Proyecto de auditoría informática aplicando la metodología cobit 4.1

41,848 views

Published on

Auditoria Informatica,
Ing. de Sistemas e Informatica
Nick: Cibercomputer

6 Comments
17 Likes
Statistics
Notes
No Downloads
Views
Total views
41,848
On SlideShare
0
From Embeds
0
Number of Embeds
480
Actions
Shares
0
Downloads
3,096
Comments
6
Likes
17
Embeds 0
No embeds

No notes for slide

Proyecto de auditoría informática aplicando la metodología cobit 4.1

  1. 1. UNIVERSIDAD NACIONAL “SANTIAGO ANTÚNEZ DE MAYOLO” FACULTAD DE CIENCIASTEMA: “Proyecto de Auditoría Informática en la Organización DATA CENTER E.I.R.L aplicando la Metodología COBIT 4.1”DOCENTE: Ing. Fabian M. Espinoza BarretoALUMNO: Ramírez Huamán, Luis AngelloSEMESTRE / CICLO: 2011-II / IX Huaraz-Ancash-Perú
  2. 2. DEDICATORIA Dedico este presente trabajo a Dios en primer lugar por brindarme la vida, a mis Padres, y a mis Hermanos quienes con sussabios consejos me orientan en el presente en busca de un mañanamejor. Sencillamente, ustedes son la base de mi vida profesional ytoda la vida les estaré agradecido. II
  3. 3. AGRADECIMIENTOAl Ing. Fabian M. Espinoza Barreto por toda su dedicación brindada en este proceso de asesoramiento brindado ya que sin él no tendría los resultados obtenidos, muchas gracias. III
  4. 4. ÍNDICE Nº PágINTRODUCCIÓN……………………………………………………………………….VII CAPÍTULO I PLANTEAMIENTO DEL PROBLEMA1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9 1.1.1. NATURALEZA DE LA EMPRESA……………………………….9 1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9 1.1.3. VISIÓN…………………………………………………………………11 1.1.4. MISIÓN………………………………………………………………..11 1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11 1.1.5.1. ANÁLISIS FODA……………………………………………….11 1.1.5.2. METAS ORGANIZACIONALES…………………………..12 1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12 1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13 1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………141.2. METODOLOGÍA COBIT…………………………………………………..15 1.2.1. MODELOS DE MADUREZ……………………………………..15 1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17 1.2.2.1. ÁREA A AUDITAR…………………………………………….17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17 1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE INFORMÁTICA………………………………………………..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE INFORMÁTICA……………………………………………..…18 1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMÁTICA…………………………………………….….18 1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)…………………………………………………………...19 IV
  5. 5. CAPÍTULO II EJECUCIÓN DE LA AUDITORIA2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22 2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24 2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN………………………26 2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28 2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS……………………….…29 2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29 2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..292.2. REALIZACIÓN DE LA AUDITORIA……………………………………30 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO……………………….……55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN………………………………58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIÓN………………………………60 CAPÍTULO III ANÁLISIS DE LOS RESULTADOS3.1. INFORME TÉCNICO……………………………………………..…………623.2. INFORME EJECUTIVO…………………………………………….………70 CAPÍTULO IV CONCLUSIONES Y RECOMENDACIONES4.1. CONCLUSIONES……………………………………………….……………744.2. RECOMENDACIONES…………………………………………….………75 V
  6. 6. GLOSARIO…………………………………………………………………………..…76BIOGRAFÍA………………………………………………………………………….…77ANEXOS………………………………………………………………………………..78 VI
  7. 7. INTRODUCCIÓNA finales del siglo XX, los Sistemas Informáticos se hanconstituido en las herramientas más poderosas para materializaruno de los conceptos más vitales y necesarios para cualquierOrganización Empresarial, los Sistemas de Información de laOrganización. Donde los Sistemas Informáticos hoy en díaconstituyen una herramienta bastante poderosa para la mejorade rendimiento de toda la Organización.Por lo ello se realiza una auditoria informática en la Organización“DATA CENTER E.I.R.L” tomando muy en cuenta la dependenciacritica de muchos procesos de negocios sobre las Tecnologías dela Información, con el objetivo de cumplir con los requerimientosexistentes y los beneficios de administrar los riesgosefectivamente, utilizando como modelo de referencia COBIT 4.1,mediante la evaluación de 34 procesos que define estametodología, agrupados en 4 dominios (Planear y Organizar,Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear yEvaluar), estos procesos son ubicados en los niveles de madurezen los cuales se encuentran en la actualidad, para luego dar lasrespectivas recomendaciones que sugiere COBIT 4.1, medianteeste trabajo se pretende solucionar varios problemas como elservicio eficiente a los clientes y el aprovechamiento eficaz yeficiente de los recursos tecnológicos y humanos que cuenta laOrganización en estudio. VII
  8. 8. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática1.1. CARACTERIZACIÓN DE LA EMPRESA 1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro. Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes. Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora. 1.1.2. UBICACIÓN GEOGRÁFICA La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.Auditor: Ramírez Huamán, Luis Angello Página 9
  9. 9. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Código de Ubicación Geográfica (UBIGEO): Ubicación Exacta: DATA CENTER E.I.R.LAuditor: Ramírez Huamán, Luis Angello Página 10
