Proyecto Auditora informatica Data Center.pdf

UNIVERSIDAD NACIONAL

“SANTIAGO ANTÚNEZ DE MAYOLO”

FACULTAD DE CIENCIAS

TEMA:

“Proyecto de Auditoría Informática en la

Organización DATA CENTER E.I.R.L

aplicando la Metodología COBIT 4.1”

DOCENTE:

Ing. Fabian M. Espinoza Barreto

ALUMNO:

Ramírez Huamán, Luis Angello

SEMESTRE / CICLO:

2011-II / IX

Huaraz-Ancash-Perú

II

DEDICATORIA

Dedico este presente trabajo a

Dios en primer lugar por

brindarme la vida, a mis Padres, y

a mis Hermanos quienes con sus

sabios consejos me orientan en el

presente en busca de un mañana

mejor. Sencillamente, ustedes son

la base de mi vida profesional y

toda la vida les estaré agradecido.

III

AGRADECIMIENTO

Al Ing. Fabian M. Espinoza Barreto

por toda su dedicación brindada

en este proceso de

asesoramiento brindado ya que

sin él no tendría los resultados

obtenidos, muchas gracias.

IV

ÍNDICE

Nº Pág

INTRODUCCIÓN……………………………………………………………………….VII

CAPÍTULO I

PLANTEAMIENTO DEL PROBLEMA

1.1. CARACTERIZACIÓN DE LA EMPRESA…………………………….….9 1.1.1. NATURALEZA DE LA EMPRESA……………………………….9 1.1.2. UBICACIÓN GEOGRÁFICA………………………………………9 1.1.3. VISIÓN…………………………………………………………………11 1.1.4. MISIÓN………………………………………………………………..11 1.1.5. OBJETIVOS ESTRATÉGICOS…………………………………..11

1.1.5.1. ANÁLISIS FODA……………………………………………….11 1.1.5.2. METAS ORGANIZACIONALES…………………………..12 1.1.5.3. OBJETIVOS ESTRATÉGICOS……………………………..12

1.1.6. ORGANIGRAMA DE LA EMPRESA…………………………13 1.1.6.1. DESCRIPCIÓN DE LA GERENCIA Y ÁREAS…………14

1.2. METODOLOGÍA COBIT…………………………………………………..15 1.2.1. MODELOS DE MADUREZ……………………………………..15 1.2.2. AUDITORIA DE TICS CON COBIT…………………………..17

1.2.2.1. ÁREA A AUDITAR…………………………………………….17 1.2.2.2. RECLUTAMIENTO DE LA INFORMACIÓN…………17 1.2.2.3. DOCUMENTOS DE GESTIÓN DEL ÁREA DE

INFORMÁTICA………………………………………………..17 1.2.2.4. PLAN DE LA AUDITORIA EN EL ÁREA DE

INFORMÁTICA……………………………………………..…18 1.2.2.5. HERRAMIENTAS Y TÉCNICAS……………………….….18 1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA

INFORMÁTICA…………………………………………….….18 1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO

(COSO)…………………………………………………………...19

V

CAPÍTULO II

EJECUCIÓN DE LA AUDITORIA

2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS…………….…..22 2.1.1. OBJETIVOS DEL DEPARTAMENTO………………………..23 2.1.2. ORGANIGRAMA DEL DEPARTAMENTO……………..…24 2.1.3. SEGURIDAD DEL DEPARTAMENTO……………………….24 2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE

INFORMACIÓN Y COMUNICACIÓN………………………26 2.1.5. TOPOLOGÍA DE LA EMPRESA…………………………….…28 2.1.6. CARACTERIZACIÓN DE LA CARGA…………………………29 2.1.7. DETERMINACIÓN DE PROBLEMAS Y

PLANTEAMIENTO DE HIPÓTESIS……………………….…29 2.1.7.1. POSIBLES PROBLEMAS…………………………..……....29 2.1.7.2. FORMULACIÓN DE HIPÓTESIS………………………..29

2.2. REALIZACIÓN DE LA AUDITORIA……………………………………30 2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS………..30 2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ…….52 2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE

INFORMACIÓN POR IMPACTO……………………….……55 2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS

CRITERIOS DE INFORMACIÓN………………………………58 2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS

CRITERIOS DE INFORMACIÓN………………………………60

CAPÍTULO III

ANÁLISIS DE LOS RESULTADOS

3.1. INFORME TÉCNICO……………………………………………..…………62

3.2. INFORME EJECUTIVO…………………………………………….………70

CAPÍTULO IV

CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES……………………………………………….……………74 4.2. RECOMENDACIONES…………………………………………….………75

VI

GLOSARIO…………………………………………………………………………..…76 BIOGRAFÍA………………………………………………………………………….…77 ANEXOS………………………………………………………………………………..78

VII

INTRODUCCIÓN A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier Organización Empresarial, los Sistemas de Información de la Organización. Donde los Sistemas Informáticos hoy en día constituyen una herramienta bastante poderosa para la mejora de rendimiento de toda la Organización. Por lo ello se realiza una auditoria informática en la Organización “DATA CENTER E.I.R.L” tomando muy en cuenta la dependencia critica de muchos procesos de negocios sobre las Tecnologías de la Información, con el objetivo de cumplir con los requerimientos existentes y los beneficios de administrar los riesgos efectivamente, utilizando como modelo de referencia COBIT 4.1, mediante la evaluación de 34 procesos que define esta metodología, agrupados en 4 dominios (Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y Evaluar), estos procesos son ubicados en los niveles de madurez en los cuales se encuentran en la actualidad, para luego dar las respectivas recomendaciones que sugiere COBIT 4.1, mediante este trabajo se pretende solucionar varios problemas como el servicio eficiente a los clientes y el aprovechamiento eficaz y eficiente de los recursos tecnológicos y humanos que cuenta la Organización en estudio.

Auditor: Ramírez Huamán, Luis Angello Página 9

Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática Ing. de Sistemas e Informática

1.1. CARACTERIZACIÓN DE LA EMPRESA

1.1.1. NATURALEZA DE LA EMPRESA El 20 de Agosto de 2001 nace “DATA CENTER E.I.R.L” en Huaraz “Paraíso Natural” capital del Departamento de Ancash, para brindar un servicio de calidad y excelencia al pueblo de Huaraz, la región de Ancash y al País, de acuerdo a la necesidad existente en cada uno de estos entes, buscando lograr la competitividad, reconocimiento e innovación en dicho rubro. Uno de los hechos más resaltantes de su historia es el haber apostado por el negocio de venta de computadoras y accesorios, soporte técnico, diseño de página webs y redes. Siendo sus inicios el soporte técnico de computadoras, logrando así con el tiempo ser reconocida en el mercado local, para posteriormente realizar venta de computadoras y accesorio, conjuntamente con los demás servicios que brinda. El valor agregado que “DATA CENTER E.I.R.L” es transmitir a sus clientes la seguridad en la compra de computadoras y accesorios, sabiendo que cuenta con una sólida garantía, respaldo y servicio de post-venta. Sin embargo, “DATA CENTER E.I.R.L” mantuvo su estrategia y fue reconocida claramente por sus clientes como una Organización netamente integradora. 1.1.2. UBICACIÓN GEOGRÁFICA La Organización “DATA CENTER E.I.R.L” se encuentra ubicado en el Jr. San Martin 561 en el Distrito de Huaraz, Provincia de Huaraz, Departamento de Ancash.



Código de Ubicación Geográfica (UBIGEO):

Ubicación Exacta: DATA CENTER E.I.R.L



1.1.3. VISIÓN “Ser la Organización Líder en Gestión de Tecnologías de la Información de nuestra localidad, región y país, reconocida por la excelencia de sus servicios, y por la calidad profesional y ética de sus miembros” 1.1.4. MISIÓN “La Organización DATA CENTER E.I.R.L es una compañía dedicada a la prestación de servicios informáticos, así como al completo suministros de equipos de cómputo, localizada en el sector de las PYMES y particulares, llevando a cabo su función con criterios de una alta calidad, profesionalismo y rigor, utilizando para ello las más modernas tecnologías y orientada a la plena satisfacción del cliente” 1.1.5. OBJETIVOS ESTRATÉGICOS

1.1.5.1. Análisis FODA

ANÁLISIS INTERNO

FORTALEZAS DEBILIDADES

Tratamiento personalizado a clientes, orientación y asesoramiento.

Integración de productos y servicios buscando sinergias entre ellos.

Innovación Constante.

Personal debidamente Capacitado y comprometido con la visión de la Organización.

Control de Almacén.

Realizar grandes proyectos en el sector privado y público.

Dependencia de los servicios subcontratados.

Sistema de Información Integrado (Compras, ventas, Almacén y Kárdex).

ANÁLISIS EXTERNO

OPORTUNIDADES AMENAZAS

Valoración positiva de las TIC en la Organización.

Costos cada vez menores para las Organizaciones para la aplicación de las TIC.

Lealtad de los clientes hacia la Organización.

Ubicación Céntrica del Local.

Oferta de productos a menor precio por parte de la competencia.

La inestabilidad económica de los pobladores de la cuidad de Huaraz.

Cambios repentinos de los Sistemas Informáticos.

Incremento de la Competencia.



1.1.5.2. Metas Organizacionales a. Corto Plazo

Abastecimiento de las Áreas de la Organización según sus necesidades primarias.

b. Mediano Plazo Realizar la capacitación a todo el

personal, la renovación tecnológica, humana y la infraestructura de la Organización.

c. Largo Plazo Lograr la expansión demográfica en el

rubro, con innovaciones tecnológicas y el desarrollo de un sistema de información integrado.

1.1.5.3. Objetivos Estratégicos Desarrollar estrategias para llamar la

atención de nuevos clientes. Aprovechar la Tecnología para Desarrolla

un Sistema de Información Integral de Calidad.

Aprovechar el buen clima para capacitar al personal de la Organización.

Desarrollar servicios nuevos que mejoren el nivel del servicio.

Explotar el potencial humano y tecnológico para una óptima productividad de los mismos.


