Proyectodeauditorainformticaenlaempresadatacentere I R Laplicandolametodologacobit4 1 111218213101 Phpapp01 PDF

UNIVERSIDAD NACIONAL
SANTIAGO ANTNEZ DE MAYOLO

FACULTAD DE CIENCIAS

TEMA:
Proyecto de Auditora Informtica en la
Organizacin DATA CENTER E.I.R.L
aplicando la Metodologa COBIT 4.1
DOCENTE:
Ing. Fabian M. Espinoza Barreto
ALUMNO:
Ramrez Huamn, Luis Angello
SEMESTRE / CICLO:
2011-II / IX

Huaraz-Ancash-Per
II

DEDICATORIA
Dedico este presente trabajo a
Dios en primer lugar por
brindarme la vida, a mis Padres, y
a mis Hermanos quienes con sus
sabios consejos me orientan en el
presente en busca de un maana
mejor. Sencillamente, ustedes son
la base de mi vida profesional y
toda la vida les estar agradecido.
III

AGRADECIMIENTO
Al Ing. Fabian M. Espinoza Barreto
por toda su dedicacin brindada
en este proceso de
asesoramiento brindado ya que
sin l no tendra los resultados
obtenidos, muchas gracias.

IV
NDICE

N Pg

INTRODUCCIN.VII

CAPTULO I

PLANTEAMIENTO DEL PROBLEMA

1.1. CARACTERIZACIN DE LA EMPRESA..9
1.1.1. NATURALEZA DE LA EMPRESA.9
1.1.2. UBICACIN GEOGRFICA9
1.1.3. VISIN11
1.1.4. MISIN..11
1.1.5. OBJETIVOS ESTRATGICOS..11
1.1.5.1. ANLISIS FODA.11
1.1.5.2. METAS ORGANIZACIONALES..12
1.1.5.3. OBJETIVOS ESTRATGICOS..12
1.1.6. ORGANIGRAMA DE LA EMPRESA13
1.1.6.1. DESCRIPCIN DE LA GERENCIA Y REAS14
1.2. METODOLOGA COBIT..15
1.2.1. MODELOS DE MADUREZ..15
1.2.2. AUDITORIA DE TICS CON COBIT..17
1.2.2.1. REA A AUDITAR.17
1.2.2.2. RECLUTAMIENTO DE LA INFORMACIN17
1.2.2.3. DOCUMENTOS DE GESTIN DEL REA DE
INFORMTICA..17
1.2.2.4. PLAN DE LA AUDITORIA EN EL REA DE
INFORMTICA..18
1.2.2.5. HERRAMIENTAS Y TCNICAS..18
1.2.2.6. MOTIVO O NECESIDAD DE UNA AUDITORIA
INFORMTICA..18
1.2.2.7. MODELOS DE MADUREZ A NIVEL CUALITATIVO
(COSO)...19

V
CAPTULO II

EJECUCIN DE LA AUDITORIA

2.1. SITUACIN ACTUAL DEL REA DE SISTEMAS...22
2.1.1. OBJETIVOS DEL DEPARTAMENTO..23
2.1.2. ORGANIGRAMA DEL DEPARTAMENTO..24
2.1.3. SEGURIDAD DEL DEPARTAMENTO.24
2.1.4. CARACTERIZACIN DE LAS TECNOLOGAS DE
INFORMACIN Y COMUNICACIN26
2.1.5. TOPOLOGA DE LA EMPRESA.28
2.1.6. CARACTERIZACIN DE LA CARGA29
2.1.7. DETERMINACIN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPTESIS.29
2.1.7.1. POSIBLES PROBLEMAS......29
2.1.7.2. FORMULACIN DE HIPTESIS..29
2.2. REALIZACIN DE LA AUDITORIA30
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS..30
2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ.52
2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE
INFORMACIN POR IMPACTO.55
2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS
CRITERIOS DE INFORMACIN58
2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS
CRITERIOS DE INFORMACIN60

CAPTULO III

ANLISIS DE LOS RESULTADOS

3.1. INFORME TCNICO..62
3.2. INFORME EJECUTIVO.70
CAPTULO IV

CONCLUSIONES Y RECOMENDACIONES

4.1. CONCLUSIONES.74
4.2. RECOMENDACIONES.75

VI
GLOSARIO..76
BIOGRAFA.77
ANEXOS..78

VII
INTRODUCCIN

A finales del siglo XX, los Sistemas Informticos se han
constituido en las herramientas ms poderosas para materializar
uno de los conceptos ms vitales y necesarios para cualquier
Organizacin Empresarial, los Sistemas de Informacin de la
Organizacin. Donde los Sistemas Informticos hoy en da
constituyen una herramienta bastante poderosa para la mejora
de rendimiento de toda la Organizacin.
Por lo ello se realiza una auditoria informtica en la Organizacin
DATA CENTER E.I.R.L tomando muy en cuenta la dependencia
critica de muchos procesos de negocios sobre las Tecnologas de
la Informacin, con el objetivo de cumplir con los requerimientos
existentes y los beneficios de administrar los riesgos
efectivamente, utilizando como modelo de referencia COBIT 4.1,
mediante la evaluacin de 34 procesos que define esta
metodologa, agrupados en 4 dominios (Planear y Organizar,
Adquirir e Implementar, Entregar y Dar Soporte, y Monitorear y
Evaluar), estos procesos son ubicados en los niveles de madurez
en los cuales se encuentran en la actualidad, para luego dar las
respectivas recomendaciones que sugiere COBIT 4.1, mediante
este trabajo se pretende solucionar varios problemas como el
servicio eficiente a los clientes y el aprovechamiento eficaz y
eficiente de los recursos tecnolgicos y humanos que cuenta la
Organizacin en estudio.

Auditor: Ramrez Huamn, Luis Angello Pgina 9

Universidad Nacional
Santiago Antnez de Mayolo Ing. de Sistemas e Informtica Ing. de Sistemas e Informtica

1.1. CARACTERIZACIN DE LA EMPRESA

1.1.1. NATURALEZA DE LA EMPRESA
El 20 de Agosto de 2001 nace DATA CENTER E.I.R.L en
Huaraz Paraso Natural capital del Departamento de
Ancash, para brindar un servicio de calidad y excelencia al
pueblo de Huaraz, la regin de Ancash y al Pas, de acuerdo
a la necesidad existente en cada uno de estos entes,
buscando lograr la competitividad, reconocimiento e
innovacin en dicho rubro.
Uno de los hechos ms resaltantes de su historia es el
haber apostado por el negocio de venta de computadoras y
accesorios, soporte tcnico, diseo de pgina webs y redes.
Siendo sus inicios el soporte tcnico de computadoras,
logrando as con el tiempo ser reconocida en el mercado
local, para posteriormente realizar venta de computadoras
y accesorio, conjuntamente con los dems servicios que
brinda. El valor agregado que DATA CENTER E.I.R.L es
transmitir a sus clientes la seguridad en la compra de
computadoras y accesorios, sabiendo que cuenta con una
slida garanta, respaldo y servicio de post-venta.
Sin embargo, DATA CENTER E.I.R.L mantuvo su estrategia
y fue reconocida claramente por sus clientes como una
Organizacin netamente integradora.

1.1.2. UBICACIN GEOGRFICA
La Organizacin DATA CENTER E.I.R.L se encuentra
ubicado en el Jr. San Martin 561 en el Distrito de Huaraz,
Provincia de Huaraz, Departamento de Ancash.


Cdigo de Ubicacin Geogrfica (UBIGEO):

Ubicacin Exacta:
DATA CENTER E.I.R.L


1.1.3. VISIN
Ser la Organizacin Lder en Gestin de Tecnologas de la
Informacin de nuestra localidad, regin y pas, reconocida
por la excelencia de sus servicios, y por la calidad
profesional y tica de sus miembros

1.1.4. MISIN
La Organizacin DATA CENTER E.I.R.L es una compaa
dedicada a la prestacin de servicios informticos, as como
al completo suministros de equipos de cmputo, localizada
en el sector de las PYMES y particulares, llevando a cabo su
funcin con criterios de una alta calidad, profesionalismo y
rigor, utilizando para ello las ms modernas tecnologas y
orientada a la plena satisfaccin del cliente

1.1.5. OBJETIVOS ESTRATGICOS
1.1.5.1. Anlisis FODA
ANLISIS INTERNO
FORTALEZAS DEBILIDADES
Tratamiento personalizado a
clientes, orientacin y
asesoramiento.
Integracin de productos y
servicios buscando sinergias entre
ellos.
Innovacin Constante.
Personal debidamente Capacitado
y comprometido con la visin de
la Organizacin.
Control de Almacn.
Realizar grandes proyectos en el
sector privado y pblico.
Dependencia de los servicios
subcontratados.
Sistema de Informacin
Integrado (Compras, ventas,
Almacn y Krdex).
ANLISIS EXTERNO
OPORTUNIDADES AMENAZAS
Valoracin positiva de las TIC en
la Organizacin.
Costos cada vez menores para las
Organizaciones para la aplicacin
de las TIC.
Lealtad de los clientes hacia la
Organizacin.
Ubicacin Cntrica del Local.
Oferta de productos a menor
precio por parte de la
competencia.
La inestabilidad econmica de
los pobladores de la cuidad de
Huaraz.
Cambios repentinos de los
Sistemas Informticos.
Incremento de la Competencia.


1.1.5.2. Metas Organizacionales
a. Corto Plazo
Abastecimiento de las reas de la
Organizacin segn sus necesidades
primarias.
b. Mediano Plazo
Realizar la capacitacin a todo el
personal, la renovacin tecnolgica,
humana y la infraestructura de la
Organizacin.
c. Largo Plazo
Lograr la expansin demogrfica en el
rubro, con innovaciones tecnolgicas y
el desarrollo de un sistema de
informacin integrado.
1.1.5.3. Objetivos Estratgicos
Desarrollar estrategias para llamar la
atencin de nuevos clientes.
Aprovechar la Tecnologa para Desarrolla
un Sistema de Informacin Integral de
Calidad.
Aprovechar el buen clima para capacitar
al personal de la Organizacin.
Desarrollar servicios nuevos que mejoren
el nivel del servicio.
Explotar el potencial humano y
tecnolgico para una ptima
productividad de los mismos.


