Date post: | 06-Apr-2017 |
Category: |
Engineering |
Upload: | estfermin |
View: | 48 times |
Download: | 0 times |
REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”EXTENSIÓN PORLAMAR
APLICACIÓN DE AUDITORÍA COBIT AL DEPARTAMENTO DE INFORMÁTICA DE LA EMPRESA CATALANO HOME CENTER C.A.
Autores: Br. Rodríguez Jairo
Br. Fermín Ester
Br. Nathaly Marval
Profesor:Ing. Alejandra Torres
Porlamar, marzo 2017
ÍNDICE GENERALÍndice
pp.INTRODUCCIÓN....................................................................................... 2
CAPITULO I.
GENERALIDADES DE LA EMPRESA……….………………… 4
CARACTERIZACION DE LA EMPRESA…….………….….. 4Naturaleza de la Empresa……………………………………. 4Ubicación Geográfica...………………………………………. 5Visión…………………………………………………………… 6Misión…………………………………………………………... 6Objetivos Estratégicos………………………………….......... 6Análisis FODA………………………………………………… 6Metas Organizacionales……………………………………… 7Estructura Organizativa………………………………………. 7Descripción de los Procesos y Funciones………………….. 7
Metodología COBIT…………………………………………… 10Modelo de Madurez……………………………………........... 11Auditoria de TICS Aplicando COBIT………………………… 12Área a Auditar………………………………………………….. 13Proceso de recolección de la información…………............. 13Documentos de gestión en el área de informática…........... 13Herramientas y Técnicas……………………………………… 14Motivos o Necesidades de la Auditoria………..……………. 15
II. EJECUCIÓN DE LA AUDITORÍA………………………………. 16Situación actual del área de sistemas…………………….... 16
Objetivos del departamento…………………………............. 17Seguridad del departamento…………………………………. 18Características de la plataforma tecnológica………………. 19Determinación de los problemas y planteamiento de
hipótesis………………………………………………………………………….
20
Posibles problemas……………………………….............. 20 Formulación de hipótesis……………..………….............. 21
Aplicación de la auditoria…………………..……………… 21 Modelo de madurez de los procesos………….………… 21 Reporte general de los grados de madurez…………….. 24
III. ANÁLISIS DE LOS RESULTADOS 25Informe técnico……………………………………………….…... 27Informe ejecutivo……………..................................................... 30
IV. CONCLUSIONES Y RECOMENDACIONES 35 Conclusiones……………………………………………….......... 35
Recomendaciones…………………..……………….................................... 36
REFERENCIAS......................……………………………………………….. 37Bibliográficas..................……………………………………………….. 37
Electrónicas......................………………………………………………. 37
INTRODUCCIÓN
En el mundo actual las nuevas tecnologías, relacionadas con nuestro
entorno, están agilizando, optimizando y perfeccionando algunas actividades
que se realizan en el día a día la tecnología de la información juega un papel
de alta relevancia para las empresas y organizaciones en el desarrollo de
sus procesos, por lo que puede decirse que la tecnología es imprescindible,
pues lo que hoy se considera como lo máximo en adelanto tecnológico
mañana se convierte en algo pasado de moda (obsoleto), al hacer uso de la
tecnología es posible realizar o elaborar diversos procesos de alta
complejidad de forma automática, llevando controles, registros y reduciendo
notablemente los tiempos de trabajo.
De acuerdo con lo anteriormente expuesto, es necesario revisar,
monitorear y controlar, especialmente en el área de la tecnología de
información, existen herramientas que pueden ser usadas comouna
importante guía para establecer un sistema de control adecuado con el
cual manejarsu uso y aplicación, de tal forma que pueda aprovecharse al
máximo los beneficios que otorga, existente dentro de las empresas CTI o
Departamentos de Informática, ellos son los encargados de administrar los
recursos tecnológicos y buscar utilizarlos de la manera más idónea para
optimizar los procesos.
Por otra parte, una tarea que debe realizarse de forma periódica es la
auditoría, la cual en el área informática es una herramienta que determina la
eficacia de las acciones establecidas para alcanzar los objetivos, evaluando
si es necesario introducir mejoras en las operaciones, manteniendo la
integridad de los datos y promueven el cumplimiento eficaz de los fines de la
organización.
En el caso de la investigación realizada, se propone la aplicación de una
auditoría COBIT,que es un sistema diseñado con el fin de lograr que las
organizaciones lleven a cabo la aplicación de manera exitosa de un modelo
2
que les permita establecer sus requerimientos en cuanto a su tecnología y
la información que manejan en su que hacer diario al Departamento de
Informática de la empresa CATALANO HOME CENTER, C.A con el objeto de
determinar amenazas y fortalezas en los procesos que ejecuta, a fin de
determinar los posibles factores que atenten contra el desarrollo regular y
eficiente de las actividades.
