e Benefi#io
2an Implementado un proceso de monitoreo de
beneficios?
PO Comuni#ar la A+ira#ione - la Dire##i&n $e la >eren#ia
PO%1 Am8ien!e $e Pol=!i#a - $e Con!rol
Est#n bien definidos los elementos de un
ambiente de control para TI, alineados con la
filosof*a administrativa y el estilo operativo de $a
empresa (graria ('ucarera (nda)uasi?PO% Riego Cor+ora!i*o - 3ar#o $e Referen#ia $e Con!rol In!erno $e TI
%mo est# elaborar el marco de trabajo que
establece el enfoque empresarial general )acia los
riesgos y el control que se alinee con la pol*tica de
T?
PO% A$mini!ra#i&n $e Pol=!i#a +ara TI
Tienen elaborado un conjunto de pol*ticas queapoyen la estrategia de TI?
PO%. Im+lan!a#i&n $e Pol=!i#a $e TI
%mo aseguran de que las pol*ticas de TI se
implantan y se comuniquen a todo el personal
relevante?
PO%/ Comuni#a#i&n $e lo O86e!i*o - la Dire##i&n $e TI
%mo aseguran de que la conciencia y el
entendimiento de los objetivos y la direccin del
negocio y de TI se comunican a los interesados es
apropiado?PO9 A$mini!rar Re#uro ?umano $e TI
PO9%1 Re#lu!amien!o - Re!en#i&n $el Peronal
%mo reali'an los procesos de reclutamiento del
personal de TI para que est"n de acuerdo a las
pol*ticas y procedimientos generales de personal
de la organi'acin?
PO9% Com+e!en#ia $el Peronal
-e qu" manera verifican que el personal tenga
las )abilidades para cumplir sus roles con base en
su educacin, entrenamiento y+o experiencia?PO9% Aigna#i&n $e Role
0. /
7/23/2019 Cobit Cuestionario
6/21
Est# -efinido los marcos de trabajo para los
roles, responsabilidades y compensacin del
personal, incluyendo el requerimiento de ad)erirse
a las pol*ticas y procedimientos administrativos?
PO9%. En!renamien!o $el Peronal $e TI
%mo proporcionan a los empleados de TI la
orientacin necesaria al momento de la
contratacin y entrenamiento continuo para
conservar su conocimiento y aptitudes?
PO9%/ De+en$en#ia So8re lo In$i*i$uo
%mo minimi'an la exposicin a dependencias
cr*ticas sobre individuos clave por medio de la
captura del conocimiento?
PO9% Pro#e$imien!o $e In*e!iga#i&n $el Peronal
(plican las verificaciones de antecedentes en elproceso de reclutamiento de TI?
PO9%9 E*alua#i&n $el Deem+e,o $el Em+lea$o
Se reali'an de manera peridica las
evaluaciones de desempe!o al personal que
labora dentro de $a empresa (graria ('ucarera
(nda)uasi?
PO9% Cam8io - Termina#i&n $e Tra8a6o
Toman medidas preventivas respecto a los
cambios en los puestos, en especial las
terminaciones de los contratos del personal dentrode $a empresa (graria ('ucarera (nda)uasi?
P
7/23/2019 Cobit Cuestionario
7/21
calidad en $a empresa (graria ('ucarera(nda)uasi?
P
7/23/2019 Cobit Cuestionario
8/21
PO1
7/23/2019 Cobit Cuestionario
9/21
aplicacin?
AI% Con!rol - Poi8ili$a$ $e Au$i!ar la A+li#a#ione
Existen controles de aplicacin automati'ados?
AI%. Seguri$a$ - Di+oni8ili$a$ $e la A+li#a#ione
Existe la seguridad de las aplicaciones y los
requerimientos de disponibilidad ante la presencia
de los riesgos?
AI%/ Configura#i&n e Im+lan!a#i&n $e Sof!@are A+li#a!i*o A$2uiri$o
Se )an adquiridos soft4are de aplicaciones queayuden a lograr los objetivos del negocio, cmocu#les?