Santiago Antnez de Mayolo Ing. de Sistemas e Informtica
1.1.6. ORGANIGRAMA DE LA EMPRESA
Gerencia
General
rea de
Informtica
Diseo
Web
Redes
Servicio
Tcnico
rea de
Administracin
Logstica
Recursos
Humanos
Contabilidad
rea de
Comercio
Ventas Compras Almacn


1.1.6.1 Descripcin de la Gerencia y reas
a. Gerencia General.- Tiene como propsito,
organizar, dirigir y coordinar el
funcionamiento y desarrollo de los
procesos y actividades diarias, de acuerdo
a las polticas de la Organizacin.
b. rea de Negocios.- Se encarga de
planificar, controlar y verificar los procesos
de compra y venta; como tambin la
recepcin y clasificacin en almacn, de los
equipos de cmputo, accesorios y otros.
c. rea de Administracin.- Se encarga de
velar por una adecuada organizacin,
soporte logstico, administracin eficiente
en el uso de los bienes, muebles e
inmuebles, y el recurso humano de la
Organizacin en General.
d. rea de Informtica.- Se encarga de
integrar y coordinar los servicios
informticos, la misma que tiene que estar
subdividida a su vez por tres unidades
internas (hardware, software y redes), con
el fin de ser ms especficos al
equipamiento, comunicaciones y
aplicaciones, para brindar un servicio de
calidad.


1.2. METODOLOGA COBIT
Marco de Trabajo Completo de COBIT
1.2.1. MODELOS DE MADUREZ
En la actualidad se pide a los directivos y ejecutivos de la
Organizacin que tomen muy en cuenta una correcta
administracin de las TI. Para esto se debe realizar un plan
de negocio para alcanzar un nivel ptimo de administracin
y control de la Tecnologas de la Informacin.


Estos modelos de madurez estn diseados como perfiles
de procesos de TI que una Organizacin los reconocera
como estados posiblemente actuales y futuros, estos
modelos no estn diseados para ser limitantes, donde no
se puede pasar a los niveles superiores sin haber cumplido
antes los niveles antecesores, al usar los modelos de
madurez para los 34 procesos de TI de COBIT, la
administracin podr identificar:
El desempeo real de la Organizacin: Donde se
encuentra la Organizacin hoy.
El Status actual de la industria: La comparacin
EL objetivo de la mejora de la Organizacin: Donde
desea estar la Organizacin.
Se ha definido un modelo de madurez para cada uno de
los 34 procesos de TI, con una escala de medicin
creciente a partir de 0, no existente, hasta 5,
optimizado, la ventaja es que es relativamente fcil para la
direccin ubicarse a s misma en una escala y de esta
forma evaluar que se debe hacer si se requiere una
mejora.
A continuacin se presenta el modelo de madurez
genrico a usarse en esta auditora:
0
NO EXISTENTE
Carencia completa de cualquier proceso reconocible.
La Organizacin no ha reconocido siquiera que existe un
problema a resolver.
1
INICIAL
Existe evidencia que la empresa ha reconocido que
los problemas existen y requieren ser resueltos. Sin
embargo; no existen procesos estndar en su lugar
existen enfoques ad hoc que tienden a ser aplicados de
forma individual o caso por caso. El enfoque general
hacia la administracin es desorganizado.
2
REPETIBLE
Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes reas
que realizan la misma tarea. No hay entrenamiento o
comunicacin formal de los procedimientos estndar, y
se deja la responsabilidad al individuo. Existe un alto
grado de confianza en el conocimiento de los individuos y,
por lo tanto, los errores son muy probables.


3
DEFINIDO
Los procedimientos se han estandarizado y
documentado, y se han difundido a travs de
entrenamiento. Sin embargo, se deja que el individuo
decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en s no son
sofisticados pero formalizan las prcticas existentes.
4
ADMINISTRADO
Es posible monitorear y medir el cumplimiento de los
procedimientos y tomar medidas cuando los procesos
no estn trabajando de forma efectiva. Los procesos estn
bajo constante mejora y proporcionan buenas prcticas.
Se usa la automatizacin y herramientas de una manera
limitada o fragmentada.
5
OPTIMIZADA
Los procesos se han refinado hasta el nivel de mejor prctica,
se basan en los resultados de mejoras continuas y en un
modelo de madurez con otras empresas. TI se usa de forma
integrada para automatizar el flujo de trabajo, brindando
herramientas para mejorar la calidad y la efectividad,
haciendo que la empresa se adapte de manera rpida.

1.2.2. AUDITORIA DE TICS CON COBIT
1.2.2.1. rea a Auditar
La Auditora realizada por Ramrez Huamn, Luis Angello,
ser en el rea de Informtica de DATA CENTER
E.I.R.L, debido a que all se encuentran ubicados gran
parte de los equipos de cmputo con los que cuenta la
Organizacin DATA CENTER E.I.R.L.
1.2.2.2. Reclutamiento de la Informacin
Por medio de la observacin realizada se procedi a la
realizacin de entrevistas y cuestionarios con el Gerente
General de DATA CENTER E.I.R.L; y as poder
determinar con ms precisin cuales son los problemas
presentados y poder dar un dictamen ms especifico.
(Anexo A, B, C)
1.2.2.3. Documentos de Gestin del rea de Informtica
Actualmente DATA CENTER E.I.R.L no cuenta con el
manual de procedimientos administrativos informticos,
ni tampoco cuenta con la documentacin requerida las
cuales son:
Mantenimiento de Equipos de Cmputo.
Un Plan de Contingencias.


Seguridad de datos y equipos de Cmputo.
1.2.2.4. Plan de la Auditoria en el rea de Informtica
Para el Plan de desarrollo de la Auditoria, se cuenta con
el apoyo de la alta gerencia de la Organizacin,
solicitando la participacin de los principales
trabajadores de la Organizacin y en donde se realizaran
las siguientes acciones:

N ACTIVIDADES
1 Observacin General del rea de Informtica.
2 Entrevistas a los trabajadores del rea de Informtica.
3 Analizar con que documentos de Gestin y Tcnicos cuentas.
4
Verificar si que los equipos de los que se cuenta en la
actualidad concuerdan con su inventario.
5
Anlisis de las claves de acceso, control, seguridad,
confiabilidad y respaldos.
6
Evaluar las tecnologas de informacin (TI), tanto en
hardware como en software.
7 Evaluacin de la seguridad fsica, lgica y de redes.

1.2.2.5. Herramientas y Tcnicas
HERRAMIENTAS TECNICAS
Cuaderno de Apuntes, Papel,
Lapicero, Antivirus Eset Smart
Security 4.0, Microsoft Office
2010 y otros.
Observacin, entrevistas
y cuestionarios.

1.2.2.6. Motivo o necesidad de una Auditoria Informtica
Sntomas de mala imagen e insatisfaccin de los
usuarios.
Sntomas de debilidad econmico financiero.
Sntomas de Inseguridad.
Sntomas de descoordinacin y desorganizacin.



1.2.2.7. Modelos de Madurez a nivel Cualitativo (COSO)
A continuacin se representa en una tabla el impacto
de los objetivos de control de COBIT 4.1 sobre los
criterios y recursos de TI.
La nomenclatura utilizada en los criterios de
informacin para esta tabla es la siguiente (P), cuando
el objetivo de control tiene un impacto directo al
requerimiento, (S), cuando el objetivo de control tiene
un impacto indirecto es decir no completo sobre el
requerimiento, y finalmente ( ) vaco, cuando el objetivo
de control no ejerce ningn impacto sobre el
requerimiento, en cambio cuando se encuentra con (X)
significa que los objetivos de control tienen impacto en
los recursos, y cuando se encuentra en blanco ( ), es que
los objetivos de control no tienen ningn impacto con los
recursos.

OBJETIVOS DE CONTROL DE COBIT

CRITERIOS DE INFORMACIN DE
COBIT

RECURSOS DE TI
DE COBIT

E
F
E
C
T
I
V
I
D
A
D

E
F
I
C
I
E
N
C
I
A

C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D

I
N
T
E
G
R
I
D
A
D

D
I
S
P
O
N
I
B
I
L
I
D
A
D

C
U
M
P
L
I
M
I
E
N
T
O

C
O
N
F
I
A
B
I
L
I
D
A
D

P
E
R
S
O
N
A
S

I
N
F
O
R
M
A
C
I
N

A
P
L
I
C
A
C
I
N

I
N
F
R
A
E
S
T
R
U
C
T
U
R
A

PLANEAR Y ORGANIZAR
PO1 Definir un plan estratgico de TI.

X X X X
PO2 Definir la arquitectura de la informacin

X X

PO3 Definir la direccin tecnolgica.

X X

PO4
Definir los procesos, organizacin y
relaciones de TI.

X

PO5 Administrar la inversin en TI. X

X X

PO6
Comunicar las metas y la direccin de la
gerencia.

X

X

PO7 Administrar los recursos humanos de TI. X

PO8 Administrar la calidad. X X X X
PO9 Evaluar y administrar los riegos de TI. X X X X
PO10 Administrar los proyectos.

P P

X

X X
ADQUIRIR E IMPLEMENTAR

AI1 Identificar las soluciones automatizadas.

P S

X X
AI2 Adquirir y mantener software aplicativo. P P

S

S

X

AI3
Adquirir y mantener la infraestructura
tecnolgica.

S

P

S

S

X
AI4 Facilitar la operacin y el uso. P P

S S S S X

X X
AI5 Procurar recursos de TI. S P

S

X X X X
AI6 Administrar los cambios. P P

P P

S X X X X
AI7 Instalar y acreditar soluciones y cambios. P S

S S

X X X X


ENTREGAR Y DAR SOPORTE

DS1
Definir y administrar los niveles de
servicio.

P

P

S

S

S

S

S

X

X

X

X
DS2 Administrar los servicios de terceros. P P S S S S S X X X X
DS3 Administrar el desempeo y capacidad. P P

S

X X
DS4 Asegurar el servicio continuo. P S

P

X X X X
DS5 Garantizar la seguridad de los sistemas.

P P S S S X X X X
DS6 Identificar y asignar costos.

P

P X X X X
DS7 Educar y entrenar a los usuarios. P S

X

DS8
Administrar la mesa de servicio y los
incidentes.

P

P

X

X

DS9 Administrar la configuracin. P S

S

S

X X X
DS10 Administrar los problemas. P P

S

X X X X
DS11 Administrar los datos.

P

P

X

DS12 Administrar el ambiente fsico.

P P

X
DS13 Administrar las operaciones. P P

S S

X X X X
MONITOREAR Y EVALUAR

ME1
Monitorear y evaluar el desempeo de
TI.

P

P

S

S

S

S

S

X

X

X

X
ME2 Monitorear y evaluar el control interno. P P S S S S S X X X X
ME3 Garantizar el cumplimiento regulatorio.

P S X X X X
ME4 Proporcionar gobierno de TI. P P S S S S S X X X X

Para tener un porcentaje de los criterios de la informacin,
asignamos un valor para el impacto primario, de igual forma
tendremos un valor para el impacto secundario.
Este porcentaje lo estableceremos en base a la propuesta
metodolgica para el manejo de riesgos COSO (Sponsoring
Organizations of the Treadway), como se muestra en la tabla.