  10. 10. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.3. VISIÓN “Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros” 1.1.4. MISIÓN “La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente” 1.1.5. OBJETIVOS ESTRATÉGICOS 1.1.5.1. Análisis FODA ANÁLISIS INTERNO FORTALEZAS DEBILIDADES  Tratamiento personalizado a  Control de Almacén. clientes, orientación y  Realizar grandes proyectos en el asesoramiento. sector privado y público.  Integración de productos y  Dependencia de los servicios servicios buscando sinergias entre subcontratados. ellos.  Sistema de Información  Innovación Constante. Integrado (Compras, ventas,  Personal debidamente Capacitado Almacén y Kárdex). y comprometido con la visión de la Organización. ANÁLISIS EXTERNO OPORTUNIDADES AMENAZAS  Valoración positiva de las TIC en  Oferta de productos a menor la Organización. precio por parte de la  Costos cada vez menores para las competencia. Organizaciones para la aplicación  La inestabilidad económica de de las TIC. los pobladores de la cuidad de  Lealtad de los clientes hacia la Huaraz. Organización.  Cambios repentinos de los  Ubicación Céntrica del Local. Sistemas Informáticos.  Incremento de la Competencia.Auditor: Ramírez Huamán, Luis Angello Página 11
  11. 11. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.5.2. Metas Organizacionalesa. Corto Plazo  Abastecimiento de las Áreas de la Organización según sus necesidades primarias.b. Mediano Plazo  Realizar la capacitación a todo el personal, la renovación tecnológica, humana y la infraestructura de la Organización.c. Largo Plazo  Lograr la expansión demográfica en el rubro, con innovaciones tecnológicas y el desarrollo de un sistema de información integrado. 1.1.5.3. Objetivos Estratégicos  Desarrollar estrategias para llamar la atención de nuevos clientes.  Aprovechar la Tecnología para Desarrolla un Sistema de Información Integral de Calidad.  Aprovechar el buen clima para capacitar al personal de la Organización.  Desarrollar servicios nuevos que mejoren el nivel del servicio.  Explotar el potencial humano y tecnológico para una óptima productividad de los mismos.Auditor: Ramírez Huamán, Luis Angello Página 12
  12. 12. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.6. ORGANIGRAMA DE LA EMPRESA Gerencia General Área de Área de Área de Comercio Administración Informática Recursos Servicio Diseño Almacén Compras Ventas Contabilidad Logística Redes Humanos Técnico WebAuditor: Ramírez Huamán, Luis Angello Página 13
  13. 13. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.1.6.1 Descripción de la Gerencia y Áreas a. Gerencia General.- Tiene como propósito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización. b. Área de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros. c. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General. d. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.Auditor: Ramírez Huamán, Luis Angello Página 14
  14. 14. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática1.2. METODOLOGÍA COBITMarco de Trabajo Completo de COBIT 1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de la Tecnologías de la Información.Auditor: Ramírez Huamán, Luis Angello Página 15
  15. 15. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administración podrá identificar:  El desempeño real de la Organización: Donde se encuentra la Organización hoy.  El Status actual de la industria: La comparación  EL objetivo de la mejora de la Organización: Donde desea estar la Organización. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría: Carencia completa de cualquier proceso reconocible. 0 La Organización no ha reconocido siquiera que existe un NO EXISTENTE problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin 1 embargo; no existen procesos estándar en su lugar INICIAL existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o 2 comunicación formal de los procedimientos estándar, y REPETIBLE se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.Auditor: Ramírez Huamán, Luis Angello Página 16
  16. 16. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Los procedimientos se han estandarizado y documentado, y se han difundido a través de 3 entrenamiento. Sin embargo, se deja que el individuo DEFINIDO decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos 4 no estén trabajando de forma efectiva. Los procesos están ADMINISTRADO bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un 5 modelo de madurez con otras empresas. TI se usa de forma OPTIMIZADA integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 1.2.2. AUDITORIA DE TICS CON COBIT 1.2.2.1. Área a Auditar La Auditoría realizada por Ramírez Huamán, Luis Angello, será en el Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”. 1.2.2.2. Reclutamiento de la Información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más especifico. (Anexo A, B, C) 1.2.2.3. Documentos de Gestión del Área de Informática Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son:  Mantenimiento de Equipos de Cómputo.  Un Plan de Contingencias.Auditor: Ramírez Huamán, Luis Angello Página 17
  17. 17. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática  Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la Auditoria en el Área de Informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:Nº ACTIVIDADES1 Observación General del Área de Informática.2 Entrevistas a los trabajadores del Área de Informática.3 Analizar con que documentos de Gestión y Técnicos cuentas. Verificar si que los equipos de los que se cuenta en la4 actualidad concuerdan con su inventario. Análisis de las claves de acceso, control, seguridad,5 confiabilidad y respaldos. Evaluar las tecnologías de información (TI), tanto en6 hardware como en software.7 Evaluación de la seguridad física, lógica y de redes. 1.2.2.5. Herramientas y Técnicas HERRAMIENTAS TECNICAS Cuaderno de Apuntes, Papel,  Observación, entrevistas Lapicero, Antivirus Eset Smart y cuestionarios. Security 4.0, Microsoft Office 2010 y otros. 1.2.2.6. Motivo o necesidad de una Auditoria Informática  Síntomas de mala imagen e insatisfacción de los usuarios.  Síntomas de debilidad económico financiero.  Síntomas de Inseguridad.  Síntomas de descoordinación y desorganización.Auditor: Ramírez Huamán, Luis Angello Página 18