AI% A#!ualiza#ione Im+or!an!e en Si!ema E4i!en!e
Se reali'an procesos de desarrollo de sistemasnuevos dentro de $a empresa (graria ('ucarera(nda)uasi?
AI%9 Dearrollo $e Sof!@are A+li#a!i*o
%u#ndo se reali'a un soft4are de aplicacioneseste es documentado y se aseguran todos losaspectos legales?
AI% Aeguramien!o $e la Cali$a$ $el Sof!@are
Existe un plan que asegure la calidad delsoft4are?
AI%; A$mini!ra#i&n $e lo Re2uerimien!o $e A+li#a#ioneSe reali'a un seguimiento a los cambios del
requerimiento a trav"s de la gestin de cambios?
AI%1< 3an!enimien!o $e Sof!@are A+li#a!i*o
Se )an creado estrategias para el mantenimiento
de soft4are?
AI A$2uirir - 3an!ener Infrae!ru#!ura Te#nol&gi#a
AI%1 Plan $e A$2uii#i&n $e Infrae!ru#!ura Te#nol&gi#a
Existe un plan al momento de adquirir e
implementar una infraestructura tecnolgica?
AI% Pro!e##i&n - Di+oni8ili$a$ $el Re#uro $e Infrae!ru#!ura
Existen controles internos que ayuden a laseguridad de los recursos inform#ticos?
AI% 3an!enimien!o $e la Infrae!ru#!ura
Se reali'a mantenimientos de la infraestructura
tecnolgica?
AI%. Am8ien!e $e Prue8a $e 5a#!i8ili$a$
%uenta con )erramientas de prueba de TI?
0. >
7/23/2019 Cobit Cuestionario
10/21
AI. 5a#ili!ar la O+era#i&n - el Uo
AI.%1 Plan +ara Solu#ione $e O+era#i&n
Est# documentado los aspectos t"cnicos de cada
TI?
AI.% Tranferen#ia $e Cono#imien!o a la >eren#ia $el Nego#io
Se reali'a la capacitacin a los ejecutivos paraque puede dan manejar de forma eficiente los
sistemas inform#ticos par que pueden aceptar la
TI?
AI.% Tranferen#ia $e Cono#imien!o a Uuario 5inale
Se reali'an capacitaciones a los usuarios finales
de las Tecnolog*as que se implementan?
AI.%. Tranferen#ia $e Cono#imien!o al Peronal $e O+era#ione -So+or!e
El personal de soporte conoce los
procedimientos para reali'ar mantenimiento de lasnuevas tecnolog*as que se implementen y lepuedan ayudar a su mantenimiento?
AI/ A$2uirir re#uro $e TI
AI/%1 Con!rol $e A$2uii#i&n
$a empresa (graria ('ucarera (nda)uasi empleauna serie de procedimientos y est#ndares en elproceso de adquisicin de nuevos activos oservicios?
AI/% A$mini!ra#i&n $e Con!ra!o #on Pro*ee$ore
$a empresa (graria ('ucarera (nda)uasi empleaprocedimientos en los contratos con losproveedores, ya sea en temas legales, financieros,organi'acionales?
AI/% Sele##i&n $e Pro*ee$ore
$a empresa (graria ('ucarera (nda)uasi lleva acabo la seleccin de proveedores, teniendo encuenta los requerimientos actuales de la empresaas* como tambi"n la opcin m#s viable para esta?
AI/%. A$2uii#i&n $e Re#uro $e TI
$a empresa (graria ('ucarera (nda)uasi en la
parte contractual .adquisiciones/ tiene en cuenta laproteccin de sus propios intereses, a trav"s dederec)os u obligaciones planteadas en elcontrato?
AI A$mini!rar Cam8io
AI%1 E!0n$are - Pro#e$imien!o +ara #am8io
$a empresa (graria ('ucarera (nda)uasiestablece procedimientos de cambios formalespara manejar de manera est#ndar todas lasaplicaciones?
AI% E*alua#i&n $e Im+a#!o7 Prioriza#i&n - Au!oriza#i&n
0. -
7/23/2019 Cobit Cuestionario
11/21
$a empresa (graria ('ucarera (nda)uasi luegode implementar las aplicaciones, se evala y mideel impacto en los usuarios?
