• Like
Proyecto de auditoría informática aplicando la metodología cobit 4.1
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Proyecto de auditoría informática aplicando la metodología cobit 4.1

  • 38,245 views
Published

Auditoria Informatica, …

Auditoria Informatica,
Ing. de Sistemas e Informatica
Nick: Cibercomputer

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
  • @undefined Hola Rossy 80 estoy empezando a hacer mi tesis enfocada en cobit.... Si puedes proporcionarme algo información adicional ya q la estas trabajando te lo agradeceria
    Are you sure you want to
    Your message goes here
  • muy bueno, gracias
    Are you sure you want to
    Your message goes here
  • interesante, me ha gustado su informacion, un favor me la puede facilitar para guia, porque yo estoy trabajando mi tesis para mi titulo, en con Cobit, para el dominio Planificar y organizar, gracias
    Are you sure you want to
    Your message goes here
  • muy interesante el proyecto
    Are you sure you want to
    Your message goes here
  • gracias viejito esper me sea de mucha ayuda....
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
38,245
On SlideShare
0
From Embeds
0
Number of Embeds
7

Actions

Shares
Downloads
2,759
Comments
6
Likes
15

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. UNIVERSIDAD NACIONAL “SANTIAGO ANTÚNEZ DE MAYOLO” FACULTAD DE CIENCIASTEMA: “Proyecto de Auditoría Informática en la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT 4.1”DOCENTE: Ing. Fabian M. Espinoza BarretoALUMNO: Ramírez Huamán, Luis AngelloSEMESTRE / CICLO: 2011-II / IX Huaraz-Ancash-Perú
  • 2. DEDICATORIA Dedico este presente trabajo a Dios en primer lugar por brindarme la vida, a mis Padres, y a mis Hermanos quienes con sussabios consejos me orientan en el presente en busca de un mañanamejor. Sencillamente, ustedes son la base de mi vida profesional ytoda la vida les estaré agradecido. II
  • 3. AGRADECIMIENTOAl Ing. Fabian M. Espinoza Barreto por toda su dedicación brindada en este proceso de asesoramiento brindado ya que sin él no tendría los resultados obtenidos, muchas gracias. III
  • 4. ÍNDICE Nº PágINTRODUCCIÓN……………………………………………………………………….VII CAPÍTULO I PLANTEAMIENTO DEL PROBLEMA1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9 1.1.1. NATURALEZA DE LA EMPRESA……………………………….9 1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9 1.1.3. VISIÓN…………………………………………………………………11 1.1.4. MISIÓN………………………………………………………………..11 1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11 1.1.5.1. ANÁLISIS FODA……………………………………………….11 1.1.5.2. METAS ORGANIZACIONALES…………………………..12 1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12 1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13 1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………141.2. METODOLOGÍA COBIT…………………………………………………..15 1.2.1. MODELOS DE MADUREZ……………………………………..15 1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17 1.2.2.1. ÁREA A AUDITAR…………………………………………….17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17 1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA………………………………………………..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE INFORMÁTICA……………………………………………..…18 1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMÁTICA…………………………………………….….18 1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)…………………………………………………………...19 IV
  • 5. CAPÍTULO II EJECUCIÓN DE LA AUDITORIA2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22 2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24 2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN………………………26 2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28 2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS……………………….…29 2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29 2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..292.2. REALIZACIÓN DE LA AUDITORIA……………………………………30 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO……………………….……55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN………………………………58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN………………………………60 CAPÍTULO III ANÁLISIS DE LOS RESULTADOS3.1. INFORME TÉCNICO……………………………………………..…………623.2. INFORME EJECUTIVO…………………………………………….………70 CAPÍTULO IV CONCLUSIONES Y RECOMENDACIONES4.1. CONCLUSIONES……………………………………………….……………744.2. RECOMENDACIONES…………………………………………….………75 V
  • 6. GLOSARIO…………………………………………………………………………..…76BIOGRAFÍA………………………………………………………………………….…77ANEXOS………………………………………………………………………………..78 VI
  • 7. INTRODUCCIÓNA finales del siglo XX, los Sistemas Informáticos se hanconstituido en las herramientas más poderosas para materializaruno de los conceptos más vitales y necesarios para cualquierOrganización Empresarial, los Sistemas de Información de laOrganización. Donde los Sistemas Informáticos hoy en díaconstituyen una herramienta bastante poderosa para la mejorade rendimiento de toda la Organización.Por lo ello se realiza una auditoria informática en la Organización“DATA CENTER E.I.R.L” tomando muy en cuenta la dependenciacritica de muchos procesos de negocios sobre las Tecnologías dela Información, con el objetivo de cumplir con los requerimientosexistentes y los beneficios de administrar los riesgosefectivamente, utilizando como modelo de referencia COBIT 4.1,mediante la evaluación de 34 procesos que define estametodología, agrupados en 4 dominios (Planear y Organizar,Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear yEvaluar), estos procesos son ubicados en los niveles de madurezen los cuales se encuentran en la actualidad, para luego dar lasrespectivas recomendaciones que sugiere COBIT 4.1, medianteeste trabajo se pretende solucionar varios problemas como elservicio eficiente a los clientes y el aprovechamiento eficaz yeficiente de los recursos tecnológicos y humanos que cuenta laOrganización en estudio. VII
  • 8. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática1.1. CARACTERIZACIÓN DE LA EMPRESA 1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro. Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes. Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora. 1.1.2. UBICACIÓN GEOGRÁFICA La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.Auditor: Ramírez Huamán, Luis Angello Página 9
  • 9. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Código de Ubicación Geográfica (UBIGEO): Ubicación Exacta: DATA CENTER E.I.R.LAuditor: Ramírez Huamán, Luis Angello Página 10
  • 10. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.3. VISIÓN “Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros” 1.1.4. MISIÓN “La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente” 1.1.5. OBJETIVOS ESTRATÉGICOS 1.1.5.1. Análisis FODA ANÁLISIS INTERNO FORTALEZAS DEBILIDADES  Tratamiento personalizado a  Control de Almacén. clientes, orientación y  Realizar grandes proyectos en el asesoramiento. sector privado y público.  Integración de productos y  Dependencia de los servicios servicios buscando sinergias entre subcontratados. ellos.  Sistema de Información  Innovación Constante. Integrado (Compras, ventas,  Personal debidamente Capacitado Almacén y Kárdex). y comprometido con la visión de la Organización. ANÁLISIS EXTERNO OPORTUNIDADES AMENAZAS  Valoración positiva de las TIC en  Oferta de productos a menor la Organización. precio por parte de la  Costos cada vez menores para las competencia. Organizaciones para la aplicación  La inestabilidad económica de de las TIC. los pobladores de la cuidad de  Lealtad de los clientes hacia la Huaraz. Organización.  Cambios repentinos de los  Ubicación Céntrica del Local. Sistemas Informáticos.  Incremento de la Competencia.Auditor: Ramírez Huamán, Luis Angello Página 11
  • 11. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.5.2. Metas Organizacionalesa. Corto Plazo  Abastecimiento de las Áreas de la Organización según sus necesidades primarias.b. Mediano Plazo  Realizar la capacitación a todo el personal, la renovación tecnológica, humana y la infraestructura de la Organización.c. Largo Plazo  Lograr la expansión demográfica en el rubro, con innovaciones tecnológicas y el desarrollo de un sistema de información integrado. 1.1.5.3. Objetivos Estratégicos  Desarrollar estrategias para llamar la atención de nuevos clientes.  Aprovechar la Tecnología para Desarrolla un Sistema de Información Integral de Calidad.  Aprovechar el buen clima para capacitar al personal de la Organización.  Desarrollar servicios nuevos que mejoren el nivel del servicio.  Explotar el potencial humano y tecnológico para una óptima productividad de los mismos.Auditor: Ramírez Huamán, Luis Angello Página 12
  • 12. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.6. ORGANIGRAMA DE LA EMPRESA Gerencia General Área de Área de Área de Comercio Administración Informática Recursos Servicio Diseño Almacén Compras Ventas Contabilidad Logística Redes Humanos Técnico WebAuditor: Ramírez Huamán, Luis Angello Página 13
  • 13. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.6.1 Descripción de la Gerencia y Áreas a. Gerencia General.- Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización. b. Área de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros. c. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General. d. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.Auditor: Ramírez Huamán, Luis Angello Página 14
  • 14. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática1.2. METODOLOGÍA COBITMarco de Trabajo Completo de COBIT 1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de la Tecnologías de la Información.Auditor: Ramírez Huamán, Luis Angello Página 15
  • 15. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administración podrá identificar:  El desempeño real de la Organización: Donde se encuentra la Organización hoy.  El Status actual de la industria: La comparación  EL objetivo de la mejora de la Organización: Donde desea estar la Organización. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría: Carencia completa de cualquier proceso reconocible. 0 La Organización no ha reconocido siquiera que existe un NO EXISTENTE problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin 1 embargo; no existen procesos estándar en su lugar INICIAL existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o 2 comunicación formal de los procedimientos estándar, y REPETIBLE se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.Auditor: Ramírez Huamán, Luis Angello Página 16
