CUESTIONARIO AUDITORIA DE SISTEMAS DE INFORMACION

1.- ¿Qué es el cobit 4.1?

R1: COBIT es un marco de gobierno de TI y un conjunto de herramientas de apoyo que

permite a los gerentes cerrar la brecha entre los requisitos de control, los problemas
técnicos y los riesgos empresariales. COBIT permite un desarrollo claro de políticas y
buenas prácticas para el control de TI en todas las organizaciones. COBIT apoya el
gobierno de TI al proporcionar un marco para garantizar que:

 TI está alineado con el negocio.

 La TI permite el negocio y maximiza los beneficios.
 Los recursos de TI se utilizan de manera responsable.
 Los riesgos de TI se gestionan adecuadamente.

COBIT se ha convertido en el integrador de las mejores prácticas de TI y el marco general

para el gobierno de TI porque está armonizado con otros estándares y se mantiene
actualizado continuamente. La estructura de procesos de COBIT, junto con su enfoque de
alto nivel orientado a los negocios, proporciona una visión integral de TI que ayuda a las
organizaciones a obtener el mayor valor posible de sus inversiones en TI.

R2: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®)

brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y
presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de
COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el
control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones
habilitadas por TI, asegurarán la entrega del servicio y brindarán una medida contra la
cual juzgar cuando las cosas no vayan bien.

2.- ¿Cuál es la relación del Cobit con Coso?

R1: COBIT y COSO pueden tener mandatos similares, ambos organismos ayudan a las
empresas a gestionar sus controles de información financiera. Las organizaciones deben
comprender las diferencias, las similitudes y las ideas compartidas para establecer
objetivos razonables para su control interno de los datos.

Las empresas que utilizan COSO para establecer sus enfoques de informes de riesgos
pueden emplear COBIT 5 para organizar su ecosistema de control. Como por ejemplo: Al
igual que la construcción de una edificación, COSO presenta el marco de las habitaciones
con solo un esquema, pero COBIT es el plan maestro para la instalación de equipos de
climatización, plomería, drenaje, vías fluviales y sistemas eléctricos. Como resumen
COBIT establece los planes de COSO en acción real para que las empresas puedan
asegurar sus departamentos de TI e informes.

Las organizaciones deben evaluar los riesgos para determinar ambientes importantes
bajo COSO. A continuación, deben definir estas medidas según las necesidades de las
partes interesadas en un ecosistema de TI satisfactorio para cumplir con los objetivos de
la industria. Por lo tanto, las definiciones específicas dentro de COBIT se alinean con las
necesidades de COSO para que las organizaciones logren una alta calidad en el
monitoreo y el cumplimiento.

Diferencias entre COBIT y COSO

R2: La primera gran diferencia es que COSO está enfocado a toda la organización,
mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de
forma específica la seguridad de la información como uno de sus objetivos, cosa que
COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es
más completo, dentro de su ámbito, que el de COSO, ya que contempla políticas,
procedimientos y estructuras organizativas además de procesos para definir el modelo de
control interno.

3.- ¿Cuáles son los procesos de apoyo?

R1: Son los procesos que la empresa puede externalizar porque no generan un ingreso
directo al rubro, sin embargo siguen siendo necesarios para el correcto funcionamiento
del negocio

Externalizar procesos para una compañía en estos tiempos es algo fundamental cuando
se trata de optimizar recursos.

Ejemplo: cuando un supermercado contrata a una empresa externa que se encargue de la

seguridad (control de acceso), otro que los reponedores son de empresa externa
(almacenamiento), los cajeros, limpieza y así en otros procesos.

4.- ¿Cuáles son las principales medidas de desempeño?

R1: Los siguientes son los Indicadores clave de rendimiento para la gestión de la
configuración:

 Número de problemas de cumplimiento comercial causados por una configuración

incorrecta de los activos
 Número de desviaciones identificadas entre el repositorio de configuración y las
configuraciones de activos reales
 Porcentaje de licencias compradas y no contabilizadas en el repositorio
 Tiempo de demora promedio entre la identificación de una discrepancia y su
rectificación
 Número de discrepancias relacionadas con información de configuración
incompleta o faltante
 Porcentaje de elementos de configuración que cumplen con niveles de servicio
especificados para rendimiento, seguridad y disponibilidad
R2: Medición del desempeño a través de las métricas y las metas, que se definen en
Cobit en tres niveles:

- Las metas y métricas de TI que definen lo que el negocio espera de TI (Lo que el
negocio usaría para medir a TI).
- Metas y métricas de procesos que definen lo que el proceso de TI debe generar
para dar soporte a los objetivos de TI (Como seria medido el dueño del proceso de
TI).
- Métricas de desempeño de los procesos (miden que tan bien se desempeña el
proceso para indicar si es probable alcanzar las metas).

