Proy 2

UNIVERSIDAD NACIONAL SANTIAGO ANTNEZ DE MAYOLO
FACULTAD DE CIENCIAS
TEMA:
Proyecto de Auditora Informtica en la Organizacin DATA CENTER E.I.R.L aplicando la Metodologa COBIT 4.1
DOCENTE:
Ing. Fabian M. Espinoza Barreto
ALUMNO: Ramrez Huamn, Luis Angello SEMESTRE / CICLO: 2011-II / IX

Huaraz-Ancash-Per
DEDICATORIA
Dedico este presente trabajo a Dios en primer lugar por brindarme la vida, a mis Padres, y a mis Hermanos quienes con sus sabios consejos me orientan en el presente en busca de un maana mejor. Sencillamente, ustedes son la base de mi vida profesional y toda la vida les estar agradecido.
II
AGRADECIMIENTO
Al Ing. Fabian M. Espinoza Barreto por toda su dedicacin brindada en este proceso de asesoramiento brindado ya que sin l no tendra los resultados obtenidos, muchas gracias.
III
NDICE
N Pg
INTRODUCCIN.VII
CAPTULO I PLANTEAMIENTO DEL PROBLEMA

1.1. CARACTERIZACIN DE LA EMPRESA..9 1.1.1. NATURALEZA DE LA EMPRESA.9 1.1.2. UBICACIN GEOGRFICA9 1.1.3. VISIN11 1.1.4. MISIN..11 1.1.5. OBJETIVOS ESTRATGICOS..11 1.1.5.1. ANLISIS FODA.11 1.1.5.2. METAS ORGANIZACIONALES..12 1.1.5.3. OBJETIVOS ESTRATGICOS..12 1.1.6. ORGANIGRAMA DE LA EMPRESA13 1.1.6.1. DESCRIPCIN DE LA GERENCIA Y REAS14 1.2. METODOLOGA COBIT..15 1.2.1. MODELOS DE MADUREZ..15 1.2.2. AUDITORIA DE TICS CON COBIT..17 1.2.2.1. REA A AUDITAR.17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIN17 1.2.2.3. DOCUMENTOS DE GESTIN DEL REA DE INFORMTICA..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL REA DE INFORMTICA..18 1.2.2.5. HERRAMIENTAS Y TCNICAS..18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA INFORMTICA..18 1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO (COSO)...19
IV
CAPTULO II EJECUCIN DE LA AUDITORIA

2.1. SITUACIN ACTUAL DEL REA DE SISTEMAS...22 2.1.1. OBJETIVOS DEL DEPARTAMENTO..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO..24 2.1.3. SEGURIDAD DEL DEPARTAMENTO.24 2.1.4. CARACTERIZACIN DE LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIN26 2.1.5. TOPOLOGA DE LA EMPRESA.28 2.1.6. CARACTERIZACIN DE LA CARGA29 2.1.7. DETERMINACIN DE PROBLEMAS Y PLANTEAMIENTO DE HIPTESIS.29 2.1.7.1. POSIBLES PROBLEMAS......29 2.1.7.2. FORMULACIN DE HIPTESIS..29 2.2. REALIZACIN DE LA AUDITORIA30 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ.52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR IMPACTO.55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIN60
CAPTULO III ANLISIS DE LOS RESULTADOS

3.1. INFORME TCNICO..62 3.2. INFORME EJECUTIVO.70
CAPTULO IV CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES.74 4.2. RECOMENDACIONES.75
V
GLOSARIO..76 BIOGRAFA.77 ANEXOS..78
VI
INTRODUCCIN
A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier Organizacin Empresarial, los Sistemas de Informacin de la Organizacin. Donde los Sistemas Informticos hoy en da constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organizacin. Por lo ello se realiza una auditoria informtica en la Organizacin DATA CENTER E.I.R.L tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologas de la Informacin, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluacin de 34 procesos que define esta metodologa, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnolgicos y humanos que cuenta la Organizacin en estudio.
VII
Universidad Nacional Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
1.1. CARACTERIZACIN DE LA EMPRESA 1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace DATA CENTER E.I.R.L en Huaraz Paraso Natural capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la regin de Ancash y al Pas, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovacin en dicho rubro. Uno de los hechos ms resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte tcnico, diseo de pgina webs y redes. Siendo sus inicios el soporte tcnico de computadoras, logrando as con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los dems servicios que brinda. El valor agregado que DATA CENTER E.I.R.L es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una slida garanta, respaldo y servicio de post-venta. Sin embargo, DATA CENTER E.I.R.L mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organizacin netamente integradora. 1.1.2. UBICACIN GEOGRFICA La Organizacin DATA CENTER E.I.R.L se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.
Auditor: Ramrez Huamn, Luis Angello
Pgina 9
Cdigo de Ubicacin Geogrfica (UBIGEO):
Ubicacin Exacta:
DATA CENTER E.I.R.L
Pgina 10
1.1.3. VISIN Ser la Organizacin Lder en Gestin de Tecnologas de la Informacin de nuestra localidad, regin y pas, reconocida por la excelencia de sus servicios, y por la calidad profesional y tica de sus miembros 1.1.4. MISIN La Organizacin DATA CENTER E.I.R.L es una compaa dedicada a la prestacin de servicios informticos, as como al completo suministros de equipos de cmputo, localizada en el sector de las PYMES y particulares, llevando a cabo su funcin con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las ms modernas tecnologas y orientada a la plena satisfaccin del cliente 1.1.5. OBJETIVOS ESTRATGICOS 1.1.5.1. Anlisis FODA
ANLISIS INTERNO FORTALEZAS DEBILIDADES Tratamiento personalizado a Control de Almacn. clientes, orientacin y Realizar grandes proyectos en el asesoramiento. sector privado y pblico. Integracin de productos y Dependencia de los servicios servicios buscando sinergias entre subcontratados. ellos. Sistema de Informacin Innovacin Constante. Integrado (Compras, ventas, Personal debidamente Capacitado Almacn y Krdex). y comprometido con la visin de la Organizacin. ANLISIS EXTERNO OPORTUNIDADES AMENAZAS Valoracin positiva de las TIC en Oferta de productos a menor la Organizacin. precio por parte de la competencia. Costos cada vez menores para las Organizaciones para la aplicacin La inestabilidad econmica de de las TIC. los pobladores de la cuidad de Huaraz. Lealtad de los clientes hacia la Organizacin. Cambios repentinos de los Sistemas Informticos. Ubicacin Cntrica del Local. Incremento de la Competencia. Pgina 11
1.1.5.2. Metas Organizacionales a. Corto Plazo Abastecimiento de las reas de la Organizacin segn sus necesidades primarias. b. Mediano Plazo Realizar la capacitacin a todo el personal, la renovacin tecnolgica, humana y la infraestructura de la Organizacin. c. Largo Plazo Lograr la expansin demogrfica en el rubro, con innovaciones tecnolgicas y el desarrollo de un sistema de informacin integrado. 1.1.5.3. Objetivos Estratgicos Desarrollar estrategias para llamar la atencin de nuevos clientes. Aprovechar la Tecnologa para Desarrolla un Sistema de Informacin Integral de Calidad. Aprovechar el buen clima para capacitar al personal de la Organizacin. Desarrollar servicios nuevos que mejoren el nivel del servicio. Explotar el potencial humano y tecnolgico para una ptima productividad de los mismos.
Pgina 12
1.1.6. ORGANIGRAMA DE LA EMPRESA
Gerencia General
rea de Comercio
rea de Administracin
rea de Informtica
Almacn
Compras
Ventas
Contabilidad
Recursos Humanos
Logstica
Servicio Tcnico
Redes
Diseo Web
Pgina 13
1.1.6.1 Descripcin de la Gerencia y reas a. Gerencia General.- Tiene como propsito, organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las polticas de la Organizacin. b. rea de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como tambin la recepcin y clasificacin en almacn, de los equipos de cmputo, accesorios y otros. c. rea de Administracin.- Se encarga de velar por una adecuada organizacin, soporte logstico, administracin eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organizacin en General. d. rea de Informtica.- Se encarga de integrar y coordinar los servicios informticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser ms especficos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.
Pgina 14
1.2. METODOLOGA COBIT Marco de Trabajo Completo de COBIT
1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organizacin que tomen muy en cuenta una correcta administracin de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel ptimo de administracin y control de la Tecnologas de la Informacin.
Auditor: Ramrez Huamn, Luis Angello Pgina 15
Estos modelos de madurez estn diseados como perfiles de procesos de TI que una Organizacin los reconocera como estados posiblemente actuales y futuros, estos modelos no estn diseados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administracin podr identificar: El desempeo real de la Organizacin: Donde se encuentra la Organizacin hoy. El Status actual de la industria: La comparacin EL objetivo de la mejora de la Organizacin: Donde desea estar la Organizacin. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medicin creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fcil para la direccin ubicarse a s misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuacin se presenta el modelo de madurez genrico a usarse en esta auditora:
0 NO EXISTENTE Carencia completa de cualquier proceso reconocible. La Organizacin no ha reconocido siquiera que existe un problema a resolver. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
1 INICIAL
2 REPETIBLE
Pgina 16
3 DEFINIDO
4 ADMINISTRADO
5 OPTIMIZADA
Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta el nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
1.2.2. AUDITORIA DE TICS CON COBIT 1.2.2.1. rea a Auditar La Auditora realizada por Ramrez Huamn, Luis Angello, ser en el rea de Informtica de DATA CENTER E.I.R.L, debido a que all se encuentran ubicados gran parte de los equipos de cmputo con los que cuenta la Organizacin DATA CENTER E.I.R.L. 1.2.2.2. Reclutamiento de la Informacin Por medio de la observacin realizada se procedi a la realizacin de entrevistas y cuestionarios con el Gerente General de DATA CENTER E.I.R.L; y as poder determinar con ms precisin cuales son los problemas presentados y poder dar un dictamen ms especifico. (Anexo A, B, C) 1.2.2.3. Documentos de Gestin del rea de Informtica Actualmente DATA CENTER E.I.R.L no cuenta con el manual de procedimientos administrativos informticos, ni tampoco cuenta con la documentacin requerida las cuales son: Mantenimiento de Equipos de Cmputo. Un Plan de Contingencias.
Seguridad de datos y equipos de Cmputo. 1.2.2.4. Plan de la Auditoria en el rea de Informtica Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organizacin, solicitando la participacin de los principales trabajadores de la Organizacin y en donde se realizaran las siguientes acciones: N ACTIVIDADES 1 Observacin General del rea de Informtica. 2 Entrevistas a los trabajadores del rea de Informtica. 3 Analizar con que documentos de Gestin y Tcnicos cuentas. Verificar si que los equipos de los que se cuenta en la 4 actualidad concuerdan con su inventario. Anlisis de las claves de acceso, control, seguridad, 5 confiabilidad y respaldos. Evaluar las tecnologas de informacin (TI), tanto en 6 hardware como en software. 7 Evaluacin de la seguridad fsica, lgica y de redes. 1.2.2.5. Herramientas y Tcnicas HERRAMIENTAS TECNICAS Cuaderno de Apuntes, Papel, Observacin, entrevistas Lapicero, Antivirus Eset Smart y cuestionarios. Security 4.0, Microsoft Office 2010 y otros. 1.2.2.6. Motivo o necesidad de una Auditoria Informtica Sntomas de mala imagen e insatisfaccin de los usuarios. Sntomas de debilidad econmico financiero. Sntomas de Inseguridad. Sntomas de descoordinacin y desorganizacin.
Pgina 18
1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuacin se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de informacin para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vaco, cuando el objetivo de control no ejerce ningn impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningn impacto con los recursos.
OBJETIVOS DE CONTROL DE COBIT CRITERIOS DE INFORMACIN DE COBIT CONFIDENCIALIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD RECURSOS DE TI DE COBIT INFRAESTRUCTURA X X X X X X X X X X X X
INFORMACIN X X X X X X X X
EFECTIVIDAD
INTEGRIDAD
PLANEAR Y ORGANIZAR PO1 Definir un plan estratgico de TI. PO2 Definir la arquitectura de la informacin PO3 Definir la direccin tecnolgica. Definir los procesos, organizacin y PO4 relaciones de TI. PO5 Administrar la inversin en TI. Comunicar las metas y la direccin de la PO6 gerencia. PO7 Administrar los recursos humanos de TI. PO8 Administrar la calidad. PO9 Evaluar y administrar los riegos de TI. PO10 Administrar los proyectos. ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. AI2 Adquirir y mantener software aplicativo. Adquirir y mantener la infraestructura AI3 tecnolgica. AI4 Facilitar la operacin y el uso. AI5 Procurar recursos de TI. AI6 Administrar los cambios. AI7 Instalar y acreditar soluciones y cambios. P P P S P S P P P S P P P P P S
X X X X X X X
S S S P S S S P S
S S
S S
X X X X
Pgina 19
APLICACIN X X X X X X X X X X X X X
EFICIENCIA
PERSONAS