3
CAPITULO I
GENERALIDADES DE LA EMPRESA
CARACTERIZACION DE LA EMPRESA
Naturaleza de la Empresa
Catalano Home Center C.A, fue construida el 22 de marzo de 1999.
Siendo una empresa familiar, fundada por el Sr. Giovanni Catalano.
Inicialmente esta empresa se denominó “Comercial Catalano”, S.A,
construida en el año 1967, dedicada a la venta de materiales de
construcción, gases, ferretería y herramientas a baja escala.
Esta misma empresa fue cerrada en el año de 1996 y posteriormente se
crea la empresa “Aprosica”(Abastecedora De Productos Siderúrgicos
Compañía Anónima), dedicada al mismo ramo que la anterior, pero con mas
ahincó en la venta del hierro (cabillas, cerchas, barras, laminas entre otras),
esta funcionaba en un pequeño local, el cual no era lo suficientemente
amplio y cómodo para satisfacer las exigencias de la numerosa clientela que
con el pasar de los años había crecido gracias a las numerosas ofertas que
se ofrecían en materiales de construcción.
Considerando esta situación, los dueños decidieron arrancar la
construcción de un local más amplio y cómodo que llenara las expectativas
de los actuales consumidores y ofrecerles más variedad de productos, es así
como se da cierre de Aprosica en el año 1999. Luego de un corto periodo
preoperatorio desde la fecha de construcción de lo que hoy en día se conoce
como Catalano Home Center C.A.
4
Ubicación Geográfica
La empresa Catalano Home Center C.A.se encuentra ubicada en (Av 31
de Julio, Sector Guatamare, Vía La Asunción, cerca de la Coca-Cola), la
zona se encuentra en una vía principal, bien comunicada y con facilidades de
acceso, en el siguiente mapa extraído de Google Maps puede verse la
localización de la organización:
Figura 1. Localización de Catalano Home Center C.A. Tomado de:Google Maps
(2017)
La ubicación de la empresa no es simplemente una casualidad, fue
ideada estratégicamente, la zona se encuentra en una vía principal, bien
comunicada y con facilidades de acceso. Todo lo antes mencionado, ubica a
la organización en un punto ventajoso frente a sus competidores ya que los
usuarios siempre se inclinan por la comodidad.
Visión
5
Catalano Home Center C.A. Tiene como visión, ser una organización
reconocida, con minas de expansión por todo el territorio, tanto a nivel
regional como nacional.
Misión
Catalano Home Center C.A. Tiene una misión brindar un servicio de
calidad en la compra y venta de productos en el ramo ferretero y de
construcción, ofreciéndoles una excelente atención a nuestros clientes a
través de la capacitación del talento humano con el que contamos que
satisfaga cualquier inquietud que amerite, ofertando las mayores
diversidades de productos a los precios competitivos del mercado.
Objetivos Estratégicos Análisis FODA
Análisis InternoFortalezas
Variedad de herramientas en el área ferretera y de construcción.
Buen servicio para la atención del cliente.
Relación beneficiosa con sus proveedores.
Escaso nivel de ausencia de los empleados en la empresa.
Debilidades No cuenta con una eficiente
comisión al delegar las funciones. Inexistencia de mecanismos que
midan el desempeño del personal. Ausencia de procedimientos que
permita medir el cumplimento de los objetivos.
Análisis ExternoOportunidades
Ubicación geográfica favorable.
Innovación tecnológica en maquinarias y/o equipos.
Aumento de la clientela a causa de la necesidad del transporte de materiales.
Amenazas Alto índice inflacionario en el país Incrementación de la
competencia. Ventaja de empresas
competidoras en relación a la disposición de equipos de última generación.
Metas Organizacionales
6
Metas a Corto Plazo
Abastecimiento de los productos disponibles para la venta, con el fin de
brindar variedad de servicio de calidad en la compra y venta.
Metas a Largo Plazo
Dar mejor servicio en empresa ferretera y de construcción de la región
brindando servicios varios, suministrar, distribuir, producir sin que ello
implique limitación alguna a materiales de construcción.
Estructura Organizativa
En la siguiente figura es posible apreciar como está estructurada la
organización:
Figura 2. Estructura Organizativa de Catalano Home Center C.A.