  • 16. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Los procedimientos se han estandarizado y documentado, y se han difundido a través de 3 entrenamiento. Sin embargo, se deja que el individuo DEFINIDO decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos 4 no estén trabajando de forma efectiva. Los procesos están ADMINISTRADO bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un 5 modelo de madurez con otras empresas. TI se usa de forma OPTIMIZADA integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 1.2.2. AUDITORIA DE TICS CON COBIT 1.2.2.1. Área a Auditar La Auditoría realizada por Ramírez Huamán, Luis Angello, será en el Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”. 1.2.2.2. Reclutamiento de la Información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más especifico. (Anexo A, B, C) 1.2.2.3. Documentos de Gestión del Área de Informática Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son:  Mantenimiento de Equipos de Cómputo.  Un Plan de Contingencias.Auditor: Ramírez Huamán, Luis Angello Página 17
  • 17. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática  Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la Auditoria en el Área de Informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:Nº ACTIVIDADES1 Observación General del Área de Informática.2 Entrevistas a los trabajadores del Área de Informática.3 Analizar con que documentos de Gestión y Técnicos cuentas. Verificar si que los equipos de los que se cuenta en la4 actualidad concuerdan con su inventario. Análisis de las claves de acceso, control, seguridad,5 confiabilidad y respaldos. Evaluar las tecnologías de información (TI), tanto en6 hardware como en software.7 Evaluación de la seguridad física, lógica y de redes. 1.2.2.5. Herramientas y Técnicas HERRAMIENTAS TECNICAS Cuaderno de Apuntes, Papel,  Observación, entrevistas Lapicero, Antivirus Eset Smart y cuestionarios. Security 4.0, Microsoft Office 2010 y otros. 1.2.2.6. Motivo o necesidad de una Auditoria Informática  Síntomas de mala imagen e insatisfacción de los usuarios.  Síntomas de debilidad económico financiero.  Síntomas de Inseguridad.  Síntomas de descoordinación y desorganización.Auditor: Ramírez Huamán, Luis Angello Página 18
  • 18. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos. CRITERIOS DE INFORMACIÓN DE RECURSOS DE TI OBJETIVOS DE CONTROL DE COBIT COBIT DE COBIT CONFIDENCIALIDAD INFRAESTRUCTURA DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD INFORMACIÓN EFECTIVIDAD INTEGRIDAD APLICACIÓN EFICIENCIA PERSONAS PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. X X X X PO2 Definir la arquitectura de la información X X PO3 Definir la dirección tecnológica. X X Definir los procesos, organización y PO4 relaciones de TI. X PO5 Administrar la inversión en TI. X X X Comunicar las metas y la dirección de la PO6 gerencia. X X PO7 Administrar los recursos humanos de TI. X PO8 Administrar la calidad. X X X X PO9 Evaluar y administrar los riegos de TI. X X X X PO10 Administrar los proyectos. P P X X X ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. P S X X AI2 Adquirir y mantener software aplicativo. P P S S X Adquirir y mantener la infraestructura AI3 tecnológica. S P S S X AI4 Facilitar la operación y el uso. P P S S S S X X X AI5 Procurar recursos de TI. S P S X X X X AI6 Administrar los cambios. P P P P S X X X X AI7 Instalar y acreditar soluciones y cambios. P S S S X X X XAuditor: Ramírez Huamán, Luis Angello Página 19
  • 19. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática ENTREGAR Y DAR SOPORTE Definir y administrar los niveles de DS1 servicio. P P S S S S S X X X X DS2 Administrar los servicios de terceros. P P S S S S S X X X X DS3 Administrar el desempeño y capacidad. P P S X X DS4 Asegurar el servicio continuo. P S P X X X X DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X DS6 Identificar y asignar costos. P P X X X X DS7 Educar y entrenar a los usuarios. P S X Administrar la mesa de servicio y los DS8 incidentes. P P X X DS9 Administrar la configuración. P S S S X X X DS10 Administrar los problemas. P P S X X X X DS11 Administrar los datos. P P X DS12 Administrar el ambiente físico. P P X DS13 Administrar las operaciones. P P S S X X X X MONITOREAR Y EVALUAR Monitorear y evaluar el desempeño de ME1 TI. P P S S S S S X X X X ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X ME3 Garantizar el cumplimiento regulatorio. P S X X X X ME4 Proporcionar gobierno de TI. P P S S S S S X X X XPara tener un porcentaje de los criterios de la información,asignamos un valor para el impacto primario, de igual formatendremos un valor para el impacto secundario.Este porcentaje lo estableceremos en base a la propuestametodológica para el manejo de riesgos COSO (SponsoringOrganizations of the Treadway), como se muestra en la tabla. CALIFICACION IMPACTO PROMEDIO 15% 50% BAJO 32 51% 75% MEDIO 63 76% 95% ALTO 86 Promedio de Impactos, fuente COBIT 4.1Auditor: Ramírez Huamán, Luis Angello Página 20
  • 20. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS a. Ubicación: El Área de Informática se ubica al lado del Área de Negocios, teniendo la responsabilidad de gestionar los procesos técnicos de informática. Ubicación Física del Área de Informática b. Cargos Funcionales y Operativos: Apellidos y Nombres Cargos Cargos Funcionales (Trabajadores) Operativos Realiza la compra y venta de Gerente los productos, organiza y Ing. Lázaro Montañez, Heyner General coordina las actividades, y delega funciones al personal Técnico en Realiza el Soporte Técnico de Romero Castillo, José Carlos Informática y Computadoras y Redes Redes Asistente Técnico en Realiza el Soporte Técnico de Ramírez Huamán, Luis Angello Informática y Computadoras y Redes Redes Realiza las ventas de equipos Montañez Araujo, Sarita Eva Vendedora InformáticosAuditor: Ramírez Huamán, Luis Angello Página 22
  • 21. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.1. OBJETIVOS DEL DEPARTAMENTO  Recomendar la adquisición de hardware, software básico y de aplicaciones conveniente y necesario.  Estructurar, ejecutar y actualizar el plan estratégico del Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.  Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.  Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.  Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.  Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.  Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.  Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.  Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.Auditor: Ramírez Huamán, Luis Angello Página 23
  • 22. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO ÁREA DE INFORMÁTICA SERVICIO REDES DISEÑO WEB TÉCNICO WEB SOFTWARE MICROSOFT CORPORATIVO WEB HARDWARE LINUX PERSONAL SATELITAL 2.1.3. SEGURIDAD DEL DEPARTAMENTO a. Seguridad Física:  Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos.  Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia.  Contar con un espacio adecuado para el alojamiento de los servidores.Auditor: Ramírez Huamán, Luis Angello Página 24
  • 23. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática b. Seguridad Legal:  Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseño de páginas web.  Contar con las licencias de los sistemas operativos (Microsoft) en uso.  Realizar una auditoria de la tecnologías de la información externa a “DATA CENTER E.I.R.L” c. Seguridad de Datos:  Realizar periódicamente backups de la base de datos del sistema de información.  Procesar los datos más importantes de la Organización en las aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.  Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada. d. Seguridad de Personas:  Renovar los implementos de seguridad de los técnicos de informática.  Realizar las señalizaciones sísmicas pertinentes en el establecimiento ante un desastre sísmico.  Establecer políticas de integridad física y mental para el personal que labora, dentro de sus horas de trabajo.Auditor: Ramírez Huamán, Luis Angello Página 25
  • 24. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN a. Recursos Humanos: APELLIDOS Y GERENCIA/ÁREA TIEMPO DE NOMBRES CARGOS TITULO FUNCIÓN LABORAL SERVICIO (TRABAJADORES) Realiza la compra y venta de Ing. Lázaro Ing. de Gerencia Gerente los productos, organiza y Montañez, Informática y Estable General General coordina las actividades, y Heyner Sistemas delega funciones al personal Técnico en Área de Romero Castillo, Realiza el Soporte Técnico de Informática Técnico 7 meses Informática José Carlos Computadoras y Redes y Redes Asistente Área de Ramírez Huamán, Técnico en Realiza el Soporte Técnico de Técnico 3 meses Informática Luis Angello Informática Computadoras y Redes y Redes Secretariado Área de Montañez Realiza las ventas de equipos Vendedora Ejecutivo 2 años Comercio Araujo, Sarita Eva Informáticos ComputarizadoAuditor: Ramírez Huamán, Luis Angello Página 26
  • 25. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática b. Hardware: NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD I5 CPU 1.8 GHz PC 01 Servidor Proxy Memoria RAM 4 GB Disco Duro 1 TB Corel 2 duo CPU 2.0 GHz Memoria RAM 4 GB S-ATA 7200 Disco Duro PC para el 500 GB PC 02 Sistema de D-Link DFE-530 PCI Tarjeta de Red Información Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series Corel 2 duo CPU 2.8 GHz Memoria RAM 2 GB S-ATA 7200 Disco Duro PC para 300 GB PC 03 Soporte D-Link DFE-530 PCI Tarjeta de Red Técnico Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series c. Software:NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES MySQL 5.1 Server Open Office 3.5 PC 01 Linux-CentOS Ver. 5.0 Apache 6.0 FileZilla Server 3.5.2 DBMS SQL Server 2005 Microsoft Windows Seven Ultimate con PC 02 NetBeans 6.7.1 Service Pack 2 Suite Office 2010 Utilitarios Básicos Microsoft Windows Seven Ultimate con Suite Office 2010 PC 03 Service Pack 2 Utilitarios Básicos Auditor: Ramírez Huamán, Luis Angello Página 27
  • 26. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.5. TOPOLOGÍA DE LA EMPRESA La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topología de red estrella.Auditor: Ramírez Huamán, Luis Angello Página 28