ENTREGAR Y DAR SOPORTE Definir y administrar los niveles de DS1 servicio. DS2 Administrar los servicios de terceros. DS3 Administrar el desempeo y capacidad. DS4 Asegurar el servicio continuo. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. Administrar la mesa de servicio y los DS8 incidentes. DS9 Administrar la configuracin. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente fsico. DS13 Administrar las operaciones. MONITOREAR Y EVALUAR Monitorear y evaluar el desempeo de ME1 TI. ME2 Monitorear y evaluar el control interno. ME3 Garantizar el cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.
P P P P
P P P S P S P S P
S S
S S
P P P P P
S S S P S
S S
S S
X X X X X X X
X X X X X
S P
X X X X X X
X X X X X X
S S P P S P S
S X P X
X X X X
X X X
X X X X
P P P
P P P
S S S
S S S
S S S
S S P S
S S S S
X X X X
X X X X
X X X X
X X X X
Para tener un porcentaje de los criterios de la informacin, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodolgica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla.
CALIFICACION 15% 50% 51% 75% 76% 95% IMPACTO PROMEDIO BAJO 32 MEDIO 63 ALTO 86
Promedio de Impactos, fuente COBIT 4.1
Pgina 20
2.1. SITUACIN ACTUAL DEL REA DE SISTEMAS a. Ubicacin: El rea de Informtica se ubica al lado del rea de Negocios, teniendo la responsabilidad de gestionar los procesos tcnicos de informtica.
Ubicacin Fsica del rea de Informtica b. Cargos Funcionales y Operativos:

Apellidos y Nombres (Trabajadores) Ing. Lzaro Montaez, Heyner Cargos Operativos Gerente General Tcnico en Informtica y Redes Asistente Tcnico en Informtica y Redes Vendedora Cargos Funcionales Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal Realiza el Soporte Tcnico de Computadoras y Redes Realiza el Soporte Tcnico de Computadoras y Redes Realiza las ventas de equipos Informticos
Romero Castillo, Jos Carlos
Ramrez Huamn, Luis Angello
Montaez Araujo, Sarita Eva
Pgina 22
2.1.1. OBJETIVOS DEL DEPARTAMENTO Recomendar la adquisicin de hardware, software bsico y de aplicaciones conveniente y necesario. Estructurar, ejecutar y actualizar el plan estratgico del Sistema de Informacin, segn los requerimientos de las reas y la coordinacin con la Gerencia General. Proporcionar mecanismos de seguridad tanto lgica y fsica del hardware, software y redes de DATA CENTER E.I.R.L. Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organizacin, ya que no incurre ningn costo. Mantener actualizado el inventario del parque informtico y los precios de los productos de la base de datos, para la cotizacin correcta. Planificar y mantener actividades de Backups (copias de respaldo) de forma peridica en medios fsicos de almacenamiento masivo. Aprovechar la tecnologa existente para redisear el Website actual, convirtindolo en portal dinmico, donde puedan realizarse las operaciones transaccionales de la Organizacin y consultas comunes para los usuarios y clientes. Asesorar, administrar y proporcionar el soporte tecnolgico al personal de todas las reas de DATA CENTER E.I.R.L. Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.
Pgina 23
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO
REA DE INFORMTICA
SERVICIO TCNICO SOFTWARE REDES DISEO WEB WEB CORPORATIVO WEB PERSONAL
MICROSOFT
HARDWARE
LINUX
SATELITAL
2.1.3. SEGURIDAD DEL DEPARTAMENTO a. Seguridad Fsica: Establecer un sistema contra incendios y la capacitacin adecuada para el manejo de estos. Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia. Contar con un espacio adecuado para el alojamiento de los servidores.
Pgina 24
b. Seguridad Legal: Hacer uso de estndares y metodologas de calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseo de pginas web. Contar con las licencias de los sistemas operativos (Microsoft) en uso. Realizar una auditoria de la tecnologas de la informacin externa a DATA CENTER E.I.R.L c. Seguridad de Datos: Realizar peridicamente backups de la base de datos del sistema de informacin. Procesar los datos ms importantes de la Organizacin en las aplicaciones tecnolgicas (hojas de clculo, procesadores de texto y otros) y al sistema de informacin. Restringir al acceso al sistema de informacin y al servidor para que la data no sea adulterada. d. Seguridad de Personas: Renovar los implementos de seguridad de los tcnicos de informtica. Realizar las sealizaciones ssmicas pertinentes en el establecimiento ante un desastre ssmico. Establecer polticas de integridad fsica y mental para el personal que labora, dentro de sus horas de trabajo.
Pgina 25
2.1.4. CARACTERIZACIN DE LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIN a. Recursos Humanos:

GERENCIA/REA LABORAL Gerencia General rea de Informtica rea de Informtica rea de Comercio APELLIDOS Y NOMBRES (TRABAJADORES) Ing. Lzaro Montaez, Heyner Romero Castillo, Jos Carlos TIEMPO DE SERVICIO
CARGOS
TITULO Ing. de Informtica y Sistemas Tcnico
FUNCIN Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal Realiza el Soporte Tcnico de Computadoras y Redes Realiza el Soporte Tcnico de Computadoras y Redes
Gerente General
Estable
Tcnico en Informtica y Redes Asistente Ramrez Huamn, Tcnico en Luis Angello Informtica y Redes Montaez Araujo, Sarita Eva Vendedora
7 meses
Tcnico
3 meses
Secretariado Realiza las ventas de equipos Ejecutivo Informticos Computarizado
2 aos
Pgina 26
b. Hardware:
NOMBRE DEL EQUIPO PC 01 CARACTERSTICAS I5 CPU 1.8 GHz Memoria RAM 4 GB Disco Duro 1 TB Corel 2 duo CPU 2.0 GHz Memoria RAM 4 GB S-ATA 7200 Disco Duro 500 GB D-Link DFE-530 PCI Tarjeta de Red Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series Corel 2 duo CPU 2.8 GHz Memoria RAM 2 GB S-ATA 7200 Disco Duro 300 GB D-Link DFE-530 PCI Tarjeta de Red Fast Ethernet Adapter Monitor Samsumg 17 " Hp Laserjet Impresora 1200 series UTILIDAD Servidor Proxy
PC 02
PC para el Sistema de Informacin
PC 03
PC para Soporte Tcnico
c. Software:
NOMBRE DEL EQUIPO PC 01 SISTEMA OPERATIVO Linux-CentOS Ver. 5.0 APLICACIONES MySQL 5.1 Server Open Office 3.5 Apache 6.0 FileZilla Server 3.5.2 DBMS SQL Server 2005 NetBeans 6.7.1 Suite Office 2010 Utilitarios Bsicos Suite Office 2010 Utilitarios Bsicos
PC 02
Microsoft Windows Seven Ultimate con Service Pack 2 Microsoft Windows Seven Ultimate con Service Pack 2
PC 03
Pgina 27
2.1.5. TOPOLOGA DE LA EMPRESA La empresa proveedora a DATA CENTER E.I.R.L de Internet es Movistar (Per)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topologa de red estrella.
Pgina 28
2.1.6. CARACTERIZACIN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte tcnico y PC para el funcionamiento de Sistema de Informacin, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeen dentro de la Organizacin. Las actividades que se realizan en la empresa son de lunes a sbado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseo de pagina web y otros, como tambin a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIN DE PROBLEMAS Y PLANTEAMIENTO DE HIPTESIS 2.1.7.1. Posibles Problemas Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Falta de una planificacin informtica. Disminucin considerable e injustificable del presupuesto del rea de Comercio. Falta de documentacin del sistema de informacin y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos. Organizacin que no funciona correctamente por la falta de polticas, normas, metodologa, asignacin de tareas, debidamente establecida por la Gerencia General. 2.1.7.2. Formulacin de Hiptesis No se cuenta con la seguridad en general de los recursos informticos y humanos de la Organizacin, debido a que no existen polticas de negocio bien definidas, como tambin una planificacin informtica, teniendo como
Pgina 29
consecuencia problemas econmicos y de tecnologa de informacin (Hardware y Software). 2.2. REALIZACIN DE LA AUDITORIA 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuacin una ficha por cada uno de los objetivos haciendo un anlisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mnimo que no cumple la Organizacin que a su vez califica el nivel en dicho objetivo.
DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratgico de Tecnologa de la Informacin CUMPLE NO CUMPLE
NIVEL DE MADUREZ
OBSERVACIONES
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
No existe conciencia por parte de la gerencia de que la planeacin estratgica de TI es requerida para dar soporte a las metas del negocio. La planeacin estratgica de TI se discute de forma ocasional en las reuniones de la gerencia. Las decisiones estratgicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organizacin. La planeacin estratgica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, tcnicos y financieros de TI influencian cada vez ms la adquisicin de nuevos productos y tecnologas. Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las
GRADO DE MADUREZ El proceso de Definir el Plan Estratgico de Tecnologa Informacin esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no existe un plan estratgico de TI y estrategias de recursos de la Organizacin. No se realizar planes a largo plazo de TI, haciendo solo actualizaciones debido a los avances tecnolgicos.
Pgina 30
operaciones de los sistemas. Se desarrollan planes realistas a largo plazo de TI y se actualizan de Nivel manera constante para reflejar los 5 cambiantes avances tecnolgicos y el progreso relacionado al negocio. RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control: Planes a largo plazo de TI. Tomar decisiones estratgicas. Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as como de los sistemas de informacin y su impacto de los objetivos de DATA CENTER E.I.R.L En el Largo Plazo: Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes deben ser bien detallados para poder realizar la definicin de planes proyectados. DOMINIO: PLANIFICAR Y ORGANIZAR PO2: Definir la Arquitectura de la Informacin CUMPLE NO CUMPLE
NIVEL DE MADUREZ
OBSERVACIONES
El conocimiento, la experiencia y las necesarias para arquitectura no existen en la organizacin. La gerencia reconoce la necesidad de una arquitectura de informacin. El Nivel desarrollo de algunos componentes 1 de una arquitectura de informacin ocurre de manera ad hoc. Las personas obtienen sus habilidades al construir la Nivel arquitectura de informacin por 2 medio de experiencia prctica y la aplicacin repetida de tcnicas. Existe una funcin de administracin de datos definida formalmente, que Nivel establece estndares para toda la organizacin, y empieza a reportar 3 sobre la aplicacin y uso de la arquitectura de la informacin.
Nivel responsabilidades desarrollar esta 0
GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Informacin esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Que no se resolvi necesidades futuras del negocio realizando el proceso de la arquitectura de la informacin. Aprovechar las habilidades personales para la construccin de la arquitectura de la informacin.
Pgina 31

El proceso de definicin de la
Nivel arquitectura de informacin es proactivo y se enfoca en resolver 4