7
PresidenciaGerente GeneralGerencia de RRHHGerencia de administraciónDpto. de contabilidadSec. Cuentas por CobrarSec. Cuentas por PagarSec. de TesoreriaDpto. de ComprasDpto. de importanciónGerencia de OperacionesDpto. TiendaUnidad de FacturaciónUnidad Operación CCTVDpto. de PatioUnidad de DepositoDpto. InformáticoUnidad. Soporte Técnico
Descripción de los Procesos y Funciones
Gerencia General
Es la gerencia principal dentro de la empresa, encargada de regular y
vigilar las actividades y los procesos de los demás departamentos, este
personal en la empresa se dirige directamente al gerente de administración,
gerente de compras y gerente de operaciones respectivamente.
Gerencia de Recursos Humanos
Este departamento se encuentra conformado por un jefe y una asistente
de recursos humanos, quienes se encarga del control de nómina, ingreso y
egresos, además del control de asistencias y toda la información relevante
de los empleados, leyes y normativas. Gerencia de Administración
Es el jefe principal de los departamentos de: contabilidad, compras,
importación es el administrador principal y sus funciones radican en el flujo
de procesos de efectivo, caja e información.
Departamento de Contabilidad
Es el departamento encargado de la contabilidad de la empresa, además
del control de flujo de caja y pagos realizados a los distintos proveedores o
servicios es el jefe principal de las secciones de: cuentas por cobrar, cuentas
por pagar y tesorería.
Departamento de Compras
Es el departamento encargado es el encargado de realizar las
adquisiciones necesarias en el momento debido, con la cantidad y calidad
requerida y a un precio adecuado.
8
Departamento de Importación
Es el departamento encargado su trabajo consiste en organizar el
transporte y garantizar que los artículos sean enviados por los métodos más
convenientes y rentables.
Gerencia de Operaciones
La gerencia de operaciones es el jefe principal de los departamentos de:
patio, tienda e informático es la encargada de evaluar y planificar la
optimización sus funciones radican de vigilar los procesos de trasferencia de
mercancía realizadas en el flujo de procesos de efectivo, caja e información.
Departamento de Tienda
Es el departamento encargado donde el cliente puede elegir y recoger
personalmente las mercancías que desea adquirir, a diferencia de las tiendas
departamentales este se subdivide a la unidad de facturación y unidad de
depósito CCTV.
Departamento de Patio
Este departamento realiza el proceso de recepción, entrada y
transferencia de la mercancía a la tienda,se encargan del cuidado de los
productos comprados y guardados para ser utilizados en la empresa.
Departamento de informática
Este departamento se encuentra conformado por un jefe de informática y
por soporte técnico, son los responsables de atender las necesidades de
cómputo desarrollar y proponer la implementación de nuevas tecnologías y
9
sistemas informáticos elaborar planes de mantenimiento preventivo y brindar
soporte técnico solicitado por las distintas unidades.
Metodología COBIT
El COBIT es precisamente un modelo para auditar la gestión y control de
los sistemas de información y tecnología, orientado a todos los sectores de
una organización, es decir, administradores IT, usuarios y por supuesto, los
auditores involucrados en el proceso. El COBIT es un modelo de evaluación
y monitoreo que enfatiza en el control de negocios y la seguridad IT y que
abarca controles específicos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una
investigación con expertos de varios países, desarrollado por ISACA
(Information Systems Audit and Control Association).
Figura 2.Estructura COBIT.
10
Modelo de Madurez
Toda organización que pretenda optimizar sus recursos tecnológicos, y
por lo tanto, ser más competitiva, requiere comprender el estado de los
Procesos que Gestionan sus Sistemas de Tecnología de Información y
Comunicaciones (TIC), con la finalidad de establecer el nivel de
administración y control adecuado que debe proporcionar a sus Sistemas.
Para decidir el nivel adecuado, la Gerencia TIC debe realizar un estudio
detallado donde se indique la realidad de su Gestión actual, y su posición
frente a la competencia, con esto como base podrá plantear a la Alta
Gerencia las prioridades de atención, para que estos últimos puedan alinear
estas necesidades con la estrategia de la empresa, y conjuntamente con la
Gerencia TIC, establecer un Plan de Acción que garantice beneficios para la
organización.
El enfoque de los Modelos de Madurez para el control sobre los procesos
de TI consiste en desarrollar un método de asignación de puntos para que
una organización pueda calificarse desde Inexistente hasta Optimizada (de 0
a 5).
Este planteamiento se basa en el Modelo de Madurez que el Software
Engineering Institute definió para la madurez de la capacidad de desarrollo
de software. Cualquiera sea el modelo, las escalas no deben estar
demasiado simplificadas, lo que haría que el sistema fuera difícil de usar y
sugeriría una precisión que no es justificable.