Promedio de Impactos, fuente COBIT 4.1
CALIFICACION IMPACTO PROMEDIO
15% 50% BAJO 32
51% 75% MEDIO 63
76% 95% ALTO 86


Santiago Antnez de Mayolo
Ing. de Sistemas e Informtica
2.1. SITUACIN ACTUAL DEL REA DE SISTEMAS

a. Ubicacin:
El rea de Informtica se ubica al lado del rea de
Negocios, teniendo la responsabilidad de gestionar los
procesos tcnicos de informtica.

Ubicacin Fsica del rea de Informtica

b. Cargos Funcionales y Operativos:

Apellidos y Nombres
(Trabajadores)
Cargos
Operativos
Cargos Funcionales
Ing. Lzaro Montaez, Heyner
Gerente
General
Realiza la compra y venta de
los productos, organiza y
coordina las actividades, y
delega funciones al personal
Romero Castillo, Jos Carlos
Tcnico en
Informtica y
Redes
Realiza el Soporte Tcnico de
Computadoras y Redes
Ramrez Huamn, Luis Angello
Asistente
Tcnico en
Informtica y
Redes
Montaez Araujo, Sarita Eva Vendedora
Realiza las ventas de equipos
Informticos


2.1.1. OBJETIVOS DEL DEPARTAMENTO
Recomendar la adquisicin de hardware, software
bsico y de aplicaciones conveniente y necesario.
Estructurar, ejecutar y actualizar el plan estratgico del
Sistema de Informacin, segn los requerimientos de las
reas y la coordinacin con la Gerencia General.
Proporcionar mecanismos de seguridad tanto lgica y
fsica del hardware, software y redes de DATA CENTER
E.I.R.L.
Aprovechar de las Redes Sociales (Facebook, MySpace y
otros) para publicitar a la Organizacin, ya que no
incurre ningn costo.
Mantener actualizado el inventario del parque
informtico y los precios de los productos de la base de
datos, para la cotizacin correcta.
Planificar y mantener actividades de Backups (copias de
respaldo) de forma peridica en medios fsicos de
almacenamiento masivo.
Aprovechar la tecnologa existente para redisear el
Website actual, convirtindolo en portal dinmico,
donde puedan realizarse las operaciones
transaccionales de la Organizacin y consultas comunes
para los usuarios y clientes.
Asesorar, administrar y proporcionar el soporte
tecnolgico al personal de todas las reas de DATA
CENTER E.I.R.L.
Proponer a la alta gerencia de poder involucrarnos en
proyectos corporativos y sociales.


2.1.2. ORGANIGRAMA DEL DEPARTAMENTO

2.1.3. SEGURIDAD DEL DEPARTAMENTO
a. Seguridad Fsica:
Establecer un sistema contra incendios y la
capacitacin adecuada para el manejo de
estos.
Contar con agentes de seguridad para el
resguardo del establecimiento, principalmente
en las noches, debido a la creciente
delincuencia.
Contar con un espacio adecuado para el
alojamiento de los servidores.

REA DE
INFORMTICA
SERVICIO
TCNICO
SOFTWARE
HARDWARE
REDES
MICROSOFT
LINUX
SATELITAL
DISEO WEB
WEB
CORPORATIVO
WEB
PERSONAL


b. Seguridad Legal:
Hacer uso de estndares y metodologas de
calidad (IEEE, ISO y otros) al brindar los
servicios de redes y diseo de pginas web.
Contar con las licencias de los sistemas
operativos (Microsoft) en uso.
Realizar una auditoria de la tecnologas de la
informacin externa a DATA CENTER E.I.R.L
c. Seguridad de Datos:
Realizar peridicamente backups de la base de
datos del sistema de informacin.
Procesar los datos ms importantes de la
Organizacin en las aplicaciones tecnolgicas
(hojas de clculo, procesadores de texto y
otros) y al sistema de informacin.
Restringir al acceso al sistema de informacin
y al servidor para que la data no sea
adulterada.
d. Seguridad de Personas:
Renovar los implementos de seguridad de los
tcnicos de informtica.
Realizar las sealizaciones ssmicas
pertinentes en el establecimiento ante un
desastre ssmico.
Establecer polticas de integridad fsica y
mental para el personal que labora, dentro de
sus horas de trabajo.


2.1.4. CARACTERIZACIN DE LAS TECNOLOGAS DE INFORMACIN Y COMUNICACIN

a. Recursos Humanos:

GERENCIA/REA
LABORAL
APELLIDOS Y
NOMBRES
(TRABAJADORES)
CARGOS TITULO FUNCIN
TIEMPO DE
SERVICIO
Gerencia
General
Ing. Lzaro
Montaez,
Heyner
Gerente
General
Ing. de
Informtica y
Sistemas
Realiza la compra y venta de
los productos, organiza y
coordina las actividades, y
delega funciones al personal
Estable
rea de
Informtica
Romero Castillo,
Jos Carlos
Tcnico en
Informtica
y Redes
Tcnico
7 meses
rea de
Informtica
Ramrez Huamn,
Luis Angello
Asistente
Tcnico en
Informtica
y Redes
Tcnico
3 meses
rea de
Comercio
Montaez
Araujo, Sarita Eva
Vendedora
Secretariado
Ejecutivo
Computarizado
Realiza las ventas de equipos
Informticos
2 aos


b. Hardware:

NOMBRE DEL EQUIPO CARACTERSTICAS UTILIDAD
PC 01
CPU
I5
1.8 GHz
Servidor Proxy
Memoria RAM 4 GB
Disco Duro 1 TB
PC 02
CPU
Corel 2 duo
2.0 GHz
PC para el
Sistema de
Informacin
Memoria RAM 4 GB
Disco Duro
S-ATA 7200
500 GB
Tarjeta de Red
D-Link DFE-530 PCI
Fast Ethernet Adapter
Monitor Samsumg 17 "
Impresora
Hp Laserjet
1200 series
PC 03
CPU
Corel 2 duo
2.8 GHz
PC para
Soporte
Tcnico
Memoria RAM 2 GB
Disco Duro
S-ATA 7200
300 GB
Tarjeta de Red
D-Link DFE-530 PCI
Fast Ethernet Adapter
Monitor Samsumg 17 "
Impresora
Hp Laserjet
1200 series

c. Software:

NOMBRE DEL EQUIPO SISTEMA OPERATIVO APLICACIONES
PC 01 Linux-CentOS Ver. 5.0
MySQL 5.1 Server
Open Office 3.5
Apache 6.0
FileZilla Server 3.5.2
PC 02
Microsoft Windows Seven Ultimate con
Service Pack 2
DBMS SQL Server
2005
NetBeans 6.7.1
Suite Office 2010
Utilitarios Bsicos
PC 03
Microsoft Windows Seven Ultimate con
Service Pack 2
Suite Office 2010
Utilitarios Bsicos


2.1.5. TOPOLOGA DE LA EMPRESA
La empresa proveedora a DATA CENTER E.I.R.L de Internet es Movistar (Per)-Huaraz de 2 Mb, con
el tipo de servicio a internet ADSL, con una topologa de red estrella.


2.1.6. CARACTERIZACIN DE LA CARGA
"DATA CENTER E.I.R.L" cuenta con 3 computadoras que son
las siguientes: Servidor Proxy, PC para soporte tcnico y PC
para el funcionamiento de Sistema de Informacin, donde
cada trabajador ingresa a los mismos dependiendo de la
actividad que desempeen dentro de la Organizacin.
Las actividades que se realizan en la empresa son de lunes
a sbado desde 9:00 a.m hasta 8:00 p.m, realizando los
servicios de mantenimiento de PC, diseo de pagina web y
otros, como tambin a la venta de equipos y accesorios de
computo.

2.1.7. DETERMINACIN DE PROBLEMAS Y
PLANTEAMIENTO DE HIPTESIS
2.1.7.1. Posibles Problemas
Falta total o parcial de seguridades lgicas y fsicas
que garanticen la integridad del personal, equipos
e informacin.
Falta de una planificacin informtica.
Disminucin considerable e injustificable del
presupuesto del rea de Comercio.
Falta de documentacin del sistema de
informacin y del servidor en uso, lo que dificulta
efectuar el mantenimiento de estos.
Organizacin que no funciona correctamente por
la falta de polticas, normas, metodologa,
asignacin de tareas, debidamente establecida por
la Gerencia General.
2.1.7.2. Formulacin de Hiptesis
No se cuenta con la seguridad en general de los
recursos informticos y humanos de la
Organizacin, debido a que no existen polticas de
negocio bien definidas, como tambin una
planificacin informtica, teniendo como


consecuencia problemas econmicos y de
tecnologa de informacin (Hardware y Software).

2.2. REALIZACIN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS
Se mostrara a continuacin una ficha por cada uno de los
objetivos haciendo un anlisis de los modelos de madurez
de COBIT 4.1, para determinar el nivel mnimo que no
cumple la Organizacin que a su vez califica el nivel en
dicho objetivo.

DOMINIO: PLANIFICAR Y ORGANIZAR
PO1: Definir el Plan Estratgico de Tecnologa de la Informacin
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No existe conciencia por parte de
la gerencia de que la planeacin
estratgica de TI es requerida para
dar soporte a las metas del
negocio.

GRADO DE MADUREZ
El proceso de Definir el Plan Estratgico
de Tecnologa Informacin esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Que no existe un plan estratgico
de TI y estrategias de recursos de
la Organizacin.
No se realizar planes a largo plazo
de TI, haciendo solo
actualizaciones debido a los
avances tecnolgicos.
Nivel
1
La planeacin estratgica de TI se
discute de forma ocasional en las
reuniones de la gerencia.

Nivel
2
Las decisiones estratgicas se
toman proyecto por proyecto,
sin ser consistentes con una
estrategia global de la
organizacin.

Nivel
3
La planeacin estratgica de TI
sigue un enfoque estructurado, el
cual se documenta y se da a
conocer a todo el equipo. Las
estrategias de recursos humanos,
tcnicos y financieros de TI
influencian cada vez ms la
adquisicin de nuevos productos
y tecnologas.

Nivel
4
Existen procesos bien definidos
para determinar e uso de
recursos internos y externos
requeridos en el desarrollo y las


operaciones de los sistemas.
Nivel
5
Se desarrollan planes realistas a
largo plazo de TI y se actualizan de
manera constante para reflejar los
cambiantes avances tecnolgicos
y el progreso relacionado al
negocio.

RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as
como de los sistemas de informacin y su impacto de los objetivos de DATA CENTER
E.I.R.L
En el Largo Plazo:
Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes
deben ser bien detallados para poder realizar la definicin de planes proyectados.

PO2: Definir la Arquitectura de la Informacin
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
El conocimiento, la experiencia y las
responsabilidades necesarias para
desarrollar esta arquitectura no
existen en la organizacin.