  18. 18. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos. CRITERIOS DE INFORMACIÓN DE RECURSOS DE TI OBJETIVOS DE CONTROL DE COBIT COBIT DE COBIT CONFIDENCIALIDAD INFRAESTRUCTURA DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD INFORMACIÓN EFECTIVIDAD INTEGRIDAD APLICACIÓN EFICIENCIA PERSONAS PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. X X X X PO2 Definir la arquitectura de la información X X PO3 Definir la dirección tecnológica. X X Definir los procesos, organización y PO4 relaciones de TI. X PO5 Administrar la inversión en TI. X X X Comunicar las metas y la dirección de la PO6 gerencia. X X PO7 Administrar los recursos humanos de TI. X PO8 Administrar la calidad. X X X X PO9 Evaluar y administrar los riegos de TI. X X X X PO10 Administrar los proyectos. P P X X X ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. P S X X AI2 Adquirir y mantener software aplicativo. P P S S X Adquirir y mantener la infraestructura AI3 tecnológica. S P S S X AI4 Facilitar la operación y el uso. P P S S S S X X X AI5 Procurar recursos de TI. S P S X X X X AI6 Administrar los cambios. P P P P S X X X X AI7 Instalar y acreditar soluciones y cambios. P S S S X X X XAuditor: Ramírez Huamán, Luis Angello Página 19
  19. 19. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática ENTREGAR Y DAR SOPORTE Definir y administrar los niveles de DS1 servicio. P P S S S S S X X X X DS2 Administrar los servicios de terceros. P P S S S S S X X X X DS3 Administrar el desempeño y capacidad. P P S X X DS4 Asegurar el servicio continuo. P S P X X X X DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X DS6 Identificar y asignar costos. P P X X X X DS7 Educar y entrenar a los usuarios. P S X Administrar la mesa de servicio y los DS8 incidentes. P P X X DS9 Administrar la configuración. P S S S X X X DS10 Administrar los problemas. P P S X X X X DS11 Administrar los datos. P P X DS12 Administrar el ambiente físico. P P X DS13 Administrar las operaciones. P P S S X X X X MONITOREAR Y EVALUAR Monitorear y evaluar el desempeño de ME1 TI. P P S S S S S X X X X ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X ME3 Garantizar el cumplimiento regulatorio. P S X X X X ME4 Proporcionar gobierno de TI. P P S S S S S X X X XPara tener un porcentaje de los criterios de la información,asignamos un valor para el impacto primario, de igual formatendremos un valor para el impacto secundario.Este porcentaje lo estableceremos en base a la propuestametodológica para el manejo de riesgos COSO (SponsoringOrganizations of the Treadway), como se muestra en la tabla. CALIFICACION IMPACTO PROMEDIO 15% 50% BAJO 32 51% 75% MEDIO 63 76% 95% ALTO 86 Promedio de Impactos, fuente COBIT 4.1Auditor: Ramírez Huamán, Luis Angello Página 20
  20. 20. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS a. Ubicación: El Área de Informática se ubica al lado del Área de Negocios, teniendo la responsabilidad de gestionar los procesos técnicos de informática. Ubicación Física del Área de Informática b. Cargos Funcionales y Operativos: Apellidos y Nombres Cargos Cargos Funcionales (Trabajadores) Operativos Realiza la compra y venta de Gerente los productos, organiza y Ing. Lázaro Montañez, Heyner General coordina las actividades, y delega funciones al personal Técnico en Realiza el Soporte Técnico de Romero Castillo, José Carlos Informática y Computadoras y Redes Redes Asistente Técnico en Realiza el Soporte Técnico de Ramírez Huamán, Luis Angello Informática y Computadoras y Redes Redes Realiza las ventas de equipos Montañez Araujo, Sarita Eva Vendedora InformáticosAuditor: Ramírez Huamán, Luis Angello Página 22
  21. 21. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.1. OBJETIVOS DEL DEPARTAMENTO  Recomendar la adquisición de hardware, software básico y de aplicaciones conveniente y necesario.  Estructurar, ejecutar y actualizar el plan estratégico del Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.  Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.  Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.  Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.  Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.  Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.  Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.  Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.Auditor: Ramírez Huamán, Luis Angello Página 23
  22. 22. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO ÁREA DE INFORMÁTICA SERVICIO REDES DISEÑO WEB TÉCNICO WEB SOFTWARE MICROSOFT CORPORATIVO WEB HARDWARE LINUX PERSONAL SATELITAL 2.1.3. SEGURIDAD DEL DEPARTAMENTO a. Seguridad Física:  Establecer un sistema contra incendios y la capacitación adecuada para el manejo de estos.  Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia.  Contar con un espacio adecuado para el alojamiento de los servidores.Auditor: Ramírez Huamán, Luis Angello Página 24