R3: La medición del desempeño es esencial para el gobierno de TI. COBIT le da soporte
e incluye el establecimiento y el monitoreo de objetivos que se puedan medir, referentes a
lo que los procesos de TI requieren generar (resultado del proceso) y cómo lo generan
(capacidad y desempeño del proceso).

Una respuesta a los requerimientos de determinar y monitorear el nivel apropiado de

control y desempeño de TI son las definiciones específicas de COBIT de los siguientes
conceptos:

• Modelos de madurez que facilitan la evaluación por medio de benchmarking y la

identificación de las mejoras necesarias en la capacidad

• Metas y Métricas (mediciones) de desempeño para los procesos de TI, que demuestran
cómo los procesos satisfacen las necesidades del negocio y de TI, y cómo se usan para
medir el desempeño de los procesos internos basados en los principios de un marcador
de puntuación balanceado (balanced scorecard) (R2).

• Metas de actividades para facilitar el desempeño y control efectivo de los procesos

Medición de desempeño: rastrea y monitorea la estrategia de implementación, la

terminación del proyecto, el uso de los recursos, el desempeño de los procesos y la
entrega del servicio, con el uso. Por ejemplo el balanced scorecards que traducen la
estrategia en acción para lograr las metas medibles más allá del registro convencional.

5.- ¿Qué es el modelo de madurez?

R1: La aplicación definida por COBIT es medir el estado en el que se encuentra

actualmente la empresa, decidir a dónde debe ir y medir el progreso en relación con ese
objetivo. Además, puede usarse como un punto de referencia para comparar los atributos
propios de otras compañías dentro de una industria específica. El dominio específico
COBIT utiliza su modelo de madurez para el gobierno de TI. Más concretamente, el
modelo de madurez de COBIT está midiendo qué tan bien se gestionan los procesos de
TI.
El modelo de madurez para la administración y el control de los procesos de TI se basa
en un método de evaluación de la organización, de tal forma que se pueda evaluar a sí
misma desde un nivel de no-existente (0) hasta un nivel de optimizado (5).
El fin es identificar dónde se encuentran los problemas y cómo fijar prioridades para las
mejoras. El nivel correcto de madurez en muchos casos no es el nivel más alto de
madurez, ya que el nivel correcto de madurez está influenciado por las decisiones de
costo-beneficio, así como por la estrategia general, el entorno y el tipo de empresa. El
nivel más alto de madurez para la administración de la seguridad podría ser necesario,
por ejemplo, para los sistemas más críticos, pero tal vez demasiado grande para otros
sistemas.
Otra definición es como la organización se debe medir en el tiempo, sea a través de
benchmarking, metas o puntos de cumplimiento, con el fin de ir evaluando si estos tópicos
se cumplen.
Utilizando los modelos de madurez desarrollados para cada uno de los 34 procesos TI de
COBIT, la gerencia podrá identificar:
• El desempeño real de la empresa—Dónde se encuentra la empresa hoy
• El estatus actual de la industria—La comparación
• El objetivo de mejora de la empresa—Dónde desea estar la empresa
• El crecimiento requerido entre “como es” y “como será

6.- ¿Qué es el objetivo de control?

Declaraciones de acciones genéricas de la gestión mínima de buenas prácticas para

asegurar que el proceso se mantiene bajo control

Una declaración del resultado o propósito que se desea alcanzar al Implementar

procedimientos de control en un proceso en particular.

7.- ¿Qué se entiende por recursos de TI?

R1: Recursos de tecnología de la información o recursos de TI significa hardware,

software y equipos de comunicaciones, incluidos, entre otros, computadoras
personales, correo electrónico, Internet, mainframes, redes de área amplia y local,
servidores, computadoras móviles o portátiles, equipos periféricos, teléfonos,
redes inalámbricas. comunicaciones, servicios de radio de seguridad pública,
máquinas de fax, instalaciones de tecnología (incluidos, entre otros, centros de
datos, instalaciones de capacitación dedicadas e instalaciones de conmutación), y
otros elementos de hardware y software relevantes, así como personal encargado
de la planificación, implementación y soporte de tecnología.
R2: Los recursos de TI son todos los manejados por procesos de TI para lograr metas de
TI que respondan a los requerimientos del negocio. Estos recursos cuando se requieran
debe ser de una manera oportuna y rentable (A15 pag.91).
Los recursos de TI identificados en COBIT se pueden definir como sigue:
• Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
• La información son los datos en todas sus formas, de entrada, procesados y generados
por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.
• La infraestructura es la tecnología y las instalaciones (hardware, sistemas operativos,
sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio
donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las
aplicaciones.
• Las personas son el personal requerido para planear, organizar, adquirir, implementar,
entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas
pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

8.- ¿Qué es el Activo de Información?