  • 27. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.6. CARACTERIZACIÓN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte técnico y PC para el funcionamiento de Sistema de Información, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeñen dentro de la Organización. Las actividades que se realizan en la empresa son de lunes a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseño de pagina web y otros, como también a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS 2.1.7.1. Posibles Problemas  Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.  Falta de una planificación informática.  Disminución considerable e injustificable del presupuesto del Área de Comercio.  Falta de documentación del sistema de información y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos.  Organización que no funciona correctamente por la falta de políticas, normas, metodología, asignación de tareas, debidamente establecida por la Gerencia General. 2.1.7.2. Formulación de Hipótesis  No se cuenta con la seguridad en general de los recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo comoAuditor: Ramírez Huamán, Luis Angello Página 29
  • 28. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática consecuencia problemas económicos y de tecnología de información (Hardware y Software). 2.2. REALIZACIÓN DE LA AUDITORIA 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organización que a su vez califica el nivel en dicho objetivo. DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia por parte de GRADO DE MADUREZ la gerencia de que la planeación El proceso de Definir el Plan EstratégicoNivel estratégica de TI es requerida para √ de Tecnología Información esta en el 0 dar soporte a las metas del nivel de madurez 1. negocio. OBJETIVOS NO CUMPLIDOS La planeación estratégica de TI se  Que no existe un plan estratégicoNivel discute de forma ocasional en las √ de TI y estrategias de recursos de 1 reuniones de la gerencia. la Organización. Las decisiones estratégicas se  No se realizar planes a largo plazo toman proyecto por proyecto, de TI, haciendo soloNivel sin ser consistentes con una √ actualizaciones debido a los 2 estrategia global de la avances tecnológicos. organización. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. LasNivel estrategias de recursos humanos, √ 3 técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. Existen procesos bien definidosNivel para determinar e uso de √ 4 recursos internos y externos requeridos en el desarrollo y las Auditor: Ramírez Huamán, Luis Angello Página 30
  • 29. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática operaciones de los sistemas. Se desarrollan planes realistas a largo plazo de TI y se actualizan deNivel manera constante para reflejar los √ 5 cambiantes avances tecnológicos y el progreso relacionado al negocio.RECOMENDACIONESPara el proceso PO1 de COBIT estable los siguientes objetivos de control:  Planes a largo plazo de TI.  Tomar decisiones estratégicas.  Definir los recursos internos y externos necesarios.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “DATA CENTER E.I.R.L”En el Largo Plazo:  Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados. DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES El conocimiento, la experiencia y las GRADO DE MADUREZNivel responsabilidades necesarias para El proceso de Definir la Arquitectura de √ 0 desarrollar esta arquitectura no la Información esta en el nivel de existen en la organización. madurez 1. La gerencia reconoce la necesidad de OBJETIVOS NO CUMPLIDOS una arquitectura de información. ElNivel  Que no se resolvió necesidades desarrollo de algunos componentes √ 1 de una arquitectura de información futuras del negocio realizando el ocurre de manera ad hoc. proceso de la arquitectura de la Las personas obtienen sus información. habilidades al construir la  Aprovechar las habilidadesNivel arquitectura de información por √ personales para la construcción 2 medio de experiencia práctica y la de la arquitectura de la aplicación repetida de técnicas. información. Existe una función de administración de datos definida formalmente, queNivel establece estándares para toda la √ 3 organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. Auditor: Ramírez Huamán, Luis Angello Página 31
  • 30. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática El proceso de definición de laNivel arquitectura de información es pro- √ 4 activo y se enfoca en resolver necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y darNivel mantenimiento a una arquitectura de √ 5 información robusta y sensible que refleje todos los requerimientos del negocio.RECOMENDACIONESPara el proceso PO2 de COBIT estable los siguientes objetivos de control:  Desarrollar y mantener la arquitectura de la información.  Tener en claro la definición del proceso de la arquitectura de la información.  Ser participe de la construcción de la arquitectura de la información para incrementar sus habilidades.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital.En el Largo Plazo:  Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Dirección Tecnología CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia sobre la GRADO DE MADUREZNivel importancia de la planeación de la El proceso de Determinar la Dirección √ 0 infraestructura tecnológica para la Tecnología esta en el nivel de madurez 1. entidad. OBJETIVOS NO CUMPLIDOS La gerencia reconoce la necesidad  Desarrollar las habilidades para la de planear la infraestructura elaboración del plan de laNivel tecnológica. El desarrollo de infraestructura tecnológica. √ 1 componentes tecnológicos y la  Realizar un plan de implantación de tecnologías infraestructura tecnológica. emergentes son ad hoc y aisladas. La evaluación de los cambiosNivel tecnológicos se delega a individuos √ 2 que siguen procesos intuitivos, aunque similares. Auditor: Ramírez Huamán, Luis Angello Página 32
  • 31. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Existe un plan de infraestructura tecnológica definido,Nivel documentado y bien difundido, √ 3 aunque se aplica de forma inconsistente. El área de informática cuenta conNivel la experiencia y las habilidades √ 4 necesarias para desarrollar un plan de infraestructura tecnológica. La dirección del plan de infraestructura tecnológica está impulsada por los estándares yNivel avances industriales e √ 5 internacionales, en lugar de estar orientada por los proveedores de tecnología.RECOMENDACIONESPara el proceso PO3 de COBIT estable los siguientes objetivos de control:  Elaborar un plan de infraestructura tecnológica.  Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.  No delegar los cambios tecnológicos a personas que no tienen la debida experiencia.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.En el Largo Plazo:  Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un foro tecnológico, para de esta forma brindar directrices tecnológicas. DOMINIO: PLANIFICAR Y ORGANIZAR PO4: Definir los Procesos, la Organización y las Relaciones de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La organización de TI no está GRADO DE MADUREZNivel establecida de forma efectiva para El proceso de Definir los Procesos, la √ 0 enfocarse en el logro de los Organización y las Relaciones de TI esta objetivos del negocio. en el nivel de madurez 2. La función de TI se considera como OBJETIVOS NO CUMPLIDOSNivel una función de soporte, sin una √  Formular las relaciones con 1 perspectiva organizacional general. terceros para la TI. La necesidad de contar con una  No satisfacer los requerimientosNivel organización estructurada, pero las √ del negocio. 2 decisiones todavía depende del Auditor: Ramírez Huamán, Luis Angello Página 33
  • 32. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática conocimiento y habilidades de individuos clave. Se formulan las relaciones conNivel terceros, incluyendo los comités de √ 3 dirección, auditoría interna y administración de proveedores. La organización de TI responde de forma pro activa al cambio eNivel incluye todos los roles necesarios √ 4 para satisfacer los requerimientos del negocio.Nivel La estructura organizacional de TI √ 5 es flexible y adaptable.RECOMENDACIONESPara el proceso PO4 de COBIT estable los siguientes objetivos de control:  Ser flexible y adaptable a la estructura organizacional de TI.  Responder de forma pro actica a los requerimientos del negocio.  Formular relaciones con terceros como auditoria interna.Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una evaluación permanente de personal, para así asegurar que el personal involucrado en las TI sea el pertinente para la función asignada.En el Largo Plazo:  Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente. DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversión de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia de la GRADO DE MADUREZ importancia de la selección y El proceso de Administrar la Inversión deNivel presupuesto de las inversiones en TI esta en el nivel de madurez 4. √ 0 TI. No existe seguimiento o OBJETIVOS NO CUMPLIDOS monitoreo de las inversiones y  Formular las relaciones con gastos de TI. terceros para la TI. La organización reconoce la necesidad de administrar laNivel inversión en TI, aunque esta √ 1 necesidad se comunica de manera inconsistente. Existe un entendimiento implícitoNivel de la necesidad de seleccionar y √ 2 presupuestar las inversiones en TI. Auditor: Ramírez Huamán, Luis Angello Página 34
  • 33. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. LosNivel procesos de selección de √ 3 inversiones en TI y de presupuestos están formalizados, documentados y comunicados. La responsabilidad y la rendición de cuentas por la selección yNivel presupuestos de inversiones se √ 4 asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven. Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar laNivel efectividad de las inversiones. Se √ 5 utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.RECOMENDACIONESPara el proceso PO5 de COBIT estable los siguientes objetivos de control:  Reconocer la necesidad de administrar la inversión en TI.  Utilizar las mejores prácticas para la evaluación de costos de inversión.  Documentar y formalizar el presupuesto en TI.Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.En el Largo Plazo:  Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones. DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La organización no requiere de la GRADO DE MADUREZ identificación de los El proceso de Identificar SolucionesNivel requerimientos funcionales y Automatizadas esta en el nivel de √ 0 operativos para el desarrollo, madurez 1. implantación o modificación de OBJETIVOS NO CUMPLIDOS soluciones, tales como sistemas, Auditor: Ramírez Huamán, Luis Angello Página 35