  23. 23. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática b. Seguridad Legal:  Hacer uso de estándares y metodologías de calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseño de páginas web.  Contar con las licencias de los sistemas operativos (Microsoft) en uso.  Realizar una auditoria de la tecnologías de la información externa a “DATA CENTER E.I.R.L” c. Seguridad de Datos:  Realizar periódicamente backups de la base de datos del sistema de información.  Procesar los datos más importantes de la Organización en las aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.  Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada. d. Seguridad de Personas:  Renovar los implementos de seguridad de los técnicos de informática.  Realizar las señalizaciones sísmicas pertinentes en el establecimiento ante un desastre sísmico.  Establecer políticas de integridad física y mental para el personal que labora, dentro de sus horas de trabajo.Auditor: Ramírez Huamán, Luis Angello Página 25
  24. 24. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN a. Recursos Humanos: APELLIDOS Y GERENCIA/ÁREA TIEMPO DE NOMBRES CARGOS TITULO FUNCIÓN LABORAL SERVICIO (TRABAJADORES) Realiza la compra y venta de Ing. Lázaro Ing. de Gerencia Gerente los productos, organiza y Montañez, Informática y Estable General General coordina las actividades, y Heyner Sistemas delega funciones al personal Técnico en Área de Romero Castillo, Realiza el Soporte Técnico de Informática Técnico 7 meses Informática José Carlos Computadoras y Redes y Redes Asistente Área de Ramírez Huamán, Técnico en Realiza el Soporte Técnico de Técnico 3 meses Informática Luis Angello Informática Computadoras y Redes y Redes Secretariado Área de Montañez Realiza las ventas de equipos Vendedora Ejecutivo 2 años Comercio Araujo, Sarita Eva Informáticos ComputarizadoAuditor: Ramírez Huamán, Luis Angello Página 26
  25. 25. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática b. Hardware: NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD I5 CPU 1.8 GHz PC 01 Servidor Proxy Memoria RAM 4 GB Disco Duro 1 TB Corel 2 duo CPU 2.0 GHz Memoria RAM 4 GB S-ATA 7200 Disco Duro PC para el 500 GB PC 02 Sistema de D-Link DFE-530 PCI Tarjeta de Red Información Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series Corel 2 duo CPU 2.8 GHz Memoria RAM 2 GB S-ATA 7200 Disco Duro PC para 300 GB PC 03 Soporte D-Link DFE-530 PCI Tarjeta de Red Técnico Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series c. Software:NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES MySQL 5.1 Server Open Office 3.5 PC 01 Linux-CentOS Ver. 5.0 Apache 6.0 FileZilla Server 3.5.2 DBMS SQL Server 2005 Microsoft Windows Seven Ultimate con PC 02 NetBeans 6.7.1 Service Pack 2 Suite Office 2010 Utilitarios Básicos Microsoft Windows Seven Ultimate con Suite Office 2010 PC 03 Service Pack 2 Utilitarios Básicos Auditor: Ramírez Huamán, Luis Angello Página 27
  26. 26. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.5. TOPOLOGÍA DE LA EMPRESA La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topología de red estrella.Auditor: Ramírez Huamán, Luis Angello Página 28
  27. 27. Universidad Nacional“Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 2.1.6. CARACTERIZACIÓN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte técnico y PC para el funcionamiento de Sistema de Información, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeñen dentro de la Organización. Las actividades que se realizan en la empresa son de lunes a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseño de pagina web y otros, como también a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIÓN DE PROBLEMAS Y PLANTEAMIENTO DE HIPÓTESIS 2.1.7.1. Posibles Problemas  Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.  Falta de una planificación informática.  Disminución considerable e injustificable del presupuesto del Área de Comercio.  Falta de documentación del sistema de información y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos.  Organización que no funciona correctamente por la falta de políticas, normas, metodología, asignación de tareas, debidamente establecida por la Gerencia General. 2.1.7.2. Formulación de Hipótesis  No se cuenta con la seguridad en general de los recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo comoAuditor: Ramírez Huamán, Luis Angello Página 29
  28. 28. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática consecuencia problemas económicos y de tecnología de información (Hardware y Software). 2.2. REALIZACIÓN DE LA AUDITORIA 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organización que a su vez califica el nivel en dicho objetivo. DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia por parte de GRADO DE MADUREZ la gerencia de que la planeación El proceso de Definir el Plan EstratégicoNivel estratégica de TI es requerida para √ de Tecnología Información esta en el 0 dar soporte a las metas del nivel de madurez 1. negocio. OBJETIVOS NO CUMPLIDOS La planeación estratégica de TI se  Que no existe un plan estratégicoNivel discute de forma ocasional en las √ de TI y estrategias de recursos de 1 reuniones de la gerencia. la Organización. Las decisiones estratégicas se  No se realizar planes a largo plazo toman proyecto por proyecto, de TI, haciendo soloNivel sin ser consistentes con una √ actualizaciones debido a los 2 estrategia global de la avances tecnológicos. organización. La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. LasNivel estrategias de recursos humanos, √ 3 técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías. Existen procesos bien definidosNivel para determinar e uso de √ 4 recursos internos y externos requeridos en el desarrollo y las Auditor: Ramírez Huamán, Luis Angello Página 30