GRADO DE MADUREZ
El proceso de Definir la Arquitectura de
la Informacin esta en el nivel de
madurez 1.
Que no se resolvi necesidades
futuras del negocio realizando el
proceso de la arquitectura de la
informacin.
Aprovechar las habilidades
personales para la construccin
de la arquitectura de la
informacin.
Nivel
1
La gerencia reconoce la necesidad de
una arquitectura de informacin. El
desarrollo de algunos componentes
de una arquitectura de informacin
ocurre de manera ad hoc.

Nivel
2
Las personas obtienen sus
habilidades al construir la
arquitectura de informacin por
medio de experiencia prctica y la
aplicacin repetida de tcnicas.

Nivel
3
Existe una funcin de administracin
de datos definida formalmente, que
establece estndares para toda la
organizacin, y empieza a reportar
sobre la aplicacin y uso de la
arquitectura de la informacin.


Nivel
4
El proceso de definicin de la
arquitectura de informacin es pro-
activo y se enfoca en resolver
necesidades futuras del negocio.

Nivel
5
El personal de TI cuenta con la
experiencia y las habilidades
necesarias para desarrollar y dar
mantenimiento a una arquitectura de
informacin robusta y sensible que
refleje todos los requerimientos del
negocio.

RECOMENDACIONES
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la informacin.
Ser participe de la construccin de la arquitectura de la informacin para incrementar sus
habilidades.
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
ser til para la creacin, uso y comparticin ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrnico, como bases de datos,
almacenamiento de datos y archivos.

PO3: Determinar la Direccin Tecnologa
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No existe conciencia sobre la
importancia de la planeacin de la
infraestructura tecnolgica para la
entidad.

GRADO DE MADUREZ
El proceso de Determinar la Direccin
Tecnologa esta en el nivel de madurez 1.
Desarrollar las habilidades para la
elaboracin del plan de la
infraestructura tecnolgica.
Realizar un plan de
infraestructura tecnolgica.
Nivel
1
La gerencia reconoce la necesidad
de planear la infraestructura
tecnolgica. El desarrollo de
componentes tecnolgicos y la
implantacin de tecnologas
emergentes son ad hoc y aisladas.

Nivel
2
La evaluacin de los cambios
tecnolgicos se delega a individuos
que siguen procesos intuitivos,
aunque similares.


Nivel
3
Existe un plan de infraestructura
tecnolgica definido,
documentado y bien difundido,
aunque se aplica de forma
inconsistente.

Nivel
4
El rea de informtica cuenta con
la experiencia y las habilidades
necesarias para desarrollar un plan
de infraestructura tecnolgica.

Nivel
5
La direccin del plan de
infraestructura tecnolgica est
impulsada por los estndares y
avances industriales e
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.

RECOMENDACIONES
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.
En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y
emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer
un foro tecnolgico, para de esta forma brindar directrices tecnolgicas.

PO4: Definir los Procesos, la Organizacin y las Relaciones de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
La organizacin de TI no est
establecida de forma efectiva para
enfocarse en el logro de los
objetivos del negocio.

GRADO DE MADUREZ
El proceso de Definir los Procesos, la
Organizacin y las Relaciones de TI esta
en el nivel de madurez 2.
Formular las relaciones con
terceros para la TI.
No satisfacer los requerimientos
del negocio.
Nivel
1
La funcin de TI se considera como
una funcin de soporte, sin una
perspectiva organizacional general.

Nivel
2
La necesidad de contar con una
organizacin estructurada, pero las
decisiones todava depende del


conocimiento y habilidades de
individuos clave.
Nivel
3
Se formulan las relaciones con
terceros, incluyendo los comits de
direccin, auditora interna y
administracin de proveedores.

Nivel
4
La organizacin de TI responde de
forma pro activa al cambio e
incluye todos los roles necesarios
para satisfacer los requerimientos
del negocio.

Nivel
5
La estructura organizacional de TI
es flexible y adaptable.

RECOMENDACIONES
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Formular relaciones con terceros como auditoria interna.
En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el personal
involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.

PO5: Administrar la Inversin de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No existe conciencia de la
importancia de la seleccin y
presupuesto de las inversiones en
TI. No existe seguimiento o
monitoreo de las inversiones y
gastos de TI.

GRADO DE MADUREZ
El proceso de Administrar la Inversin de
TI esta en el nivel de madurez 4.
Formular las relaciones con
terceros para la TI.

Nivel
1
La organizacin reconoce la
necesidad de administrar la
inversin en TI, aunque esta
necesidad se comunica de manera
inconsistente.

Nivel
2
Existe un entendimiento implcito
de la necesidad de seleccionar y
presupuestar las inversiones en TI.


Nivel
3
El presupuesto de TI est alineado
con los planes estratgicos de TI y
con los planes del negocio. Los
procesos de seleccin de
inversiones en TI y de
presupuestos estn formalizados,
documentados y comunicados.

Nivel
4
La responsabilidad y la rendicin
de cuentas por la seleccin y
presupuestos de inversiones se
asignan a un individuo especfico.
Las diferencias en el presupuesto
se identifican y se resuelven.

Nivel
5
Se utilizan las mejores prcticas de
la industria para evaluar los costos
por comparacin e identificar la
efectividad de las inversiones. Se
utiliza el anlisis de los avances
tecnolgicos en el proceso de
seleccin y presupuesto de
inversiones.

RECOMENDACIONES
Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI.
En el Corto Plazo:
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administracin de inversiones en base a las lecciones
aprendidas del anlisis del desempeo real de las inversiones.

DOMINIO: ADQUIRIR E IMPLEMENTAR
AI1: Identificar Soluciones Automatizadas
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
La organizacin no requiere de la
identificacin de los
requerimientos funcionales y
operativos para el desarrollo,
implantacin o modificacin de
soluciones, tales como sistemas,

GRADO DE MADUREZ
El proceso de Identificar Soluciones
Automatizadas esta en el nivel de
madurez 1.


servicios, infraestructura y datos. Determinar el proceso para la
solucin de TI, segn el
requerimiento del negocio.
Documentacin de los proyectos
realizados.

Nivel
1
Existe una investigacin o anlisis
estructurado mnimo de la
tecnologa disponible.

Nivel
2
El xito de cada proyecto depende
de la experiencia de unos cuantos
individuos clave. La calidad de la
documentacin y de la toma de
decisiones vara de forma
considerable.

Nivel
3
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
factores tales como las decisiones
tomadas por el personal
involucrado, la cantidad de tiempo
administrativo dedicado, y el
tamao y prioridad del
requerimiento de negocio original.

Nivel
4
La documentacin de los proyectos
es de buena calidad y cada etapa
se aprueba adecuadamente.

Nivel
5
La metodologa est soportada en
bases de datos de conocimiento
internas y externas que contienen
material de referencia sobre
soluciones tecnolgicas.

RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodologa de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de decisiones.
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos, priorizando el
desempeo, el costo, la confiabilidad, la compatibilidad, la auditora, la seguridad, la
disponibilidad, y continuidad, la ergonoma, funcionalidad y la legislacin.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organizacin y de TI.


AI2: Adquirir y Mantener Software Aplicativo
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Tpicamente, las aplicaciones se
obtienen con base en ofertas de
proveedores, en el reconocimiento
de la marca o en la familiaridad del
personal de TI con productos
especficos, considerando poco o
nada los requerimientos actuales.

GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Software Aplicativo esta en el nivel de
madurez 2.
Dar a conocer el proceso de
adquisicin y mantenimiento del
Sistema de Informacin
(software) y aplicaciones.
Determinar la metodologa
formal para la documentacin del
software en uso.

Nivel
1
Es probable que se hayan
adquirido en forma independiente
una variedad de soluciones
individuales para requerimientos
particulares del negocio, teniendo
como resultado ineficiencias en el
mantenimiento y soporte.

Nivel
2
Existen procesos de adquisicin y
mantenimiento de aplicaciones,
con diferencias pero similares, en
base a la experiencia dentro de la
operacin de TI.

Nivel
3
Existe un proceso claro, definido y
de comprensin general para la
adquisicin y mantenimiento de
software aplicativo. Este proceso
va de acuerdo con la estrategia de
TI y del negocio.

Nivel
4
Existe una metodologa formal y
bien comprendida que incluye un
proceso de diseo y especificacin,
un criterio de adquisicin, un
proceso de prueba y
requerimientos para la
documentacin.

Nivel
5
El enfoque se extiende para toda la
empresa. La metodologa de
adquisicin y mantenimiento
presenta un buen avance y
permite un posicionamiento
estratgico rpido, que permite un
alto grado de reaccin y
flexibilidad para responder a
requerimientos cambiantes del


negocio.
RECOMENDACIONES
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y pistas de
auditora.

AI3: Adquirir y Mantener Infraestructura Tecnolgica
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No se reconoce la administracin
de la infraestructura de tecnologa
como un asunto importante al cual
deba ser resuelto.

GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Infraestructura Tecnolgica esta en el
nivel de madurez 1.
Definir una estrategia para la
adquisicin y mantenimiento de
la infraestructura.
Organizar y prevenir el proceso
de adquisicin y mantenimiento
de la infraestructura.

Nivel
1
Se realizan cambios a la
infraestructura para cada nueva
aplicacin, sin ningn plan en
conjunto. La actividad de
mantenimiento reacciona a
necesidades de corto plazo.

Nivel
2
La adquisicin y mantenimiento de
la infraestructura de TI no se basa
en una estrategia definida y no
considera las necesidades de las
aplicaciones del negocio que se
deben respaldar.

Nivel
3
El proceso respalda las
necesidades de las aplicaciones
crticas del negocio y concuerda
con la estrategia de negocio de TI,
pero no se aplica en forma
consistente.

Nivel
4
La infraestructura de TI soporta
adecuadamente las aplicaciones
del negocio. El proceso est bien
organizado y es preventivo.

Nivel El proceso de adquisicin y


5 mantenimiento de la
infraestructura de tecnologa es
preventivo y est estrechamente
en lnea con las aplicaciones
crticas del negocio y con la
arquitectura de la tecnologa.
RECOMENDACIONES
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura tecnolgica.
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control interno,
seguridad y auditabilidad durante la configuracin, integracin y mantenimiento de
hardware y software de la infraestructura tecnolgica.

AI4: Facilitar la Operacin y el Uso
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No existe el proceso con respecto
a la produccin de documentacin
de usuario, manuales de operacin
y material de entrenamiento.

GRADO DE MADUREZ
El proceso de Facilitar la Operacin y el
Uso esta en el nivel de madurez 1.
Falta generar los materiales de
entretenimiento buscando su
calidad.
Garantizar la compaa de
estndares para el desarrollo del
proceso.