  • 34. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática servicios, infraestructura y datos.  Determinar el proceso para la Existe una investigación o análisis solución de TI, según elNivel estructurado mínimo de la √ requerimiento del negocio. 1 tecnología disponible.  Documentación de los proyectos El éxito de cada proyecto depende realizados. de la experiencia de unos cuantosNivel individuos clave. La calidad de la √ 2 documentación y de la toma de decisiones varía de forma considerable. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisionesNivel tomadas por el personal √ 3 involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original. La documentación de los proyectosNivel es de buena calidad y cada etapa √ 4 se aprueba adecuadamente. La metodología está soportada en bases de datos de conocimientoNivel internas y externas que contienen √ 5 material de referencia sobre soluciones tecnológicas.RECOMENDACIONESPara el proceso AI1 de COBIT estable los siguientes objetivos de control:  Soportar la metodología de TI en base de datos.  Determinar los procesos para las soluciones de TI.  Explotar la experiencia de los trabajadores para la buena toma de decisiones.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.En el Largo Plazo:  Que exista el alineamiento con las estrategias de la Organización y de TI. Auditor: Ramírez Huamán, Luis Angello Página 36
  • 35. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Típicamente, las aplicaciones se GRADO DE MADUREZ obtienen con base en ofertas de El proceso de Adquirir y Mantener proveedores, en el reconocimiento Software Aplicativo esta en el nivel deNivel de la marca o en la familiaridad del √ madurez 2. 0 personal de TI con productos OBJETIVOS NO CUMPLIDOS específicos, considerando poco o  Dar a conocer el proceso de nada los requerimientos actuales. adquisición y mantenimiento del Es probable que se hayan Sistema de Información adquirido en forma independiente (software) y aplicaciones. una variedad de soluciones  Determinar la metodologíaNivel individuales para requerimientos √ formal para la documentación del 1 particulares del negocio, teniendo software en uso. como resultado ineficiencias en el mantenimiento y soporte. Existen procesos de adquisición y mantenimiento de aplicaciones,Nivel con diferencias pero similares, en √ 2 base a la experiencia dentro de la operación de TI. Existe un proceso claro, definido y de comprensión general para laNivel adquisición y mantenimiento de √ 3 software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación,Nivel un criterio de adquisición, un √ 4 proceso de prueba y requerimientos para la documentación. El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance yNivel permite un posicionamiento √ 5 estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del Auditor: Ramírez Huamán, Luis Angello Página 37
  • 36. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática negocio.RECOMENDACIONESPara el proceso AI2 de COBIT estable los siguientes objetivos de control:  Asegurar que el software diseñado sea de calidad.  Realizar un diseño detallado, y los requerimientos técnicos del software.  Identificar los requerimientos del negocio para el desarrollo del software.Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Desarrollar estrategia y planes de mantenimiento del software aplicativo.En el Largo Plazo:  Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría. DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnológica CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No se reconoce la administración GRADO DE MADUREZNivel de la infraestructura de tecnología El proceso de Adquirir y Mantener √ 0 como un asunto importante al cual Infraestructura Tecnológica esta en el deba ser resuelto. nivel de madurez 1. Se realizan cambios a la OBJETIVOS NO CUMPLIDOS infraestructura para cada nueva  Definir una estrategia para laNivel aplicación, sin ningún plan en adquisición y mantenimiento de √ 1 conjunto. La actividad de la infraestructura. mantenimiento reacciona a  Organizar y prevenir el proceso necesidades de corto plazo. de adquisición y mantenimiento La adquisición y mantenimiento de de la infraestructura. la infraestructura de TI no se basaNivel en una estrategia definida y no √ 2 considera las necesidades de las aplicaciones del negocio que se deben respaldar. El proceso respalda las necesidades de las aplicacionesNivel críticas del negocio y concuerda √ 3 con la estrategia de negocio de TI, pero no se aplica en forma consistente. La infraestructura de TI soportaNivel adecuadamente las aplicaciones √ 4 del negocio. El proceso está bien organizado y es preventivo.Nivel El proceso de adquisición y √ Auditor: Ramírez Huamán, Luis Angello Página 38
  • 37. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 5 mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.RECOMENDACIONESPara el proceso AI3 de COBIT estable los siguientes objetivos de control:  Crear un plan de adquisición de infraestructura tecnológica.  Garantizar la disponibilidad de la infraestructura tecnológica.  Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Crear un plan de adquisición de infraestructura tecnológica.En el Largo Plazo:  Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica. DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operación y el Uso CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe el proceso con respecto GRADO DE MADUREZNivel a la producción de documentación El proceso de Facilitar la Operación y el √ 0 de usuario, manuales de operación Uso esta en el nivel de madurez 1. y material de entrenamiento. OBJETIVOS NO CUMPLIDOS Mucha de la documentación y  Falta generar los materiales de muchos de los procedimientos ya entretenimiento buscando suNivel caducaron. Los materiales de calidad. √ 1 entrenamiento tienden a ser  Garantizar la compañía de esquemas únicos con calidad estándares para el desarrollo del variable. proceso. Individuos o equipos de proyecto generan los materiales deNivel entrenamiento, y la calidad √ 2 depende de los individuos que se involucran. Se guardan y se mantienen losNivel procedimientos en una biblioteca √ 3 formal y cualquiera que necesite saber tiene acceso a ella.Nivel Existen controles para garantizar √ 4 que se adhieren los estándares y Auditor: Ramírez Huamán, Luis Angello Página 39
  • 38. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática que se desarrollan y mantienen procedimientos para todos los procesos. Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que seNivel mantiene en forma electrónica, √ 5 con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.RECOMENDACIONESPara el proceso AI4 de COBIT estable los siguientes objetivos de control:  Control para garantizar adherir los estándares para el mantenimiento de los procesos.  Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.En el Largo Plazo:  Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización. DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONESNivel No existe un proceso definido de GRADO DE MADUREZ √ 0 adquisición de recursos de TI. El proceso de Adquirir Recursos de TI Los contratos para la adquisición esta en el nivel de madurez 4. de recursos de TI son elaborados y OBJETIVOS NO CUMPLIDOS administrados por gerentes de  Falta de buenas relaciones conNivel proyecto y otras personas que algunos proveedores de forma √ 1 ejercen su juicio profesional más estratégica. que seguir resultados de procedimientos y políticas formales.Nivel Se determinan responsabilidades y √ 2 rendición de cuentas para la Auditor: Ramírez Huamán, Luis Angello Página 40
  • 39. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato. La adquisición de TI se integra enNivel gran parte con los sistemas √ 3 generales de adquisición del negocio. La adquisición de TI se integra en gran parte con los sistemasNivel generales de adquisición del √ 4 negocio. Existen estándares de TI para la adquisición de recursos de TI. Se establecen buenas relaciones con el tiempo con la mayoría de losNivel proveedores y socios, y se mide y √ 5 vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégica.RECOMENDACIONESPara el proceso AI5 de COBIT estable los siguientes objetivos de control:  Tomar medidas en la administración de contratos y adquisiciones.  Establecer buenas relaciones con la mayoría de proveedores y socios.Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir los recursos de TI.En el Largo Plazo:  Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales. DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La gerencia no reconoce la GRADO DE MADUREZNivel necesidad de un proceso para √ El proceso de Definir y Administrar los 0 definir los niveles de servicio. Niveles de Servicio esta en el nivel de La responsabilidad y la rendición madurez 1.Nivel de cuentas sobre para la definición OBJETIVOS NO CUMPLIDOS √ 1 y la administración de servicios no  No ordenar los procesos de está definida. desarrollo por niveles de servicio.Nivel Los reportes de los niveles de  Realizar reportes de servicio de √ 2 servicio están incompletos y Auditor: Ramírez Huamán, Luis Angello Página 41
  • 40. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática pueden ser irrelevantes o forma completa y relevante. engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. El proceso de desarrollo del acuerdo de niveles de servicio estaNivel en orden y cuenta con puntos de √ 3 control para revalorar los niveles de servicio y la satisfacción de cliente. La satisfacción del cliente es medida y valorada de formaNivel rutinaria. Las medidas de √ 4 desempeño reflejan las necesidades del cliente, en lugar de las metas de TI. Todos los procesos de administración de niveles de servicio están sujetos a mejoraNivel continua. Los niveles de √ 5 satisfacción del cliente son administrados y monitoreados de manera continua.RECOMENDACIONESPara el proceso DS1 de COBIT estable los siguientes objetivos de control:  Realizar un portafolio de servicios.  Realizar acuerdos de niveles de servicio.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio.En el Largo Plazo:  Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados. Auditor: Ramírez Huamán, Luis Angello Página 42