necesidades futuras del negocio. El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar Nivel mantenimiento a una arquitectura de 5 informacin robusta y sensible que refleje todos los requerimientos del negocio.
RECOMENDACIONES Para el proceso PO2 de COBIT estable los siguientes objetivos de control: Desarrollar y mantener la arquitectura de la informacin. Tener en claro la definicin del proceso de la arquitectura de la informacin. Ser participe de la construccin de la arquitectura de la informacin para incrementar sus habilidades. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer y mantener un modelo de arquitectura de la informacin para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo ser til para la creacin, uso y comparticin ptimas de la informacin vital. En el Largo Plazo: Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrnico, como bases de datos, almacenamiento de datos y archivos. DOMINIO: PLANIFICAR Y ORGANIZAR PO3: Determinar la Direccin Tecnologa CUMPLE NO CUMPLE
NIVEL DE MADUREZ
OBSERVACIONES
No existe conciencia sobre la Nivel importancia de la planeacin de la 0 infraestructura tecnolgica para la entidad. La gerencia reconoce la necesidad de planear la infraestructura Nivel tecnolgica. El desarrollo de 1 componentes tecnolgicos y la implantacin de tecnologas emergentes son ad hoc y aisladas. La evaluacin de los cambios Nivel tecnolgicos se delega a individuos 2 que siguen procesos intuitivos, aunque similares. Auditor: Ramrez Huamn, Luis Angello
GRADO DE MADUREZ El proceso de Determinar la Direccin Tecnologa esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Desarrollar las habilidades para la elaboracin del plan de la infraestructura tecnolgica. Realizar un plan de infraestructura tecnolgica.
Pgina 32
Existe un plan de infraestructura tecnolgica definido, Nivel documentado y bien difundido, 3 aunque se aplica de forma inconsistente. El rea de informtica cuenta con Nivel la experiencia y las habilidades 4 necesarias para desarrollar un plan de infraestructura tecnolgica. La direccin del plan de infraestructura tecnolgica est impulsada por los estndares y Nivel avances industriales e 5 internacionales, en lugar de estar orientada por los proveedores de tecnologa. RECOMENDACIONES Para el proceso PO3 de COBIT estable los siguientes objetivos de control: Elaborar un plan de infraestructura tecnolgica. Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores. No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. En el Largo Plazo: Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer un foro tecnolgico, para de esta forma brindar directrices tecnolgicas. DOMINIO: PLANIFICAR Y ORGANIZAR PO4: Definir los Procesos, la Organizacin y las Relaciones de TI CUMPLE NIVEL DE MADUREZ La organizacin de TI no est Nivel establecida de forma efectiva para 0 enfocarse en el logro de los objetivos del negocio. La funcin de TI se considera como Nivel una funcin de soporte, sin una 1 perspectiva organizacional general. La necesidad de contar con una Nivel organizacin estructurada, pero las 2 decisiones todava depende del Auditor: Ramrez Huamn, Luis Angello NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Definir los Procesos, la Organizacin y las Relaciones de TI esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Formular las relaciones con terceros para la TI. No satisfacer los requerimientos del negocio.
Pgina 33
conocimiento y habilidades de individuos clave. Se formulan las relaciones con Nivel terceros, incluyendo los comits de 3 direccin, auditora interna y administracin de proveedores. La organizacin de TI responde de forma pro activa al cambio e Nivel incluye todos los roles necesarios 4 para satisfacer los requerimientos del negocio. Nivel La estructura organizacional de TI 5 es flexible y adaptable. RECOMENDACIONES Para el proceso PO4 de COBIT estable los siguientes objetivos de control: Ser flexible y adaptable a la estructura organizacional de TI. Responder de forma pro actica a los requerimientos del negocio. Formular relaciones con terceros como auditoria interna. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una evaluacin permanente de personal, para as asegurar que el personal involucrado en las TI sea el pertinente para la funcin asignada. En el Largo Plazo: Implantar mtodos de supervisin dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente. DOMINIO: PLANIFICAR Y ORGANIZAR PO5: Administrar la Inversin de TI CUMPLE NIVEL DE MADUREZ No existe conciencia de la importancia de la seleccin y Nivel presupuesto de las inversiones en 0 TI. No existe seguimiento o monitoreo de las inversiones y gastos de TI. La organizacin reconoce la necesidad de administrar la Nivel inversin en TI, aunque esta 1 necesidad se comunica de manera inconsistente. Existe un entendimiento implcito Nivel de la necesidad de seleccionar y 2 presupuestar las inversiones en TI. Auditor: Ramrez Huamn, Luis Angello NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Administrar la Inversin de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS Formular las relaciones con terceros para la TI.
Pgina 34
El presupuesto de TI est alineado con los planes estratgicos de TI y con los planes del negocio. Los Nivel procesos de seleccin de 3 inversiones en TI y de presupuestos estn formalizados, documentados y comunicados. La responsabilidad y la rendicin de cuentas por la seleccin y Nivel presupuestos de inversiones se 4 asignan a un individuo especfico. Las diferencias en el presupuesto se identifican y se resuelven. Se utilizan las mejores prcticas de la industria para evaluar los costos por comparacin e identificar la Nivel efectividad de las inversiones. Se 5 utiliza el anlisis de los avances tecnolgicos en el proceso de seleccin y presupuesto de inversiones. RECOMENDACIONES Para el proceso PO5 de COBIT estable los siguientes objetivos de control: Reconocer la necesidad de administrar la inversin en TI. Utilizar las mejores prcticas para la evaluacin de costos de inversin. Documentar y formalizar el presupuesto en TI. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. En el Largo Plazo: Mejorar de forma continua la administracin de inversiones en base a las lecciones aprendidas del anlisis del desempeo real de las inversiones. DOMINIO: ADQUIRIR E IMPLEMENTAR AI1: Identificar Soluciones Automatizadas CUMPLE NIVEL DE MADUREZ La organizacin no requiere de la identificacin de los Nivel requerimientos funcionales y 0 operativos para el desarrollo, implantacin o modificacin de soluciones, tales como sistemas, Auditor: Ramrez Huamn, Luis Angello NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Identificar Soluciones Automatizadas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS
Pgina 35
servicios, infraestructura y datos. Determinar el proceso para la Existe una investigacin o anlisis solucin de TI, segn el Nivel estructurado mnimo de la requerimiento del negocio. 1 tecnologa disponible. Documentacin de los proyectos El xito de cada proyecto depende realizados. de la experiencia de unos cuantos Nivel individuos clave. La calidad de la 2 documentacin y de la toma de decisiones vara de forma considerable. El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones Nivel tomadas por el personal 3 involucrado, la cantidad de tiempo administrativo dedicado, y el tamao y prioridad del requerimiento de negocio original. La documentacin de los proyectos Nivel es de buena calidad y cada etapa 4 se aprueba adecuadamente. La metodologa est soportada en bases de datos de conocimiento Nivel internas y externas que contienen 5 material de referencia sobre soluciones tecnolgicas. RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control: Soportar la metodologa de TI en base de datos. Determinar los procesos para las soluciones de TI. Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos, priorizando el desempeo, el costo, la confiabilidad, la compatibilidad, la auditora, la seguridad, la disponibilidad, y continuidad, la ergonoma, funcionalidad y la legislacin. En el Largo Plazo: Que exista el alineamiento con las estrategias de la Organizacin y de TI.
Pgina 36
DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo CUMPLE NIVEL DE MADUREZ Tpicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal de TI con productos especficos, considerando poco o nada los requerimientos actuales. Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte. Existen procesos de adquisicin y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operacin de TI. Existe un proceso claro, definido y de comprensin general para la adquisicin y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio. Existe una metodologa formal y bien comprendida que incluye un proceso de diseo y especificacin, un criterio de adquisicin, un proceso de prueba y requerimientos para la documentacin. El enfoque se extiende para toda la empresa. La metodologa de adquisicin y mantenimiento presenta un buen avance y permite un posicionamiento estratgico rpido, que permite un alto grado de reaccin y flexibilidad para responder a requerimientos cambiantes del NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir y Mantener Software Aplicativo esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS Dar a conocer el proceso de adquisicin y mantenimiento del Sistema de Informacin (software) y aplicaciones. Determinar la metodologa formal para la documentacin del software en uso.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Pgina 37
negocio. RECOMENDACIONES Para el proceso AI2 de COBIT estable los siguientes objetivos de control: Asegurar que el software diseado sea de calidad. Realizar un diseo detallado, y los requerimientos tcnicos del software. Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo: Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo: Garantizar integridad de la informacin, control de acceso, respaldo y pistas de auditora. DOMINIO: ADQUIRIR E IMPLEMENTAR AI3: Adquirir y Mantener Infraestructura Tecnolgica CUMPLE NIVEL DE MADUREZ No se reconoce la administracin de la infraestructura de tecnologa como un asunto importante al cual deba ser resuelto. Se realizan cambios a la infraestructura para cada nueva aplicacin, sin ningn plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo. La adquisicin y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar. El proceso respalda las necesidades de las aplicaciones crticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente. La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso est bien organizado y es preventivo. El proceso de adquisicin y NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnolgica esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Definir una estrategia para la adquisicin y mantenimiento de la infraestructura. Organizar y prevenir el proceso de adquisicin y mantenimiento de la infraestructura.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4 Nivel
Pgina 38
Universidad Nacional Santiago Antnez de Mayolo 5
mantenimiento de la infraestructura de tecnologa es preventivo y est estrechamente en lnea con las aplicaciones crticas del negocio y con la arquitectura de la tecnologa. RECOMENDACIONES Para el proceso AI3 de COBIT estable los siguientes objetivos de control: Crear un plan de adquisicin de infraestructura tecnolgica. Garantizar la disponibilidad de la infraestructura tecnolgica. Identificar que necesidades se tiene para adquisicin de infraestructura tecnolgica. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Crear un plan de adquisicin de infraestructura tecnolgica. En el Largo Plazo: Proteger la infraestructura tecnolgica mediante medidas de control interno, seguridad y auditabilidad durante la configuracin, integracin y mantenimiento de hardware y software de la infraestructura tecnolgica. DOMINIO: ADQUIRIR E IMPLEMENTAR AI4: Facilitar la Operacin y el Uso CUMPLE NIVEL DE MADUREZ No existe el proceso con respecto a la produccin de documentacin de usuario, manuales de operacin y material de entrenamiento. Mucha de la documentacin y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas nicos con calidad variable. Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran. Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella. Existen controles para garantizar que se adhieren los estndares y NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Facilitar la Operacin y el Uso esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Falta generar los materiales de entretenimiento buscando su calidad. Garantizar la compaa de estndares para el desarrollo del proceso.
Nivel 0
Nivel 1
Nivel 2
Nivel 3 Nivel 4
Pgina 39
que se desarrollan y mantienen procedimientos para todos los procesos. Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolucin constante que se Nivel mantiene en forma electrnica, 5 con el uso de administracin de conocimiento actualizada, workflow y tecnologas de distribucin, que los hacen accesibles y fciles de mantener. RECOMENDACIONES Para el proceso AI4 de COBIT estable los siguientes objetivos de control: Control para garantizar adherir los estndares para el mantenimiento de los procesos. Desarrollar un plan para realizar soluciones de operacin el cual sirva para identificar y documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de servicio requeridos. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una transferencia de conocimiento a la parte gerencial lo cual permitir que estos tomen posesin del sistema y los datos. En el Largo Plazo: Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organizacin. DOMINIO: ADQUIRIR E IMPLEMENTAR AI5: Adquirir Recursos de TI CUMPLE NIVEL DE MADUREZ Nivel No existe un proceso definido de 0 adquisicin de recursos de TI. Los contratos para la adquisicin de recursos de TI son elaborados y administrados por gerentes de Nivel proyecto y otras personas que 1 ejercen su juicio profesional ms que seguir resultados de procedimientos y polticas formales. Nivel Se determinan responsabilidades y 2 rendicin de cuentas para la Auditor: Ramrez Huamn, Luis Angello NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Adquirir Recursos de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS Falta de buenas relaciones con algunos proveedores de forma estratgica.
Pgina 40
administracin de adquisicin y contrato de TI segn la experiencia particular del gerente de contrato. La adquisicin de TI se integra en Nivel gran parte con los sistemas 3 generales de adquisicin del negocio. La adquisicin de TI se integra en gran parte con los sistemas Nivel generales de adquisicin del 4 negocio. Existen estndares de TI para la adquisicin de recursos de TI. Se establecen buenas relaciones con el tiempo con la mayora de los Nivel proveedores y socios, y se mide y 5 vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratgica. RECOMENDACIONES Para el proceso AI5 de COBIT estable los siguientes objetivos de control: Tomar medidas en la administracin de contratos y adquisiciones. Establecer buenas relaciones con la mayora de proveedores y socios. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo: Manejar estratgicamente los estndares, polticas y procedimientos de TI para adquirir los recursos de TI. En el Largo Plazo: Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los trminos contractuales. DOMINIO: ENTREGAR Y DAR SOPORTE DS1: Definir y Administrar los Niveles de Servicio CUMPLE NIVEL DE MADUREZ La gerencia no reconoce la Nivel necesidad de un proceso para 0 definir los niveles de servicio. La responsabilidad y la rendicin Nivel de cuentas sobre para la definicin 1 y la administracin de servicios no est definida. Nivel Los reportes de los niveles de 2 servicio estn incompletos y Auditor: Ramrez Huamn, Luis Angello NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS No ordenar los procesos de desarrollo por niveles de servicio. Realizar reportes de servicio de
Pgina 41
pueden ser irrelevantes o forma completa y relevante. engaosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores. El proceso de desarrollo del acuerdo de niveles de servicio esta Nivel en orden y cuenta con puntos de 3 control para revalorar los niveles de servicio y la satisfaccin de cliente. La satisfaccin del cliente es medida y valorada de forma Nivel rutinaria. Las medidas de 4 desempeo reflejan las necesidades del cliente, en lugar de las metas de TI. Todos los procesos de administracin de niveles de servicio estn sujetos a mejora Nivel continua. Los niveles de 5 satisfaccin del cliente son administrados y monitoreados de manera continua. RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control: Realizar un portafolio de servicios. Realizar acuerdos de niveles de servicio. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar a menudo una revisin con los proveedores internos y externos los acuerdos de niveles de servicio. En el Largo Plazo: Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados.
Pgina 42
DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES
Los servicios de terceros no son ni GRADO DE MADUREZ aprobados ni revisados por la El proceso de Administrar los Servicios de Nivel gerencia. No hay actividades de Terceros esta en el nivel de madurez 3. 0 medicin y los terceros no OBJETIVOS NO CUMPLIDOS reportan. Verificar de forma continua las No hay condiciones estandarizadas capacidades del proveedor. Nivel para los convenios con los Monitorear e implementar 1 prestadores de servicios. acciones correctivas. Se utiliza un contrato pro forma con trminos y condiciones Nivel estndares del proveedor (por 2 ejemplo, la descripcin de servicios que se prestarn). Cuando se hace un acuerdo de prestacin de servicios, la relacin con el tercero es meramente Nivel contractual. La naturaleza de los 3 servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Las aptitudes, capacidades y Nivel riesgos del proveedor son 4 verificadas de forma continua. Se monitorea el cumplimiento de Nivel las condiciones operacionales, 5 legales y de control y se implantan acciones correctivas. RECOMENDACIONES Para el proceso DS2 de COBIT estable los siguientes objetivos de control: Monitorear e implementar acciones correctivas. Verificar de forma continua las capacidades del proveedor. Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer criterios formales y estandarizados para realizar la definicin de los trminos del acuerdo. En el Largo Plazo: Mantener acuerdos de confidencialidad con los proveedores.
Pgina 43
DOMINIO: ENTREGAR Y DAR SOPORTE DS3: Administrar el Desempeo y la Capacidad CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES
La gerencia no reconoce que los GRADO DE MADUREZ procesos clave del negocio pueden El proceso de Administrar el Desempeo y requerir altos niveles de la Capacidad esta en el nivel de madurez 1. Nivel desempeo de TI o que el total de OBJETIVOS NO CUMPLIDOS 0 los requerimientos de servicios de Realizar evaluaciones de la TI del negocio pueden exceder la infraestructura de TI logrando una capacidad. capacidad optima. Los responsables de los procesos Establecer mtodos de desempeo del negocio valoran poco la y evaluacin. necesidad de llevar a cabo una Nivel planeacin de la capacidad y del 1 desempeo. Las acciones para administrar el desempeo y la capacidad son tpicamente reactivas. Las necesidades de desempeo se logran por lo general con base en Nivel evaluaciones de sistemas 2 individuales y el conocimiento y soporte de equipos de proyecto. Los pronsticos de la capacidad y el desempeo se modelan por Nivel medio de un proceso definido. Los 3 reportes se generan con estadsticas de desempeo. Hay informacin actualizada disponible, brindando estadsticas Nivel de desempeo estandarizadas y 4 alertando sobre incidentes causados por falta de desempeo o de capacidad. La infraestructura de TI y la demanda del negocio estn sujetas Nivel a revisiones regulares para 5 asegurar que se logre una capacidad ptima con el menor costo posible. RECOMENDACIONES Para el proceso DS3 de COBIT estable los siguientes objetivos de control: Establecer mtricas de desempeo y evaluacin de la capacidad. Auditor: Ramrez Huamn, Luis Angello Pgina 44
Realizar revisiones de forma peridica la demanda del negocio con menor costo. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar pronsticos de la capacidad y el desempeo futuros de los recursos de TI en intervalos regulares. En el Largo Plazo: Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI. DOMINIO: ENTREGAR Y DAR SOPORTE DS4: Garantizar la Continuidad del Servicio CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES
No hay entendimiento de los GRADO DE MADUREZ Nivel riesgos, vulnerabilidades y El proceso de Garantizar la Continuidad del 0 amenazas a las operaciones de TI. Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Las responsabilidades sobre la continuidad de los servicios son Mantener un plan de servicios. Nivel informales y la autoridad para Integrar los procesos de servicios 1 ejecutar responsabilidades es para mejores prcticas externas. limitada. Los reportes sobre la disponibilidad son espordicos, Nivel pueden estar incompletos y no 2 toman en cuenta el impacto en el negocio. Las responsabilidades de la Nivel planeacin y de las pruebas de la 3 continuidad de los servicios estn claramente asignadas y definidas. Se asigna la responsabilidad de Nivel mantener un plan de continuidad 4 de servicios. Los procesos integrados de servicio Nivel continuo toman en cuenta 5 referencias de la industria y las mejores prcticas externas. RECOMENDACIONES Para el proceso DS4 de COBIT estable los siguientes objetivos de control: Desarrollar y tomar muy en cuenta planes de continuidad. Realizar un marco de trabajo de continuidad. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. Auditor: Ramrez Huamn, Luis Angello Pgina 45
En el Largo Plazo: Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este segn amerite. DOMINIO: ENTREGAR Y DAR SOPORTE DS5: Garantizar la Seguridad de los Sistemas CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS Concientizar el valor de la seguridad de la informacin. Elaborar un plan de seguridad de TI.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Nivel 5
Las medidas para soportar la administrar la seguridad de TI no estn implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles. La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen informacin relevante respecto a la seguridad, sta no se analiza. Las responsabilidades de la seguridad de TI estn asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un anlisis de riesgo. El contacto con mtodos para promover la conciencia de la seguridad es obligatorio. La identificacin, autenticacin y autorizacin de los usuarios est estandarizada. Los usuarios y los clientes se responsabilizan cada vez ms de Auditor: Ramrez Huamn, Luis Angello
Pgina 46
definir requerimientos de seguridad, y las funciones de seguridad estn integradas con las aplicaciones en la fase de diseo. RECOMENDACIONES Para el proceso DS5 de COBIT estable los siguientes objetivos de control: Se debe administrar la seguridad TI. Realizar un plan de seguridad de TI. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo: Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad, deteccin de intrusos, etc.) En el Largo Plazo: Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear esta. DOMINIO: MONITOREAR Y EVALUAR ME1: Monitorear y Evaluar el Desempeo de TI CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeo de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Poder identificar los procesos estndares de evaluacin. Integrar todos los procesos y proyectos de TI.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes tiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce. No se han identificado procesos estndar de recoleccin y evaluacin. El monitoreo se implanta y las mtricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI especficos. La interpretacin de los resultados del monitoreo se basa en la experiencia de individuos clave. Las mediciones de la contribucin de la funcin de servicios de informacin al desempeo de la organizacin se han definido, usando criterios financieros y operativos tradicionales. Auditor: Ramrez Huamn, Luis Angello
Pgina 47
Hay una integracin de mtricas a lo largo de todos los proyectos y Nivel procesos de TI. Los sistemas de 4 reporte de la administracin de TI estn formalizados. Las mtricas impulsadas por el negocio se usan de forma rutinaria Nivel para medir el desempeo, y estn 5 integradas en los marcos de trabajo estratgicos, tales como el Balanced Scorecard. RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control: Definir un mtodo de monitoreo como Balance Scorecard. Evaluar el desempeo comparndolo peridicamente con las metas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo: Identificar e iniciar medidas correctivas sobre el desempeo de TI. DOMINIO: MONITOREAR Y EVALUAR ME2: Monitorear y Evaluar el Control Interno CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Establecer los procesos para la evaluacin y aseguramiento del control interno. Utilizar herramientas integradas para la deteccin del control interno de TI.
Los mtodos de reporte de control interno gerenciales no existen. Nivel Existe una falta generalizada de 0 conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI. La gerencia de TI no ha asignado de manera formal las Nivel responsabilidades para monitorear 1 la efectividad de los controles internos. La gerencia de servicios de informacin realiza monitoreo peridico sobre la efectividad de lo Nivel que considera controles internos 2 crticos. Se estn empezando a usar metodologas y herramientas para monitorear los controles internos, aunque no se basan en Auditor: Ramrez Huamn, Luis Angello
Pgina 48
un plan. Se ha definido un programa de educacin y entrenamiento para el monitoreo del control interno. Se ha definido tambin un proceso Nivel para auto evaluaciones y 3 revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administracin del negocio y de TI. Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automtica las excepciones de control. Se ha establecido una Nivel funcin formal para el control 4 interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta direccin. La organizacin utiliza herramientas integradas y actualizadas, donde es apropiado, Nivel que permiten una evaluacin 5 efectiva de los controles crticos de TI y una deteccin rpida de incidentes de control de TI. RECOMENDACIONES Para el proceso ME2 de COBIT estable los siguientes objetivos de control: Monitorear el marco de trabajo de control interno de forma continua. Mediante las revisiones de auditora reportar la efectividad de los controles internos sobre las TI. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Realizar una auto-evaluacin del control interno de la administracin de procesos, polticas y contratos de TI. En el Largo Plazo: Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Pgina 49
DOMINIO: MONITOREAR Y EVALUAR ME3: Garantizar el Cumplimiento Regulatorio CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES
Existe poca conciencia respecto a GRADO DE MADUREZ los requerimientos externos que El proceso de Garantizar el Cumplimiento Nivel afectan a TI, sin procesos Regulatorio esta en el nivel de madurez 1. 0 referentes al cumplimiento de OBJETIVOS NO CUMPLIDOS requisitos regulatorios, legales y Brindar capacitacin sobre contractuales. requisitos legales y regulatorios Se siguen procesos informales para externos. mantener el cumplimiento, pero Conocer los requerimientos Nivel solo si la necesidad surge en aplicables, como la solucin de 1 nuevos proyectos o como nuevas necesidades. respuesta a auditoras o revisiones. No existe, sin embargo, un enfoque estndar. Hay mucha Nivel confianza en el conocimiento y 2 responsabilidad de los individuos, y los errores son posibles. Se brinda entrenamiento sobre requisitos legales y regulatorios Nivel externos que afectan a la 3 organizacin y se instruye respecto a los procesos de cumplimiento definidos. Las responsabilidades son claras y el empoderamiento de los Nivel procesos es entendido. El proceso 4 incluye una revisin del entorno para identificar requerimientos externos y cambios recurrentes. Hay un amplio conocimiento de los requerimientos externos Nivel aplicables, incluyendo sus 5 tendencias futuras y cambios anticipados, as como la necesidad de nuevas soluciones. RECOMENDACIONES Para el proceso ME3 de COBIT estable los siguientes objetivos de control: Integrar los reporte de TI sobre el cumplimiento regulatorio. Garantizar la identificacin de requerimientos locales e internacionales legales, contractuales de polticas, y regulatorios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: Auditor: Ramrez Huamn, Luis Angello Pgina 50
En el Corto Plazo: Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. En el Largo Plazo: Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI. DOMINIO: MONITOREAR Y EVALUAR ME4: Proporcionar Gobierno de TI CUMPLE NIVEL DE MADUREZ NO CUMPLE OBSERVACIONES GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS Comunicar por parte de la Gerencia los procedimientos estandarizados.
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organizacin ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicacin respecto al tema. El enfoque de la gerencia es reactivo y solamente existe una comunicacin espordica e inconsistente sobre los temas y los enfoques para resolverlos. La gerencia ha identificado mediciones bsicas para el gobierno de TI, as como mtodos de evaluacin y tcnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organizacin. La gerencia ha comunicado los procedimientos estandarizados y el entrenamiento est establecido. Se han identificado herramientas para apoyar a la supervisin del gobierno de TI. Los procesos de TI y el gobierno de TI estn alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y mtricas de procesos. Auditor: Ramrez Huamn, Luis Angello
Pgina 51
La implantacin de las polticas de TI ha resultado en una organizacin, personas y procesos que se adaptan rpidamente, y que dan soporte completo a los Nivel requisitos de gobierno de TI. Todos 5 los problemas y desviaciones se analizan por medio de la tcnica de causa raz y se identifican e implementan medidas eficientes de forma rpida. RECOMENDACIONES Para el proceso ME4 de COBIT estable los siguientes objetivos de control: Administrar los riesgos de forma eficiente. Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante evaluaciones peridicas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo: Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles y responsabilidades. En el Largo Plazo: Conformar un comit de auditora para asegurar el cumplimiento de TI.
2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ

PROCESO
PO1 Definir el Plan Estratgico de Tecnologa de la Informacin PLANIFICAR Y ORGANIZAR PO2 Definir la Arquitectura de la Informacin PO3 Determinar la Direccin Tecnologa PO4 Definir los Procesos, la Organizacin y las Relaciones de TI PO5 Administrar la Inversin de TI ADQUIRIR E IMPLEMENTAR AI1 Identificar Soluciones Automatizadas AI2 Adquirir y Mantener Software Aplicativo AI3 Adquirir y Mantener Infraestructura Tecnolgica AI4 Facilitar la Operacin y el Uso AI5 Adquirir Recursos de TI
Pgina 52
NIVEL DE MADUREZ
1 1 1 2 4 1 2 1 1 4
DOMINIO
Universidad Nacional Santiago Antnez de Mayolo MONITOREAR Y ENTREGAR Y DAR EVALUAR SOPORTE
Ing. de Sistemas e Informtica 1 3 1 1 1 0 0 1 0
DS1 Definir y Administrar los Niveles de Servicio DS2 Administrar los Servicios de Terceros DS3 Administrar el Desempeo y la Capacidad DS4 Garantizar la Continuidad del Servicio DS5 Garantizar la Seguridad de los Sistemas ME1 Monitorear y Evaluar el Desempeo de TI ME2 Monitorear y Evaluar el Control Interno ME3 Garantizar el Cumplimiento Regulatorio ME4 Proporcionar Gobierno de TI
Resumen de Anlisis por Dominios: Dominio: Planear y Organizar (PO) No se encuentran alineadas las estrategias de TI y del negocio. DATA CENTER E.I.R.L no est alcanzando el uso optimo de los recursos ya que estos no son aprovechados al mximo o de tambin no se cuenta con los recursos necesarios para el desempeo de ciertas tareas. No todo el personal de DATA CENTER E.I.R.L entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia de estos para el cumplimiento de las metas de DATA CENTER E.I.R.L. Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, as como la implementacin e integracin en los procesos del negocio. Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de continuidad no es implementada la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la
confidencialidad no se encuentran implementadas de forma ptima. Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evala el control interno en DATA CENTER E.I.R.L. Existe un poco vinculacin en el desempeo de TI con las metas del negocio. No existe una medicin ptima de riesgos y el reporte de estos, as como el cumplimiento, desempeo y control.
Pgina 54
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR IMPACTO