Nivel
1
Mucha de la documentacin y
muchos de los procedimientos ya
caducaron. Los materiales de
entrenamiento tienden a ser
esquemas nicos con calidad
variable.

Nivel
2
Individuos o equipos de proyecto
generan los materiales de
entrenamiento, y la calidad
depende de los individuos que se
involucran.

Nivel
3
Se guardan y se mantienen los
procedimientos en una biblioteca
formal y cualquiera que necesite
saber tiene acceso a ella.

Nivel
4
Existen controles para garantizar
que se adhieren los estndares y


que se desarrollan y mantienen
procedimientos para todos los
procesos.
Nivel
5
Los materiales de procedimiento y
de entrenamiento se tratan como
una base de conocimiento en
evolucin constante que se
mantiene en forma electrnica,
con el uso de administracin de
conocimiento actualizada,
workflow y tecnologas de
distribucin, que los hacen
accesibles y fciles de mantener.

RECOMENDACIONES
Control para garantizar adherir los estndares para el mantenimiento de los procesos.
Desarrollar un plan para realizar soluciones de operacin el cual sirva para identificar y
documentar todos los aspectos tcnicos, la capacidad de operacin y los niveles de
servicio requeridos.
En el Corto Plazo:
Realizar una transferencia de conocimiento a la parte gerencial lo cual permitir que
estos tomen posesin del sistema y los datos.
En el Largo Plazo:
Mediante la transferencia de conocimientos a los usuarios finales se lograra que
estos usen los sistemas con efectividad y eficiencia para el apoyo a los procesos de la
Organizacin.

AI5: Adquirir Recursos de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No existe un proceso definido de
adquisicin de recursos de TI.

GRADO DE MADUREZ
El proceso de Adquirir Recursos de TI
esta en el nivel de madurez 4.
Falta de buenas relaciones con
algunos proveedores de forma
estratgica.
Nivel
1
Los contratos para la adquisicin
de recursos de TI son elaborados y
administrados por gerentes de
proyecto y otras personas que
ejercen su juicio profesional ms
que seguir resultados de
procedimientos y polticas
formales.

Nivel
2
Se determinan responsabilidades y
rendicin de cuentas para la


administracin de adquisicin y
contrato de TI segn la experiencia
particular del gerente de contrato.
Nivel
3
La adquisicin de TI se integra en
gran parte con los sistemas
generales de adquisicin del
negocio.

Nivel
4
La adquisicin de TI se integra en
gran parte con los sistemas
generales de adquisicin del
negocio. Existen estndares de TI
para la adquisicin de recursos de
TI.

Nivel
5
Se establecen buenas relaciones
con el tiempo con la mayora de los
proveedores y socios, y se mide y
vigila la calidad de estas relaciones.
Se manejan las relaciones en forma
estratgica.

RECOMENDACIONES
Tomar medidas en la administracin de contratos y adquisiciones.
Establecer buenas relaciones con la mayora de proveedores y socios.
En el Corto Plazo:
Manejar estratgicamente los estndares, polticas y procedimientos de TI para adquirir
los recursos de TI.

En el Largo Plazo:
Cumplir y hacer cumplir los derechos y obligaciones de ambas partes en los trminos
contractuales.

DOMINIO: ENTREGAR Y DAR SOPORTE
DS1: Definir y Administrar los Niveles de Servicio
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
La gerencia no reconoce la
necesidad de un proceso para
definir los niveles de servicio.

GRADO DE MADUREZ
El proceso de Definir y Administrar los
Niveles de Servicio esta en el nivel de
madurez 1.
No ordenar los procesos de
desarrollo por niveles de servicio.
Realizar reportes de servicio de
Nivel
1
La responsabilidad y la rendicin
de cuentas sobre para la definicin
y la administracin de servicios no
est definida.

Nivel
2
Los reportes de los niveles de
servicio estn incompletos y


pueden ser irrelevantes o
engaosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de
las habilidades y la iniciativa de los
administradores.
forma completa y relevante.
Nivel
3
El proceso de desarrollo del
acuerdo de niveles de servicio esta
en orden y cuenta con puntos de
control para revalorar los niveles
de servicio y la satisfaccin de
cliente.

Nivel
4
La satisfaccin del cliente es
medida y valorada de forma
rutinaria. Las medidas de
desempeo reflejan las
necesidades del cliente, en lugar
de las metas de TI.

Nivel
5
Todos los procesos de
administracin de niveles de
servicio estn sujetos a mejora
continua. Los niveles de
satisfaccin del cliente son
administrados y monitoreados de
manera continua.

RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
Realizar a menudo una revisin con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.


DS2: Administrar los Servicios de Terceros
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Los servicios de terceros no son ni
aprobados ni revisados por la
gerencia. No hay actividades de
medicin y los terceros no
reportan.

GRADO DE MADUREZ
El proceso de Administrar los Servicios de
Terceros esta en el nivel de madurez 3.
Verificar de forma continua las
capacidades del proveedor.
Monitorear e implementar
acciones correctivas.
Nivel
1
No hay condiciones estandarizadas
para los convenios con los
prestadores de servicios.

Nivel
2
Se utiliza un contrato pro forma
con trminos y condiciones
estndares del proveedor (por
ejemplo, la descripcin de servicios
que se prestarn).

Nivel
3
Cuando se hace un acuerdo de
prestacin de servicios, la relacin
con el tercero es meramente
contractual. La naturaleza de los
servicios a prestar se detalla en el
contrato e incluye requerimientos
legales, operacionales y de control.

Nivel
4
Las aptitudes, capacidades y
riesgos del proveedor son
verificadas de forma continua.

Nivel
5
Se monitorea el cumplimiento de
las condiciones operacionales,
legales y de control y se implantan
acciones correctivas.

RECOMENDACIONES
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definicin de los trminos
del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.



DS3: Administrar el Desempeo y la Capacidad
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
La gerencia no reconoce que los
procesos clave del negocio pueden
requerir altos niveles de
desempeo de TI o que el total de
los requerimientos de servicios de
TI del negocio pueden exceder la
capacidad.

GRADO DE MADUREZ
El proceso de Administrar el Desempeo y
la Capacidad esta en el nivel de madurez 1.
Realizar evaluaciones de la
infraestructura de TI logrando una
capacidad optima.
Establecer mtodos de desempeo
y evaluacin.
Nivel
1
Los responsables de los procesos
del negocio valoran poco la
necesidad de llevar a cabo una
planeacin de la capacidad y del
desempeo. Las acciones para
administrar el desempeo y la
capacidad son tpicamente
reactivas.

Nivel
2
Las necesidades de desempeo se
logran por lo general con base en
evaluaciones de sistemas
individuales y el conocimiento y
soporte de equipos de proyecto.

Nivel
3
Los pronsticos de la capacidad y
el desempeo se modelan por
medio de un proceso definido. Los
reportes se generan con
estadsticas de desempeo.

Nivel
4
Hay informacin actualizada
disponible, brindando estadsticas
de desempeo estandarizadas y
alertando sobre incidentes
causados por falta de desempeo
o de capacidad.

Nivel
5
La infraestructura de TI y la
demanda del negocio estn sujetas
a revisiones regulares para
asegurar que se logre una
capacidad ptima con el menor
costo posible.

RECOMENDACIONES
Establecer mtricas de desempeo y evaluacin de la capacidad.


Realizar revisiones de forma peridica la demanda del negocio con menor costo.
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI.

DS4: Garantizar la Continuidad del Servicio
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
No hay entendimiento de los
riesgos, vulnerabilidades y
amenazas a las operaciones de TI.

GRADO DE MADUREZ
El proceso de Garantizar la Continuidad del
Servicio esta en el nivel de madurez 1.
Mantener un plan de servicios.
Integrar los procesos de servicios
para mejores prcticas externas.
Nivel
1
Las responsabilidades sobre la
continuidad de los servicios son
informales y la autoridad para
ejecutar responsabilidades es
limitada.

Nivel
2
Los reportes sobre la
disponibilidad son espordicos,
pueden estar incompletos y no
toman en cuenta el impacto en el
negocio.

Nivel
3
Las responsabilidades de la
planeacin y de las pruebas de la
continuidad de los servicios estn
claramente asignadas y definidas.

Nivel
4
Se asigna la responsabilidad de
mantener un plan de continuidad
de servicios.

Nivel
5
Los procesos integrados de servicio
continuo toman en cuenta
referencias de la industria y las
mejores prcticas externas.

RECOMENDACIONES
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.


En el Largo Plazo:
Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este segn amerite.

DS5: Garantizar la Seguridad de los Sistemas
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Las medidas para soportar la
administrar la seguridad de TI no
estn implementadas. No hay
reportes de seguridad de TI ni un
proceso de respuesta para resolver
brechas de seguridad de TI.

GRADO DE MADUREZ
El proceso de Garantizar la Seguridad de
los Sistemas esta en el nivel de madurez 1.
Concientizar el valor de la
seguridad de la informacin.
Elaborar un plan de seguridad de
TI.
Nivel
1
La seguridad de TI se lleva a cabo
de forma reactiva. No se mide la
seguridad de TI. Las brechas de
seguridad de TI ocasionan
respuestas con acusaciones
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son impredecibles.

Nivel
2
La conciencia sobre la necesidad
de la seguridad esta fraccionada y
limitada. Aunque los sistemas
producen informacin relevante
respecto a la seguridad, sta no se
analiza.

Nivel
3
Las responsabilidades de la
seguridad de TI estn asignadas y
entendidas, pero no
continuamente implementadas.
Existe un plan de seguridad de TI y
existen soluciones de seguridad
motivadas por un anlisis de
riesgo.

Nivel
4
El contacto con mtodos para
promover la conciencia de la
seguridad es obligatorio. La
identificacin, autenticacin y
autorizacin de los usuarios est
estandarizada.

Nivel
5
Los usuarios y los clientes se
responsabilizan cada vez ms de


definir requerimientos de
seguridad, y las funciones de
seguridad estn integradas con las
aplicaciones en la fase de diseo.
RECOMENDACIONES
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
deteccin de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear
esta.

DOMINIO: MONITOREAR Y EVALUAR
ME1: Monitorear y Evaluar el Desempeo de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
TI no lleva a cabo monitoreo de
proyectos o procesos de forma
independiente. No se cuenta con
reportes tiles, oportunos y
precisos. La necesidad de entender
de forma clara los objetivos de los
procesos no se reconoce.

GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Desempeo de TI esta en el nivel de
madurez 0.
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
Nivel
1
No se han identificado procesos
estndar de recoleccin y
evaluacin. El monitoreo se
implanta y las mtricas se
seleccionan de acuerdo a cada
caso, de acuerdo a las necesidades
de proyectos y procesos de TI
especficos.