  • 41. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Los servicios de terceros no son ni GRADO DE MADUREZ aprobados ni revisados por la El proceso de Administrar los Servicios deNivel gerencia. No hay actividades de √ Terceros esta en el nivel de madurez 3. 0 medición y los terceros no OBJETIVOS NO CUMPLIDOS reportan.  Verificar de forma continua las No hay condiciones estandarizadas capacidades del proveedor.Nivel para los convenios con los √  Monitorear e implementar 1 prestadores de servicios. acciones correctivas. Se utiliza un contrato pro forma con términos y condicionesNivel estándares del proveedor (por √ 2 ejemplo, la descripción de servicios que se prestarán). Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramenteNivel contractual. La naturaleza de los √ 3 servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Las aptitudes, capacidades yNivel riesgos del proveedor son √ 4 verificadas de forma continua. Se monitorea el cumplimiento deNivel las condiciones operacionales, √ 5 legales y de control y se implantan acciones correctivas.RECOMENDACIONESPara el proceso DS2 de COBIT estable los siguientes objetivos de control:  Monitorear e implementar acciones correctivas.  Verificar de forma continua las capacidades del proveedor.Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.En el Largo Plazo:  Mantener acuerdos de confidencialidad con los proveedores. Auditor: Ramírez Huamán, Luis Angello Página 43
  • 42. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeño y la Capacidad CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La gerencia no reconoce que los GRADO DE MADUREZ procesos clave del negocio pueden El proceso de Administrar el Desempeño y requerir altos niveles de la Capacidad esta en el nivel de madurez 1.Nivel desempeño de TI o que el total de √ OBJETIVOS NO CUMPLIDOS 0 los requerimientos de servicios de  Realizar evaluaciones de la TI del negocio pueden exceder la infraestructura de TI logrando una capacidad. capacidad optima. Los responsables de los procesos  Establecer métodos de desempeño del negocio valoran poco la y evaluación. necesidad de llevar a cabo unaNivel planeación de la capacidad y del √ 1 desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas. Las necesidades de desempeño se logran por lo general con base enNivel evaluaciones de sistemas √ 2 individuales y el conocimiento y soporte de equipos de proyecto. Los pronósticos de la capacidad y el desempeño se modelan porNivel medio de un proceso definido. Los √ 3 reportes se generan con estadísticas de desempeño. Hay información actualizada disponible, brindando estadísticasNivel de desempeño estandarizadas y √ 4 alertando sobre incidentes causados por falta de desempeño o de capacidad. La infraestructura de TI y la demanda del negocio están sujetasNivel a revisiones regulares para √ 5 asegurar que se logre una capacidad óptima con el menor costo posible.RECOMENDACIONESPara el proceso DS3 de COBIT estable los siguientes objetivos de control:  Establecer métricas de desempeño y evaluación de la capacidad. Auditor: Ramírez Huamán, Luis Angello Página 44
  • 43. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática  Realizar revisiones de forma periódica la demanda del negocio con menor costo.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares.En el Largo Plazo:  Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI. DOMINIO: ENTREGAR Y DAR SOPORTE DS4: Garantizar la Continuidad del Servicio CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No hay entendimiento de los GRADO DE MADUREZNivel riesgos, vulnerabilidades y √ El proceso de Garantizar la Continuidad del 0 amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1. Las responsabilidades sobre la OBJETIVOS NO CUMPLIDOS continuidad de los servicios son  Mantener un plan de servicios.Nivel informales y la autoridad para √  Integrar los procesos de servicios 1 ejecutar responsabilidades es para mejores prácticas externas. limitada. Los reportes sobre la disponibilidad son esporádicos,Nivel pueden estar incompletos y no √ 2 toman en cuenta el impacto en el negocio. Las responsabilidades de laNivel planeación y de las pruebas de la √ 3 continuidad de los servicios están claramente asignadas y definidas. Se asigna la responsabilidad deNivel mantener un plan de continuidad √ 4 de servicios. Los procesos integrados de servicioNivel continuo toman en cuenta √ 5 referencias de la industria y las mejores prácticas externas.RECOMENDACIONESPara el proceso DS4 de COBIT estable los siguientes objetivos de control:  Desarrollar y tomar muy en cuenta planes de continuidad.  Realizar un marco de trabajo de continuidad.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. Auditor: Ramírez Huamán, Luis Angello Página 45
  • 44. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e InformáticaEn el Largo Plazo:  Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite. DOMINIO: ENTREGAR Y DAR SOPORTE DS5: Garantizar la Seguridad de los Sistemas CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Las medidas para soportar la GRADO DE MADUREZ administrar la seguridad de TI no El proceso de Garantizar la Seguridad deNivel están implementadas. No hay los Sistemas esta en el nivel de madurez 1. √ 0 reportes de seguridad de TI ni un OBJETIVOS NO CUMPLIDOS proceso de respuesta para resolver  Concientizar el valor de la brechas de seguridad de TI. seguridad de la información. La seguridad de TI se lleva a cabo  Elaborar un plan de seguridad de de forma reactiva. No se mide la TI. seguridad de TI. Las brechas de seguridad de TI ocasionanNivel respuestas con acusaciones √ 1 personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles. La conciencia sobre la necesidad de la seguridad esta fraccionada yNivel limitada. Aunque los sistemas √ 2 producen información relevante respecto a la seguridad, ésta no se analiza. Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero noNivel continuamente implementadas. √ 3 Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo. El contacto con métodos para promover la conciencia de laNivel seguridad es obligatorio. La √ 4 identificación, autenticación y autorización de los usuarios está estandarizada.Nivel Los usuarios y los clientes se √ 5 responsabilizan cada vez más de Auditor: Ramírez Huamán, Luis Angello Página 46
  • 45. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.RECOMENDACIONESPara el proceso DS5 de COBIT estable los siguientes objetivos de control:  Se debe administrar la seguridad TI.  Realizar un plan de seguridad de TI.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad, detección de intrusos, etc.)En el Largo Plazo:  Realizar pruebas a la implementación de la seguridad, de igual forma monitorear esta. DOMINIO: MONITOREAR Y EVALUAR ME1: Monitorear y Evaluar el Desempeño de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES TI no lleva a cabo monitoreo de GRADO DE MADUREZ proyectos o procesos de forma El proceso de Monitorear y Evaluar el independiente. No se cuenta con Desempeño de TI esta en el nivel deNivel reportes útiles, oportunos y √ madurez 0. 0 precisos. La necesidad de entender OBJETIVOS NO CUMPLIDOS de forma clara los objetivos de los  Poder identificar los procesos procesos no se reconoce. estándares de evaluación. No se han identificado procesos  Integrar todos los procesos y estándar de recolección y proyectos de TI. evaluación. El monitoreo seNivel implanta y las métricas se √ 1 seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos. La interpretación de los resultadosNivel del monitoreo se basa en la √ 2 experiencia de individuos clave. Las mediciones de la contribución de la función de servicios deNivel información al desempeño de la √ 3 organización se han definido, usando criterios financieros y operativos tradicionales. Auditor: Ramírez Huamán, Luis Angello Página 47
  • 46. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Hay una integración de métricas a lo largo de todos los proyectos yNivel procesos de TI. Los sistemas de √ 4 reporte de la administración de TI están formalizados. Las métricas impulsadas por el negocio se usan de forma rutinariaNivel para medir el desempeño, y están √ 5 integradas en los marcos de trabajo estratégicos, tales como el Balanced Scorecard.RECOMENDACIONESPara el proceso ME1 de COBIT estable los siguientes objetivos de control:  Definir un método de monitoreo como Balance Scorecard.  Evaluar el desempeño comparándolo periódicamente con las metas.Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.En el Largo Plazo:  Identificar e iniciar medidas correctivas sobre el desempeño de TI. DOMINIO: MONITOREAR Y EVALUAR ME2: Monitorear y Evaluar el Control Interno CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Los métodos de reporte de control GRADO DE MADUREZ interno gerenciales no existen. El proceso de Monitorear y Evaluar elNivel Existe una falta generalizada de Control Interno esta en el nivel de √ 0 conciencia sobre la seguridad madurez 0. operativa y el aseguramiento del OBJETIVOS NO CUMPLIDOS control interno de TI.  Establecer los procesos para la La gerencia de TI no ha asignado evaluación y aseguramiento del de manera formal las control interno.Nivel responsabilidades para monitorear √  Utilizar herramientas integradas 1 la efectividad de los controles para la detección del control internos. interno de TI. La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de loNivel que considera controles internos √ 2 críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en Auditor: Ramírez Huamán, Luis Angello Página 48
  • 47. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática un plan. Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un procesoNivel para auto evaluaciones y √ 3 revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI. Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido unaNivel función formal para el control √ 4 interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección. La organización utiliza herramientas integradas y actualizadas, donde es apropiado,Nivel que permiten una evaluación √ 5 efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI.RECOMENDACIONESPara el proceso ME2 de COBIT estable los siguientes objetivos de control:  Monitorear el marco de trabajo de control interno de forma continua.  Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI.Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.En el Largo Plazo:  Identificar e iniciar medidas correctivas sobre el desempeño de TI. Auditor: Ramírez Huamán, Luis Angello Página 49