Universidad Nacional “Santiago Antúnez de Mayolo” Ing. de Sistemas e Informática

1.1.6. ORGANIGRAMA DE LA EMPRESA

Gerencia General

Área de Informática

Diseño Web

Redes Servicio Técnico

Área de Administración

Logística Recursos Humanos

Contabilidad

Área de Comercio

Ventas Compras Almacén



1.1.6.1 Descripción de la Gerencia y Áreas a. Gerencia General.- Tiene como propósito,

organizar, dirigir y coordinar el funcionamiento y desarrollo de los procesos y actividades diarias, de acuerdo a las políticas de la Organización.

b. Área de Negocios.- Se encarga de planificar, controlar y verificar los procesos de compra y venta; como también la recepción y clasificación en almacén, de los equipos de cómputo, accesorios y otros.

c. Área de Administración.- Se encarga de velar por una adecuada organización, soporte logístico, administración eficiente en el uso de los bienes, muebles e inmuebles, y el recurso humano de la Organización en General.

d. Área de Informática.- Se encarga de integrar y coordinar los servicios informáticos, la misma que tiene que estar subdividida a su vez por tres unidades internas (hardware, software y redes), con el fin de ser más específicos al equipamiento, comunicaciones y aplicaciones, para brindar un servicio de calidad.



1.2. METODOLOGÍA COBIT Marco de Trabajo Completo de COBIT

1.2.1. MODELOS DE MADUREZ En la actualidad se pide a los directivos y ejecutivos de la Organización que tomen muy en cuenta una correcta administración de las TI. Para esto se debe realizar un plan de negocio para alcanzar un nivel óptimo de administración y control de la Tecnologías de la Información.



Estos modelos de madurez están diseñados como perfiles de procesos de TI que una Organización los reconocería como estados posiblemente actuales y futuros, estos modelos no están diseñados para ser limitantes, donde no se puede pasar a los niveles superiores sin haber cumplido antes los niveles antecesores, al usar los modelos de madurez para los 34 procesos de TI de COBIT, la administración podrá identificar: El desempeño real de la Organización: Donde se

encuentra la Organización hoy. El Status actual de la industria: La comparación EL objetivo de la mejora de la Organización: Donde

desea estar la Organización. Se ha definido un modelo de madurez para cada uno de los 34 procesos de TI, con una escala de medición creciente a partir de 0, no existente, hasta 5, optimizado, la ventaja es que es relativamente fácil para la dirección ubicarse a sí misma en una escala y de esta forma evaluar que se debe hacer si se requiere una mejora. A continuación se presenta el modelo de madurez genérico a usarse en esta auditoría:

0 NO EXISTENTE

Carencia completa de cualquier proceso reconocible. La Organización no ha reconocido siquiera que existe un problema a resolver.

1 INICIAL

Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.

2 REPETIBLE

Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.



3 DEFINIDO

Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes.

4 ADMINISTRADO

Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.

5 OPTIMIZADA

Los procesos se han refinado hasta el nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.

1.2.2. AUDITORIA DE TICS CON COBIT

1.2.2.1. Área a Auditar La Auditoría realizada por Ramírez Huamán, Luis Angello, será en el Área de Informática de “DATA CENTER E.I.R.L”, debido a que allí se encuentran ubicados gran parte de los equipos de cómputo con los que cuenta la Organización “DATA CENTER E.I.R.L”. 1.2.2.2. Reclutamiento de la Información Por medio de la observación realizada se procedió a la realización de entrevistas y cuestionarios con el Gerente General de “DATA CENTER E.I.R.L”; y así poder determinar con más precisión cuales son los problemas presentados y poder dar un dictamen más especifico.

(Anexo A, B, C) 1.2.2.3. Documentos de Gestión del Área de Informática Actualmente “DATA CENTER E.I.R.L” no cuenta con el manual de procedimientos administrativos informáticos, ni tampoco cuenta con la documentación requerida las cuales son: Mantenimiento de Equipos de Cómputo. Un Plan de Contingencias.



Seguridad de datos y equipos de Cómputo. 1.2.2.4. Plan de la Auditoria en el Área de Informática Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo de la alta gerencia de la Organización, solicitando la participación de los principales trabajadores de la Organización y en donde se realizaran las siguientes acciones:

Nº ACTIVIDADES

1 Observación General del Área de Informática.

2 Entrevistas a los trabajadores del Área de Informática.

3 Analizar con que documentos de Gestión y Técnicos cuentas.

4 Verificar si que los equipos de los que se cuenta en la actualidad concuerdan con su inventario.

5 Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.

6 Evaluar las tecnologías de información (TI), tanto en hardware como en software.

7 Evaluación de la seguridad física, lógica y de redes.

1.2.2.5. Herramientas y Técnicas

HERRAMIENTAS TECNICAS

Cuaderno de Apuntes, Papel, Lapicero, Antivirus Eset Smart Security 4.0, Microsoft Office 2010 y otros.

Observación, entrevistas y cuestionarios.

1.2.2.6. Motivo o necesidad de una Auditoria Informática Síntomas de mala imagen e insatisfacción de los

usuarios. Síntomas de debilidad económico financiero. Síntomas de Inseguridad. Síntomas de descoordinación y desorganización.



1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO) A continuación se representa en una tabla el impacto de los objetivos de control de COBIT 4.1 sobre los criterios y recursos de TI. La nomenclatura utilizada en los criterios de información para esta tabla es la siguiente (P), cuando el objetivo de control tiene un impacto directo al requerimiento, (S), cuando el objetivo de control tiene un impacto indirecto es decir no completo sobre el requerimiento, y finalmente ( ) vacío, cuando el objetivo de control no ejerce ningún impacto sobre el requerimiento, en cambio cuando se encuentra con (X) significa que los objetivos de control tienen impacto en los recursos, y cuando se encuentra en blanco ( ), es que los objetivos de control no tienen ningún impacto con los recursos.

OBJETIVOS DE CONTROL DE COBIT

CRITERIOS DE INFORMACIÓN DE COBIT

RECURSOS DE TI DE COBIT

EFEC

TIV

IDA

D

EFIC

IEN

CIA

CO

NFI

DEN

CIA

LID

AD

INTE

GR

IDA

D

DIS

PO

NIB

ILID

AD

CU

MP

LIM

IEN

TO

CO

NFI

AB

ILID

AD

PER

SON

AS

INFO

RM

AC

IÓN

AP

LIC

AC

IÓN

INFR

AE

STR

UC

TU

RA

PLANEAR Y ORGANIZAR PO1 Definir un plan estratégico de TI. X X X X PO2 Definir la arquitectura de la información X X PO3 Definir la dirección tecnológica. X X

PO4

Definir los procesos, organización y relaciones de TI.

X

PO5 Administrar la inversión en TI. X X X PO6

Comunicar las metas y la dirección de la gerencia.

X

X

PO7 Administrar los recursos humanos de TI. X PO8 Administrar la calidad. X X X X PO9 Evaluar y administrar los riegos de TI. X X X X

PO10 Administrar los proyectos. P P X X X ADQUIRIR E IMPLEMENTAR AI1 Identificar las soluciones automatizadas. P S X X AI2 Adquirir y mantener software aplicativo. P P S S X

AI3

Adquirir y mantener la infraestructura tecnológica.

S

P

S

S

X

AI4 Facilitar la operación y el uso. P P S S S S X X X AI5 Procurar recursos de TI. S P S X X X X AI6 Administrar los cambios. P P P P S X X X X AI7 Instalar y acreditar soluciones y cambios. P S S S X X X X



ENTREGAR Y DAR SOPORTE DS1

Definir y administrar los niveles de servicio.

P

P

S

S

S

S

S

X

X

X

X

DS2 Administrar los servicios de terceros. P P S S S S S X X X X DS3 Administrar el desempeño y capacidad. P P S X X DS4 Asegurar el servicio continuo. P S P X X X X DS5 Garantizar la seguridad de los sistemas. P P S S S X X X X DS6 Identificar y asignar costos. P P X X X X DS7 Educar y entrenar a los usuarios. P S X

DS8

Administrar la mesa de servicio y los incidentes.

P

P

X

X

DS9 Administrar la configuración. P S S S X X X DS10 Administrar los problemas. P P S X X X X DS11 Administrar los datos. P P X DS12 Administrar el ambiente físico. P P X DS13 Administrar las operaciones. P P S S X X X X MONITOREAR Y EVALUAR

ME1

Monitorear y evaluar el desempeño de TI.

P

P

S

S

S

S

S

X

X

X

X

ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X ME3 Garantizar el cumplimiento regulatorio. P S X X X X ME4 Proporcionar gobierno de TI. P P S S S S S X X X X

Para tener un porcentaje de los criterios de la información, asignamos un valor para el impacto primario, de igual forma tendremos un valor para el impacto secundario. Este porcentaje lo estableceremos en base a la propuesta metodológica para el manejo de riesgos COSO (Sponsoring Organizations of the Treadway), como se muestra en la tabla.

Promedio de Impactos, fuente COBIT 4.1

CALIFICACION IMPACTO PROMEDIO

15% 50% BAJO 32

51% 75% MEDIO 63

76% 95% ALTO 86



2.1. SITUACIÓN ACTUAL DEL ÁREA DE SISTEMAS a. Ubicación:

El Área de Informática se ubica al lado del Área de Negocios, teniendo la responsabilidad de gestionar los procesos técnicos de informática.

Ubicación Física del Área de Informática

b. Cargos Funcionales y Operativos:

Apellidos y Nombres (Trabajadores)

Cargos Operativos

Cargos Funcionales

Ing. Lázaro Montañez, Heyner Gerente General

Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal

Romero Castillo, José Carlos Técnico en

Informática y Redes

Realiza el Soporte Técnico de Computadoras y Redes


Asistente Técnico en

Informática y Redes


Montañez Araujo, Sarita Eva Vendedora Realiza las ventas de equipos Informáticos



2.1.1. OBJETIVOS DEL DEPARTAMENTO Recomendar la adquisición de hardware, software

básico y de aplicaciones conveniente y necesario. Estructurar, ejecutar y actualizar el plan estratégico del

Sistema de Información, según los requerimientos de las áreas y la coordinación con la Gerencia General.

Proporcionar mecanismos de seguridad tanto lógica y física del hardware, software y redes de “DATA CENTER E.I.R.L”.

Aprovechar de las Redes Sociales (Facebook, MySpace y otros) para publicitar a la Organización, ya que no incurre ningún costo.

Mantener actualizado el inventario del parque informático y los precios de los productos de la base de datos, para la cotización correcta.

Planificar y mantener actividades de Backups (copias de respaldo) de forma periódica en medios físicos de almacenamiento masivo.