11
Modelo Genérico de Madurez
Figura3.ModeloGenérico de Madurez. http://gesegtic.blogspot.com/2014/09/analisis-
de-madurez-y-capacidad-de.html
Las escalas del Modelo de Madurez ayudarán a la gerencia de usuarios a
explicar a los administradores dónde existen deficiencias en la administración
de TI y a fijarse objetivos para donde necesitan estar comparando las
prácticas de control de su organización con los ejemplos de la mejor práctica.
El nivel correcto de madurez estará influenciado por los objetivos de negocio
y el entorno operativo de la empresa.
Auditoria de TICS Aplicando Cobit
La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le
conoce actualmente, (Auditoria informática o Auditoria de sistemas en
nuestro medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolución
de la tecnología informática de los últimos 10 años. En algunos países
altamente desarrollados es catalogada como una actividad de apoyo vital
12
para el mantenimiento de la infraestructura crítica de una nación, tanto en el
sector público como privado, en la medida en que la Información es
considerada un activo tan o más importante que cualquier otro en una
organización.
Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas
prácticas dedicadas a la evaluación y aseguramiento de la calidad,
seguridad, razonabilidad, y disponibilidad de la Información tratada y
almacenada a través del computador y equipos afines, así como de la
eficiencia, eficacia y economía con que la administración de un ente están
manejando dicha Información y todos los recursos físicos y humanos
asociados para su adquisición, captura, procesamiento, transmisión,
distribución, uso y almacenamiento.
Área a Auditar
La auditoría se realizara en el departamento de informática de la
empresa, ya que es el lugar donde se maneja gran parte de la información de
la empresa como el manejo de los equipos tecnológicos.
Proceso de recolección de la información
A través de observación directa y una guía de entrevista estructurada
realizada al jefe del departamento de informática y posterior al gerente
general, se pudieron determinar las fallas presentadas en el departamento y
poder obtener mayor cantidad de evidencias.
Documentos de gestión en el área de informática
Actualmente los documentos utilizados por el departamento de informática
son:
13
Manual de respaldo de equipos
Manual de uso de sistemas de información
Manual de contingencias
Manual de procedimientos administrativos
A pesar de ello, no existen manuales de procedimientos para
mantenimiento de equipos o normativas de uso para los equipos
tecnológicos de la empresa.
1. Entrevista Con el Jefe del departamento de informática y Gerente
General
2. Observación directa en los procesos del departamento
3. Análisis de los manuales que contiene el departamento
4. Revisión de Carpetas de historiales de equipos
5. Evaluar las tecnologías de información (TI), tanto en hardware
como el software
6. Evaluar la seguridad de la información y de los equipos
tecnologías de la empresa
14
Motivos
o
Necesidades
de la Auditoria
Síntomas de inseguridad en el mantenimiento de la información.
Quejas de los usuarios que manejan los sistemas de información.
Búsqueda de una nueva opinión acerca de los procesos informáticos
dentro de la organización
Síntomas de fallas en integridad de la información.
15
Herramientas
Cuaderno de Apuntas Sistema Microsoft Office Lápices Aplicación Everest
Hojas de papel Otros
Técnicas
Entrevista Estructurada
Observación Directa
CAPITULO II
Situación actual del área de sistemas
Ubicación:
El departamento de sistemas e informática se ubica en el primer piso del
local, específicamente en el área de oficinas, tiene como responsabilidad
mantener la integridad de la data que se maneja dentro de la organización.
De igual forma, es este departamento quien gestiona y administra la
adquisición y uso del software y hardware que utiliza la empresa para el
desarrollo de sus actividades operacionales; así mismo, se encarga de
mantener a la empresa a la vanguardia en lo que respecta a la plataforma
tecnológica.
Cargos Funcionales y Operativos:
NOMBRES Cargos del departamento ACTIVIDADEslava Zambrano Jefe de sistemas Se encarga de administrar
los recursos de la empresa además de dirigir el personal
del departamentoEddy Heredia Analista técnico de redes y
sistemasConsiste en analizar las
posibles modificaciones a los sistemas de operativos y
optimizarlosJohan Narváez Analista técnico de redes y
sistemasHenry Pérez Asistente técnico Presentar apoyo a las
actividades que se efectúan en el departamento
Cuadro 1. Cargos y Funciones.
16
Objetivos del departamento
Constituir planes de acción estratégicos ligados a la tecnología, en
concordancia con los requerimientos de la directiva y gerencia de la
empresa.