AI% Cam8io $e Emergen#ia
$a empresa (graria ('ucarera (nda)uasi lleva a
cabo cambios de emergencia con los procesosque no siguen lo establecido?
AI%. Seguimien!o - Re+or!e $el E!a!u $e Cam8io
$a empresa (graria ('ucarera (nda)uasi reali'aseguimiento y reporte de todos los cambios en lasaplicaciones?
AI%/ Cierre - Do#umen!a#i&n $el Cam8io
$a empresa (graria ('ucarera (nda)uasi en laparte contractual .adquisiciones/ tiene en cuenta laproteccin de sus propios intereses, a trav"s dederec)os u obligaciones planteadas en elcontrato?
AI9 In!alar - a#re$i!ar olu#ione - #am8io
AI9%1 En!renamien!o
$a empresa (graria ('ucarera (nda)uasi reali'acapacitacin y entrenamientos al grupo deoperaciones del #rea de TI por cada proyecto desistema de informacin?
AI9% Plan $e Prue8a
$a empresa (graria ('ucarera (nda)uasi tiene
establecido algn plan de prueba que define roles,responsabilidades? Esta se encuentra aprobadapor las partes relevantes?
AI9% Plan $e Im+lan!a#i&n
$a empresa (graria ('ucarera (nda)uasi tieneestablecido algn plan de implantacin yrespaldo? Esta se encuentra aprobada por laspartes relevantes?
AI9%. Am8ien!e $e Prue8a
$a empresa (graria ('ucarera (nda)uasi cuentacon un entorno seguro de pruebas con las
medidas de seguridad, controles internos, etc5necesarias?
AI9%/ Con*eri&n $e Si!ema - Da!o
$a empresa (graria ('ucarera (nda)uasi cuentacon un lan de conversin de datos o migracinde infraestructura, as* como tambi"n pistas deauditor*a, respaldo?
AI9% Prue8a $e Cam8io
$a empresa (graria ('ucarera (nda)uasi reali'apruebas de %ambios, tomando en cuenta la
seguridad y el desempe!o?
0.
7/23/2019 Cobit Cuestionario
12/21
AI9%9 Prue8a $e A#e+!a#i&n 5inal
$os resultados de los procesos de pruebas sonevaluados por el due!o del proceso de negocio ylos interesados, de acuerdo a lo establecido en elplan de pruebas?
AI9% Promo#i&n a Pro$u##i&n$a empresa (graria ('ucarera (nda)uasicontrola la entrega de los sistemas cambiados aoperaciones, de acuerdo a lo establecido en elplan de implantacin?
AI9%; Re*ii&n Po!erior a la Im+lan!a#i&n
$a empresa (graria ('ucarera (nda)uasiestablece procedimientos en l*nea con losest#ndares de gestin de cambiosorgani'acionales?
Dominio
7/23/2019 Cobit Cuestionario
13/21
los tiene categori'ados de acuerdo al tipo deproveedor, significado y criticidad?
DS% >e!i&n $e Rela#ione #on Pro*ee$ore
Se tiene formali'ado el proceso de gestin derelaciones con los proveedores?
DS% A$mini!ra#i&n $e Riego $el Pro*ee$or
Se tienen identificados y mitigados los riesgosrelacionados con la )abilidad de los proveedorespara mantener un efectivo servicio de entrega deforma segura y eficiente?
DS%. 3oni!oreo $el Deem+e,o $el Pro*ee$or
(ctualmente $a empresa (graria ('ucarera(nda)uasi tiene establecido un proceso demonitoreo a la prestacin del servicio delproveedor para asegurarse de que est"cumpliendo con los requerimientos del negocioactuales?
DS A$mini!rar el $eem+e,o - la #a+a#i$a$
DS%1 Planea#i&n $el Deem+e,o - la Ca+a#i$a$
$a empresa (graria ('ucarera (nda)uasi tieneestablecido un proceso de planeacin para larevisin del desempe!o y la capacidad de losrecursos de TI de acuerdo a lo establecido en losniveles de servicio?