Aprovechar la tecnología existente para rediseñar el Website actual, convirtiéndolo en portal dinámico, donde puedan realizarse las operaciones transaccionales de la Organización y consultas comunes para los usuarios y clientes.

Asesorar, administrar y proporcionar el soporte tecnológico al personal de todas las áreas de “DATA CENTER E.I.R.L”.

Proponer a la alta gerencia de poder involucrarnos en proyectos corporativos y sociales.



2.1.2. ORGANIGRAMA DEL DEPARTAMENTO

2.1.3. SEGURIDAD DEL DEPARTAMENTO

a. Seguridad Física: Establecer un sistema contra incendios y la

capacitación adecuada para el manejo de estos.

Contar con agentes de seguridad para el resguardo del establecimiento, principalmente en las noches, debido a la creciente delincuencia.

Contar con un espacio adecuado para el alojamiento de los servidores.

ÁREA DE INFORMÁTICA

SERVICIO TÉCNICO

SOFTWARE

HARDWARE

REDES

MICROSOFT

LINUX

SATELITAL

DISEÑO WEB

WEB CORPORATIVO

WEB PERSONAL



b. Seguridad Legal: Hacer uso de estándares y metodologías de

calidad (IEEE, ISO y otros) al brindar los servicios de redes y diseño de páginas web.

Contar con las licencias de los sistemas operativos (Microsoft) en uso.

Realizar una auditoria de la tecnologías de la información externa a “DATA CENTER E.I.R.L”

c. Seguridad de Datos: Realizar periódicamente backups de la base de

datos del sistema de información. Procesar los datos más importantes de la

Organización en las aplicaciones tecnológicas (hojas de cálculo, procesadores de texto y otros) y al sistema de información.

Restringir al acceso al sistema de información y al servidor para que la data no sea adulterada.

d. Seguridad de Personas: Renovar los implementos de seguridad de los

técnicos de informática. Realizar las señalizaciones sísmicas

pertinentes en el establecimiento ante un desastre sísmico.

Establecer políticas de integridad física y mental para el personal que labora, dentro de sus horas de trabajo.



2.1.4. CARACTERIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN a. Recursos Humanos:

GERENCIA/ÁREA LABORAL

APELLIDOS Y NOMBRES

(TRABAJADORES) CARGOS TITULO FUNCIÓN

TIEMPO DE SERVICIO

Gerencia General

Ing. Lázaro Montañez,

Heyner

Gerente General

Ing. de Informática y

Sistemas

Realiza la compra y venta de los productos, organiza y coordina las actividades, y delega funciones al personal

Estable


Romero Castillo, José Carlos

Técnico en Informática

y Redes Técnico


7 meses



Asistente Técnico en Informática

y Redes

Técnico Realiza el Soporte Técnico de Computadoras y Redes

3 meses

Área de Comercio

Montañez Araujo, Sarita Eva

Vendedora Secretariado

Ejecutivo Computarizado

Realiza las ventas de equipos Informáticos

2 años



b. Hardware:

NOMBRE DEL EQUIPO CARACTERÍSTICAS UTILIDAD

PC 01 CPU

I5 1.8 GHz

Servidor Proxy Memoria RAM 4 GB

Disco Duro 1 TB

PC 02

CPU Corel 2 duo

2.0 GHz

PC para el Sistema de

Información

Memoria RAM 4 GB

Disco Duro S-ATA 7200

500 GB

Tarjeta de Red D-Link DFE-530 PCI

Fast Ethernet Adapter

Monitor Samsumg 17 "

Impresora Hp Laserjet 1200 series

PC 03

CPU Corel 2 duo

2.8 GHz

PC para Soporte Técnico

Memoria RAM 2 GB

Disco Duro S-ATA 7200

300 GB

Tarjeta de Red D-Link DFE-530 PCI

Fast Ethernet Adapter Monitor Samsumg 17 "

Impresora Hp Laserjet 1200 series

c. Software:

NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES

PC 01 Linux-CentOS Ver. 5.0

MySQL 5.1 Server

Open Office 3.5

Apache 6.0

FileZilla Server 3.5.2

PC 02 Microsoft Windows Seven Ultimate con

Service Pack 2

DBMS SQL Server 2005

NetBeans 6.7.1

Suite Office 2010

Utilitarios Básicos

PC 03 Microsoft Windows Seven Ultimate con

Service Pack 2 Suite Office 2010

Utilitarios Básicos



2.1.5. TOPOLOGÍA DE LA EMPRESA La empresa proveedora a “DATA CENTER E.I.R.L” de Internet es Movistar (Perú)-Huaraz de 2 Mb, con el tipo de servicio a internet ADSL, con una topología de red estrella.



2.1.6. CARACTERIZACIÓN DE LA CARGA "DATA CENTER E.I.R.L" cuenta con 3 computadoras que son las siguientes: Servidor Proxy, PC para soporte técnico y PC para el funcionamiento de Sistema de Información, donde cada trabajador ingresa a los mismos dependiendo de la actividad que desempeñen dentro de la Organización. Las actividades que se realizan en la empresa son de lunes a sábado desde 9:00 a.m hasta 8:00 p.m, realizando los servicios de mantenimiento de PC, diseño de pagina web y otros, como también a la venta de equipos y accesorios de computo. 2.1.7. DETERMINACIÓN DE PROBLEMAS Y

PLANTEAMIENTO DE HIPÓTESIS 2.1.7.1. Posibles Problemas Falta total o parcial de seguridades lógicas y físicas

que garanticen la integridad del personal, equipos e información.

Falta de una planificación informática. Disminución considerable e injustificable del

presupuesto del Área de Comercio. Falta de documentación del sistema de

información y del servidor en uso, lo que dificulta efectuar el mantenimiento de estos.

Organización que no funciona correctamente por la falta de políticas, normas, metodología, asignación de tareas, debidamente establecida por la Gerencia General.

2.1.7.2. Formulación de Hipótesis No se cuenta con la seguridad en general de los

recursos informáticos y humanos de la Organización, debido a que no existen políticas de negocio bien definidas, como también una planificación informática, teniendo como



consecuencia problemas económicos y de tecnología de información (Hardware y Software).

2.2. REALIZACIÓN DE LA AUDITORIA

2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS Se mostrara a continuación una ficha por cada uno de los objetivos haciendo un análisis de los modelos de madurez de COBIT 4.1, para determinar el nivel mínimo que no cumple la Organización que a su vez califica el nivel en dicho objetivo.

DOMINIO: PLANIFICAR Y ORGANIZAR PO1: Definir el Plan Estratégico de Tecnología de la Información

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

No existe conciencia por parte de la gerencia de que la planeación estratégica de TI es requerida para dar soporte a las metas del negocio.

√

GRADO DE MADUREZ El proceso de Definir el Plan Estratégico de Tecnología Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Que no existe un plan estratégico de TI y estrategias de recursos de la Organización.

No se realizar planes a largo plazo de TI, haciendo solo actualizaciones debido a los avances tecnológicos.

Nivel 1

La planeación estratégica de TI se discute de forma ocasional en las reuniones de la gerencia.

√

Nivel 2

Las decisiones estratégicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organización.

√

Nivel 3

La planeación estratégica de TI sigue un enfoque estructurado, el cual se documenta y se da a conocer a todo el equipo. Las estrategias de recursos humanos, técnicos y financieros de TI influencian cada vez más la adquisición de nuevos productos y tecnologías.

√

Nivel 4

Existen procesos bien definidos para determinar e uso de recursos internos y externos requeridos en el desarrollo y las

√



operaciones de los sistemas.

Nivel 5

Se desarrollan planes realistas a largo plazo de TI y se actualizan de manera constante para reflejar los cambiantes avances tecnológicos y el progreso relacionado al negocio.

√

RECOMENDACIONES Para el proceso PO1 de COBIT estable los siguientes objetivos de control:

Planes a largo plazo de TI.

Tomar decisiones estratégicas.

Definir los recursos internos y externos necesarios. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Evaluar el desempeño actual, es decir realizar una evaluación de los planes existentes, así como de los sistemas de información y su impacto de los objetivos de “DATA CENTER E.I.R.L”

En el Largo Plazo:

Crear planes táctico de TI a futuro, que resulten del plan estratégico de TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados.

DOMINIO: PLANIFICAR Y ORGANIZAR

PO2: Definir la Arquitectura de la Información

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

El conocimiento, la experiencia y las responsabilidades necesarias para desarrollar esta arquitectura no existen en la organización.

√

GRADO DE MADUREZ El proceso de Definir la Arquitectura de la Información esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Que no se resolvió necesidades futuras del negocio realizando el proceso de la arquitectura de la información.

Aprovechar las habilidades personales para la construcción de la arquitectura de la información.

Nivel 1

La gerencia reconoce la necesidad de una arquitectura de información. El desarrollo de algunos componentes de una arquitectura de información ocurre de manera ad hoc.

√

Nivel 2

Las personas obtienen sus habilidades al construir la arquitectura de información por medio de experiencia práctica y la aplicación repetida de técnicas.

√

Nivel 3

Existe una función de administración de datos definida formalmente, que establece estándares para toda la organización, y empieza a reportar sobre la aplicación y uso de la arquitectura de la información.

√



Nivel 4

El proceso de definición de la arquitectura de información es pro-activo y se enfoca en resolver necesidades futuras del negocio.

√

Nivel 5

El personal de TI cuenta con la experiencia y las habilidades necesarias para desarrollar y dar mantenimiento a una arquitectura de información robusta y sensible que refleje todos los requerimientos del negocio.

√


Desarrollar y mantener la arquitectura de la información.

Tener en claro la definición del proceso de la arquitectura de la información.

Ser participe de la construcción de la arquitectura de la información para incrementar sus habilidades.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Establecer y mantener un modelo de arquitectura de la información para facilitar el desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo será útil para la creación, uso y compartición óptimas de la información vital.

En el Largo Plazo:

Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos.


PO3: Determinar la Dirección Tecnología

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

No existe conciencia sobre la importancia de la planeación de la infraestructura tecnológica para la entidad.

√

GRADO DE MADUREZ El proceso de Determinar la Dirección Tecnología esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Desarrollar las habilidades para la elaboración del plan de la infraestructura tecnológica.

Realizar un plan de infraestructura tecnológica.

Nivel 1

La gerencia reconoce la necesidad de planear la infraestructura tecnológica. El desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas.

√

Nivel 2

La evaluación de los cambios tecnológicos se delega a individuos que siguen procesos intuitivos, aunque similares.