Proponer la adquisición de nuevos recursos tecnológicos para la
organización, siempre y cuando se considere necesario y se
demuestre que así sea.
Resguardar la integridad de la data que se maneja dentro de la
empresa, estableciendo mecanismos de control y seguridad para
alcanzar tal fin.
Brindar soporte técnico al personal de las diferentes áreas de la
empresa.
Planificar tareas de respaldo (Plan backup) para cada uno de los
equipos, haciéndolo de forma periódica y almacenando esa
información en dispositivos de almacenamiento masivo externo.
Mantener la red de trabajo operativa (Comunicación y sistemas de
información).
Realizar jornadas de adiestramiento, capacitación y nivelación a los
actuales y futuros usuarios de los recursos tecnológicos.
Establecer planes de mantenimiento en relación al hardware y
software, hacer levantamiento de información de las incidencias
relacionadas a ellos, para luego analizarlas y corregir fallas.
Seguridad del departamento
17
a. Seguridad física:
Proteger el área del data center frente a posibles inundaciones.
Contar con las instalaciones eléctricas adecuadas para
resguardar la integridad de los equipos.
Un lugar adecuado y fresco que mantenga los servidores
trabajando a temperaturas ideales.
b. Seguridad legal:
Aplicación de estándares y metodologías de calidad (IEEE,
ISO, TIER, entreotros) de manera tal que se garantice la
ejecución de procesos blindados y seguros.
Adquirir las licencias de los sistemas operativos (Microsoft) en
uso, de igual forma con antivirus u otro software; esto para no
incurrir en faltas legales.
c. Seguridad de datos:
Ejecutar las tareas de respaldo según la planificación.
Establecer niveles de acceso acordes a la realidad tanto para
los sistemas de información como la los servidores, para
impedir acceso y manipulación no autorizada a la información.
d. Seguridad de personas:
Instituir políticas de seguridad física y mental para el personal.
Dotar al departamento con las herramientas de protección
necesarias para garantizar la seguridad de los empleados.
Instruir a los empleados de cómo actuar ante situaciones de
desastre (incendios, inundaciones, sismos, entre otros).
Determinación de los problemas y planteamiento de hipótesis
No se cuenta con servidores de reposición en canso de alguna
contingencia
Falta de acondicionamiento al área de servidores
18
Falta de capacitación a los personal de informática que brinda soporte
a los usuarios en los sistemas.
Posibles problemas
Incumplimiento de planes de mantenimiento.
Falta de organización en la ejecución de los procesos.
Inexperiencia en el uso de los sistemas de información de la empresa.
Fallas de comunicación entre las diferentes dependencias
administrativas.
No se lleva un registro de las actividades realizadas, lo que dificulta su
control y monitoreo.
Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los
procesos es ineficiente. Así mismo, existen muchos procesos a la deriva, es
decir, no se han determinado responsabilidades y funciones; no se ha
tomado importancia a temas referentes a la seguridad en general.
Características de la plataforma tecnológica
Equipo dedicado exclusivamente a brindar un servicio (correo, Internet,
página web, entre otros):
Plataforma: Windows
Sistema operativo: Windows server 2003
Procesador: Intel Core duo.
Tarjeta de video: convencional
Disco duro Acorde a la aplicacion que brindará el servicio.
19
Ram: Acorde a la aplicación que brindará el servicio.
Es el que se dedica a actividades con el Office y software que utiliza poca
memoria:
Plataforma: Windows
Sistema Operativo: Windows XP
Procesador: PENTIUM IV, AMD (1.5 GHz).
Tarjeta de video: convencional
Disco duro: 160 Gb
RAM: 2Gb.
Determinación de los problemas y planteamiento de hipótesis
No se cuenta con servidores de reposición en canso de alguna
contingencia
Falta de acondicionamiento al área de servidores
Falta de capacitación al personal de informática que brinda soporte a
los usuarios en los sistemas.
Posibles problemas
Incumplimiento de planes de mantenimiento.
Falta de organización en la ejecución de los procesos.
Inexperiencia en el uso de los sistemas de información de la empresa.
Fallas de comunicación entre las diferentes dependencias
administrativas.
20
No se lleva un registro de las actividades realizadas, lo que dificulta su
control y monitoreo.
Formulación de hipótesis
No se ha logrado establecer un enlace de comunicación fuerte dentro del
departamento, al no fluir correctamente la información el desarrollo de los
procesos es ineficiente. Así mismo, existen muchos procesos a la deriva, es
decir, no se han determinado responsabilidades y funciones; no se ha
tomado importancia a temas referentes a la seguridad en general.