  • 48. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: MONITOREAR Y EVALUAR ME3: Garantizar el Cumplimiento Regulatorio CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Existe poca conciencia respecto a GRADO DE MADUREZ los requerimientos externos que El proceso de Garantizar el CumplimientoNivel afectan a TI, sin procesos Regulatorio esta en el nivel de madurez 1. √ 0 referentes al cumplimiento de OBJETIVOS NO CUMPLIDOS requisitos regulatorios, legales y  Brindar capacitación sobre contractuales. requisitos legales y regulatorios Se siguen procesos informales para externos. mantener el cumplimiento, pero  Conocer los requerimientosNivel solo si la necesidad surge en √ aplicables, como la solución de 1 nuevos proyectos o como nuevas necesidades. respuesta a auditorías o revisiones. No existe, sin embargo, un enfoque estándar. Hay muchaNivel confianza en el conocimiento y √ 2 responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento sobre requisitos legales y regulatoriosNivel externos que afectan a la √ 3 organización y se instruye respecto a los procesos de cumplimiento definidos. Las responsabilidades son claras y el empoderamiento de losNivel procesos es entendido. El proceso √ 4 incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes. Hay un amplio conocimiento de los requerimientos externosNivel aplicables, incluyendo sus √ 5 tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones.RECOMENDACIONESPara el proceso ME3 de COBIT estable los siguientes objetivos de control:  Integrar los reporte de TI sobre el cumplimiento regulatorio.  Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de políticas, y regulatorios.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: Auditor: Ramírez Huamán, Luis Angello Página 50
  • 49. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e InformáticaEn el Corto Plazo:  Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.En el Largo Plazo:  Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI. DOMINIO: MONITOREAR Y EVALUAR ME4: Proporcionar Gobierno de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Existe una carencia completa de GRADO DE MADUREZ cualquier proceso reconocible de El proceso de Proporcionar Gobierno de TI gobierno de TI. La organización ni esta en el nivel de madurez 0.Nivel siquiera ha reconocido que existe √ OBJETIVOS NO CUMPLIDOS 0 un problema a resolver; por lo  Comunicar por parte de la Gerencia tanto, no existe comunicación los procedimientos estandarizados. respecto al tema. El enfoque de la gerencia es reactivo y solamente existe unaNivel comunicación esporádica e √ 1 inconsistente sobre los temas y los enfoques para resolverlos. La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodosNivel de evaluación y técnicas; sin √ 2 embargo, el proceso no ha sido adoptado a lo largo de la organización. La gerencia ha comunicado los procedimientos estandarizados y elNivel entrenamiento está establecido. Se √ 3 han identificado herramientas para apoyar a la supervisión del gobierno de TI. Los procesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI seNivel basa principalmente en un √ 4 entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos. Auditor: Ramírez Huamán, Luis Angello Página 51
  • 50. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática La implantación de las políticas de TI ha resultado en una organización, personas y procesos que se adaptan rápidamente, y que dan soporte completo a losNivel requisitos de gobierno de TI. Todos √ 5 los problemas y desviaciones se analizan por medio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida.RECOMENDACIONESPara el proceso ME4 de COBIT estable los siguientes objetivos de control:  Administrar los riesgos de forma eficiente.  Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles y responsabilidades.En el Largo Plazo:  Conformar un comité de auditoría para asegurar el cumplimiento de TI. 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ MADUREZ DOMINIO NIVEL DE PROCESO PO1 Definir el Plan Estratégico de Tecnología de la Información 1 PLANIFICAR Y ORGANIZAR PO2 Definir la Arquitectura de la Información 1 PO3 Determinar la Dirección Tecnología 1 PO4 Definir los Procesos, la Organización y las Relaciones de TI 2 PO5 Administrar la Inversión de TI 4 AI1 Identificar Soluciones Automatizadas 1 IMPLEMENTAR ADQUIRIR E AI2 Adquirir y Mantener Software Aplicativo 2 AI3 Adquirir y Mantener Infraestructura Tecnológica 1 AI4 Facilitar la Operación y el Uso 1 AI5 Adquirir Recursos de TI 4 Auditor: Ramírez Huamán, Luis Angello Página 52
  • 51. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DS1 Definir y Administrar los Niveles de Servicio 1MONITOREAR Y ENTREGAR Y DAR SOPORTE DS2 Administrar los Servicios de Terceros 3 DS3 Administrar el Desempeño y la Capacidad 1 DS4 Garantizar la Continuidad del Servicio 1 DS5 Garantizar la Seguridad de los Sistemas 1 ME1 Monitorear y Evaluar el Desempeño de TI 0 EVALUAR ME2 Monitorear y Evaluar el Control Interno 0 ME3 Garantizar el Cumplimiento Regulatorio 1 ME4 Proporcionar Gobierno de TI 0 Resumen de Análisis por Dominios:  Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del negocio. “DATA CENTER E.I.R.L” no está alcanzando el uso optimo de los recursos ya que estos no son aprovechados al máximo o de también no se cuenta con los recursos necesarios para el desempeño de ciertas tareas. No todo el personal de “DATA CENTER E.I.R.L” entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia de estos para el cumplimiento de las metas de “DATA CENTER E.I.R.L”.  Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, así como la implementación e integración en los procesos del negocio.  Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de continuidad no es implementada la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la Auditor: Ramírez Huamán, Luis Angello Página 53
  • 52. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática confidencialidad no se encuentran implementadas de forma óptima.  Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evalúa el control interno en “DATA CENTER E.I.R.L”. Existe un poco vinculación en el desempeño de TI con las metas del negocio. No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento, desempeño y control.Auditor: Ramírez Huamán, Luis Angello Página 54
  • 53. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO CRITERIOS DE INFORMACION RECUROS TI Sistemas de Aplicación Nivel de Madurez Recursos Humanos Confidencialidad Disponibilidad CumplimientoDOMINIO Confiabilidad Instalaciones Efectividad Tecnologia Integridad Eficiencia Datos PROCESOS PO1 Definir el Plan Estratégico de Tecnología de la Información 0.83 0.61 x x x Total real (impacto*Nivel real) 0.83 0.61 0.00 0.00 0.00 0.00 0.00 1 Total ideal (impacto*Nivel ideal) 4.15 3.05 0.00 0.00 0.00 0.00 0.00 5PLANIFICAR Y ORGANIZAR PO2 Definir la Arquitectura de la Información 0.61 0.83 0.61 0.83 x x x Total real (impacto*Nivel real) 0.61 0.83 0.61 0.83 0.00 0.00 0.00 1 Total ideal (impacto*Nivel ideal) 3.05 4.15 3.05 4.15 0.00 0.00 0.00 5 PO3 Determinar la Dirección Tecnológica 0.83 0.83 x x x x Total real (impacto*Nivel real) 0.83 0.83 0.00 0.00 0.00 0.00 0.00 1 Total ideal (impacto*Nivel ideal) 4.15 4.15 0.00 0.00 0.00 0.00 0.00 5 PO4 Definir los Procesos, la Organización y las Relaciones de TI 1.69 1.69 x x x Total real (impacto*Nivel real) 3.38 3.38 0.00 0.00 0.00 0.00 0.00 2 Auditor: Ramírez Huamán, Luis Angello Página 55
  • 54. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Total ideal (impacto*Nivel ideal) 8.45 8.45 0.00 0.00 0.00 0.00 0.00 5 PO5 Administrar la Inversión de TI 3.41 3.41 2.49 x x x Total real (impacto*Nivel real) 13.64 13.64 0.00 0.00 0.00 0.00 9.96 4 Total ideal (impacto*Nivel ideal) 17.05 17.05 0.00 0.00 0.00 0.00 12.45 5 AI1 Identificar Soluciones Automatizadas 0.83 0.61 x x x x Total real (impacto*Nivel real) 0.83 0.61 0.00 0.00 0.00 0.00 0.00 1 Total ideal (impacto*Nivel ideal) 4.15 3.05 0.00 0.00 0.00 0.00 0.00 5 AI2 Adquirir y Mantener Software Aplicativo 1.69 1.69 1.23 1.23 x x xADQUIRIR E IMPLEMENTAR Total real (impacto*Nivel real) 3.38 3.38 0.00 2.46 0.00 0.00 2.46 2 Total ideal (impacto*Nivel ideal) 8.45 8.45 0.00 6.15 0.00 0.00 6.15 5 AI3 Adquirir y Mantener Infraestructura Tecnológica 0.61 0.83 0.61 0.61 x x x Total real (impacto*Nivel real) 0.61 0.83 0.00 0.61 0.61 0.00 0.00 1 Total ideal (impacto*Nivel ideal) 3.05 4.15 0.00 3.05 3.05 0.00 0.00 5 AI4 Facilitar la Operación y el Uso 0.83 0.83 0.61 0.61 0.61 0.61 x x x x Total real (impacto*Nivel real) 0.83 0.83 0.00 0.61 0.61 0.61 0.61 1 Total ideal (impacto*Nivel ideal) 4.15 4.15 0.00 3.05 3.05 3.05 3.05 5 AI5 Adquirir Recursos de TI 2.49 3.41 2.49 x x x x Total real(impacto*Nivel real) 9.96 13.64 0.00 0.00 0.00 9.96 0.00 4 Total ideal(impacto*Nivel ideal) 12.45 17.05 0.00 0.00 0.00 12.45 0.00 5 Auditor: Ramírez Huamán, Luis Angello Página 56
  • 55. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DS1 Definir y Administrar los Niveles de Servicio 0.83 0.83 0.61 0.61 0.61 0.61 0.61 x x x x Total real(impacto*Nivel real) 0.83 0.83 0.61 0.61 0.61 0.61 0.61 1 Total ideal(impacto*Nivel ideal) 4.15 4.15 3.05 3.05 3.05 3.05 3.05 5 DS2 Administrar los Servicios de Terceros 2.55 2.55 1.86 1.86 1.86 1.86 1.86 x x x x ENTREGAR Y DAR SOPORTE Total real(impacto*Nivel real) 7.65 7.65 5.58 5.58 5.58 5.58 5.58 3 Total ideal(impacto*Nivel ideal) 12.75 12.75 9.30 9.30 9.30 9.30 9.30 5 DS3 Administrar el Desempeño y la Capacidad 0.83 0.83 0.61 x x x Total real(impacto*Nivel real) 0.83 0.83 0.00 0.00 0.61 0.00 0.00 1 Total ideal(impacto*Nivel ideal) 4.15 4.15 0.00 0.00 3.05 0.00 0.00 5 DS4 Garantizar la Continuidad del Servicio 0.83 0.61 0.83 x x x Total real(impacto*Nivel real) 0.83 0.61 0.00 0.00 0.83 0.00 0.00 1 Total ideal(impacto*Nivel ideal) 4.15 3.05 0.00 0.00 4.15 0.00 0.00 5 DS5 Garantizar la Seguridad de los Sistemas 0.83 0.83 0.61 0.61 0.61 x x x Total real(impacto*Nivel real) 0.00 0.00 0.83 0.83 0.61 0.61 0.61 1 Total ideal(impacto*Nivel ideal) 0.00 0.00 4.15 4.15 3.05 3.05 3.05 5R Y EVALUARMONITOREA ME1 Monitorear y Evaluar el Desempeño de TI x x x x Total real(impacto*Nivel real) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0 Total ideal(impacto*Nivel ideal) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 5 Auditor: Ramírez Huamán, Luis Angello Página 57
  • 56. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática ME2 Monitorear y Evaluar el Control Interno x x x x Total real(impacto*Nivel real) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0 Total ideal(impacto*Nivel ideal) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 5 ME3 Garantizar el Cumplimiento Regulatorio 0.83 0.61 x x Total real(impacto*Nivel real) 0.00 0.00 0.00 0.00 0.00 0.83 0.61 1 Total ideal(impacto*Nivel ideal) 0.00 0.00 0.00 0.00 0.00 4.15 3.05 5 ME4 Proporcionar Gobierno de TI x x x Total real(impacto*Nivel real) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0 Total ideal(impacto*Nivel ideal) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 5 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN Total real (impacto*Nivel real) 45.04 48.50 7.63 11.53 9.46 18.20 20.44 Total ideal (impacto*Nivel ideal) 94.30 97.80 19.55 32.90 28.70 35.05 40.10 Porcentaje Alcanzado 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90Auditor: Ramírez Huamán, Luis Angello Página 58