√



Nivel 3

Existe un plan de infraestructura tecnológica definido, documentado y bien difundido, aunque se aplica de forma inconsistente.

√

Nivel 4

El área de informática cuenta con la experiencia y las habilidades necesarias para desarrollar un plan de infraestructura tecnológica.

√

Nivel 5

La dirección del plan de infraestructura tecnológica está impulsada por los estándares y avances industriales e internacionales, en lugar de estar orientada por los proveedores de tecnología.

√


Elaborar un plan de infraestructura tecnológica.

Impulsar la orientación de la infraestructura tecnológica hacia los proveedores.

No delegar los cambios tecnológicos a personas que no tienen la debida experiencia. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.

En el Largo Plazo:

Realizar un proceso de monitoreo de tendencias tecnológicas, si es posible establecer un foro tecnológico, para de esta forma brindar directrices tecnológicas.


PO4: Definir los Procesos, la Organización y las Relaciones de TI

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

La organización de TI no está establecida de forma efectiva para enfocarse en el logro de los objetivos del negocio.

√

GRADO DE MADUREZ El proceso de Definir los Procesos, la Organización y las Relaciones de TI esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS

Formular las relaciones con terceros para la TI.

No satisfacer los requerimientos del negocio.

Nivel 1

La función de TI se considera como una función de soporte, sin una perspectiva organizacional general.

√

Nivel 2

La necesidad de contar con una organización estructurada, pero las decisiones todavía depende del

√



conocimiento y habilidades de individuos clave.

Nivel 3

Se formulan las relaciones con terceros, incluyendo los comités de dirección, auditoría interna y administración de proveedores.

√

Nivel 4

La organización de TI responde de forma pro activa al cambio e incluye todos los roles necesarios para satisfacer los requerimientos del negocio.

√

Nivel 5

La estructura organizacional de TI es flexible y adaptable.

√


Ser flexible y adaptable a la estructura organizacional de TI.

Responder de forma pro actica a los requerimientos del negocio.

Formular relaciones con terceros como auditoria interna. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Realizar una evaluación permanente de personal, para así asegurar que el personal involucrado en las TI sea el pertinente para la función asignada.

En el Largo Plazo:

Implantar métodos de supervisión dentro de las funciones de TI para asegurar que los roles y responsabilidades se ejerzan correctamente.


PO5: Administrar la Inversión de TI

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

No existe conciencia de la importancia de la selección y presupuesto de las inversiones en TI. No existe seguimiento o monitoreo de las inversiones y gastos de TI.

√

GRADO DE MADUREZ El proceso de Administrar la Inversión de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Formular las relaciones con terceros para la TI.

Nivel 1

La organización reconoce la necesidad de administrar la inversión en TI, aunque esta necesidad se comunica de manera inconsistente.

√

Nivel 2

Existe un entendimiento implícito de la necesidad de seleccionar y presupuestar las inversiones en TI.

√



Nivel 3

El presupuesto de TI está alineado con los planes estratégicos de TI y con los planes del negocio. Los procesos de selección de inversiones en TI y de presupuestos están formalizados, documentados y comunicados.

√

Nivel 4

La responsabilidad y la rendición de cuentas por la selección y presupuestos de inversiones se asignan a un individuo específico. Las diferencias en el presupuesto se identifican y se resuelven.

√

Nivel 5

Se utilizan las mejores prácticas de la industria para evaluar los costos por comparación e identificar la efectividad de las inversiones. Se utiliza el análisis de los avances tecnológicos en el proceso de selección y presupuesto de inversiones.

√


Reconocer la necesidad de administrar la inversión en TI.

Utilizar las mejores prácticas para la evaluación de costos de inversión.

Documentar y formalizar el presupuesto en TI. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones.

En el Largo Plazo:

Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones.

DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1: Identificar Soluciones Automatizadas

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

La organización no requiere de la identificación de los requerimientos funcionales y operativos para el desarrollo, implantación o modificación de soluciones, tales como sistemas,

√

GRADO DE MADUREZ El proceso de Identificar Soluciones Automatizadas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS



servicios, infraestructura y datos. Determinar el proceso para la solución de TI, según el requerimiento del negocio.

Documentación de los proyectos realizados.

Nivel 1

Existe una investigación o análisis estructurado mínimo de la tecnología disponible.

√

Nivel 2

El éxito de cada proyecto depende de la experiencia de unos cuantos individuos clave. La calidad de la documentación y de la toma de decisiones varía de forma considerable.

√

Nivel 3

El proceso para determinar las soluciones de TI se aplica para algunos proyectos con base en factores tales como las decisiones tomadas por el personal involucrado, la cantidad de tiempo administrativo dedicado, y el tamaño y prioridad del requerimiento de negocio original.

√

Nivel 4

La documentación de los proyectos es de buena calidad y cada etapa se aprueba adecuadamente.

√

Nivel 5

La metodología está soportada en bases de datos de conocimiento internas y externas que contienen material de referencia sobre soluciones tecnológicas.

√

RECOMENDACIONES Para el proceso AI1 de COBIT estable los siguientes objetivos de control:

Soportar la metodología de TI en base de datos.

Determinar los procesos para las soluciones de TI.

Explotar la experiencia de los trabajadores para la buena toma de decisiones. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Resaltar, priorizar, especificar los requerimientos funcionales y técnicos, priorizando el desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación.

En el Largo Plazo: Que exista el alineamiento con las estrategias de la Organización y de TI.



DOMINIO: ADQUIRIR E IMPLEMENTAR AI2: Adquirir y Mantener Software Aplicativo

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

Típicamente, las aplicaciones se obtienen con base en ofertas de proveedores, en el reconocimiento de la marca o en la familiaridad del personal de TI con productos específicos, considerando poco o nada los requerimientos actuales.

√

GRADO DE MADUREZ El proceso de Adquirir y Mantener Software Aplicativo esta en el nivel de madurez 2. OBJETIVOS NO CUMPLIDOS

Dar a conocer el proceso de adquisición y mantenimiento del Sistema de Información (software) y aplicaciones.

Determinar la metodología formal para la documentación del software en uso.

Nivel 1

Es probable que se hayan adquirido en forma independiente una variedad de soluciones individuales para requerimientos particulares del negocio, teniendo como resultado ineficiencias en el mantenimiento y soporte.

√

Nivel 2

Existen procesos de adquisición y mantenimiento de aplicaciones, con diferencias pero similares, en base a la experiencia dentro de la operación de TI.

√

Nivel 3

Existe un proceso claro, definido y de comprensión general para la adquisición y mantenimiento de software aplicativo. Este proceso va de acuerdo con la estrategia de TI y del negocio.

√

Nivel 4

Existe una metodología formal y bien comprendida que incluye un proceso de diseño y especificación, un criterio de adquisición, un proceso de prueba y requerimientos para la documentación.

√

Nivel 5

El enfoque se extiende para toda la empresa. La metodología de adquisición y mantenimiento presenta un buen avance y permite un posicionamiento estratégico rápido, que permite un alto grado de reacción y flexibilidad para responder a requerimientos cambiantes del

√



negocio.


Asegurar que el software diseñado sea de calidad.

Realizar un diseño detallado, y los requerimientos técnicos del software.

Identificar los requerimientos del negocio para el desarrollo del software. Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Desarrollar estrategia y planes de mantenimiento del software aplicativo. En el Largo Plazo:

Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría.


AI3: Adquirir y Mantener Infraestructura Tecnológica

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

No se reconoce la administración de la infraestructura de tecnología como un asunto importante al cual deba ser resuelto.

√

GRADO DE MADUREZ El proceso de Adquirir y Mantener Infraestructura Tecnológica esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Definir una estrategia para la adquisición y mantenimiento de la infraestructura.

Organizar y prevenir el proceso de adquisición y mantenimiento de la infraestructura.

Nivel 1

Se realizan cambios a la infraestructura para cada nueva aplicación, sin ningún plan en conjunto. La actividad de mantenimiento reacciona a necesidades de corto plazo.

√

Nivel 2

La adquisición y mantenimiento de la infraestructura de TI no se basa en una estrategia definida y no considera las necesidades de las aplicaciones del negocio que se deben respaldar.

√

Nivel 3

El proceso respalda las necesidades de las aplicaciones críticas del negocio y concuerda con la estrategia de negocio de TI, pero no se aplica en forma consistente.

√

Nivel 4

La infraestructura de TI soporta adecuadamente las aplicaciones del negocio. El proceso está bien organizado y es preventivo.

√

Nivel El proceso de adquisición y √



5 mantenimiento de la infraestructura de tecnología es preventivo y está estrechamente en línea con las aplicaciones críticas del negocio y con la arquitectura de la tecnología.


Crear un plan de adquisición de infraestructura tecnológica.

Garantizar la disponibilidad de la infraestructura tecnológica.

Identificar que necesidades se tiene para adquisición de infraestructura tecnológica. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Crear un plan de adquisición de infraestructura tecnológica. En el Largo Plazo:

Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica.


AI4: Facilitar la Operación y el Uso

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

No existe el proceso con respecto a la producción de documentación de usuario, manuales de operación y material de entrenamiento.

√

GRADO DE MADUREZ El proceso de Facilitar la Operación y el Uso esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Falta generar los materiales de entretenimiento buscando su calidad.

Garantizar la compañía de estándares para el desarrollo del proceso.

Nivel 1

Mucha de la documentación y muchos de los procedimientos ya caducaron. Los materiales de entrenamiento tienden a ser esquemas únicos con calidad variable.

√

Nivel 2

Individuos o equipos de proyecto generan los materiales de entrenamiento, y la calidad depende de los individuos que se involucran.

√

Nivel 3

Se guardan y se mantienen los procedimientos en una biblioteca formal y cualquiera que necesite saber tiene acceso a ella.

√

Nivel 4

Existen controles para garantizar que se adhieren los estándares y

√



que se desarrollan y mantienen procedimientos para todos los procesos.

Nivel 5

Los materiales de procedimiento y de entrenamiento se tratan como una base de conocimiento en evolución constante que se mantiene en forma electrónica, con el uso de administración de conocimiento actualizada, workflow y tecnologías de distribución, que los hacen accesibles y fáciles de mantener.

√


Control para garantizar adherir los estándares para el mantenimiento de los procesos.