Nivel
2
La interpretacin de los resultados
del monitoreo se basa en la
experiencia de individuos clave.

Nivel
3
Las mediciones de la contribucin
de la funcin de servicios de
informacin al desempeo de la
organizacin se han definido,
usando criterios financieros y
operativos tradicionales.


Nivel
4
Hay una integracin de mtricas a
lo largo de todos los proyectos y
procesos de TI. Los sistemas de
reporte de la administracin de TI
estn formalizados.

Nivel
5
Las mtricas impulsadas por el
negocio se usan de forma rutinaria
para medir el desempeo, y estn
integradas en los marcos de
trabajo estratgicos, tales como el
Balanced Scorecard.

RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un mtodo de monitoreo como Balance Scorecard.
Evaluar el desempeo comparndolo peridicamente con las metas.
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.

ME2: Monitorear y Evaluar el Control Interno
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Los mtodos de reporte de control
interno gerenciales no existen.
Existe una falta generalizada de
conciencia sobre la seguridad
operativa y el aseguramiento del
control interno de TI.

GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Control Interno esta en el nivel de
madurez 0.
Establecer los procesos para la
evaluacin y aseguramiento del
control interno.
Utilizar herramientas integradas
para la deteccin del control
interno de TI.
Nivel
1
La gerencia de TI no ha asignado
de manera formal las
responsabilidades para monitorear
la efectividad de los controles
internos.

Nivel
2
La gerencia de servicios de
informacin realiza monitoreo
peridico sobre la efectividad de lo
que considera controles internos
crticos. Se estn empezando a
usar metodologas y herramientas
para monitorear los controles
internos, aunque no se basan en


un plan.
Nivel
3
Se ha definido un programa de
educacin y entrenamiento para el
monitoreo del control interno. Se
ha definido tambin un proceso
para auto evaluaciones y
revisiones de aseguramiento del
control interno, con roles definidos
para los responsables de la
administracin del negocio y de TI.

Nivel
4
Se han implantado herramientas
para estandarizar evaluaciones y
para detectar de forma
automtica las excepciones de
control. Se ha establecido una
funcin formal para el control
interno de TI, con profesionales
especializados y certificados que
utilizan un marco de trabajo de
control formal avalado por la alta
direccin.

Nivel
5
La organizacin utiliza
herramientas integradas y
actualizadas, donde es apropiado,
que permiten una evaluacin
efectiva de los controles crticos de
TI y una deteccin rpida de
incidentes de control de TI.

RECOMENDACIONES
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditora reportar la efectividad de los controles internos sobre
las TI.
En el Corto Plazo:
Realizar una auto-evaluacin del control interno de la administracin de procesos,
polticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.



ME3: Garantizar el Cumplimiento Regulatorio
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Existe poca conciencia respecto a
los requerimientos externos que
afectan a TI, sin procesos
referentes al cumplimiento de
requisitos regulatorios, legales y
contractuales.

GRADO DE MADUREZ
El proceso de Garantizar el Cumplimiento
Regulatorio esta en el nivel de madurez 1.
Brindar capacitacin sobre
requisitos legales y regulatorios
externos.
Conocer los requerimientos
aplicables, como la solucin de
nuevas necesidades.
Nivel
1
Se siguen procesos informales para
mantener el cumplimiento, pero
solo si la necesidad surge en
nuevos proyectos o como
respuesta a auditoras o revisiones.

Nivel
2
No existe, sin embargo, un
enfoque estndar. Hay mucha
confianza en el conocimiento y
responsabilidad de los individuos, y
los errores son posibles.

Nivel
3
Se brinda entrenamiento sobre
requisitos legales y regulatorios
externos que afectan a la
organizacin y se instruye respecto
a los procesos de cumplimiento
definidos.

Nivel
4
Las responsabilidades son claras y
el empoderamiento de los
procesos es entendido. El proceso
incluye una revisin del entorno
para identificar requerimientos
externos y cambios recurrentes.

Nivel
5
Hay un amplio conocimiento de los
requerimientos externos
aplicables, incluyendo sus
tendencias futuras y cambios
anticipados, as como la necesidad
de nuevas soluciones.

RECOMENDACIONES
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificacin de requerimientos locales e internacionales legales,
contractuales de polticas, y regulatorios.


En el Corto Plazo:
Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad,
flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI.

ME4: Proporcionar Gobierno de TI
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O

C
U
M
P
L
E

OBSERVACIONES
Nivel
0
Existe una carencia completa de
cualquier proceso reconocible de
gobierno de TI. La organizacin ni
siquiera ha reconocido que existe
un problema a resolver; por lo
tanto, no existe comunicacin
respecto al tema.

GRADO DE MADUREZ
El proceso de Proporcionar Gobierno de TI
esta en el nivel de madurez 0.
Comunicar por parte de la Gerencia
los procedimientos estandarizados.
Nivel
1
El enfoque de la gerencia es
reactivo y solamente existe una
comunicacin espordica e
inconsistente sobre los temas y los
enfoques para resolverlos.

Nivel
2
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como mtodos
de evaluacin y tcnicas; sin
embargo, el proceso no ha sido
adoptado a lo largo de la
organizacin.

Nivel
3
La gerencia ha comunicado los
procedimientos estandarizados y el
entrenamiento est establecido. Se
han identificado herramientas para
apoyar a la supervisin del
gobierno de TI.

Nivel
4
Los procesos de TI y el gobierno de
TI estn alineados e integrados con
la estrategia corporativa de TI. La
mejora de los procesos de TI se
basa principalmente en un
entendimiento cuantitativo y es
posible monitorear y medir el
cumplimiento con procedimientos
y mtricas de procesos.


Nivel
5
La implantacin de las polticas de
TI ha resultado en una
organizacin, personas y procesos
que se adaptan rpidamente, y
que dan soporte completo a los
requisitos de gobierno de TI. Todos
los problemas y desviaciones se
analizan por medio de la tcnica de
causa raz y se identifican e
implementan medidas eficientes
de forma rpida.

RECOMENDACIONES
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante
evaluaciones peridicas.
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles
y responsabilidades.
En el Largo Plazo:
Conformar un comit de auditora para asegurar el cumplimiento de TI.

2.2.2. REPORTE GENERAL DE GRADOS DE MADUREZ

D
O
M
I
N
I
O

PROCESO
N
I
V
E
L

D
E

M
A
D
U
R
E
Z

P
L
A
N
I
F
I
C
A
R

Y

O
R
G
A
N
I
Z
A
R

PO1 Definir el Plan Estratgico de Tecnologa de la Informacin 1
PO2 Definir la Arquitectura de la Informacin 1
PO3 Determinar la Direccin Tecnologa 1
PO4 Definir los Procesos, la Organizacin y las Relaciones de TI 2
PO5 Administrar la Inversin de TI 4
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R
AI1 Identificar Soluciones Automatizadas 1
AI2 Adquirir y Mantener Software Aplicativo 2
AI3 Adquirir y Mantener Infraestructura Tecnolgica 1
AI4 Facilitar la Operacin y el Uso 1
AI5 Adquirir Recursos de TI 4


E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

DS1 Definir y Administrar los Niveles de Servicio 1
DS2 Administrar los Servicios de Terceros 3
DS3 Administrar el Desempeo y la Capacidad 1
DS4 Garantizar la Continuidad del Servicio 1
DS5 Garantizar la Seguridad de los Sistemas 1
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R

ME1 Monitorear y Evaluar el Desempeo de TI 0
ME2 Monitorear y Evaluar el Control Interno 0
ME3 Garantizar el Cumplimiento Regulatorio 1
ME4 Proporcionar Gobierno de TI 0

Resumen de Anlisis por Dominios:
Dominio: Planear y Organizar (PO)
No se encuentran alineadas las estrategias de TI y del
negocio.
DATA CENTER E.I.R.L no est alcanzando el uso optimo de
los recursos ya que estos no son aprovechados al mximo o
de tambin no se cuenta con los recursos necesarios para
el desempeo de ciertas tareas.
No todo el personal de DATA CENTER E.I.R.L entiende los
objetivos de TI, son pocos los usuarios que comprenden la
importancia de estos para el cumplimiento de las metas
de DATA CENTER E.I.R.L.

Dominio: Adquirir e Implementar (AI)
Para que se cumplan la estrategia de TI, se debe identificar,
desarrollar o adquirir las soluciones de TI, as como la
implementacin e integracin en los procesos del negocio.

Dominio: Entrega y Dar Soporte (DS)
Los servicios de TI son medianamente entregados de
acuerdo a las prioridades del negocio.
Los costos de TI no se encuentran totalmente optimizados.
Puesto que no existe un plan de continuidad no es
implementada la disponibilidad de forma completa de los
sistemas de TI, de igual forma la integridad y la


confidencialidad no se encuentran implementadas de forma
ptima.

Dominio: Monitorear y Evaluar (ME)
La gerencia no monitorea ni evala el control interno en
DATA CENTER E.I.R.L.
Existe un poco vinculacin en el desempeo de TI con las
metas del negocio.
No existe una medicin ptima de riesgos y el reporte de
estos, as como el cumplimiento, desempeo y control.


2.2.3. RESUMEN DE PROCESOS Y CRITERIOS DE INFORMACIN POR IMPACTO

D
O
M
I
N
I
O

PROCESOS
CRITERIOS DE INFORMACION RECUROS TI
N
i
v
e
l

d
e

M
a
d
u
r
e
z

E
f
e
c
t
i
v
i
d
a
d

E
f
i
c
i
e
n
c
i
a

C
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

I
n
t
e
g
r
i
d
a
d

D
i
s
p
o
n
i
b
i
l
i
d
a
d

C
u
m
p
l
i
m
i
e
n
t
o

C
o
n
f
i
a
b
i
l
i
d
a
d

R
e
c
u
r
s
o
s

H
u
m
a
n
o
s

S
i
s
t
e
m
a
s

d
e

A
p
l
i
c
a
c
i
n

T
e
c
n
o
l
o
g
i
a

I
n
s
t
a
l
a
c
i
o
n
e
s

D
a
t
o
s

P
L
A
N
I
F
I
C
A
R

Y

O
R
G
A
N
I
Z
A
R

PO1 Definir el Plan Estratgico de Tecnologa de la Informacin 0.83 0.61 x x x
Total real (impacto*Nivel real) 0.83 0.61 0.00 0.00 0.00 0.00 0.00 1
Total ideal (impacto*Nivel ideal) 4.15 3.05 0.00 0.00 0.00 0.00 0.00 5
PO2 Definir la Arquitectura de la Informacin 0.61 0.83 0.61 0.83 x x x
PO3 Determinar la Direccin Tecnolgica 0.83 0.83 x x x x
PO4 Definir los Procesos, la Organizacin y las Relaciones de TI 1.69 1.69 x x x