CRITERIOS DE INFORMACION Recursos Humanos Confidencialidad Disponibilidad Cumplimiento RECUROS TI Sistemas de Aplicacin Nivel de Madurez 1 5 x 0.00 0.00 0.00 0.00 x 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 x 0.00 0.00 0.00 0.00 0.00 x x 2 x x x 1 5 x x 1 5
DOMINIO
Confiabilidad
Instalaciones
Efectividad
Tecnologia
Integridad
Eficiencia
PROCESOS
PO1 Definir el Plan Estratgico de Tecnologa de la Informacin Total real (impacto*Nivel real) PLANIFICAR Y ORGANIZAR Total ideal (impacto*Nivel ideal) PO2 Definir la Arquitectura de la Informacin Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) PO3 Determinar la Direccin Tecnolgica Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) PO4 Definir los Procesos, la Organizacin y las Relaciones de TI Total real (impacto*Nivel real)
0.83 0.83 4.15 0.61 0.61 3.05 0.83 0.83 4.15 1.69 3.38
0.61 0.61 3.05 0.83 0.83 4.15 0.83 0.83 4.15 1.69 3.38 0.00 0.00 0.00 0.00 0.00 0.00 0.61 0.83 0.61 0.83 0.00 3.05 4.15 0.00 0.00 0.00 0.00 0.00
Pgina 55
Datos x
Total ideal (impacto*Nivel ideal) PO5 Administrar la Inversin de TI Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) AI1 Identificar Soluciones Automatizadas Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) AI2 Adquirir y Mantener Software Aplicativo ADQUIRIR E IMPLEMENTAR Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) AI3 Adquirir y Mantener Infraestructura Tecnolgica Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) AI4 Facilitar la Operacin y el Uso Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) AI5 Adquirir Recursos de TI Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) Auditor: Ramrez Huamn, Luis Angello
8.45 3.41
8.45 3.41
0.00 0.00 0.00
0.00
0.00 2.49 x x x
13.64 13.64 0.00 0.00 0.00 17.05 17.05 0.00 0.00 0.00 0.83 0.83 4.15 1.69 3.38 8.45 0.61 0.61 3.05 0.83 0.83 4.15 2.49 9.96 0.61 0.61 3.05 1.69 3.38 8.45 0.83 0.83 4.15 0.83 0.83 4.15 3.41 13.64 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 1.23 0.00 2.46 0.00 0.00 6.15 0.00 0.61 0.61 0.00 0.61 0.61 0.00 3.05 3.05 0.61 0.61 0.00 0.61 0.61 0.00 3.05 3.05
0.00 0.00
9.96 12.45 x x x x
4 5
0.00 0.00
0.00 0.00 1.23 x x x
1 5
0.00 0.00
2.46 6.15 x x x
2 5
0.00 0.00 0.61 0.61 3.05 2.49 9.96
0.00 0.00 0.61 0.61 3.05 x 0.00 0.00 Pgina 56 x x x x x x x
1 5
1 5
4 5
12.45 17.05 0.00 0.00 0.00 12.45
DS1 Definir y Administrar los Niveles de Servicio Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) DS2 Administrar los Servicios de Terceros ENTREGAR Y DAR SOPORTE Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) DS3 Administrar el Desempeo y la Capacidad Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) DS4 Garantizar la Continuidad del Servicio Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) DS5 Garantizar la Seguridad de los Sistemas Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) MONITOREA R Y EVALUAR ME1 Monitorear y Evaluar el Desempeo de TI Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal)
0.83 0.83 4.15 2.55 7.65
0.83 0.83 4.15 2.55 7.65
0.61 0.61 0.61 0.61 0.61 0.61 3.05 3.05 3.05 1.86 1.86 1.86 5.58 5.58 5.58
0.61 0.61 3.05 1.86 5.58 9.30
0.61 0.61 3.05 1.86 5.58 9.30
x 1 5
x 3 5
12.75 12.75 9.30 9.30 9.30 0.83 0.83 4.15 0.83 0.83 4.15 0.83 0.83 4.15 0.61 0.61 3.05 0.61 0.00 0.00 0.61 0.00 0.00 3.05 0.83 0.00 0.00 0.83 0.00 0.00 4.15 0.83 0.83 0.61 0.00 0.00 0.00 0.00 0.83 0.83 0.61 4.15 4.15 3.05
x 0.00 0.00 0.00 0.00 x 0.00 0.00 0.61 0.61 3.05 0.00 0.00 0.61 0.61 3.05 x x
x 1 5 x x 1 5
x 1 5 x x x 0 5
0.00 0.00
0.00 0.00
0.00 0.00 0.00 0.00 0.00 0.00
0.00 0.00
0.00 0.00
Pgina 57
ME2 Monitorear y Evaluar el Control Interno Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) ME3 Garantizar el Cumplimiento Regulatorio Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) ME4 Proporcionar Gobierno de TI Total real(impacto*Nivel real) Total ideal(impacto*Nivel ideal) 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.83 0.83 4.15 0.00 0.00 0.61 0.61 3.05
x 0 5
x 1 5
x 0 5
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN Total real (impacto*Nivel real) Total ideal (impacto*Nivel ideal) Porcentaje Alcanzado
45.04 48.50 7.63 11.53 9.46 18.20 20.44
94.30 97.80 19.55 32.90 28.70 35.05 40.10 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90
Pgina 58
A continuacin analizamos cada uno de los criterios de la informacin: EFECTIVIDAD.- Para este criterio de informacin se obtuvo un porcentaje del 47.76% sobre 100%, es decir que la informacin que es de importancia para DATA CENTER E.I.R.L, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%. EFICIENCIA.- Para este criterio de informacin se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la informacin que debe generar el uso ptimo de los recursos de DATA CENTER E.I.R.L tiene un porcentaje del 49.59%. CONFIDENCIALIDAD.- Para este criterio de informacin se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la proteccin de la informacin de DATA CENTER E.I.R.L para que esta no sea divulgada a personas o sectores extraos a este tiene un porcentaje del 39.03%. INTEGRIDAD.- Para este criterio de informacin se obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribucin de la informacin exacta y correcta, as como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%. DISPONIBILIDAD.- Para este criterio de la informacin se obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la informacin cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a
Pgina 59
la misma en DATA CENTER E.I.R.L, tiene porcentaje del 32.96%. CUMPLIMIENTO.- Para este criterio de la informacin se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales est comprometido DATA CENTER E.I.R.L, tiene un porcentaje del 51.93%. CONFIABILIDAD.- Para este criterio de la informacin se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la informacin apropiada para que la administracin tome decisiones adecuadas para manejar DATA CENTER E.I.R.L y cumplir con sus responsabilidades, tiene porcentaje del 50.97%. 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS CRITERIOS DE INFORMACIN
IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIN

60.00 50.00 40.00 30.00 20.00 10.00 0.00 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90
Pgina 60
3.1. INFORME TCNICO ALCANCE Mediante esta auditora se pretende evaluar el estado actual del Departamento Informtico DATA CENTER E.I.R.L , mediante este proceso se podr brindar al DATA CENTER E.I.R.L sus respectivas conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio segn la metodologa COBIT 4.1. OBJETIVOS OBJETIVO GENERAL Realizar la auditora de las tecnologas de la informacin d e DATA CENTER E.I.R.L de Huaraz, utilizando como modelo de referencia COBIT 4.1. OBJETIVOS ESPECIFICOS Identificar problemas tcnicos en las TI y dar posibles soluciones. Definir controles que permitan disminuir riesgos. Realizar un informe tcnico y ejecutivo. A continuacin se detalla los resultados de la evaluacin de cada uno de los 34 procesos divididos en sus respectivos dominios (Planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), basndonos en los niveles de madurez los cuales van desde el grado 0 (no existente) al grado mximo 5 (administrado). DOMINIO PLANEAR Y ORGANIZAR PO1. DEFINIR UNPLAN ESTARTEGICO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1 puesto que no se cuenta con un plan estratgico definido. RECOMENDACIONES COBIT Alinear las TI con el negocio, instruir a los jefes de departamento sobre las capacidades tecnolgicas actuales y el
Pgina 62
futuro de estas, as como las oportunidades que prestan las TI, para el mejor desempeo de las labores diarias. Crear planes tcticos de TI, que se resulten del plan estratgico de TI, estos servirn para describir las iniciativas y los requerimientos de recursos que necesitados por TI, estos planes deben ser bien detallados para poder realizar la definicin de planes proyectados. PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIN CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce no tener una arquitectura de informacin, pero a pesar de reconocer su importancia no se la elabora. RECOMENDACIONES COBIT Establecer un diseo de clasificacin de datos que aplique a todo DATA CENTER E.I.R.L , basado en la informacin crtica y sensible. Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrnico, como bases de datos, almacenamiento de datos y archivos. PO3. DETERMINAR LA DIRECCIN TECNOLGICA CONCLUSIN.-Este proceso se encuentra en el nivel de madurez 1, puesto que el desarrollo de componentes tecnolgicos y la implantacin de tecnologas emergentes son ad hoc y aisladas. RECOMENDACIONES COBIT Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. Crear y mantener un plan de infraestructura tecnolgica que este emparejado con los planes estratgicos y tcticos de TI.
Pgina 63
PO4. DEFINIR LOS PROCESOS LA ORGANIZACIN Y LAS RELACIONES DE TI CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 2 puesto que las necesidades de los usuarios y relaciones con proveedores se responden de forma tctica aunque inconsistentemente. RECOMENDACIONES COBIT Definir un marco de trabajo para el proceso de TI para la ejecucin del plan estratgico de TI, incluyendo la estructura y relaciones de procesos de TI. Establecer un comit estratgico de TI a nivel del consejo directivo, para garantizar que el gobierno de TI se maneje de forma efectiva. PO5. ADMINISTRAR LA INVERSIN DE TI CONCLUSIN.- Las responsabilidades y rendicin de cuentas para la seleccin de presupuestos de inversiones son asignadas en especfico al Jefe del departamento informtico y el jefe del departamento financiero. RECOMENDACIONES COBIT Mejorar de forma continua la administracin de inversiones en base a las lecciones aprendidas del anlisis del desempeo real de las inversiones. Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. DOMINIO ADQUIRIR E IMPLEMENTAR AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnolgicas, las necesidades son analizadas de manera informal y por ciertos individuos. RECOMENDACIONES COBIT Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos de DATA CENTER E.I.R.L, priorizando el
desempeo, el costo, la confiabilidad, la compatibilidad, la auditora, la seguridad, la disponibilidad, y continuidad, la ergonoma, funcionalidad y la legislacin de DATA CENTER E.I.R.L. Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos. AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisicin y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemtico. RECOMENDACIONES COBIT Realizar un diseo detallado, y los requerimientos tcnicos del software. Garantizar integridad de la informacin, control de acceso, respaldo y pistas de auditora. AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisicin de tecnologa, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnolgica. RECOMENDACIONES COBIT Proteger la infraestructura tecnolgica mediante medidas de control interno, seguridad y auditabilidad durante la configuracin, integracin y mantenimiento de hardware y software de la infraestructura tecnolgica. Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta. AI4. FACILITAR LA OPERACIN Y EL USO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generacin de documentacin, ni polticas de generacin de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la
Pgina 65
documentacin y procedimientos ya se encuentran caducados o desactualizados. RECOMENDACIONES COBIT Realizar una transferencia de conocimiento a la parte gerencial lo cual permitir que estos tomen posesin del sistema y los datos. Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de DATA CENTER E.I.R.L . AI5. ADQUIRIR RECURSOS DE TI CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 4 ya que la adquisicin de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras pblicas en la adquisicin de algn recurso de TI. RECOMENDACIONES COBIT Establecer buenas relaciones con la mayora de proveedores y socios. Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los trminos contractuales. DOMINIO ESTREGAR Y DAR SOPORTE DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendicin de cuentas no se encuentra definido realmente. RECOMENDACIONES COBIT Se debe definir un marco de trabajo para la administracin de los niveles de servicio. Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados. DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados
para controlar los servicios de terceros, los procesos son claros para realizar la negociacin con los proveedores. RECOMENDACIONES COBIT Establecer criterios formales y estandarizados para realizar la definicin de los trminos del acuerdo. Asignar responsables para la administracin del contrato y del proveedor. DS3. ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para aplacar las limitaciones de desempeo y capacidad. RECOMENDACIONES COBIT Establecer mtricas de desempeo y evaluacin de la capacidad. Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI. DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios. RECOMENDACIONES COBIT Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este segn amerite. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informtico, no existen responsabilidades claras. RECOMENDACIONES COBIT
Pgina 67
Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear esta. Garantizar que las caractersticas de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna. DOMINIO MONITOREAR Y EVALUAR ME1. MONITOREAR Y EVALUAR EL DESEMPEO DE TI CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, as como con reporte tiles, oportunos y precisos sobre el desempeo. RECOMENDACIONES COBIT Definir y recolectar los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeo. Evaluar el desempeo comparndolo peridicamente con las metas. ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos. RECOMENDACIONES COBIT Realizar una auto-evaluacin del control interno de la administracin de procesos, polticas y contratos de TI. Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de los controles internos. Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales. ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.
Pgina 68
RECOMENDACIONES COBIT Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI. ME4. PROPORCIONAR GOBIERNO DE TI CONCLUSIN.- Este proceso se encuentra en el nivel de madurez 0 por cuanto no existe procesos de gobierno de TI. RECOMENDACIONES COBIT Contribuir al entendimiento del consejo directivo y de los ejecutivos sobre temas estratgicos de TI tales como el rol de TI. Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante evaluaciones peridicas.
IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN
CRITERIOS DE LA INFORMACIN Efectividad PORCENTAJE OBSERVACIONES El objetivo es alcanzar el 100%, para esto la informacin en DATA CENTER E.I.R.L debe ser entregada de forma oportuna, correcta, consistente y utilizable. El objetivo es alcanzar el 100%, para esto la informacin debe ser generada optimizando los recursos. El objetivo es alcanzar el 100%, para lo cual se debe proteger la informacin sensitiva contra revelacin no autorizada. El objetivo es alcanzar el 100%, para lo cual la informacin debe ser precisa, completa y valida. El objetivo es alcanzar el 100%, para la cual la informacin debe estar disponible cuando esta se requiera por parte de las reas del negocio en cualquier momento. El objetivo es alcanzar el 100%, para lo cual se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como polticas internas. El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la informacin apropiada, con el fin de que la Gerencia General administre la entidad. Pgina 69
47.76%
Eficiencia
49.59%
Confidencialidad Integridad
39.03% 35.05%
Disponibilidad
32.96%
Cumplimiento
51.93%
Confiabilidad
50.97%
3.2. INFORME EJECUTIVO En el Informe Ejecutivo se detallara los resultados de la evaluacin a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en DATA CENTER E.I.R.L de Huaraz. Los criterios de informacin se encuentran en el siguiente porcentaje todos sobre el 100%.
Criterio de Informacion: Efectividad
52.24%
47.76%
Efectividad Dficit
La efectividad consiste en que la informacin relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%.
Criterio de Informacin: Eficiencia
50.41%
49.59%
Eficiencia
Dficit
La eficiencia consiste en que la informacin debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.
Pgina 70
Criterio de Informacin: Confidencialidad
60.97%
39.03%
Confidencialidad Dficit
La confidencialidad consiste en que la informacin vital sea protegida contra la revelacin no autorizada, este criterio tiene un promedio del 39.03%.
Criterio de Informacin: Integridad
64.95%
35.05%
Integridad
Dficit
La integridad consiste en que la informacin debe ser precisa, completa y valida, este criterio tiene un promedio del 35.05%.
Criterio de Informacin: Disponibilidad
67.04%
32.96%
Disponibilidad Dficit
La disponibilidad consiste en que la informacin este disponible cuando esta sea requerida por parte de las reas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.
Criterio de Informacin: Cumplimiento
48.07%
51.93%
Cumplimiento Dficit
El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como polticas internas, este criterio tiene un promedio del 51.93%.
Criterio de Informacin: Confiabilidad
49.03%
50.97%
Confiabilidad Dficit
La confiabilidad consiste en que se debe respetar proporcionar la informacin apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.
Pgina 72
CONCLUSIONES Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeo, as como el nivel de madurez de cada uno de los procesos de DATA CENTER E.I.R.L. Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (informacin, hardware, software, etc.) de DATA CENTER E.I.R.L mediante un modelo de desarrollo de gobernacin de TI. Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en DATA CENTER E.I.R.L de Huaraz. Tambin se ha diagnosticado cada uno de los criterios de la informacin, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Pgina 74
RECOMENDACIONES Tomar en cuenta los procesos que se encuentran con el nivel de madurez de 0 y 1, que son los de factor crtico. Realizar evaluaciones peridicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo. Se debe utilizar software aplicativo con licenciamiento, as como adecuar las instalaciones del rea de informtica, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes. Hacer el uso del presente trabajo, con el fin de tomarlo como gua para futuras mejoras en TI.
Pgina 75
GLOSARIO Auditora Informtica.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informtico o estructura informtica protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologas de la informacin as como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. Arquitectura de la informacin.- Es la disciplina y arte encargada del estudio, anlisis, organizacin, disposicin y estructuracin de la informacin en espacios de informacin, y de la seleccin y presentacin de los datos en los sistemas de informacin interactivos y no interactivos. COSO.- (Committee Of Sponsoring Organizations), es un modelo de control de negocios, que proporciona un estndar a partir del cual las organizaciones (grandes o pequeas, en el sector pblico o privado, con fines de lucro o sin l) pueden evaluar sus procesos de control y determinar cmo mejorar su desempeo. TI.- Tecnologas de la Informacin. Plan Estratgico.- Es un plan a largo plazo aprobado por una empresa. Problema.- Es la causa desconocida de uno o varios incidentes.
Pgina 76
BIOGRAFA Direcciones Electrnicas: ISACA ORG. Obtain Cobit http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008. WIKIPEDIA, Objetivos de control para la informacin y tecnologas relacionadas. http://es.wikipedia.org/wiki/COBIT WIKIPEDIA, Auditoria Informtica http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3 %A1tica Textos: Escuela Politcnica Nacional, Auditoria de la Gestin de las Tecnologas de la Informacin en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0. COBIT 4.1 Marco Referencial, Emitido por el Comit Directivo de COBIT y El IT Governance Institute 2007.
Pgina 77
ANEXOS A. Cuestionario de Auditora correspondiente funcionamiento del rea de Informtica: al
Se tiene restringida la operacin del sistema de cmputo a los usuarios? SI ( ) NO ( ) Son funcionales los muebles asignados para los equipos de cmputo? SI ( ) NO ( ) B. Cuestionario de Auditora correspondiente a la seguridad fsica: DATA CENTER E.I.R.L cuenta con extintores de fuego? SI ( ) NO ( ) Existe salida de emergencia? SI ( ) NO ( ) Existe alarma para detectar fuego (calor o humo) en forma automtica? SI ( ) NO ( ) Existen una persona responsable de la seguridad? SI ( ) NO ( )
Pgina 78
El lugar donde se encuentra DATA CENTER E.I.R.L est situado a salvo de: a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( ) C. Cuestionario de Auditoria en Comunicaciones y Redes: Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados?
Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?
Pgina 79
Existen protocolos de comunicaron establecida?
Existe un plan de infraestructura de redes?
Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y servicios de red?
Pgina 80