DS% Ca+a#i$a$ - Deem+e,o A#!ual
$a empresa (graria ('ucarera (nda)uasi revisala capacidad y el desempe!o actual de losrecursos de TI de forma regular, para asegurar quepueda prestar servicios con base en los niveles deservicios acordados?
DS% Ca+a#i$a$ - Deem+e,o 5u!uro
$a empresa (graria ('ucarera (nda)uasi lleva acabo un pronstico de desempe!o y capacidad delos recursos de TI de forma regular, para tratar deminimi'ar el riesgo de interrupciones de servicios?
DS%. Di+oni8ili$a$ $e Re#uro $e TI
$a empresa (graria ('ucarera (nda)uasi brindala capacidad y desempe!o requeridos para estaral nivel requerido de servicio?
DS%/ 3oni!oreo - Re+or!e
$a empresa (graria ('ucarera (nda)uasimonitorea constantemente el desempe!o y lacapacidad de los recursos de TI?
DS. >aran!izar la #on!inui$a$ $el er*i#io
DS.%1 3ar#o $e Tra8a6o $e Con!inui$a$ $e TI
$a empresa (graria ('ucarera (nda)uasi cuenta
con un marco de trabajo de continuidad de TI quede soporte a la infraestructura organi'acional y a
0. 9
7/23/2019 Cobit Cuestionario
14/21
los planes de contingencias?
DS.% Plane $e Con!inui$a$ $e TI
$a empresa (graria ('ucarera (nda)uasi cuentacon planes de continuidad de TI basados en elmarco de trabajo y que consideren los
requerimientos de resistencia, procesamientoalternativo y capacidad de recuperacin de todoslos servicios cr*ticos de TI?
DS.% Re#uro Cr=!i#o $e TI
$a empresa (graria ('ucarera (nda)uasi pone"nfasis en los puntos m#s cr*ticos del plan decontinuidad de TI y la alineacin de estas alnegocio?
DS.%. 3an!enimien!o $el Plan $e Con!inui$a$ $e TI
$a gerencia de TI de $a empresa (graria('ucarera (nda)uasi tiene definido y actualmenteejecutando los procedimientos de control decambios?
DS.%/ Prue8a $el Plan $e Con!inui$a$ $e TI
Se reali'an pruebas al plan de continuidad de TIde forma constante en $a empresa (graria('ucarera (nda)uasi?
DS.% En!renamien!o $el Plan $e Con!inui$a$ $e TI
$as partes involucradas en el plan de continuidadde TI reciben sesiones de )abilitacin de formaconstante respecto a los procesos y sus roles y
responsabilidades en caso de incidente odesastre?
DS.%9 Di!ri8u#i&n $el Plan Con!inui$a$ $e TI
(ctualmente en $a empresa (graria ('ucarera(nda)uasi existe una estrategia de distribucindefinida para asegurar que los planes sedistribuyan de manera apropiada y segura y queest"n siempre disponibles cuando se requiera?
DS.% Re#u+era#i&n - Reanu$a#i&n $e lo Ser*i#io $e TI
-urante el per*odo de recuperacin de TI, setienen activados sitios de respaldo, se reali'an
procesamientos alternativos, se les comunica a loscliente o terceros o se reali'an procedimientos dereanudacin?
DS.%; Alma#enamien!o $e Re+al$o 5uera $e la In!ala#ione
Se tienen almacenados fuera de lasinstalaciones, los medios de respaldo,documentacin y otros recursos de TI cr*ticos,necesarios para la recuperacin de TI y planes decontinuidad del negocio?
DS.%1< Re*ii&n Po! Reanu$a#i&n
$a 6erencia de TI )a establecido procedimientospara valorar lo adecuado del plan y actuali'ar elplan si as* lo requiere?
0.
7/23/2019 Cobit Cuestionario
15/21
DS/ >aran!izar la eguri$a$ $e lo i!ema
DS/%1% A$mini!ra#i&n $e la Seguri$a$ $e TI
$a empresa (graria ('ucarera (nda)uasiadministra la seguridad de TI?
DS/%% Plan $e Seguri$a$ $e TI
$a empresa (graria ('ucarera (nda)uasi cuentacon un plan de seguridad de TI?