Desarrollar un plan para realizar soluciones de operación el cual sirva para identificar y documentar todos los aspectos técnicos, la capacidad de operación y los niveles de servicio requeridos.


Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos.

En el Largo Plazo: Mediante la transferencia de conocimientos a los usuarios finales se lograra que

estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la Organización.


AI5: Adquirir Recursos de TI

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

No existe un proceso definido de adquisición de recursos de TI.

√ GRADO DE MADUREZ El proceso de Adquirir Recursos de TI esta en el nivel de madurez 4. OBJETIVOS NO CUMPLIDOS

Falta de buenas relaciones con algunos proveedores de forma estratégica.

Nivel 1

Los contratos para la adquisición de recursos de TI son elaborados y administrados por gerentes de proyecto y otras personas que ejercen su juicio profesional más que seguir resultados de procedimientos y políticas formales.

√

Nivel 2

Se determinan responsabilidades y rendición de cuentas para la

√



administración de adquisición y contrato de TI según la experiencia particular del gerente de contrato.

Nivel 3

La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio.

√

Nivel 4

La adquisición de TI se integra en gran parte con los sistemas generales de adquisición del negocio. Existen estándares de TI para la adquisición de recursos de TI.

√

Nivel 5

Se establecen buenas relaciones con el tiempo con la mayoría de los proveedores y socios, y se mide y vigila la calidad de estas relaciones. Se manejan las relaciones en forma estratégica.

√


Tomar medidas en la administración de contratos y adquisiciones.

Establecer buenas relaciones con la mayoría de proveedores y socios. Para pasar al nivel de madurez 5 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Manejar estratégicamente los estándares, políticas y procedimientos de TI para adquirir los recursos de TI.

En el Largo Plazo: Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos

contractuales.

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1: Definir y Administrar los Niveles de Servicio

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

La gerencia no reconoce la necesidad de un proceso para definir los niveles de servicio.

√ GRADO DE MADUREZ El proceso de Definir y Administrar los Niveles de Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

No ordenar los procesos de desarrollo por niveles de servicio.

Realizar reportes de servicio de

Nivel 1

La responsabilidad y la rendición de cuentas sobre para la definición y la administración de servicios no está definida.

√

Nivel 2

Los reportes de los niveles de servicio están incompletos y

√



pueden ser irrelevantes o engañosos para los clientes. Los reportes de los niveles de servicio dependen, en forma individual, de las habilidades y la iniciativa de los administradores.

forma completa y relevante.

Nivel 3

El proceso de desarrollo del acuerdo de niveles de servicio esta en orden y cuenta con puntos de control para revalorar los niveles de servicio y la satisfacción de cliente.

√

Nivel 4

La satisfacción del cliente es medida y valorada de forma rutinaria. Las medidas de desempeño reflejan las necesidades del cliente, en lugar de las metas de TI.

√

Nivel 5

Todos los procesos de administración de niveles de servicio están sujetos a mejora continua. Los niveles de satisfacción del cliente son administrados y monitoreados de manera continua.

√

RECOMENDACIONES Para el proceso DS1 de COBIT estable los siguientes objetivos de control:

Realizar un portafolio de servicios.

Realizar acuerdos de niveles de servicio. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Realizar a menudo una revisión con los proveedores internos y externos los acuerdos de niveles de servicio.

En el Largo Plazo: Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos

reporte deben mantener un formato entendible por parte de los interesados.



DOMINIO: ENTREGAR Y DAR SOPORTE DS2: Administrar los Servicios de Terceros

NIVEL DE MADUREZ

CU

MP

LE

NO

C

UM

PLE

OBSERVACIONES

Nivel 0

Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan.

√

GRADO DE MADUREZ El proceso de Administrar los Servicios de Terceros esta en el nivel de madurez 3. OBJETIVOS NO CUMPLIDOS

Verificar de forma continua las capacidades del proveedor.

Monitorear e implementar acciones correctivas.

Nivel 1

No hay condiciones estandarizadas para los convenios con los prestadores de servicios.

√

Nivel 2

Se utiliza un contrato pro forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de servicios que se prestarán).

√

Nivel 3

Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control.

√

Nivel 4

Las aptitudes, capacidades y riesgos del proveedor son verificadas de forma continua.

√

Nivel 5

Se monitorea el cumplimiento de las condiciones operacionales, legales y de control y se implantan acciones correctivas.

√


Monitorear e implementar acciones correctivas.

Verificar de forma continua las capacidades del proveedor. Para pasar al nivel de madurez 4 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo.

En el Largo Plazo: Mantener acuerdos de confidencialidad con los proveedores.




DS3: Administrar el Desempeño y la Capacidad

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

La gerencia no reconoce que los procesos clave del negocio pueden requerir altos niveles de desempeño de TI o que el total de los requerimientos de servicios de TI del negocio pueden exceder la capacidad.

√

GRADO DE MADUREZ El proceso de Administrar el Desempeño y la Capacidad esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Realizar evaluaciones de la infraestructura de TI logrando una capacidad optima.

Establecer métodos de desempeño y evaluación.

Nivel 1

Los responsables de los procesos del negocio valoran poco la necesidad de llevar a cabo una planeación de la capacidad y del desempeño. Las acciones para administrar el desempeño y la capacidad son típicamente reactivas.

√

Nivel 2

Las necesidades de desempeño se logran por lo general con base en evaluaciones de sistemas individuales y el conocimiento y soporte de equipos de proyecto.

√

Nivel 3

Los pronósticos de la capacidad y el desempeño se modelan por medio de un proceso definido. Los reportes se generan con estadísticas de desempeño.

√

Nivel 4

Hay información actualizada disponible, brindando estadísticas de desempeño estandarizadas y alertando sobre incidentes causados por falta de desempeño o de capacidad.

√

Nivel 5

La infraestructura de TI y la demanda del negocio están sujetas a revisiones regulares para asegurar que se logre una capacidad óptima con el menor costo posible.

√


Establecer métricas de desempeño y evaluación de la capacidad.



Realizar revisiones de forma periódica la demanda del negocio con menor costo. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Realizar pronósticos de la capacidad y el desempeño futuros de los recursos de TI en intervalos regulares.

En el Largo Plazo: Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI.


DS4: Garantizar la Continuidad del Servicio

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

No hay entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de TI.

√ GRADO DE MADUREZ El proceso de Garantizar la Continuidad del Servicio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Mantener un plan de servicios.

Integrar los procesos de servicios para mejores prácticas externas.

Nivel 1

Las responsabilidades sobre la continuidad de los servicios son informales y la autoridad para ejecutar responsabilidades es limitada.

√

Nivel 2

Los reportes sobre la disponibilidad son esporádicos, pueden estar incompletos y no toman en cuenta el impacto en el negocio.

√

Nivel 3

Las responsabilidades de la planeación y de las pruebas de la continuidad de los servicios están claramente asignadas y definidas.

√

Nivel 4

Se asigna la responsabilidad de mantener un plan de continuidad de servicios.

√

Nivel 5

Los procesos integrados de servicio continuo toman en cuenta referencias de la industria y las mejores prácticas externas.

√


Desarrollar y tomar muy en cuenta planes de continuidad. Realizar un marco de trabajo de continuidad.


Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva.



En el Largo Plazo: Una vez realizada la reanudación exitosa de las funciones de TI, determinar la

efectividad del plan de continuidad y realiza actualizaciones a este según amerite.


DS5: Garantizar la Seguridad de los Sistemas

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

Las medidas para soportar la administrar la seguridad de TI no están implementadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI.

√

GRADO DE MADUREZ El proceso de Garantizar la Seguridad de los Sistemas esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Concientizar el valor de la seguridad de la información.

Elaborar un plan de seguridad de TI.

Nivel 1

La seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras. Las respuestas a las brechas de seguridad de TI son impredecibles.

√

Nivel 2

La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada. Aunque los sistemas producen información relevante respecto a la seguridad, ésta no se analiza.

√

Nivel 3

Las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo.

√

Nivel 4

El contacto con métodos para promover la conciencia de la seguridad es obligatorio. La identificación, autenticación y autorización de los usuarios está estandarizada.

√

Nivel 5

Los usuarios y los clientes se responsabilizan cada vez más de

√



definir requerimientos de seguridad, y las funciones de seguridad están integradas con las aplicaciones en la fase de diseño.


Se debe administrar la seguridad TI.

Realizar un plan de seguridad de TI. Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad, detección de intrusos, etc.)

En el Largo Plazo: Realizar pruebas a la implementación de la seguridad, de igual forma monitorear

esta.

DOMINIO: MONITOREAR Y EVALUAR

ME1: Monitorear y Evaluar el Desempeño de TI

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

TI no lleva a cabo monitoreo de proyectos o procesos de forma independiente. No se cuenta con reportes útiles, oportunos y precisos. La necesidad de entender de forma clara los objetivos de los procesos no se reconoce.

√

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Desempeño de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Poder identificar los procesos estándares de evaluación.

Integrar todos los procesos y proyectos de TI.

Nivel 1

No se han identificado procesos estándar de recolección y evaluación. El monitoreo se implanta y las métricas se seleccionan de acuerdo a cada caso, de acuerdo a las necesidades de proyectos y procesos de TI específicos.

√

Nivel 2

La interpretación de los resultados del monitoreo se basa en la experiencia de individuos clave.

√

Nivel 3

Las mediciones de la contribución de la función de servicios de información al desempeño de la organización se han definido, usando criterios financieros y operativos tradicionales.

√



Nivel 4

Hay una integración de métricas a lo largo de todos los proyectos y procesos de TI. Los sistemas de reporte de la administración de TI están formalizados.

√

Nivel 5

Las métricas impulsadas por el negocio se usan de forma rutinaria para medir el desempeño, y están integradas en los marcos de trabajo estratégicos, tales como el Balanced Scorecard.

√

RECOMENDACIONES Para el proceso ME1 de COBIT estable los siguientes objetivos de control:

Definir un método de monitoreo como Balance Scorecard.

Evaluar el desempeño comparándolo periódicamente con las metas. Para pasar al nivel de madurez 1 se debe adoptar las siguientes estrategias: En el Corto Plazo:

Realizar una marco de trabajo de monitoreo general garantizado por la gerencia. En el Largo Plazo:

Identificar e iniciar medidas correctivas sobre el desempeño de TI.


ME2: Monitorear y Evaluar el Control Interno

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

Los métodos de reporte de control interno gerenciales no existen. Existe una falta generalizada de conciencia sobre la seguridad operativa y el aseguramiento del control interno de TI.