  • 57. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática A continuación analizamos cada uno de los criterios de la información:  EFECTIVIDAD.- Para este criterio de información se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%.  EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%.  CONFIDENCIALIDAD.- Para este criterio de información se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.  INTEGRIDAD.- Para este criterio de información se obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%.  DISPONIBILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas aAuditor: Ramírez Huamán, Luis Angello Página 59
  • 58. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%.  CUMPLIMIENTO.- Para este criterio de la información se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%.  CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%. 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN60.00 51.93 50.97 47.76 49.5950.00 43.90 39.0340.00 35.05 32.9630.0020.0010.00 0.00Auditor: Ramírez Huamán, Luis Angello Página 60
  • 59. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática3.1. INFORME TÉCNICOALCANCEMediante esta auditoría se pretende evaluar el estado actual delDepartamento Informático “DATA CENTER E.I.R.L”, medianteeste proceso se podrá brindar al “DATA CENTER E.I.R.L” susrespectivas conclusiones y recomendaciones para cada uno delos procesos evaluados en cada dominio según la metodologíaCOBIT 4.1.OBJETIVOS OBJETIVO GENERAL • Realizar la auditoría de las tecnologías de la información d e “DATA CENTER E.I.R.L” de Huaraz, utilizando como modelo de referencia COBIT 4.1. OBJETIVOS ESPECIFICOS • Identificar problemas técnicos en las TI y dar posibles soluciones. • Definir controles que permitan disminuir riesgos. • Realizar un informe técnico y ejecutivo.A continuación se detalla los resultados de la evaluación decada uno de los 34 procesos divididos en sus respectivosdominios (Planear y organizar, adquirir e implementar, entregary dar soporte, monitorear y evaluar.), basándonos en los nivelesde madurez los cuales van desde el grado 0 (no existente) algrado máximo 5 (administrado).DOMINIO PLANEAR Y ORGANIZARPO1. DEFINIR UNPLAN ESTARTEGICOCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1 puesto que no se cuenta con un plan estratégicodefinido.RECOMENDACIONES COBIT• Alinear las TI con el negocio, instruir a los jefes dedepartamento sobre las capacidades tecnológicas actuales y elAuditor: Ramírez Huamán, Luis Angello Página 62
  • 60. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informáticafuturo de estas, así como las oportunidades que prestan lasTI, para el mejor desempeño de las labores diarias.• Crear planes tácticos de TI, que se resulten del planestratégico de TI, estos servirán para describir las iniciativas y losrequerimientos de recursos que necesitados por TI, estos planesdeben ser bien detallados para poder realizar la definición deplanes proyectados.PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓNCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez1, puesto que se reconoce no tener una arquitectura deinformación, pero a pesar de reconocer su importancia no se laelabora.RECOMENDACIONES COBIT• Establecer un diseño de clasificación de datos que apliquea todo “DATA CENTER E.I.R.L”, basado en la información crítica ysensible.• Definir e implementar procedimientos para brindarintegridad y consistencia de todos los datos que se encuentranalmacenado en formato electrónico, como bases de datos,almacenamiento de datos y archivos.PO3. DETERMINAR LA DIRECCIÓN TECNOLÓGICACONCLUSIÓN.-Este proceso se encuentra en el nivel de madurez1, puesto que el desarrollo de componentes tecnológicos y laimplantación de tecnologías emergentes son ad hoc y aisladas.RECOMENDACIONES COBIT• Planear la dirección tecnológica, es decir analizar lastecnologías existentes y emergentes, para tomar en cuenta cualdirección tecnológica es apropiada para lograr cumplir con lasestrategias de TI, y la arquitectura de sistemas del negocio.• Crear y mantener un plan de infraestructuratecnológica que este emparejado con los planes estratégicos ytácticos de TI.Auditor: Ramírez Huamán, Luis Angello Página 63
  • 61. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e InformáticaPO4. DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LASRELACIONES DE TICONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 2 puesto que las necesidades de los usuarios yrelaciones con proveedores se responden de forma tácticaaunque inconsistentemente.RECOMENDACIONES COBIT• Definir un marco de trabajo para el proceso de TI para laejecución del plan estratégico de TI, incluyendo la estructura yrelaciones de procesos de TI.• Establecer un comité estratégico de TI a nivel delconsejo directivo, para garantizar que el gobierno de TI semaneje de forma efectiva.PO5. ADMINISTRAR LA INVERSIÓN DE TICONCLUSIÓN.- Las responsabilidades y rendición de cuentaspara la selección de presupuestos de inversiones sonasignadas en específico al Jefe del departamento informáticoy el jefe del departamento financiero.RECOMENDACIONES COBIT• Mejorar de forma continua la administración deinversiones en base a las lecciones aprendidas del análisis deldesempeño real de las inversiones.• Incluir un análisis de costos y beneficios a largo plazo delciclo total de vida en la toma de decisiones de inversiones.DOMINIO ADQUIRIR E IMPLEMENTARAI1. IDENTIFICAR SOLUCIONES AUTOMATIZADASCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1 puesto que existe la conciencia de la necesidad dedefinir requerimientos y de identificar soluciones tecnológicas,las necesidades son analizadas de manera informal y porciertos individuos.RECOMENDACIONES COBIT• Resaltar, priorizar, especificar los requerimientosfuncionales y técnicos de “DATA CENTER E.I.R.L”, priorizando elAuditor: Ramírez Huamán, Luis Angello Página 64
  • 62. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informáticadesempeño, el costo, la confiabilidad, la compatibilidad, laauditoría, la seguridad, la disponibilidad, y continuidad, laergonomía, funcionalidad y la legislación de “DATA CENTERE.I.R.L”.• Identificar, documentar y analizar los riesgos relacionadoscon los procesos del negocio para el desarrollo de losrequerimientos.AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVOCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 2 por cuanto existen procesos de adquisición ymantenimiento de software aplicativo en base a la experienciade TI, el mantenimiento a menudo es problemático.RECOMENDACIONES COBIT• Realizar un diseño detallado, y los requerimientos técnicosdel software.• Garantizar integridad de la información, control deacceso, respaldo y pistas de auditoría.AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICACONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1, ya que no se cuenta con un plan de adquisición detecnología, por lo tanto no se controlan los procesos de adquirir,implantar y actualizar infraestructura tecnológica.RECOMENDACIONES COBIT• Proteger la infraestructura tecnológica mediantemedidas de control interno, seguridad y auditabilidaddurante la configuración, integración y mantenimiento dehardware y software de la infraestructura tecnológica.• Desarrollar un plan de mantenimiento de lainfraestructura y garantizar el control de cambios de esta.AI4. FACILITAR LA OPERACIÓN Y EL USOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez1, puesto que no existe una generación de documentación,ni políticas de generación de manuales, pero se tiene laconciencia de que esto es necesario, la mayor parte de laAuditor: Ramírez Huamán, Luis Angello Página 65
  • 63. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informáticadocumentación y procedimientos ya se encuentran caducados odesactualizados.RECOMENDACIONES COBIT• Realizar una transferencia de conocimiento a la partegerencial lo cual permitirá que estos tomen posesión del sistemay los datos.• Mediante la transferencia de conocimientos a losusuarios finales se lograra que estos usen los sistemas conefectividad y eficiencia para el apoyo a los procesos de “DATACENTER E.I.R.L”.AI5. ADQUIRIR RECURSOS DE TICONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez4 ya que la adquisición de TI se integra totalmente con lossistemas generales del gobierno, ya que se sigue el proceso decompras públicas en la adquisición de algún recurso de TI.RECOMENDACIONES COBIT• Establecer buenas relaciones con la mayoría deproveedores y socios.• Cumplir y hacer cumplir los derechos y obligaciones deambas partes en los términos contractuales.DOMINIO ESTREGAR Y DAR SOPORTEDS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIOCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1 ya que no se administra los niveles de servicio, larendición de cuentas no se encuentra definido realmente.RECOMENDACIONES COBIT• Se debe definir un marco de trabajo para laadministración de los niveles de servicio.• Realizar un monitoreo y reporte del cumplimiento de losniveles de servicio, estos reporte deben mantener un formatoentendible por parte de los interesados.DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROSCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 3 por cuanto existen procedimientos documentadosAuditor: Ramírez Huamán, Luis Angello Página 66
  • 64. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informáticapara controlar los servicios de terceros, los procesos son clarospara realizar la negociación con los proveedores.RECOMENDACIONES COBIT• Establecer criterios formales y estandarizados para realizarla definición de los términos del acuerdo.• Asignar responsables para la administración del contrato ydel proveedor.DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDADCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez1, puesto que los usuarios regularmente tienen que resolverlos inconvenientes que se presenten para aplacar laslimitaciones de desempeño y capacidad.RECOMENDACIONES COBIT• Establecer métricas de desempeño y evaluación de lacapacidad.• Realizar un monitoreo continuo del desempeño y lacapacidad de los recursos de TI.DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIOCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez ,1 por cuanto no se cuenta con un plan de continuidadde servicios.RECOMENDACIONES COBIT• Realizar pruebas regulares del plan de continuidad, deesta forma se asegura que los sistemas de TI sean recuperadosde forma efectiva.• Una vez realizada la reanudación exitosa de lasfunciones de TI, determinar la efectividad del plan decontinuidad y realiza actualizaciones a este según amerite.DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMASCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1 ya que la seguridad de los sistemas se encuentra acargo de un solo individuo el cual es el Jefe del departamentoInformático, no existen responsabilidades claras.RECOMENDACIONES COBITAuditor: Ramírez Huamán, Luis Angello Página 67