Aplicación de la auditoria
Modelo de madurez de los procesos
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6Definir un plan estrategia de TI
X
Definir la arquitectura de la información
X
Definir la dirección tecnológica
X
Definir los procesos, organización y relaciones de TI
X
Administrar la inversión en TI
X
21
Comunicar las metas y la dirección de la gerencia
X
Administrar los recursos humanos de TI
X
Administrar la calidad
X
Evaluar y administrar los riesgos TI
X
Administrar los proyectos
X
Identificar las soluciones automatizadas
X
Adquirir y mantener software aplicativo
X
Adquirir y mantener la infraestructura tecnológica
X
Facilitar la operación y el uso
X
Procurar recursos de TI
X
Administrar los cambios
X
Instalar y acreditar soluciones y cambios
X
Definir y X
22
administra los niveles de servicio
Administrar los servicios de terceros
X
Administrar el desempeño y capacidad
X
Asegurar el servicio continuo
Garantizar la seguridad de los sistemas
X
Identificar y asignar costos
X
Educar y entrenar a los usuarios
X
Administrar la mesa de servicio y los incidentes
X
Administrar la configuración
X
Administrar los problemas
X
Administrar los datos
X
Administrar el ambiente físico
X
Administrar las operaciones
X
Monitoreo y evaluar el desempeño de TI
X
Monitorear y X
23
evaluar el control interno
Garantizar el cumplimiento regulatorio
X
Proporcionar gobierno de TI
X
Cuadro 2 . Modelo de Madurez.
Como se muestra en el cuadro anterior existe varias actividades que
presentan fallas en los modelos de madurez, además que en el
departamento no cuenta con el persona completo para cumplir con la gran
mayoría de las actividades, a continuación se muestra una tabla con los
resultados:
Nivel 0 Nivel 1 Nivel 2 Nivel 3 Nivel 4 Nivel 5 Nivel 6
Cantidad 4 6 5 8 5 5 0
Cuadro 3. Modelo de Madurez por tabla.
En la escala de nivel de madurez de puede decir que el departamento
cuenta con un alto nivel 3 de actividades.
Reporte general de los grados de madurez
Dominio
Procesos Nivel de Madurez
Plan
eaci
ón y
O
rgan
izac
ión
Definir un plan estrategia de TI 0
Definir la arquitectura de la información 3
Definir la dirección tecnológica 1
Administrar la inversión en TI 4
Administrar los recursos humanos de TI 5
24
Administrar la calidad 4
Administrar los proyectos 1
Adq
uirir
e
impl
emen
tar
Adquirir y mantener software aplicativo 4
Adquirir y mantener la infraestructura tecnológica 4
Administrar los cambios 2
Entr
egar
y d
ar s
opor
te
Instalar y acreditar soluciones y cambios 1
Administrar los servicios de terceros 5
Administrar el desempeño y capacidad 2
Asegurar el servicio continuo 3
Garantizar la seguridad de los sistemas 1
Educar y entrenar a los usuarios 4
Administrar la mesa de servicio y los incidentes 5
Administrar la configuración 0
Administrar los problemas 2
Administrar los datos 3
Administrar las operaciones 1
Mon
itore
ar y
ev
alua
r Monitoreo y evaluar el desempeño de TI 3
Garantizar el cumplimiento regulatorio 4
Proporcionar gobierno de TI 5
Cuadro 4. Reporte general de los grados de madurez.
Análisis por dominio:
Planeación y organización
25
No se le están dando el uso correcto a las planificaciones y
organizaciones dentro del departamento, esto trae como
consecuencia que la organización no aproveche al máximo las TI.
Adquirir e implementar
A pesar que la organización cuenta con los recursos monetarios y
la motivación para optimizar los procesos tecnologías dentro de la
empresa, el departamento no cuenta con todo el personal capaz
de manejar los distintos niveles de tecnologías alojadas en la
misma.
Entregar y dar soporte
Existe gran motivación en los usuarios por aprender acerca de los
sistemas de información utilizados en la organización, y el
departamento cuenta con un personal capacitado para brindar
soluciones efectivas a los usuarios ante los problemas que se
puedan presentar.
Monitorear y evaluar
A pesar que existen manuales de monitoreo y evaluación, además, de llevar
algunos controles de accesos a las áreas de informática de la empresa, no
se cumple con cabalidad todas las medidas de seguridad sugeridas para
mantener en orden las actividades rutinarias del departamento.