  29. 29. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática operaciones de los sistemas. Se desarrollan planes realistas a largo plazo de TI y se actualizan deNivel manera constante para reflejar los √ 5 cambiantes avances tecnológicos y el progreso relacionado al negocio.RECOMENDACIONESPara el proceso PO1 de COBIT estable los siguientes objetivos de control:  Planes a largo plazo de TI.  Tomar decisiones estratégicas.  Definir los recursos internos y externos necesarios.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “DATA CENTER E.I.R.L”En el Largo Plazo:  Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados. DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Información CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES El conocimiento, la experiencia y las GRADO DE MADUREZNivel responsabilidades necesarias para El proceso de Definir la Arquitectura de √ 0 desarrollar esta arquitectura no la Información esta en el nivel de existen en la organización. madurez 1. La gerencia reconoce la necesidad de OBJETIVOS NO CUMPLIDOS una arquitectura de información. ElNivel  Que no se resolvió necesidades desarrollo de algunos componentes √ 1 de una arquitectura de información futuras del negocio realizando el ocurre de manera ad hoc. proceso de la arquitectura de la Las personas obtienen sus información. habilidades al construir la  Aprovechar las habilidadesNivel arquitectura de información por √ personales para la construcción 2 medio de experiencia práctica y la de la arquitectura de la aplicación repetida de técnicas. información. Existe una función de administración de datos definida formalmente, queNivel establece estándares para toda la √ 3 organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información. Auditor: Ramírez Huamán, Luis Angello Página 31
  30. 30. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática El proceso de definición de laNivel arquitectura de información es pro- √ 4 activo y se enfoca en resolver necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y darNivel mantenimiento a una arquitectura de √ 5 información robusta y sensible que refleje todos los requerimientos del negocio.RECOMENDACIONESPara el proceso PO2 de COBIT estable los siguientes objetivos de control:  Desarrollar y mantener la arquitectura de la información.  Tener en claro la definición del proceso de la arquitectura de la información.  Ser participe de la construcción de la arquitectura de la información para incrementar sus habilidades.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital.En el Largo Plazo:  Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Dirección Tecnología CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia sobre la GRADO DE MADUREZNivel importancia de la planeación de la El proceso de Determinar la Dirección √ 0 infraestructura tecnológica para la Tecnología esta en el nivel de madurez 1. entidad. OBJETIVOS NO CUMPLIDOS La gerencia reconoce la necesidad  Desarrollar las habilidades para la de planear la infraestructura elaboración del plan de laNivel tecnológica. El desarrollo de infraestructura tecnológica. √ 1 componentes tecnológicos y la  Realizar un plan de implantación de tecnologías infraestructura tecnológica. emergentes son ad hoc y aisladas. La evaluación de los cambiosNivel tecnológicos se delega a individuos √ 2 que siguen procesos intuitivos, aunque similares. Auditor: Ramírez Huamán, Luis Angello Página 32
  31. 31. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Existe un plan de infraestructura tecnológica definido,Nivel documentado y bien difundido, √ 3 aunque se aplica de forma inconsistente. El área de informática cuenta conNivel la experiencia y las habilidades √ 4 necesarias para desarrollar un plan de infraestructura tecnológica. La dirección del plan de infraestructura tecnológica está impulsada por los estándares yNivel avances industriales e √ 5 internacionales, en lugar de estar orientada por los proveedores de tecnología.RECOMENDACIONESPara el proceso PO3 de COBIT estable los siguientes objetivos de control:  Elaborar un plan de infraestructura tecnológica.  Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.  No delegar los cambios tecnológicos a personas que no tienen la debida experiencia.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.En el Largo Plazo:  Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un foro tecnológico, para de esta forma brindar directrices tecnológicas. DOMINIO: PLANIFICAR Y ORGANIZAR PO4: Definir los Procesos, la Organización y las Relaciones de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La organización de TI no está GRADO DE MADUREZNivel establecida de forma efectiva para El proceso de Definir los Procesos, la √ 0 enfocarse en el logro de los Organización y las Relaciones de TI esta objetivos del negocio. en el nivel de madurez 2. La función de TI se considera como OBJETIVOS NO CUMPLIDOSNivel una función de soporte, sin una √  Formular las relaciones con 1 perspectiva organizacional general. terceros para la TI. La necesidad de contar con una  No satisfacer los requerimientosNivel organización estructurada, pero las √ del negocio. 2 decisiones todavía depende del Auditor: Ramírez Huamán, Luis Angello Página 33
  32. 32. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática conocimiento y habilidades de individuos clave. Se formulan las relaciones conNivel terceros, incluyendo los comités de √ 3 dirección, auditoría interna y administración de proveedores. La organización de TI responde de forma pro activa al cambio eNivel incluye todos los roles necesarios √ 4 para satisfacer los requerimientos del negocio.Nivel La estructura organizacional de TI √ 5 es flexible y adaptable.RECOMENDACIONESPara el proceso PO4 de COBIT estable los siguientes objetivos de control:  Ser flexible y adaptable a la estructura organizacional de TI.  Responder de forma pro actica a los requerimientos del negocio.  Formular relaciones con terceros como auditoria interna.Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una evaluación permanente de personal, para así asegurar que el personal involucrado en las TI sea el pertinente para la función asignada.En el Largo Plazo:  Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente. DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversión de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe conciencia de la GRADO DE MADUREZ importancia de la selección y El proceso de Administrar la Inversión deNivel presupuesto de las inversiones en TI esta en el nivel de madurez 4. √ 0 TI. No existe seguimiento o OBJETIVOS NO CUMPLIDOS monitoreo de las inversiones y  Formular las relaciones con gastos de TI. terceros para la TI. La organización reconoce la necesidad de administrar laNivel inversión en TI, aunque esta √ 1 necesidad se comunica de manera inconsistente. Existe un entendimiento implícitoNivel de la necesidad de seleccionar y √ 2 presupuestar las inversiones en TI. Auditor: Ramírez Huamán, Luis Angello Página 34