DS/%% A$mini!ra#i&n $e I$en!i$a$
Existen mecanismos y procedimientos queaseguren que el usuario se autentique antes deutili'ar las funciones del sistema para la obtencinde la informacin?
DS/%.% A$mini!ra#i&n $e Cuen!a $el Uuario
Se lleva a cabo una debida administracin decuentas de usuario por parte del administrador de
usuarios basado en procedimientos establecidos?DS/%/% Prue8a7 'igilan#ia - 3oni!oreo $e la Seguri$a$
Se lleva a cabo un adecuado monitoreo de laseguridad de TI en $a empresa (graria ('ucarera(nda)uasi, con la finalidad de garanti'ar un nivelde seguridad adecuado?
DS/%% Defini#i&n $e In#i$en!e $e Seguri$a$
$os incidentes que puedan ocurrir est#ndefinidos y clasificados con la finalidad de quepuedan ser tratados de la mejor manera?
DS/%9% Pro!e##i&n $e la Te#nolog=a $e Seguri$a$
Se utili'a tecnolog*a para la proteccin deseguridad de la informacin de $a empresa(graria ('ucarera (nda)uasi? y en caso de queexista 1u" medidas se toman para protegerdic)a tecnolog*a?
DS/%% A$mini!ra#i&n $e la*e Cri+!ogr0fi#a
$a empresa (graria ('ucarera (nda)uasiadministra el uso llaves criptogr#ficas con lafinalidad de protegerlas de modificaciones ydivulgaciones no autori'adas?
DS/%;% Pre*en#i&n7 De!e##i&n - Corre##i&n $e Sof!@are 3ali#ioo
Se utili'an antivirus u otro soft4are relacionada ala neutrali'acin de soft4are malicioso?
DS/%1
7/23/2019 Cobit Cuestionario
16/21
DS%1% Defini#i&n $e Ser*i#io
Se tienen identificados los costos de TI y surelacin con los servicios de TI?
DS%% Con!a8iliza#i&n $e TI
$a asignacin de costos de TI se reali'a tomando
en cuenta la relacin que tienen estos con losservicios TI y en base a un modelo de costosestablecido?
DS%% 3o$ela#i&n $e Co!o - Cargo
El modelo de costos garanti'a un uso adecuadode recursos?
DS%.% 3an!enimien!o $el 3o$elo $e Co!o
El modelo de costos se revisa y compara deforma regular con la finalidad de acreditar larelevancia para el negocio y actividades de TI?
DS9 E$u#ar - en!renar a lo uuarioDS9%1% I$en!ifi#a#i&n $e Ne#ei$a$e $e En!renamien!o - E$u#a#i&n
Se reali'an la planificacin y actuali'acinperidica de programas de entrenamiento alpersonal con la finalidad de lograr que cumplancon los objetivos del negocio y a la ve' seancapacitados en el uso de TI?
DS9%% Im+ar!i#i&n $e En!renamien!o - E$u#a#i&n
Se identifican a los grupos para el entrenamiento,a los instructores, y se lleva un registro deasistencias y evaluaciones de dic)os eventos?
DS9%% E*alua#i&n $el En!renamien!o Re#i8i$oSe anali'an los resultados obtenidos en losprogramas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?
DS A$mini!rar la mea $e er*i#io - lo in#i$en!e
DS%1% 3ea $e Ser*i#io
Se reali'an la planificacin y actuali'acinperidica de programas de entrenamiento alpersonal con la finalidad de lograr que cumplancon los objetivos del negocio y a la ve' seancapacitados en el uso de TI?
DS%% Regi!ro $e Conul!a $e Clien!e
Se identifican a los grupos para el entrenamiento,a los instructores, y se lleva un registro deasistencias y evaluaciones de dic)os eventos?
DS%% E#alamien!o $e In#i$en!e
Se anali'an los resultados obtenidos en losprogramas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?
DS%.% Cierre $e In#i$en!eSe anali'an los resultados obtenidos en los
0. ;
7/23/2019 Cobit Cuestionario
17/21
programas de entrenamiento con la finalidad deque sirvan como base para la elaboracin deprogramas posteriores?