R1: Un activo de información es un cuerpo de conocimiento que se organiza y

administra como una sola entidad.

Como cualquier otro activo corporativo, los activos de información de una

organización tienen valor financiero. Ese valor del activo aumenta en relación
directa con el número de personas que pueden hacer uso de la información.

Debido a que la información puede tener un ciclo de vida corto, tiende a

depreciarse con el tiempo al igual que muchos otros tipos de activos corporativos.
La velocidad a la que la información pierde su valor depende del tipo de
información que representa el activo y de cuán precisa puede permanecer la
información a lo largo del tiempo. En algunas organizaciones, la información que
no se puede utilizar se considera una responsabilidad.

Un activo de información puede clasificarse según cualquier criterio, no solo por su

importancia relativa o frecuencia de uso. Por ejemplo, los datos se pueden
desglosar según el tema, cuándo se crearon, dónde se crearon o qué personal o
departamentos lo utilizan más. Se puede implementar un sistema de clasificación
de datos para que los activos de información de la organización sean fáciles de
encontrar, compartir y mantener.

9.- ¿Metas que implementaría en el área de TI?

R1: Como las metas deben ser alineadas y además requieren ser monitoreadas para
garantizar que la entrega cumple con las expectativas. Implementaria el : Asegurar que
los servicios de TI pueden resistir y recuperarse de los ataques.(pag22) y su medida de
resultado a través de Número de incidentes de TI actuales con impacto en negocio (accesos no
autorizados)

R2: Para que el cliente entienda las metas y los Scorecard de TI, todos estos objetivos y sus
métricas asociadas se deben expresar en términos de negocio significativos para el cliente, y esto,
combinado con una alineación efectiva de la jerarquía de objetivos, asegurará que el negocio
pueda confirmar que TI puede, con alta probabilidad, dar soporte a las metas del negocio.

Definir las Metas de TI Implica Entrega Ejecuta Necesita Una vez que han sido definidas las metas
alineadas, estás requieren ser monitoreadas para garantizar que la entrega cumple con las
expectativas. Esto se logra con métricas derivadas de las metas y capturadas en el scorecard de TI.
Para que el cliente pueda entender las metas de TI y el scorecard de TI, todos estos objetivos y
métricas asociadas deben expresarse en términos de negocio significativos para el cliente. Esto,
combinado con un alineamiento efectivo de los objetivos jerárquicos aseguraría que el negocio
puede confirmar que es probable que TI soporte los objetivos de la empresa.

10.- ¿Qué se entiende por niveles de servicios? Explique

Definición de servicios: definiciones base de los servicios de ti sobre las

características del servicio y los re1querimientos del negocio.
Acuerdos de niveles de servicios: definir y acordar convenios de niveles de
servicios para todos los procesos críticos de ti con base en los requerimientos del
cliente y las capacidades en ti. Esto incluye los compromisos del cliente, los
requerimientos de soporte para el servicio métricas cualitativas y cuantitativas para
la medición del servicio firmados por los interesados.
Niveles de servicios equitativos y exigibles.
Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y
de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura
asociada de manera efectiva y eficiente de acuerdo a los niveles de servicio requeridos
Garantizar la satisfacción de usuarios finales con ofrecimientos de servicio y niveles de
servicios.
Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de
servicio, hace posible una comunicación efectiva entre la gerencia de TI y los clientes de
negocio respecto de los servicios requeridos. Este proceso también incluye el monitoreo y
la notificación oportuna a los interesados sobre el cumplimiento de los niveles de servicio.
Este proceso permite la alineación entre los servicios de ti y los requerimientos de negocio
relacionados.

Se mide con:
 El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con
los niveles previamente acordados.
 El número de servicios entregados que no están en el catálogo
 El número de reuniones formales de revisión del Acuerdo de Niveles de Servicio
(SLA) con las personas de negocio por año