  33. 33. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. LosNivel procesos de selección de √ 3 inversiones en TI y de presupuestos están formalizados, documentados y comunicados. La responsabilidad y la rendición de cuentas por la selección yNivel presupuestos de inversiones se √ 4 asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven. Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar laNivel efectividad de las inversiones. Se √ 5 utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.RECOMENDACIONESPara el proceso PO5 de COBIT estable los siguientes objetivos de control:  Reconocer la necesidad de administrar la inversión en TI.  Utilizar las mejores prácticas para la evaluación de costos de inversión.  Documentar y formalizar el presupuesto en TI.Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.En el Largo Plazo:  Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones. DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La organización no requiere de la GRADO DE MADUREZ identificación de los El proceso de Identificar SolucionesNivel requerimientos funcionales y Automatizadas esta en el nivel de √ 0 operativos para el desarrollo, madurez 1. implantación o modificación de OBJETIVOS NO CUMPLIDOS soluciones, tales como sistemas, Auditor: Ramírez Huamán, Luis Angello Página 35
  34. 34. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática servicios, infraestructura y datos.  Determinar el proceso para la Existe una investigación o análisis solución de TI, según elNivel estructurado mínimo de la √ requerimiento del negocio. 1 tecnología disponible.  Documentación de los proyectos El éxito de cada proyecto depende realizados. de la experiencia de unos cuantosNivel individuos clave. La calidad de la √ 2 documentación y de la toma de decisiones varía de forma considerable. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisionesNivel tomadas por el personal √ 3 involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original. La documentación de los proyectosNivel es de buena calidad y cada etapa √ 4 se aprueba adecuadamente. La metodología está soportada en bases de datos de conocimientoNivel internas y externas que contienen √ 5 material de referencia sobre soluciones tecnológicas.RECOMENDACIONESPara el proceso AI1 de COBIT estable los siguientes objetivos de control:  Soportar la metodología de TI en base de datos.  Determinar los procesos para las soluciones de TI.  Explotar la experiencia de los trabajadores para la buena toma de decisiones.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.En el Largo Plazo:  Que exista el alineamiento con las estrategias de la Organización y de TI. Auditor: Ramírez Huamán, Luis Angello Página 36
  35. 35. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Típicamente, las aplicaciones se GRADO DE MADUREZ obtienen con base en ofertas de El proceso de Adquirir y Mantener proveedores, en el reconocimiento Software Aplicativo esta en el nivel deNivel de la marca o en la familiaridad del √ madurez 2. 0 personal de TI con productos OBJETIVOS NO CUMPLIDOS específicos, considerando poco o  Dar a conocer el proceso de nada los requerimientos actuales. adquisición y mantenimiento del Es probable que se hayan Sistema de Información adquirido en forma independiente (software) y aplicaciones. una variedad de soluciones  Determinar la metodologíaNivel individuales para requerimientos √ formal para la documentación del 1 particulares del negocio, teniendo software en uso. como resultado ineficiencias en el mantenimiento y soporte. Existen procesos de adquisición y mantenimiento de aplicaciones,Nivel con diferencias pero similares, en √ 2 base a la experiencia dentro de la operación de TI. Existe un proceso claro, definido y de comprensión general para laNivel adquisición y mantenimiento de √ 3 software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación,Nivel un criterio de adquisición, un √ 4 proceso de prueba y requerimientos para la documentación. El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance yNivel permite un posicionamiento √ 5 estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del Auditor: Ramírez Huamán, Luis Angello Página 37