DS%/% An0lii $e Ten$en#ia
Se emiten reportes a la gerencia con la finalidad
de mostrar el desempe!o obtenido mediante losservicios y sus tiempos de respuesta, as* comotambi"n las incidencias que se )ayan presentado?
DS; A$mini!rar la #onfigura#i&n
DS;%1% Re+oi!orio - =nea Bae $e Configura#i&n
Existen )erramientas de soporte y un centro dealmacenamiento que contenga la informacinrelevante sobre los activos o elementos deconfiguracin?
DS;%% I$en!ifi#a#i&n - 3an!enimien!o $e Elemen!o $e Configura#i&n
Existen procedimientos de configuracin para darsoporte y gestionar los cambios al repositorio deconfiguracin?
DS;%% Re*ii&n $e In!egri$a$ $e la Configura#i&n
Se reali'an revisiones peridicas de los datos deconfiguracin para verificar y confirmar laintegridad de la configuracin actual e )istrica, ala ve' se revisan las aplicaciones soft4areinstalados con la finalidad de evitar malasconfiguraciones en ellos?
DS1< A$mini!rar lo +ro8lema
DS1
7/23/2019 Cobit Cuestionario
18/21
de forma precisa y oportuna?
DS11%% A#uer$o $e Alma#enamien!o - Coner*a#i&n
Se tienen definidos procedimientos para arc)ivar,almacenar y retener los datos de forma efectiva yeficiente?
DS11%% Si!ema $e A$mini!ra#i&n $e i8rer=a $e 3e$ioSe tienen definidos e implementadosprocedimientos para mantener un inventario demedios almacenados para asegurar la usabilidad eintegridad?
DS11%.% Elimina#i&n
Existen procedimientos de eliminacin,transferencias de datos y+o )ard4are que sirvanpara la proteccin de datos sensibles?
DS11%/% Re+al$o - Re!aura#i&nExiste un plan de continuidad de negocio querespalde los sistemas, aplicaciones, los datos ydocumentacin en l*nea?
DS11%% Re2uerimien!o $e Seguri$a$ +ara la A$mini!ra#i&n $e Da!o
Existen pol*ticas de seguridad aplicables a larecepcin, procesamiento, almacenamiento ysalida de los datos?
DS1 A$mini!rar el am8ien!e f=i#o
DS1%1% Sele##i&n - Die,o $el Cen!ro $e Da!o
Existe un centro de datos que tome en cuenta elriesgo asociado con desastres naturales ycausados por el )ombre?
DS1%% 3e$i$a $e Seguri$a$ 5=i#a
Existen medidas de seguridad alineadas con losrequerimientos del negocio?
DS1%% A##eo 5=i#o
Existe una administracin de acceso a las #reasde acuerdo con las necesidades del negocio?
DS1%.% Pro!e##i&n Con!ra 5a#!ore Am8ien!ale
Se )a implementado medidas de proteccin
contra factores ambientales?
DS1%/% A$mini!ra#i&n $e In!ala#ione 5=i#a
Se administra las instalaciones f*sicas deacuerdo con las leyes y los reglamentos, losrequerimientos t"cnicos y del negocio?
DS1 A$mini!rar la o+era#ione
DS1%1% Pro#e$imien!o e In!ru##ione $e O+era#i&n
Existe procedimiento est#ndar para operacionesde TI que garantice que el personal de
operaciones est" familiari'ado con todas lastareas de operacin?
0. =
7/23/2019 Cobit Cuestionario
19/21
DS1%% Programa#i&n $e Tarea
Emplea un programa de trabajos que maximiceel desempe!o para cumplir con los requerimientosdel negocio?
DS1%% 3oni!oreo $e la Infrae!ru#!ura $e TI
Se monitorea la infraestructura de TI y loseventos relacionados?
DS1%.% Do#umen!o Seni!i*o - Di+oi!i*o $e Sali$a
Se da una administracin de inventariosadecuado sobre los activos de TI m#s sensitivos?