√

GRADO DE MADUREZ El proceso de Monitorear y Evaluar el Control Interno esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Establecer los procesos para la evaluación y aseguramiento del control interno.

Utilizar herramientas integradas para la detección del control interno de TI.

Nivel 1

La gerencia de TI no ha asignado de manera formal las responsabilidades para monitorear la efectividad de los controles internos.

√

Nivel 2

La gerencia de servicios de información realiza monitoreo periódico sobre la efectividad de lo que considera controles internos críticos. Se están empezando a usar metodologías y herramientas para monitorear los controles internos, aunque no se basan en

√



un plan.

Nivel 3

Se ha definido un programa de educación y entrenamiento para el monitoreo del control interno. Se ha definido también un proceso para auto evaluaciones y revisiones de aseguramiento del control interno, con roles definidos para los responsables de la administración del negocio y de TI.

√

Nivel 4

Se han implantado herramientas para estandarizar evaluaciones y para detectar de forma automática las excepciones de control. Se ha establecido una función formal para el control interno de TI, con profesionales especializados y certificados que utilizan un marco de trabajo de control formal avalado por la alta dirección.

√

Nivel 5

La organización utiliza herramientas integradas y actualizadas, donde es apropiado, que permiten una evaluación efectiva de los controles críticos de TI y una detección rápida de incidentes de control de TI.

√


Monitorear el marco de trabajo de control interno de forma continua.

Mediante las revisiones de auditoría reportar la efectividad de los controles internos sobre las TI.


Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI.

En el Largo Plazo: Identificar e iniciar medidas correctivas sobre el desempeño de TI.




ME3: Garantizar el Cumplimiento Regulatorio

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

Existe poca conciencia respecto a los requerimientos externos que afectan a TI, sin procesos referentes al cumplimiento de requisitos regulatorios, legales y contractuales.

√

GRADO DE MADUREZ El proceso de Garantizar el Cumplimiento Regulatorio esta en el nivel de madurez 1. OBJETIVOS NO CUMPLIDOS

Brindar capacitación sobre requisitos legales y regulatorios externos.

Conocer los requerimientos aplicables, como la solución de nuevas necesidades.

Nivel 1

Se siguen procesos informales para mantener el cumplimiento, pero solo si la necesidad surge en nuevos proyectos o como respuesta a auditorías o revisiones.

√

Nivel 2

No existe, sin embargo, un enfoque estándar. Hay mucha confianza en el conocimiento y responsabilidad de los individuos, y los errores son posibles.

√

Nivel 3

Se brinda entrenamiento sobre requisitos legales y regulatorios externos que afectan a la organización y se instruye respecto a los procesos de cumplimiento definidos.

√

Nivel 4

Las responsabilidades son claras y el empoderamiento de los procesos es entendido. El proceso incluye una revisión del entorno para identificar requerimientos externos y cambios recurrentes.

√

Nivel 5

Hay un amplio conocimiento de los requerimientos externos aplicables, incluyendo sus tendencias futuras y cambios anticipados, así como la necesidad de nuevas soluciones.

√


Integrar los reporte de TI sobre el cumplimiento regulatorio.

Garantizar la identificación de requerimientos locales e internacionales legales, contractuales de políticas, y regulatorios.

Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:



En el Corto Plazo:

Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc.

En el Largo Plazo:

Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI.


ME4: Proporcionar Gobierno de TI

NIVEL DE MADUREZ

CU

MP

LE

NO

CU

MP

LE

OBSERVACIONES

Nivel 0

Existe una carencia completa de cualquier proceso reconocible de gobierno de TI. La organización ni siquiera ha reconocido que existe un problema a resolver; por lo tanto, no existe comunicación respecto al tema.

√

GRADO DE MADUREZ El proceso de Proporcionar Gobierno de TI esta en el nivel de madurez 0. OBJETIVOS NO CUMPLIDOS

Comunicar por parte de la Gerencia los procedimientos estandarizados.

Nivel 1

El enfoque de la gerencia es reactivo y solamente existe una comunicación esporádica e inconsistente sobre los temas y los enfoques para resolverlos.

√

Nivel 2

La gerencia ha identificado mediciones básicas para el gobierno de TI, así como métodos de evaluación y técnicas; sin embargo, el proceso no ha sido adoptado a lo largo de la organización.

√

Nivel 3

La gerencia ha comunicado los procedimientos estandarizados y el entrenamiento está establecido. Se han identificado herramientas para apoyar a la supervisión del gobierno de TI.

√

Nivel 4

Los procesos de TI y el gobierno de TI están alineados e integrados con la estrategia corporativa de TI. La mejora de los procesos de TI se basa principalmente en un entendimiento cuantitativo y es posible monitorear y medir el cumplimiento con procedimientos y métricas de procesos.

√



Nivel 5

La implantación de las políticas de TI ha resultado en una organización, personas y procesos que se adaptan rápidamente, y que dan soporte completo a los requisitos de gobierno de TI. Todos los problemas y desviaciones se analizan por medio de la técnica de causa raíz y se identifican e implementan medidas eficientes de forma rápida.

√


Administrar los riesgos de forma eficiente.

Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.


Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles y responsabilidades.

En el Largo Plazo:

Conformar un comité de auditoría para asegurar el cumplimiento de TI.

2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ

DO

MIN

IO

PROCESO

NIV

EL D

E M

AD

UR

EZ

PLA

NIF

ICA

R Y

O

RG

AN

IZA

R

PO1 Definir el Plan Estratégico de Tecnología de la Información 1

PO2 Definir la Arquitectura de la Información 1

PO3 Determinar la Dirección Tecnología 1

PO4 Definir los Procesos, la Organización y las Relaciones de TI 2

PO5 Administrar la Inversión de TI 4

AD

QU

IRIR

E

IMP

LEM

ENTA

R AI1 Identificar Soluciones Automatizadas 1

AI2 Adquirir y Mantener Software Aplicativo 2

AI3 Adquirir y Mantener Infraestructura Tecnológica 1

AI4 Facilitar la Operación y el Uso 1

AI5 Adquirir Recursos de TI 4



ENTR

EGA

R Y

DA

R

SOP

OR

TE

DS1 Definir y Administrar los Niveles de Servicio 1

DS2 Administrar los Servicios de Terceros 3

DS3 Administrar el Desempeño y la Capacidad 1

DS4 Garantizar la Continuidad del Servicio 1

DS5 Garantizar la Seguridad de los Sistemas 1

MO

NIT

OR

EAR

Y

EVA

LUA

R ME1 Monitorear y Evaluar el Desempeño de TI 0

ME2 Monitorear y Evaluar el Control Interno 0

ME3 Garantizar el Cumplimiento Regulatorio 1

ME4 Proporcionar Gobierno de TI 0

Resumen de Análisis por Dominios: Dominio: Planear y Organizar (PO)

No se encuentran alineadas las estrategias de TI y del negocio. “DATA CENTER E.I.R.L” no está alcanzando el uso optimo de los recursos ya que estos no son aprovechados al máximo o de también no se cuenta con los recursos necesarios para el desempeño de ciertas tareas. No todo el personal de “DATA CENTER E.I.R.L” entiende los objetivos de TI, son pocos los usuarios que comprenden la importancia de estos para el cumplimiento de las metas de “DATA CENTER E.I.R.L”.

Dominio: Adquirir e Implementar (AI) Para que se cumplan la estrategia de TI, se debe identificar, desarrollar o adquirir las soluciones de TI, así como la implementación e integración en los procesos del negocio.

Dominio: Entrega y Dar Soporte (DS) Los servicios de TI son medianamente entregados de acuerdo a las prioridades del negocio. Los costos de TI no se encuentran totalmente optimizados. Puesto que no existe un plan de continuidad no es implementada la disponibilidad de forma completa de los sistemas de TI, de igual forma la integridad y la



confidencialidad no se encuentran implementadas de forma óptima.

Dominio: Monitorear y Evaluar (ME) La gerencia no monitorea ni evalúa el control interno en “DATA CENTER E.I.R.L”. Existe un poco vinculación en el desempeño de TI con las metas del negocio. No existe una medición óptima de riesgos y el reporte de estos, así como el cumplimiento, desempeño y control.



2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIÓN POR IMPACTO

DO

MIN

IO

PROCESOS

CRITERIOS DE INFORMACION RECUROS TI

Niv

el d

e M

adu

rez

Efec

tivi

dad

Efic

ien

cia

Co

nfi

den

cial

idad

Inte

grid

ad

Dis

po

nib

ilid

ad

Cu

mp

limie

nto

Co

nfi

abili

dad

Rec

urs

os

Hu

man

os

Sist

emas

de

Ap

licac

ión

Tecn

olo

gia

Inst

alac

ion

es

Dat

os

PLA

NIF

ICA

R Y

OR

GA

NIZ

AR

PO1 Definir el Plan Estratégico de Tecnología de la Información 0.83 0.61 x x x

Total real (impacto*Nivel real) 0.83 0.61 0.00 0.00 0.00 0.00 0.00 1

Total ideal (impacto*Nivel ideal) 4.15 3.05 0.00 0.00 0.00 0.00 0.00 5

PO2 Definir la Arquitectura de la Información 0.61 0.83 0.61 0.83 x x x



PO3 Determinar la Dirección Tecnológica 0.83 0.83 x x x x



PO4 Definir los Procesos, la Organización y las Relaciones de TI 1.69 1.69 x x x





PO5 Administrar la Inversión de TI 3.41 3.41 2.49 x x x



AD

QU

IRIR

E IM

PLE

MEN

TAR

AI1 Identificar Soluciones Automatizadas 0.83 0.61 x x x x



AI2 Adquirir y Mantener Software Aplicativo 1.69 1.69 1.23 1.23 x x x



AI3 Adquirir y Mantener Infraestructura Tecnológica 0.61 0.83 0.61 0.61 x x x



AI4 Facilitar la Operación y el Uso 0.83 0.83 0.61 0.61 0.61 0.61 x x x x



AI5 Adquirir Recursos de TI 2.49 3.41 2.49 x x x x

Total real(impacto*Nivel real) 9.96 13.64 0.00 0.00 0.00 9.96 0.00 4

Total ideal(impacto*Nivel ideal) 12.45 17.05 0.00 0.00 0.00 12.45 0.00 5



ENTR

EGA

R Y

DA

R S

OP

OR

TE

DS1 Definir y Administrar los Niveles de Servicio 0.83 0.83 0.61 0.61 0.61 0.61 0.61 x x x x