  36. 36. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática negocio.RECOMENDACIONESPara el proceso AI2 de COBIT estable los siguientes objetivos de control:  Asegurar que el software diseñado sea de calidad.  Realizar un diseño detallado, y los requerimientos técnicos del software.  Identificar los requerimientos del negocio para el desarrollo del software.Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Desarrollar estrategia y planes de mantenimiento del software aplicativo.En el Largo Plazo:  Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría. DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnológica CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No se reconoce la administración GRADO DE MADUREZNivel de la infraestructura de tecnología El proceso de Adquirir y Mantener √ 0 como un asunto importante al cual Infraestructura Tecnológica esta en el deba ser resuelto. nivel de madurez 1. Se realizan cambios a la OBJETIVOS NO CUMPLIDOS infraestructura para cada nueva  Definir una estrategia para laNivel aplicación, sin ningún plan en adquisición y mantenimiento de √ 1 conjunto. La actividad de la infraestructura. mantenimiento reacciona a  Organizar y prevenir el proceso necesidades de corto plazo. de adquisición y mantenimiento La adquisición y mantenimiento de de la infraestructura. la infraestructura de TI no se basaNivel en una estrategia definida y no √ 2 considera las necesidades de las aplicaciones del negocio que se deben respaldar. El proceso respalda las necesidades de las aplicacionesNivel críticas del negocio y concuerda √ 3 con la estrategia de negocio de TI, pero no se aplica en forma consistente. La infraestructura de TI soportaNivel adecuadamente las aplicaciones √ 4 del negocio. El proceso está bien organizado y es preventivo.Nivel El proceso de adquisición y √ Auditor: Ramírez Huamán, Luis Angello Página 38
  37. 37. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática 5 mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.RECOMENDACIONESPara el proceso AI3 de COBIT estable los siguientes objetivos de control:  Crear un plan de adquisición de infraestructura tecnológica.  Garantizar la disponibilidad de la infraestructura tecnológica.  Identificar que necesidades se tiene para adquisición de infraestructura tecnológica.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Crear un plan de adquisición de infraestructura tecnológica.En el Largo Plazo:  Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica. DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operación y el Uso CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No existe el proceso con respecto GRADO DE MADUREZNivel a la producción de documentación El proceso de Facilitar la Operación y el √ 0 de usuario, manuales de operación Uso esta en el nivel de madurez 1. y material de entrenamiento. OBJETIVOS NO CUMPLIDOS Mucha de la documentación y  Falta generar los materiales de muchos de los procedimientos ya entretenimiento buscando suNivel caducaron. Los materiales de calidad. √ 1 entrenamiento tienden a ser  Garantizar la compañía de esquemas únicos con calidad estándares para el desarrollo del variable. proceso. Individuos o equipos de proyecto generan los materiales deNivel entrenamiento, y la calidad √ 2 depende de los individuos que se involucran. Se guardan y se mantienen losNivel procedimientos en una biblioteca √ 3 formal y cualquiera que necesite saber tiene acceso a ella.Nivel Existen controles para garantizar √ 4 que se adhieren los estándares y Auditor: Ramírez Huamán, Luis Angello Página 39
  38. 38. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática que se desarrollan y mantienen procedimientos para todos los procesos. Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que seNivel mantiene en forma electrónica, √ 5 con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.RECOMENDACIONESPara el proceso AI4 de COBIT estable los siguientes objetivos de control:  Control para garantizar adherir los estándares para el mantenimiento de los procesos.  Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.En el Largo Plazo:  Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización. DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONESNivel No existe un proceso definido de GRADO DE MADUREZ √ 0 adquisición de recursos de TI. El proceso de Adquirir Recursos de TI Los contratos para la adquisición esta en el nivel de madurez 4. de recursos de TI son elaborados y OBJETIVOS NO CUMPLIDOS administrados por gerentes de  Falta de buenas relaciones conNivel proyecto y otras personas que algunos proveedores de forma √ 1 ejercen su juicio profesional más estratégica. que seguir resultados de procedimientos y políticas formales.Nivel Se determinan responsabilidades y √ 2 rendición de cuentas para la Auditor: Ramírez Huamán, Luis Angello Página 40
  39. 39. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato. La adquisición de TI se integra enNivel gran parte con los sistemas √ 3 generales de adquisición del negocio. La adquisición de TI se integra en gran parte con los sistemasNivel generales de adquisición del √ 4 negocio. Existen estándares de TI para la adquisición de recursos de TI. Se establecen buenas relaciones con el tiempo con la mayoría de losNivel proveedores y socios, y se mide y √ 5 vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégica.RECOMENDACIONESPara el proceso AI5 de COBIT estable los siguientes objetivos de control:  Tomar medidas en la administración de contratos y adquisiciones.  Establecer buenas relaciones con la mayoría de proveedores y socios.Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir los recursos de TI.En el Largo Plazo:  Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales. DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La gerencia no reconoce la GRADO DE MADUREZNivel necesidad de un proceso para √ El proceso de Definir y Administrar los 0 definir los niveles de servicio. Niveles de Servicio esta en el nivel de La responsabilidad y la rendición madurez 1.Nivel de cuentas sobre para la definición OBJETIVOS NO CUMPLIDOS √ 1 y la administración de servicios no  No ordenar los procesos de está definida. desarrollo por niveles de servicio.Nivel Los reportes de los niveles de  Realizar reportes de servicio de √ 2 servicio están incompletos y Auditor: Ramírez Huamán, Luis Angello Página 41