26
CAPÍTULO III
ANÁLISIS DE LOS RESULTADOS
Informe técnico
Alcance
Mediante esta auditoría se pretende evaluar el estado actual del
Departamento Informático de la empresa “Catalano Home Center , C.A.”,
mediante este proceso se podrá brindar a la empresa sus respectivas
conclusiones y recomendaciones para cada uno de los procesos evaluados
en cada dominio según la metodología COBIT 4.1.
Objetivo General
Realizar la auditoría de las tecnologías de la información en el
departamento de informática dentro de la empresa “Catalano Home Center,
C.A.”, utilizando como modelo de referencia la metodología COBIT 4.1.
Objetivos Específicos
Identificar posibles problemas técnicos en las TI y dar soluciones
viables.
Definir controles que permitan disminuir riesgos dentro del
departamento de informática.
27
A continuación se detalla los resultados de las evaluaciones en
cada uno de los dominios, basándonos en los niveles de madurez los
cuales van desde el rango 0 hasta el rango máximo 5.
Dominio de Planear y Organizar
El departamento cuenta con manuales y planificaciones bien
estructuradas, en cuento a los mantenimientos de los equipos, respaldos de
la información y revisión la calidad e integridad de la información.
A pesar que no se posee un manual general de dicho proceso, se puede
decir que el departamento cuenta con la motivación y los conocimientos
necesarios para realizar el mismo.
Recomendaciones COBIT:
Crear un plan general estratégico y un script de procesos de cómo
se deben efectuar las actividades a nivel general.
Aumentar el rango de los planes estratégicos incluyendo
revisiones de inventario de equipos tecnológicos, aumento de la
revisión de la seguridad de la información y mejoramiento de los
manuales actualmente existentes.
Dominio de Adquirir e implementar
El departamento cuenta con el apoyo de la gerencia general en cuanto a
la adquisición de nuevas tecnológicas y el refuerzo de las TI dentro de la
organización, esto cuenta con un punto favorable ya que se enmarca el
interés por parte de la directiva del mejoramiento de las tecnologías.
28
Por otro lado, el departamento no cuenta con una normativa de
requerimiento de equipos, además, de un manual de implementación de los
sistemas de información los cuales son atendidos por un soporte externo,
esto dificultando el mejoramiento del mismo.
El personal del departamento no cuenta con la capacitación necesaria
para mejorar e implementar nuevas herramientas dentro de los sistemas de
información, así como, creando así la dependencia de los entes externos.
Recomendaciones COBIT:
Crear normativas de requerimientos basado en las tecnologías
actuales dentro de la organización.
Fomentar la capacitación del personal para así garantizar el
mejoramiento de las herramientas utilizadas dentro de los
sistemas de información y así disminuir el nivel de dependencia de
los entes externos.
Dominio Estratega y dar soporte
El departamento cuenta con el personal para el soporte a los usuarios
que utilizan las tecnologías así como los sistemas de información, además,
cuenta con la motivación de aprender día a día a utilizarlos y mejorarlos
creando reglas y normas útil para el mantenimiento de las mismas.
Por otro lado, faltan planes de capacitación a los usuarios para el uso de
las tecnológicas.
Recomendaciones COBIT:
29
Crear y diseñar planeas de capacitación a los usuarios para el uso
de los las tecnologías y los sistemas de información.
Dominio Monitoreo y Evaluación
El departamento cuenta con actividades y procesos de monitoreo
continuo en los sistemas de información, además de controles de seguridad
para mantener la integridad de la data en los sistema de base de datos.
Cuenta con scripts de actividades para el seguimiento de este monitoreo
y un libro de bitácoras para la revisión por parte de la auditoria de las
actividades realizadas en los servidores.
Por otro lado, no llevan un historial de acceso al área de servidores así
como un control de visitas por parte de entes externos para revisiones o
mantenimientos.
Recomendaciones COBIT:
Diseñar un plan de seguimiento para el control de accesos a las
distintas aéreas dentro del departamento de informática.
Mejorar con manuales las actividades de monitoreo de los
sistemas de información así como de las tecnologías utilizadas
dentro de la organización.
Informe ejecutivo
En este informe de detalla los resultados de la evaluación en cada uno
de los dominios y las recomendaciones que ofrece la metodología COBIT 4.1
30
evaluando el departamento de informática dentro de la organización
“Catalano Home Center, C.A.”.
56%40%
Efectividad
EfectividadDeficit
La efectividad consiste en que la información relevante sea entregada de
forma, correcta, consistente y utilizable, este criterio tiene un porcentaje de
56%.
70%
29%
Eficiencia
EfectividadDeficit
La eficiencia consiste en que la información debe ser generada
optimizando los recursos, este criterio tiene un promedio de 70%.