PO5 Administrar la Inversin de TI 3.41 3.41 2.49 x x x
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

AI1 Identificar Soluciones Automatizadas 0.83 0.61 x x x x
AI2 Adquirir y Mantener Software Aplicativo 1.69 1.69 1.23 1.23 x x x
AI3 Adquirir y Mantener Infraestructura Tecnolgica 0.61 0.83 0.61 0.61 x x x
AI4 Facilitar la Operacin y el Uso 0.83 0.83 0.61 0.61 0.61 0.61 x x x x
AI5 Adquirir Recursos de TI 2.49 3.41 2.49 x x x x
Total real(impacto*Nivel real) 9.96 13.64 0.00 0.00 0.00 9.96 0.00 4
Total ideal(impacto*Nivel ideal) 12.45 17.05 0.00 0.00 0.00 12.45 0.00 5


E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

DS1 Definir y Administrar los Niveles de Servicio 0.83 0.83 0.61 0.61 0.61 0.61 0.61 x x x x
DS2 Administrar los Servicios de Terceros 2.55 2.55 1.86 1.86 1.86 1.86 1.86 x x x x
DS3 Administrar el Desempeo y la Capacidad 0.83 0.83 0.61 x x x
DS4 Garantizar la Continuidad del Servicio 0.83 0.61 0.83 x x x
DS5 Garantizar la Seguridad de los Sistemas 0.83 0.83 0.61 0.61 0.61 x x x
M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R

ME1 Monitorear y Evaluar el Desempeo de TI x x x x


ME2 Monitorear y Evaluar el Control Interno x x x x
ME3 Garantizar el Cumplimiento Regulatorio 0.83 0.61 x x
ME4 Proporcionar Gobierno de TI x x x

2.2.4. RESULTADOS FINALES DEL IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN

Total real (impacto*Nivel real)
45.04 48.50 7.63 11.53 9.46 18.20 20.44
Total ideal (impacto*Nivel ideal)
94.30 97.80 19.55 32.90 28.70 35.05 40.10
Porcentaje Alcanzado 47.76 49.59 39.03 35.05 32.96 51.93 50.97 43.90


A continuacin analizamos cada uno de los criterios de la
informacin:

EFECTIVIDAD.- Para este criterio de informacin se
obtuvo un porcentaje del 47.76% sobre 100%, es decir
que la informacin que es de importancia para DATA
CENTER E.I.R.L, que tiene incidencia en los procesos del
negocio y debe ser entregada de forma oportuna,
consistente, y veraz tiene un porcentaje del 47.76%.

EFICIENCIA.- Para este criterio de informacin se
obtuvo un porcentaje del 49.59% sobre el 100%, es
decir que la informacin que debe generar el uso
ptimo de los recursos de DATA CENTER E.I.R.L tiene
un porcentaje del 49.59%.

CONFIDENCIALIDAD.- Para este criterio de informacin
se obtuvo un porcentaje del 39.03% sobre el 100%, es
decir que la proteccin de la informacin de DATA
CENTER E.I.R.L para que esta no sea divulgada a
personas o sectores extraos a este tiene un porcentaje
del 39.03%.

INTEGRIDAD.- Para este criterio de informacin se
decir la distribucin de la informacin exacta y correcta,
as como su validez con las expectativas de la empresa
tiene un porcentaje del 35.05%.

DISPONIBILIDAD.- Para este criterio de la informacin se
decir la accesibilidad de la informacin cuando esta
sea requerida por los procesos del negocio y a la
salvaguarda de los recursos y capacidades asociadas a


la misma en DATA CENTER E.I.R.L, tiene porcentaje
del 32.96%.

CUMPLIMIENTO.- Para este criterio de la informacin
se obtuvo un porcentaje del 51.93% sobre el 100%,
es decir que el cumplimiento de las leyes,
regulaciones, y compromisos contractuales con los
cuales est comprometido DATA CENTER E.I.R.L, tiene
un porcentaje del 51.93%.

CONFIABILIDAD.- Para este criterio de la informacin se
decir proveer la informacin apropiada para que la
administracin tome decisiones adecuadas para
manejar DATA CENTER E.I.R.L y cumplir con sus
responsabilidades, tiene porcentaje del 50.97%.

2.2.5. GRAFICA REPRESENTATIVA DEL IMPACTO DE LOS
CRITERIOS DE INFORMACIN

0.00
10.00
20.00
30.00
40.00
50.00
60.00
47.76
49.59
39.03
35.05
32.96
51.93
50.97
43.90
IMPACTO SOBRE LOS CRITERIOS DE LA
INFORMACIN


3.1. INFORME TCNICO
ALCANCE
Mediante esta auditora se pretende evaluar el estado actual del
Departamento Informtico DATA CENTER E.I.R.L, mediante
este proceso se podr brindar al DATA CENTER E.I.R.L sus
respectivas conclusiones y recomendaciones para cada uno de
los procesos evaluados en cada dominio segn la metodologa
COBIT 4.1.

OBJETIVOS
OBJETIVO GENERAL
Realizar la auditora de las tecnologas de la
informacin de DATA CENTER E.I.R.L de Huaraz,
utilizando como modelo de referencia COBIT 4.1.
OBJETIVOS ESPECIFICOS
Identificar problemas tcnicos en las TI y dar posibles
soluciones.
Definir controles que permitan disminuir riesgos.
Realizar un informe tcnico y ejecutivo.
A continuacin se detalla los resultados de la evaluacin de
cada uno de los 34 procesos divididos en sus respectivos
dominios (Planear y organizar, adquirir e implementar, entregar
y dar soporte, monitorear y evaluar.), basndonos en los niveles
de madurez los cuales van desde el grado 0 (no existente) al
grado mximo 5 (administrado).

DOMINIO PLANEAR Y ORGANIZAR
PO1. DEFINIR UNPLAN ESTARTEGICO
CONCLUSIN.- Este proceso se encuentra en el nivel de
madurez 1 puesto que no se cuenta con un plan estratgico
definido.
RECOMENDACIONES COBIT
Alinear las TI con el negocio, instruir a los jefes de
departamento sobre las capacidades tecnolgicas actuales y el


futuro de estas, as como las oportunidades que prestan las
TI, para el mejor desempeo de las labores diarias.
Crear planes tcticos de TI, que se resulten del plan
estratgico de TI, estos servirn para describir las iniciativas y los
requerimientos de recursos que necesitados por TI, estos planes
deben ser bien detallados para poder realizar la definicin de
planes proyectados.
PO2. DEFINIR LA ARQUITECTURA DE LA INFORMACIN
CONCLUSIN.- Este proceso se encuentra en el nivel de madurez
1, puesto que se reconoce no tener una arquitectura de
informacin, pero a pesar de reconocer su importancia no se la
elabora.
Establecer un diseo de clasificacin de datos que aplique
a todo DATA CENTER E.I.R.L, basado en la informacin crtica y
sensible.
Definir e implementar procedimientos para brindar
integridad y consistencia de todos los datos que se encuentran
almacenado en formato electrnico, como bases de datos,
almacenamiento de datos y archivos.
PO3. DETERMINAR LA DIRECCIN TECNOLGICA
CONCLUSIN.-Este proceso se encuentra en el nivel de madurez
1, puesto que el desarrollo de componentes tecnolgicos y la
implantacin de tecnologas emergentes son ad hoc y aisladas.
Planear la direccin tecnolgica, es decir analizar las
tecnologas existentes y emergentes, para tomar en cuenta cual
direccin tecnolgica es apropiada para lograr cumplir con las
estrategias de TI, y la arquitectura de sistemas del negocio.
Crear y mantener un plan de infraestructura
tecnolgica que este emparejado con los planes estratgicos y
tcticos de TI.


PO4. DEFINIR LOS PROCESOS LA ORGANIZACIN Y LAS
RELACIONES DE TI
madurez 2 puesto que las necesidades de los usuarios y
relaciones con proveedores se responden de forma tctica
aunque inconsistentemente.
Definir un marco de trabajo para el proceso de TI para la
ejecucin del plan estratgico de TI, incluyendo la estructura y
relaciones de procesos de TI.
Establecer un comit estratgico de TI a nivel del
consejo directivo, para garantizar que el gobierno de TI se
maneje de forma efectiva.
PO5. ADMINISTRAR LA INVERSIN DE TI
CONCLUSIN.- Las responsabilidades y rendicin de cuentas
para la seleccin de presupuestos de inversiones son
asignadas en especfico al Jefe del departamento informtico
y el jefe del departamento financiero.
Mejorar de forma continua la administracin de
inversiones en base a las lecciones aprendidas del anlisis del
desempeo real de las inversiones.
Incluir un anlisis de costos y beneficios a largo plazo del
ciclo total de vida en la toma de decisiones de inversiones.

DOMINIO ADQUIRIR E IMPLEMENTAR
AI1. IDENTIFICAR SOLUCIONES AUTOMATIZADAS
madurez 1 puesto que existe la conciencia de la necesidad de
definir requerimientos y de identificar soluciones tecnolgicas,
las necesidades son analizadas de manera informal y por
ciertos individuos.
Resaltar, priorizar, especificar los requerimientos
funcionales y tcnicos de DATA CENTER E.I.R.L, priorizando el


desempeo, el costo, la confiabilidad, la compatibilidad, la
auditora, la seguridad, la disponibilidad, y continuidad, la
ergonoma, funcionalidad y la legislacin de DATA CENTER
E.I.R.L.
Identificar, documentar y analizar los riesgos relacionados
con los procesos del negocio para el desarrollo de los
requerimientos.
AI2. ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
madurez 2 por cuanto existen procesos de adquisicin y
mantenimiento de software aplicativo en base a la experiencia
de TI, el mantenimiento a menudo es problemtico.
Realizar un diseo detallado, y los requerimientos tcnicos
del software.
Garantizar integridad de la informacin, control de
acceso, respaldo y pistas de auditora.
AI3. ADQUIRIR Y MANTENER INFRAESTRUCTURA TECNOLGICA
madurez 1, ya que no se cuenta con un plan de adquisicin de
tecnologa, por lo tanto no se controlan los procesos de adquirir,
implantar y actualizar infraestructura tecnolgica.
Proteger la infraestructura tecnolgica mediante
medidas de control interno, seguridad y auditabilidad
durante la configuracin, integracin y mantenimiento de
hardware y software de la infraestructura tecnolgica.
Desarrollar un plan de mantenimiento de la
infraestructura y garantizar el control de cambios de esta.
AI4. FACILITAR LA OPERACIN Y EL USO
1, puesto que no existe una generacin de documentacin,
ni polticas de generacin de manuales, pero se tiene la
conciencia de que esto es necesario, la mayor parte de la


documentacin y procedimientos ya se encuentran caducados o
desactualizados.
Realizar una transferencia de conocimiento a la parte
gerencial lo cual permitir que estos tomen posesin del sistema
y los datos.
Mediante la transferencia de conocimientos a los
usuarios finales se lograra que estos usen los sistemas con
efectividad y eficiencia para el apoyo a los procesos de DATA
CENTER E.I.R.L.
AI5. ADQUIRIR RECURSOS DE TI
4 ya que la adquisicin de TI se integra totalmente con los
sistemas generales del gobierno, ya que se sigue el proceso de
compras pblicas en la adquisicin de algn recurso de TI.
Establecer buenas relaciones con la mayora de
proveedores y socios.
Cumplir y hacer cumplir los derechos y obligaciones de
ambas partes en los trminos contractuales.