DS1%/% 3an!enimien!o Pre*en!i*o $el ?ar$@are
Existe procedimientos para garanti'ar elmantenimiento oportuno del a infraestructura de TIpara as* disminuir el impacto de las fallas o el
desempe!o?Dominio
7/23/2019 Cobit Cuestionario
20/21
(graria ('ucarera (nda)uasi?
3E%% Re*iione $e Au$i!or=a
Se evala la eficiencia y efectividad de loscontroles internos de revisin de la gerencia de TI?
3E%% E4#e+#ione $e Con!rol
Existen excepciones de control y se reportan alos interesados?
3E%.% Con!rol $e Au!o E*alua#i&n
Existe un programa de continuo de auto7evolucin que evalu" la completitud y efectividadde los controles de gerencia sobre los procesos,pol*ticas y contratos de TI?
3E%/% Aeguramien!o $el Con!rol In!erno
Existe una revisin de terceros de los controlesinternos?
3E%% Con!rol In!erno +ara Ter#ero$a empresa (graria ('ucarera (nda)uasi evalael estado de los controles internos para serviciosexternos .proveedor/?
3E%9% A##ione Corre#!i*a
En los controles de evaluacin y los informes seidentifican e implementan acciones correctivas?
3E >aran!izar el Cum+limien!o Regula!orio
3E%1% I$en!ifi#ar lo Re2uerimien!o $e la e-e7 Regula#ione -Cum+limien!o Con!ra#!uale
$a empresa (graria ('ucarera (nda)uasi tieneuna base continua que permite identificarrequerimientos externos que deben cumplir paraincorporar en las pol*ticas y metodolog*as de TI de$a empresa (graria ('ucarera (nda)uasi?
3E%% O+!imizar la Re+ue!a a Re2uerimien!o E4!erno
Se revisa y ajusta las pol*ticas, est#ndares ymetodolog*as de TI para garanti'ar los requisitoslegales y regulatorios?
3E%% E*alua#i&n $el Cum+limien!o #on Re2uerimien!o E4!erno
Existe una evaluacin del cumplimiento con
requerimientos externos?3E%.% Aeguramien!o Poi!i*o $el Cum+limien!o
Se toma acciones correctivas de forma oportunapara resolver cualquier brec)a de cumplimientodel proceso?
3E%/% Re+or!e In!egra$o
$a empresa (graria ('ucarera (nda)uasi integralos reportes de TI sobre requerimientos legales,regulatorios contractuales con las salidas similaresprovenientes de otras funciones del negocio?
3E. Pro+or#ionar >o8ierno $e TI3E.%1% E!a8le#imien!o $e un 3ar#o $e >o8ierno $e TI
0. ,-
7/23/2019 Cobit Cuestionario
21/21
Existe un marco de gobierno de TI queproporcione una visin completa de control ygobierno corporativo que asegure el cumplimientoleyes y regulaciones?
3E.%% Alineamien!o E!ra!"gi#o
En la organi'acin )ay un comit" estrat"gico deTI encargado de brindar orientacin estrat"gica ala gerencia respecto a TI, y que facilite laalineacin de TI con el negocio?
3E.%% En!rega $e 'alor
$os activos de TI apoyan las estrategias y losobjetivos de $a empresa (graria ('ucarera(nda)uasi, y los resultados de las inversiones sonlas esperadas?
3E.%.% A$mini!ra#i&n $e Re#uro
Existe una evaluacin peridica )acia los activosde TI para asegurar que siempre est"n alineadoscon los objetivos estrat"gicos de $a empresa(graria ('ucarera (nda)uasi?
3E.%/% A$mini!ra#i&n $e Riego
$a empresa (graria ('ucarera (nda)uasi quetipo de metodolog*a utili'a para definir nivel deriesgo?
3E.%% 3e$i#i&n $el Deem+e,o
$a empresa (graria ('ucarera (nda)uasi revisael progreso )acia las metas identificadas
bas#ndose en el desempe!o de las TI?3E.%9% Aeguramien!o In$e+en$ien!e
Existen medidas que garanticen de formaindependiente la conformidad de TI con lalegislacin y la regulacin relevante?
0 ,