31
47%
60%
Cofidencialidad
EfectividadDeficit
La confidencialidad consiste en que la información vital sea protegida
contra la revelación no autorizada, este criterio tiene un porcentaje de 47%.
80%
23%
Integridad
EfectividadDeficit
La integridad consiste en que la información debe se precisa, completa y
valida, este criterio tiene un promedio de 80%.
32
87%
12%
Disponibilidad
EfectividadDeficit
La disponibilidad consiste en que la información esté disponible cuando
esta sea requería por parte de las aéreas de la organización en cualquier
momento, este criterio tiene un porcentaje de 87%.
59%
42%
Cumplimiento
EfectividadDeficit
El cumplimiento consiste en que se debe respetar las leyes, reglamentos
y acuerdos contractuales a los que está sujeta el proceso de la organización
con políticas interna, este criterio tiene un porcentaje de 59%.
33
80%
20%
Confiablidad
EfectividadDeficit
La confiabilidad consiste en que se debe respetar y proporcionar la
información apropiada, con el fin de que la gerencia general administre la
entidad, este criterio tiene un porcentaje del 80%.
34
CAPITULO IV
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
La Auditoría identifica, enumera y posteriormente describe las diversas
vulnerabilidades que pudieran presentarse en una revisión exhaustiva de los
sistemas, luego se establecen medidas preventivas y se pretende aprender de
los errores.
Por su parte, el trabajo de auditoría aplicado a la empresa Catalano Home
Center, C.A, específicamente en el área de informática, ayudó a esta
empresa a precisar su nivel de desempeño y presentarles oportunidades de
mejora aporta resultados relevantes para la organización.
Todo esto se hizo con el fin de proporcionar a la empresa
recomendaciones de alternativas de solución, las cuales se espera que sean
de gran utilidad para la empresa Catalano Home Center C.A.
35
Recomendaciones Adecuar los procedimientos y resultados de gestión de información y
atención a usuarios a un modelo de trabajo basado en normas de
calidad COBIT.
Aplicar tareas de auditoría cada 8 meses.
Utilizar los resultados de las evaluaciones periódicas de la calidad en
el servicio como oportunidades de mejora, a, tanto para los procesos
de servicio de la organización, como para los procesos de utilización
del sistema de memoria organizacional.
Cumplir con los planes de mantenimiento.
Renovar la plataforma tecnológica a medida que se necesite.
Mantener comunicación a las diferentes gerencias de las actividades a
realizar, así todos se mantengan al mismo nivel de conocimiento.
36
REFERENCIAS
Referencias Bibliográficas
Fernández, M. y Sánchez, J. (1997). Eficacia Organizacional.
Concepto, desarrollo y evaluación. Madrid, España: Editorial Díaz de Santos,
S.A.
Hellriegel, D. (2006). Administración. Enfoque basado en competencia
(10ed.). Madrid, España: CengageLearning Editores.
Hitt, P. (2006). Administración (9ed.). México D. F., México: Pearson
educación
Lusthaus, C. (2002). Evaluación Organizacional: marco para mejorar
el desempeño. Ottawa, Canadá: Centro Internacional de Investigaciones.
Stoner, J.y Freeman, E. (1997). Administración (6ed.). México D. F.,
México: McGraw-Hill.
Referencias Electrónicas
Diccionario de la Real Academia Española (2001). Comercialización
[online]. Disponible en: http://lema.rae.es/drae/?val=comercializaci%C3%B3n
[Consulta: 2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Estrategia [online].
Disponible en: http://lema.rae.es/drae/?val=estrategia [Consulta: 2012,
Noviembre 12]
Diccionario de la Real Academia Española (2001). Optimización
[online]. Disponible en: http://lema.rae.es/drae/?val=optimizacion [Consulta:
2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Planeación [online].
Disponible en: http://lema.rae.es/drae/?val=planeacion [Consulta: 2012,
Noviembre 12]
37
Diccionario de la Real Academia Española (2001). Planificador
[online]. Disponible en: http://lema.rae.es/drae/?val=planificador [Consulta:
2012, Noviembre 12]
Diccionario de la Real Academia Española (2001). Proceso [online].
Disponible en: http://lema.rae.es/drae/?val=proceso [Consulta: 2012,
Noviembre 12]
Diccionario de la Real Academia Española (2001). Producto [online].
Disponible en: http://lema.rae.es/drae/?val=producto [Consulta: 2012,
Noviembre 12]
Diccionario de la Real Academia Española (2001). Servicio [online].
Disponible en: http://lema.rae.es/drae/?val=servicio [Consulta: 2012,
Noviembre 12]
38