Proy 2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Proy 2

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD NACIONAL SANTIAGO ANTNEZ DE MAYOLO

ALUMNO: Ramrez Huamn, Luis Angello SEMESTRE / CICLO: 2011-II / IX

CAPTULO I PLANTEAMIENTO DEL PROBLEMA

CAPTULO II EJECUCIN DE LA AUDITORIA

CAPTULO III ANLISIS DE LOS RESULTADOS

CAPTULO IV CONCLUSIONES Y RECOMENDACIONES

GLOSARIO..76 BIOGRAFA.77 ANEXOS..78

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Cdigo de Ubicacin Geogrfica (UBIGEO):

DATA CENTER E.I.R.L

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

1.1.6. ORGANIGRAMA DE LA EMPRESA

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

1.2. METODOLOGA COBIT Marco de Trabajo Completo de COBIT

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Promedio de Impactos, fuente COBIT 4.1

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Ubicacin Fsica del rea de Informtica b. Cargos Funcionales y Operativos:

Romero Castillo, Jos Carlos

Ramrez Huamn, Luis Angello

Montaez Araujo, Sarita Eva

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

2.1.2. ORGANIGRAMA DEL DEPARTAMENTO

Auditor: Ramrez Huamn, Luis Angello

Universidad Nacional Santiago Antnez de Mayolo

Ing. de Sistemas e Informtica

Auditor: Ramrez Huamn, Luis Angello