DS2 Administrar los Servicios de Terceros 2.55 2.55 1.86 1.86 1.86 1.86 1.86 x x x x



DS3 Administrar el Desempeño y la Capacidad 0.83 0.83 0.61 x x x



DS4 Garantizar la Continuidad del Servicio 0.83 0.61 0.83 x x x



DS5 Garantizar la Seguridad de los Sistemas 0.83 0.83 0.61 0.61 0.61 x x x



MO

NIT

OR

EA

R Y

EV

ALU

AR

ME1 Monitorear y Evaluar el Desempeño de TI x x x x





ME2 Monitorear y Evaluar el Control Interno x x x x



ME3 Garantizar el Cumplimiento Regulatorio 0.83 0.61 x x



ME4 Proporcionar Gobierno de TI x x x



2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

Total real (impacto*Nivel real) 45.04 48.50 7.63 11.53 9.46 18.20 20.44

Total ideal (impacto*Nivel ideal) 94.30 97.80 19.55 32.90 28.70 35.05 40.10

Porcentaje Alcanzado 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90



A continuación analizamos cada uno de los criterios de la información: EFECTIVIDAD.- Para este criterio de información se

obtuvo un porcentaje del 47.76% sobre 100%, es decir que la información que es de importancia para “DATA CENTER E.I.R.L”, que tiene incidencia en los procesos del negocio y debe ser entregada de forma oportuna, consistente, y veraz tiene un porcentaje del 47.76%.

EFICIENCIA.- Para este criterio de información se obtuvo un porcentaje del 49.59% sobre el 100%, es decir que la información que debe generar el uso óptimo de los recursos de “DATA CENTER E.I.R.L” tiene un porcentaje del 49.59%.

CONFIDENCIALIDAD.- Para este criterio de información

se obtuvo un porcentaje del 39.03% sobre el 100%, es decir que la protección de la información de “DATA CENTER E.I.R.L” para que esta no sea divulgada a personas o sectores extraños a este tiene un porcentaje del 39.03%.

INTEGRIDAD.- Para este criterio de información se

obtuvo un porcentaje del 35.05% sobre el 100%, es decir la distribución de la información exacta y correcta, así como su validez con las expectativas de la empresa tiene un porcentaje del 35.05%.

DISPONIBILIDAD.- Para este criterio de la información se

obtuvo un porcentaje del 32.96% sobre el 100%, es decir la accesibilidad de la información cuando esta sea requerida por los procesos del negocio y a la salvaguarda de los recursos y capacidades asociadas a



la misma en “DATA CENTER E.I.R.L”, tiene porcentaje del 32.96%.

CUMPLIMIENTO.- Para este criterio de la información

se obtuvo un porcentaje del 51.93% sobre el 100%, es decir que el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales está comprometido “DATA CENTER E.I.R.L”, tiene un porcentaje del 51.93%.

CONFIABILIDAD.- Para este criterio de la información se obtuvo un porcentaje del 50.97% sobre el 100%, es decir proveer la información apropiada para que la administración tome decisiones adecuadas para manejar “DATA CENTER E.I.R.L” y cumplir con sus responsabilidades, tiene porcentaje del 50.97%.

2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS

CRITERIOS DE INFORMACIÓN

0.00

10.00

20.00

30.00

40.00

50.00

60.0047.76 49.59

39.03 35.05 32.96

51.93 50.97

43.90

IMPACTO SOBRE LOS CRITERIOS DE LA INFORMACIÓN



3.1. INFORME TÉCNICO ALCANCE Mediante esta auditoría se pretende evaluar el estado actual del Departamento Informático “DATA CENTER E.I.R.L”, mediante este proceso se podrá brindar al “DATA CENTER E.I.R.L” sus respectivas conclusiones y recomendaciones para cada uno de los procesos evaluados en cada dominio según la metodología COBIT 4.1. OBJETIVOS

OBJETIVO GENERAL • Realizar la auditoría de las tecnologías de la información d e “DATA CENTER E.I.R.L” de Huaraz, utilizando como modelo de referencia COBIT 4.1. OBJETIVOS ESPECIFICOS • Identificar problemas técnicos en las TI y dar posibles soluciones. • Definir controles que permitan disminuir riesgos. • Realizar un informe técnico y ejecutivo.

A continuación se detalla los resultados de la evaluación de cada uno de los 34 procesos divididos en sus respectivos dominios (Planear y organizar, adquirir e implementar, entregar y dar soporte, monitorear y evaluar.), basándonos en los niveles de madurez los cuales van desde el grado 0 (no existente) al grado máximo 5 (administrado). DOMINIO PLANEAR Y ORGANIZAR PO1. DEFINIR UNPLAN ESTARTEGICO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que no se cuenta con un plan estratégico definido. RECOMENDACIONES COBIT • Alinear las TI con el negocio, instruir a los jefes de departamento sobre las capacidades tecnológicas actuales y el



futuro de estas, así como las oportunidades que prestan las TI, para el mejor desempeño de las labores diarias. • Crear planes tácticos de TI, que se resulten del plan estratégico de TI, estos servirán para describir las iniciativas y los requerimientos de recursos que necesitados por TI, estos planes deben ser bien detallados para poder realizar la definición de planes proyectados. PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIÓN CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que se reconoce no tener una arquitectura de información, pero a pesar de reconocer su importancia no se la elabora. RECOMENDACIONES COBIT • Establecer un diseño de clasificación de datos que aplique a todo “DATA CENTER E.I.R.L”, basado en la información crítica y sensible. • Definir e implementar procedimientos para brindar integridad y consistencia de todos los datos que se encuentran almacenado en formato electrónico, como bases de datos, almacenamiento de datos y archivos. PO3. DETERMINAR LA DIRECCIÓN TECNOLÓGICA CONCLUSIÓN.-Este proceso se encuentra en el nivel de madurez 1, puesto que el desarrollo de componentes tecnológicos y la implantación de tecnologías emergentes son ad hoc y aisladas. RECOMENDACIONES COBIT • Planear la dirección tecnológica, es decir analizar las tecnologías existentes y emergentes, para tomar en cuenta cual dirección tecnológica es apropiada para lograr cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio. • Crear y mantener un plan de infraestructura tecnológica que este emparejado con los planes estratégicos y tácticos de TI.



PO4. DEFINIR LOS PROCESOS LA ORGANIZACIÓN Y LAS RELACIONES DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 puesto que las necesidades de los usuarios y relaciones con proveedores se responden de forma táctica aunque inconsistentemente. RECOMENDACIONES COBIT • Definir un marco de trabajo para el proceso de TI para la ejecución del plan estratégico de TI, incluyendo la estructura y relaciones de procesos de TI. • Establecer un comité estratégico de TI a nivel del consejo directivo, para garantizar que el gobierno de TI se maneje de forma efectiva. PO5. ADMINISTRAR LA INVERSIÓN DE TI CONCLUSIÓN.- Las responsabilidades y rendición de cuentas para la selección de presupuestos de inversiones son asignadas en específico al Jefe del departamento informático y el jefe del departamento financiero. RECOMENDACIONES COBIT • Mejorar de forma continua la administración de inversiones en base a las lecciones aprendidas del análisis del desempeño real de las inversiones. • Incluir un análisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de decisiones de inversiones. DOMINIO ADQUIRIR E IMPLEMENTAR AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 puesto que existe la conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnológicas, las necesidades son analizadas de manera informal y por ciertos individuos. RECOMENDACIONES COBIT • Resaltar, priorizar, especificar los requerimientos funcionales y técnicos de “DATA CENTER E.I.R.L”, priorizando el



desempeño, el costo, la confiabilidad, la compatibilidad, la auditoría, la seguridad, la disponibilidad, y continuidad, la ergonomía, funcionalidad y la legislación de “DATA CENTER E.I.R.L”. • Identificar, documentar y analizar los riesgos relacionados con los procesos del negocio para el desarrollo de los requerimientos. AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 2 por cuanto existen procesos de adquisición y mantenimiento de software aplicativo en base a la experiencia de TI, el mantenimiento a menudo es problemático. RECOMENDACIONES COBIT • Realizar un diseño detallado, y los requerimientos técnicos del software. • Garantizar integridad de la información, control de acceso, respaldo y pistas de auditoría. AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLÓGICA CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, ya que no se cuenta con un plan de adquisición de tecnología, por lo tanto no se controlan los procesos de adquirir, implantar y actualizar infraestructura tecnológica. RECOMENDACIONES COBIT • Proteger la infraestructura tecnológica mediante medidas de control interno, seguridad y auditabilidad durante la configuración, integración y mantenimiento de hardware y software de la infraestructura tecnológica. • Desarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cambios de esta. AI4. FACILITAR LA OPERACIÓN Y EL USO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que no existe una generación de documentación, ni políticas de generación de manuales, pero se tiene la conciencia de que esto es necesario, la mayor parte de la



documentación y procedimientos ya se encuentran caducados o desactualizados. RECOMENDACIONES COBIT • Realizar una transferencia de conocimiento a la parte gerencial lo cual permitirá que estos tomen posesión del sistema y los datos. • Mediante la transferencia de conocimientos a los usuarios finales se lograra que estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de “DATA CENTER E.I.R.L”. AI5. ADQUIRIR RECURSOS DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 4 ya que la adquisición de TI se integra totalmente con los sistemas generales del gobierno, ya que se sigue el proceso de compras públicas en la adquisición de algún recurso de TI. RECOMENDACIONES COBIT • Establecer buenas relaciones con la mayoría de proveedores y socios. • Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los términos contractuales. DOMINIO ESTREGAR Y DAR SOPORTE DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que no se administra los niveles de servicio, la rendición de cuentas no se encuentra definido realmente. RECOMENDACIONES COBIT • Se debe definir un marco de trabajo para la administración de los niveles de servicio. • Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos reporte deben mantener un formato entendible por parte de los interesados. DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 3 por cuanto existen procedimientos documentados



para controlar los servicios de terceros, los procesos son claros para realizar la negociación con los proveedores. RECOMENDACIONES COBIT • Establecer criterios formales y estandarizados para realizar la definición de los términos del acuerdo. • Asignar responsables para la administración del contrato y del proveedor. DS3. ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1, puesto que los usuarios regularmente tienen que resolver los inconvenientes que se presenten para aplacar las limitaciones de desempeño y capacidad. RECOMENDACIONES COBIT • Establecer métricas de desempeño y evaluación de la capacidad. • Realizar un monitoreo continuo del desempeño y la capacidad de los recursos de TI. DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez ,1 por cuanto no se cuenta con un plan de continuidad de servicios. RECOMENDACIONES COBIT • Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los sistemas de TI sean recuperados de forma efectiva. • Una vez realizada la reanudación exitosa de las funciones de TI, determinar la efectividad del plan de continuidad y realiza actualizaciones a este según amerite. DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 ya que la seguridad de los sistemas se encuentra a cargo de un solo individuo el cual es el Jefe del departamento Informático, no existen responsabilidades claras. RECOMENDACIONES COBIT