  40. 40. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática pueden ser irrelevantes o forma completa y relevante. engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. El proceso de desarrollo del acuerdo de niveles de servicio estaNivel en orden y cuenta con puntos de √ 3 control para revalorar los niveles de servicio y la satisfacción de cliente. La satisfacción del cliente es medida y valorada de formaNivel rutinaria. Las medidas de √ 4 desempeño reflejan las necesidades del cliente, en lugar de las metas de TI. Todos los procesos de administración de niveles de servicio están sujetos a mejoraNivel continua. Los niveles de √ 5 satisfacción del cliente son administrados y monitoreados de manera continua.RECOMENDACIONESPara el proceso DS1 de COBIT estable los siguientes objetivos de control:  Realizar un portafolio de servicios.  Realizar acuerdos de niveles de servicio.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio.En el Largo Plazo:  Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados. Auditor: Ramírez Huamán, Luis Angello Página 42
  41. 41. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES Los servicios de terceros no son ni GRADO DE MADUREZ aprobados ni revisados por la El proceso de Administrar los Servicios deNivel gerencia. No hay actividades de √ Terceros esta en el nivel de madurez 3. 0 medición y los terceros no OBJETIVOS NO CUMPLIDOS reportan.  Verificar de forma continua las No hay condiciones estandarizadas capacidades del proveedor.Nivel para los convenios con los √  Monitorear e implementar 1 prestadores de servicios. acciones correctivas. Se utiliza un contrato pro forma con términos y condicionesNivel estándares del proveedor (por √ 2 ejemplo, la descripción de servicios que se prestarán). Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramenteNivel contractual. La naturaleza de los √ 3 servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Las aptitudes, capacidades yNivel riesgos del proveedor son √ 4 verificadas de forma continua. Se monitorea el cumplimiento deNivel las condiciones operacionales, √ 5 legales y de control y se implantan acciones correctivas.RECOMENDACIONESPara el proceso DS2 de COBIT estable los siguientes objetivos de control:  Monitorear e implementar acciones correctivas.  Verificar de forma continua las capacidades del proveedor.Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.En el Largo Plazo:  Mantener acuerdos de confidencialidad con los proveedores. Auditor: Ramírez Huamán, Luis Angello Página 43
  42. 42. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeño y la Capacidad CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES La gerencia no reconoce que los GRADO DE MADUREZ procesos clave del negocio pueden El proceso de Administrar el Desempeño y requerir altos niveles de la Capacidad esta en el nivel de madurez 1.Nivel desempeño de TI o que el total de √ OBJETIVOS NO CUMPLIDOS 0 los requerimientos de servicios de  Realizar evaluaciones de la TI del negocio pueden exceder la infraestructura de TI logrando una capacidad. capacidad optima. Los responsables de los procesos  Establecer métodos de desempeño del negocio valoran poco la y evaluación. necesidad de llevar a cabo unaNivel planeación de la capacidad y del √ 1 desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas. Las necesidades de desempeño se logran por lo general con base enNivel evaluaciones de sistemas √ 2 individuales y el conocimiento y soporte de equipos de proyecto. Los pronósticos de la capacidad y el desempeño se modelan porNivel medio de un proceso definido. Los √ 3 reportes se generan con estadísticas de desempeño. Hay información actualizada disponible, brindando estadísticasNivel de desempeño estandarizadas y √ 4 alertando sobre incidentes causados por falta de desempeño o de capacidad. La infraestructura de TI y la demanda del negocio están sujetasNivel a revisiones regulares para √ 5 asegurar que se logre una capacidad óptima con el menor costo posible.RECOMENDACIONESPara el proceso DS3 de COBIT estable los siguientes objetivos de control:  Establecer métricas de desempeño y evaluación de la capacidad. Auditor: Ramírez Huamán, Luis Angello Página 44
  43. 43. Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática  Realizar revisiones de forma periódica la demanda del negocio con menor costo.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares.En el Largo Plazo:  Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI. DOMINIO: ENTREGAR Y DAR SOPORTE DS4: Garantizar la Continuidad del Servicio CUMPLE CUMPLE NO NIVEL DE MADUREZ OBSERVACIONES No hay entendimiento de los GRADO DE MADUREZNivel riesgos, vulnerabilidades y √ El proceso de Garantizar la Continuidad del 0 amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1. Las responsabilidades sobre la OBJETIVOS NO CUMPLIDOS continuidad de los servicios son  Mantener un plan de servicios.Nivel informales y la autoridad para √  Integrar los procesos de servicios 1 ejecutar responsabilidades es para mejores prácticas externas. limitada. Los reportes sobre la disponibilidad son esporádicos,Nivel pueden estar incompletos y no √ 2 toman en cuenta el impacto en el negocio. Las responsabilidades de laNivel planeación y de las pruebas de la √ 3 continuidad de los servicios están claramente asignadas y definidas. Se asigna la responsabilidad deNivel mantener un plan de continuidad √ 4 de servicios. Los procesos integrados de servicioNivel continuo toman en cuenta √ 5 referencias de la industria y las mejores prácticas externas.RECOMENDACIONESPara el proceso DS4 de COBIT estable los siguientes objetivos de control:  Desarrollar y tomar muy en cuenta planes de continuidad.  Realizar un marco de trabajo de continuidad.Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:En el Corto Plazo:  Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. Auditor: Ramírez Huamán, Luis Angello Página 45

×