  • 65. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática• Realizar pruebas a la implementación de la seguridad,de igual forma monitorear esta.• Garantizar que las características de posibles incidentes deseguridad sean definidas y comunicadas de forma clara yoportuna.DOMINIO MONITOREAR Y EVALUARME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TICONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 0, por cuanto no se cuenta con un procesoimplementado de monitoreo, así como con reporte útiles,oportunos y precisos sobre el desempeño.RECOMENDACIONES COBIT• Definir y recolectar los datos del monitoreo medianteun conjunto de objetivos, mediciones, metas y comparacionesde desempeño.• Evaluar el desempeño comparándolo periódicamente conlas metas.ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNOCONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez0, por cuanto, No se tiene procedimientos para monitorear laefectividad de los controles internos.RECOMENDACIONES COBIT• Realizar una auto-evaluación del control interno de laadministración de procesos, políticas y contratos de TI.• Si es necesario, mediante revisiones de terceros asegurar lacompletitud y efectividad de los controles internos.• Verificar que los proveedores externos cumplan con losrequerimientos legales y regulatorios y con las obligacionescontractuales.ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIOCONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 1 por cuanto, se siguen procesos informales paramantener el cumplimiento regulatorio.Auditor: Ramírez Huamán, Luis Angello Página 68
  • 66. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e InformáticaRECOMENDACIONES COBIT• Tener muy en cuenta las leyes y reglamentos delcomercio electrónico, privacidad, flujo de datos, reportefinancieros, propiedad intelectual, etc.• Evaluar el cumplimiento de las políticas, estándares yprocedimientos de TI.ME4. PROPORCIONAR GOBIERNO DE TICONCLUSIÓN.- Este proceso se encuentra en el nivel demadurez 0 por cuanto no existe procesos de gobierno de TI.RECOMENDACIONES COBIT• Contribuir al entendimiento del consejo directivo y de losejecutivos sobre temas estratégicos de TI tales como el rol de TI.• Garantizar la optimización de la inversión, uso y asignaciónde los activos de TI mediante evaluaciones periódicas. IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN CRITERIOS DE LA PORCENTAJE OBSERVACIONES INFORMACIÓN El objetivo es alcanzar el 100%, para esto la información en “DATA CENTER E.I.R.L” debe ser Efectividad 47.76% entregada de forma oportuna, correcta, consistente y utilizable. El objetivo es alcanzar el 100%, para esto la Eficiencia 49.59% información debe ser generada optimizando los recursos. El objetivo es alcanzar el 100%, para lo cual se Confidencialidad 39.03% debe proteger la información sensitiva contra revelación no autorizada. El objetivo es alcanzar el 100%, para lo cual la Integridad 35.05% información debe ser precisa, completa y valida. El objetivo es alcanzar el 100%, para la cual la información debe estar disponible cuando esta Disponibilidad 32.96% se requiera por parte de las áreas del negocio en cualquier momento. El objetivo es alcanzar el 100%, para lo cual se debe respetar las leyes, reglamentos y acuerdos Cumplimiento 51.93% contractuales a los que esta sujeta el proceso del negocio, como políticas internas. El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la información apropiada, con Confiabilidad 50.97% el fin de que la Gerencia General administre la entidad.Auditor: Ramírez Huamán, Luis Angello Página 69
  • 67. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática3.2. INFORME EJECUTIVOEn el Informe Ejecutivo se detallara los resultados de laevaluación a cada uno de los 34 procesos que recomiendaCOBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz.Los criterios de información se encuentran en el siguienteporcentaje todos sobre el 100%. Criterio de Informacion: Efectividad 52.24% 47.76% Efectividad DéficitLa efectividad consiste en que la información relevante seaentregada de forma oportuna, correcta, consistente y utilizable,este criterio tiene un promedio del 47.76%. Criterio de Información: Eficiencia 50.41% 49.59% Eficiencia DéficitLa eficiencia consiste en que la información debe ser generadaoptimizando los recursos, este criterio tiene un promedio del49.59%.Auditor: Ramírez Huamán, Luis Angello Página 70
  • 68. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Criterio de Información: Confidencialidad 39.03% 60.97% Confidencialidad DéficitLa confidencialidad consiste en que la información vital seaprotegida contra la revelación no autorizada, este criterio tieneun promedio del 39.03%. Criterio de Información: Integridad 35.05% 64.95% Integridad DéficitLa integridad consiste en que la información debe ser precisa,completa y valida, este criterio tiene un promedio del 35.05%. Criterio de Información: Disponibilidad 32.96% 67.04% Disponibilidad DéficitLa disponibilidad consiste en que la información este disponiblecuando esta sea requerida por parte de las áreas del negocio encualquier momento, este criterio tiene un promedio del 32.96%.Auditor: Ramírez Huamán, Luis Angello Página 71
  • 69. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Criterio de Información: Cumplimiento 48.07% 51.93% Cumplimiento DéficitEl cumplimiento consiste en que se debe respetar las leyes,reglamentos y acuerdos contractuales a los que esta sujeta elproceso del negocio, como políticas internas, este criterio tieneun promedio del 51.93%. Criterio de Información: Confiabilidad 49.03% 50.97% Confiabilidad DéficitLa confiabilidad consiste en que se debe respetar proporcionar lainformación apropiada, con el fin de que la Gerencia Generaladministre la entidad, este criterio tiene un promedio del50.97%.Auditor: Ramírez Huamán, Luis Angello Página 72
  • 70. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática CONCLUSIONES  Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”.  Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI.  Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.Auditor: Ramírez Huamán, Luis Angello Página 74
  • 71. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática RECOMENDACIONES  Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crítico.  Realizar evaluaciones periódicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.  Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.  Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.Auditor: Ramírez Huamán, Luis Angello Página 75
  • 72. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática GLOSARIOAuditoría Informática.- Proceso de recoger, agrupar, evaluarevidencias para evidenciar si un sistema informático oestructura informática protege los activos intangibles o tangiblesde la empresa.COBIT.- (Control Objetives Information Technologies), modelode referencia utilizado en el control de tecnologías de lainformación así como su control.Madurez.- Nos muestra en nivel de confiabilidad en los procesosque utiliza una empresa.Arquitectura de la información.- Es la disciplina y arte encargadadel estudio, análisis, organización, disposición y estructuraciónde la información en espacios de información, y de la selección ypresentación de los datos en los sistemas de informacióninteractivos y no interactivos.COSO.- (Committee Of Sponsoring Organizations), es un modelode control de negocios, que proporciona un estándar a partir delcual las organizaciones (grandes o pequeñas, en el sector públicoo privado, con fines de lucro o sin él) pueden evaluar susprocesos de control y determinar cómo mejorar sudesempeño.TI.- Tecnologías de la Información.Plan Estratégico.- Es un plan a largo plazo aprobado por unaempresa.Problema.- Es la causa desconocida de uno o varios incidentes.Auditor: Ramírez Huamán, Luis Angello Página 76
  • 73. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática BIOGRAFÍADirecciones Electrónicas:  ISACA ORG. Obtain Cobit http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008.  WIKIPEDIA, Objetivos de control para la información y tecnologías relacionadas. http://es.wikipedia.org/wiki/COBIT  WIKIPEDIA, Auditoria Informática http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3 %A1ticaTextos:  Escuela Politécnica Nacional, Auditoria de la Gestión de las Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0.  COBIT 4.1 Marco Referencial, Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2007.Auditor: Ramírez Huamán, Luis Angello Página 77
  • 74. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática ANEXOS A. Cuestionario de Auditoría correspondiente al funcionamiento del Área de Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios? SI ( ) NO ( ) ¿Son funcionales los muebles asignados para los equipos de cómputo? SI ( ) NO ( ) B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿“DATA CENTER E.I.R.L” cuenta con extintores de fuego? SI ( ) NO ( ) ¿Existe salida de emergencia? SI ( ) NO ( ) ¿Existe alarma para detectar fuego (calor o humo) en forma automática? SI ( ) NO ( ) ¿Existen una persona responsable de la seguridad? SI ( ) NO ( )Auditor: Ramírez Huamán, Luis Angello Página 78
  • 75. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática El lugar donde se encuentra “DATA CENTER E.I.R.L” está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( ) C. Cuestionario de Auditoria en Comunicaciones y Redes: ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?Auditor: Ramírez Huamán, Luis Angello Página 79
  • 76. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática ¿Existen protocolos de comunicaron establecida? ¿Existe un plan de infraestructura de redes? ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?Auditor: Ramírez Huamán, Luis Angello Página 80