• Realizar pruebas a la implementación de la seguridad, de igual forma monitorear esta. • Garantizar que las características de posibles incidentes de seguridad sean definidas y comunicadas de forma clara y oportuna. DOMINIO MONITOREAR Y EVALUAR ME1. MONITOREAR Y EVALUAR EL DESEMPEÑO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto no se cuenta con un proceso implementado de monitoreo, así como con reporte útiles, oportunos y precisos sobre el desempeño. RECOMENDACIONES COBIT • Definir y recolectar los datos del monitoreo mediante un conjunto de objetivos, mediciones, metas y comparaciones de desempeño. • Evaluar el desempeño comparándolo periódicamente con las metas. ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0, por cuanto, No se tiene procedimientos para monitorear la efectividad de los controles internos. RECOMENDACIONES COBIT • Realizar una auto-evaluación del control interno de la administración de procesos, políticas y contratos de TI. • Si es necesario, mediante revisiones de terceros asegurar la completitud y efectividad de los controles internos. • Verificar que los proveedores externos cumplan con los requerimientos legales y regulatorios y con las obligaciones contractuales. ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 1 por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio.



RECOMENDACIONES COBIT • Tener muy en cuenta las leyes y reglamentos del comercio electrónico, privacidad, flujo de datos, reporte financieros, propiedad intelectual, etc. • Evaluar el cumplimiento de las políticas, estándares y procedimientos de TI. ME4. PROPORCIONAR GOBIERNO DE TI CONCLUSIÓN.- Este proceso se encuentra en el nivel de madurez 0 por cuanto no existe procesos de gobierno de TI. RECOMENDACIONES COBIT • Contribuir al entendimiento del consejo directivo y de los ejecutivos sobre temas estratégicos de TI tales como el rol de TI. • Garantizar la optimización de la inversión, uso y asignación de los activos de TI mediante evaluaciones periódicas.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACIÓN

CRITERIOS DE LA INFORMACIÓN

PORCENTAJE OBSERVACIONES

Efectividad 47.76%

El objetivo es alcanzar el 100%, para esto la información en “DATA CENTER E.I.R.L” debe ser entregada de forma oportuna, correcta, consistente y utilizable.

Eficiencia 49.59% El objetivo es alcanzar el 100%, para esto la información debe ser generada optimizando los recursos.

Confidencialidad 39.03% El objetivo es alcanzar el 100%, para lo cual se debe proteger la información sensitiva contra revelación no autorizada.

Integridad 35.05% El objetivo es alcanzar el 100%, para lo cual la información debe ser precisa, completa y valida.

Disponibilidad 32.96%

El objetivo es alcanzar el 100%, para la cual la información debe estar disponible cuando esta se requiera por parte de las áreas del negocio en cualquier momento.

Cumplimiento 51.93%

El objetivo es alcanzar el 100%, para lo cual se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como políticas internas.

Confiabilidad 50.97%

El objetivo es alcanzar el 100%, para lo cual se debe proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad.



3.2. INFORME EJECUTIVO En el Informe Ejecutivo se detallara los resultados de la evaluación a cada uno de los 34 procesos que recomienda COBIT 4.1 siendo evaluado en “DATA CENTER E.I.R.L” de Huaraz. Los criterios de información se encuentran en el siguiente porcentaje todos sobre el 100%.

La efectividad consiste en que la información relevante sea entregada de forma oportuna, correcta, consistente y utilizable, este criterio tiene un promedio del 47.76%.

La eficiencia consiste en que la información debe ser generada optimizando los recursos, este criterio tiene un promedio del 49.59%.

47.76% 52.24%

Criterio de Informacion: Efectividad

Efectividad

Déficit

49.59% 50.41%

Criterio de Información: Eficiencia

Eficiencia

Déficit



La confidencialidad consiste en que la información vital sea protegida contra la revelación no autorizada, este criterio tiene un promedio del 39.03%.

La integridad consiste en que la información debe ser precisa,

completa y valida, este criterio tiene un promedio del 35.05%.

La disponibilidad consiste en que la información este disponible cuando esta sea requerida por parte de las áreas del negocio en cualquier momento, este criterio tiene un promedio del 32.96%.

35.05% 64.95%

Criterio de Información: Integridad

Integridad

Déficit

39.03% 60.97%

Criterio de Información: Confidencialidad

Confidencialidad

Déficit

32.96% 67.04%

Criterio de Información: Disponibilidad

Disponibilidad

Déficit



El cumplimiento consiste en que se debe respetar las leyes, reglamentos y acuerdos contractuales a los que esta sujeta el proceso del negocio, como políticas internas, este criterio tiene un promedio del 51.93%.

La confiabilidad consiste en que se debe respetar proporcionar la información apropiada, con el fin de que la Gerencia General administre la entidad, este criterio tiene un promedio del 50.97%.

50.97% 49.03%

Criterio de Información: Confiabilidad

Confiabilidad

Déficit

51.93% 48.07%

Criterio de Información: Cumplimiento

Cumplimiento

Déficit



CONCLUSIONES

Con este estudio se ha dado un conjunto de directrices las cuales pueden ayudar a alinear TI con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempeño, así como el nivel de madurez de cada uno de los procesos de “DATA CENTER E.I.R.L”.

Los gerentes y usuarios son beneficiados con el desarrollo de COBIT 4.1, ya que este marco de referencia ayuda a estos individuos entender sus sistemas de TI, de igual forma decidir el nivel de seguridad y control para proteger los activos (información, hardware, software, etc.) de “DATA CENTER E.I.R.L” mediante un modelo de desarrollo de gobernación de TI.

Mediante el marco de referencia COBIT, se ha podido evaluar y diagnosticar los procesos de TI en “DATA CENTER E.I.R.L” de Huaraz. También se ha diagnosticado cada uno de los criterios de la información, los cuales son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.



RECOMENDACIONES Tomar en cuenta los procesos que se encuentran con el

nivel de madurez de 0 y 1, que son los de factor crítico. Realizar evaluaciones periódicas con el fin de medir el

avance de cada uno de los procesos estudiados en este trabajo.

Se debe utilizar software aplicativo con licenciamiento, así como adecuar las instalaciones del área de informática, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.

Hacer el uso del presente trabajo, con el fin de tomarlo como guía para futuras mejoras en TI.



GLOSARIO Auditoría Informática.- Proceso de recoger, agrupar, evaluar evidencias para evidenciar si un sistema informático o estructura informática protege los activos intangibles o tangibles de la empresa. COBIT.- (Control Objetives Information Technologies), modelo de referencia utilizado en el control de tecnologías de la información así como su control. Madurez.- Nos muestra en nivel de confiabilidad en los procesos que utiliza una empresa. Arquitectura de la información.- Es la disciplina y arte encargada del estudio, análisis, organización, disposición y estructuración de la información en espacios de información, y de la selección y presentación de los datos en los sistemas de información interactivos y no interactivos. COSO.- (Committee Of Sponsoring Organizations), es un modelo de control de negocios, que proporciona un estándar a partir del cual las organizaciones (grandes o pequeñas, en el sector público o privado, con fines de lucro o sin él) pueden evaluar sus procesos de control y determinar cómo mejorar su desempeño. TI.- Tecnologías de la Información. Plan Estratégico.- Es un plan a largo plazo aprobado por una empresa. Problema.- Es la causa desconocida de uno o varios incidentes.



BIOGRAFÍA Direcciones Electrónicas:

ISACA ORG. Obtain Cobit http://www.isaca.org/Content/NavigationMenu/Members and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm Diciembre 2008.

WIKIPEDIA, Objetivos de control para la información y

tecnologías relacionadas. http://es.wikipedia.org/wiki/COBIT

WIKIPEDIA, Auditoria Informática

http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica

Textos: Escuela Politécnica Nacional, Auditoria de la Gestión de las

Tecnologías de la Información en el Gobierno Municipal de San Miguel de Urcuqui, utilizando como modelo de referencia COBIT 4.0.

COBIT 4.1 Marco Referencial, Emitido por el Comité Directivo de COBIT y El IT Governance Institute 2007.

http://www.isaca.org/Content/NavigationMenu/Members%20and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

http://www.isaca.org/Content/NavigationMenu/Members%20and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

http://es.wikipedia.org/wiki/COBIT





ANEXOS A. Cuestionario de Auditoría correspondiente al

funcionamiento del Área de Informática: ¿Se tiene restringida la operación del sistema de cómputo a los usuarios?

SI ( ) NO ( )

¿Son funcionales los muebles asignados para los equipos de cómputo?

SI ( ) NO ( )

B. Cuestionario de Auditoría correspondiente a la seguridad física: ¿“DATA CENTER E.I.R.L” cuenta con extintores de fuego?

SI ( ) NO ( )

¿Existe salida de emergencia?

SI ( ) NO ( )

¿Existe alarma para detectar fuego (calor o humo) en forma automática?

SI ( ) NO ( )

¿Existen una persona responsable de la seguridad?

SI ( ) NO ( )



El lugar donde se encuentra “DATA CENTER E.I.R.L” está situado a salvo de: a) ¿Inundación? ( ) b) ¿Terremoto? ( ) c) ¿Fuego? ( ) d) ¿Sabotaje? ( )

C. Cuestionario de Auditoria en Comunicaciones y Redes: ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados? ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas?



¿Existen protocolos de comunicaron establecida?

¿Existe un plan de infraestructura de redes? ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de red?

Date post:	26-Oct-2015
Category:	Documents
Upload:	estaniz-vn
View:	455 times
Download:	4 times

Proyecto Auditora informatica Data Center.pdf

Documents