DOMINIO ESTREGAR Y DAR SOPORTE
DS1. DEFINIR Y ADMINISTRAR LOS NIVELES DE SERVICIO
madurez 1 ya que no se administra los niveles de servicio, la
rendicin de cuentas no se encuentra definido realmente.
Se debe definir un marco de trabajo para la
administracin de los niveles de servicio.
Realizar un monitoreo y reporte del cumplimiento de los
niveles de servicio, estos reporte deben mantener un formato
entendible por parte de los interesados.
DS2. ADMINISTRAR LOS SERVICIOS DE TERCEROS
madurez 3 por cuanto existen procedimientos documentados


para controlar los servicios de terceros, los procesos son claros
para realizar la negociacin con los proveedores.
Establecer criterios formales y estandarizados para realizar
la definicin de los trminos del acuerdo.
Asignar responsables para la administracin del contrato y
del proveedor.
DS3. ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
1, puesto que los usuarios regularmente tienen que resolver
los inconvenientes que se presenten para aplacar las
limitaciones de desempeo y capacidad.
Establecer mtricas de desempeo y evaluacin de la
capacidad.
Realizar un monitoreo continuo del desempeo y la
capacidad de los recursos de TI.
DS4. GARANTIZAR LA CONTINUIDAD DEL SERVICIO
madurez ,1 por cuanto no se cuenta con un plan de continuidad
de servicios.
Realizar pruebas regulares del plan de continuidad, de
esta forma se asegura que los sistemas de TI sean recuperados
de forma efectiva.
Una vez realizada la reanudacin exitosa de las
funciones de TI, determinar la efectividad del plan de
continuidad y realiza actualizaciones a este segn amerite.
DS5. GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
madurez 1 ya que la seguridad de los sistemas se encuentra a
cargo de un solo individuo el cual es el Jefe del departamento
Informtico, no existen responsabilidades claras.


Realizar pruebas a la implementacin de la seguridad,
de igual forma monitorear esta.
Garantizar que las caractersticas de posibles incidentes de
seguridad sean definidas y comunicadas de forma clara y
oportuna.

DOMINIO MONITOREAR Y EVALUAR
ME1. MONITOREAR Y EVALUAR EL DESEMPEO DE TI
madurez 0, por cuanto no se cuenta con un proceso
implementado de monitoreo, as como con reporte tiles,
oportunos y precisos sobre el desempeo.
Definir y recolectar los datos del monitoreo mediante
un conjunto de objetivos, mediciones, metas y comparaciones
de desempeo.
Evaluar el desempeo comparndolo peridicamente con
las metas.
ME2. MONITOREAR Y EVALUAR EL CONTROL INTERNO
0, por cuanto, No se tiene procedimientos para monitorear la
efectividad de los controles internos.
Realizar una auto-evaluacin del control interno de la
administracin de procesos, polticas y contratos de TI.
Si es necesario, mediante revisiones de terceros asegurar la
completitud y efectividad de los controles internos.
Verificar que los proveedores externos cumplan con los
requerimientos legales y regulatorios y con las obligaciones
contractuales.
ME3. GARANTIZAR EL CUMPLIMIENTO REGULATORIO
madurez 1 por cuanto, se siguen procesos informales para
mantener el cumplimiento regulatorio.


Tener muy en cuenta las leyes y reglamentos del
comercio electrnico, privacidad, flujo de datos, reporte
financieros, propiedad intelectual, etc.
Evaluar el cumplimiento de las polticas, estndares y
procedimientos de TI.
ME4. PROPORCIONAR GOBIERNO DE TI
madurez 0 por cuanto no existe procesos de gobierno de TI.
Contribuir al entendimiento del consejo directivo y de los
ejecutivos sobre temas estratgicos de TI tales como el rol de TI.
Garantizar la optimizacin de la inversin, uso y asignacin
de los activos de TI mediante evaluaciones peridicas.

IMPACTO SOBRE LOS CRITERIOS DE INFORMACIN
CRITERIOS DE LA
INFORMACIN
PORCENTAJE OBSERVACIONES
Efectividad 47.76%
El objetivo es alcanzar el 100%, para esto la
informacin en DATA CENTER E.I.R.L debe ser
entregada de forma oportuna, correcta,
consistente y utilizable.
Eficiencia 49.59%
El objetivo es alcanzar el 100%, para esto la
informacin debe ser generada optimizando los
recursos.
Confidencialidad 39.03%
El objetivo es alcanzar el 100%, para lo cual se
debe proteger la informacin sensitiva contra
revelacin no autorizada.
Integridad 35.05%
El objetivo es alcanzar el 100%, para lo cual la
informacin debe ser precisa, completa y valida.
Disponibilidad 32.96%
El objetivo es alcanzar el 100%, para la cual la
informacin debe estar disponible cuando esta
se requiera por parte de las reas del negocio en
cualquier momento.
Cumplimiento 51.93%
debe respetar las leyes, reglamentos y acuerdos
contractuales a los que esta sujeta el proceso del
negocio, como polticas internas.
Confiabilidad 50.97%
debe proporcionar la informacin apropiada, con
el fin de que la Gerencia General administre la
entidad.


3.2. INFORME EJECUTIVO
En el Informe Ejecutivo se detallara los resultados de la
evaluacin a cada uno de los 34 procesos que recomienda
COBIT 4.1 siendo evaluado en DATA CENTER E.I.R.L de Huaraz.
Los criterios de informacin se encuentran en el siguiente
porcentaje todos sobre el 100%.

La efectividad consiste en que la informacin relevante sea
entregada de forma oportuna, correcta, consistente y utilizable,
este criterio tiene un promedio del 47.76%.

La eficiencia consiste en que la informacin debe ser generada
optimizando los recursos, este criterio tiene un promedio del
49.59%.
47.76%
52.24%
Criterio de Informacion: Efectividad
Efectividad
Dficit
49.59% 50.41%
Criterio de Informacin: Eficiencia
Eficiencia
Dficit


La confidencialidad consiste en que la informacin vital sea
protegida contra la revelacin no autorizada, este criterio tiene
un promedio del 39.03%.

La integridad consiste en que la informacin debe ser precisa,
completa y valida, este criterio tiene un promedio del 35.05%.
La disponibilidad consiste en que la informacin este disponible
cuando esta sea requerida por parte de las reas del negocio en
cualquier momento, este criterio tiene un promedio del 32.96%.

35.05%
64.95%
Criterio de Informacin: Integridad
Integridad
Dficit
39.03%
60.97%
Criterio de Informacin: Confidencialidad
Confidencialidad
Dficit
32.96%
67.04%
Criterio de Informacin: Disponibilidad
Disponibilidad
Dficit


El cumplimiento consiste en que se debe respetar las leyes,
reglamentos y acuerdos contractuales a los que esta sujeta el
proceso del negocio, como polticas internas, este criterio tiene
un promedio del 51.93%.

La confiabilidad consiste en que se debe respetar proporcionar la
informacin apropiada, con el fin de que la Gerencia General
administre la entidad, este criterio tiene un promedio del
50.97%.
50.97%
49.03%
Criterio de Informacin: Confiabilidad
Confiabilidad
Dficit
51.93%
48.07%
Criterio de Informacin: Cumplimiento
Cumplimiento
Dficit


CONCLUSIONES

Con este estudio se ha dado un conjunto de directrices las
cuales pueden ayudar a alinear TI con el negocio, es decir
identificar riesgos, gestionar recursos y medir el
desempeo, as como el nivel de madurez de cada uno de
los procesos de DATA CENTER E.I.R.L.
Los gerentes y usuarios son beneficiados con el desarrollo
de COBIT 4.1, ya que este marco de referencia ayuda a
estos individuos entender sus sistemas de TI, de igual
forma decidir el nivel de seguridad y control para proteger
los activos (informacin, hardware, software, etc.) de
DATA CENTER E.I.R.L mediante un modelo de desarrollo
de gobernacin de TI.
Mediante el marco de referencia COBIT, se ha
podido evaluar y diagnosticar los procesos de TI en
DATA CENTER E.I.R.L de Huaraz. Tambin se ha
diagnosticado cada uno de los criterios de la informacin,
los cuales son efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.


RECOMENDACIONES

Tomar en cuenta los procesos que se encuentran con el
nivel de madurez de 0 y 1, que son los de factor crtico.
Realizar evaluaciones peridicas con el fin de medir el
avance de cada uno de los procesos estudiados en este
trabajo.
Se debe utilizar software aplicativo con licenciamiento, as
como adecuar las instalaciones del rea de informtica,
puesto que el espacio de trabajo de este es muy limitado y
sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo
como gua para futuras mejoras en TI.


GLOSARIO

Auditora Informtica.- Proceso de recoger, agrupar, evaluar
evidencias para evidenciar si un sistema informtico o
estructura informtica protege los activos intangibles o tangibles
de la empresa.

COBIT.- (Control Objetives Information Technologies), modelo
de referencia utilizado en el control de tecnologas de la
informacin as como su control.

Madurez.- Nos muestra en nivel de confiabilidad en los procesos
que utiliza una empresa.

Arquitectura de la informacin.- Es la disciplina y arte encargada
del estudio, anlisis, organizacin, disposicin y estructuracin
de la informacin en espacios de informacin, y de la seleccin y
presentacin de los datos en los sistemas de informacin
interactivos y no interactivos.

COSO.- (Committee Of Sponsoring Organizations), es un modelo
de control de negocios, que proporciona un estndar a partir del
cual las organizaciones (grandes o pequeas, en el sector pblico
o privado, con fines de lucro o sin l) pueden evaluar sus
procesos de control y determinar cmo mejorar su
desempeo.

TI.- Tecnologas de la Informacin.

Plan Estratgico.- Es un plan a largo plazo aprobado por una
empresa.

Problema.- Es la causa desconocida de uno o varios incidentes.


BIOGRAFA

Direcciones Electrnicas:

ISACA ORG. Obtain Cobit
http://www.isaca.org/Content/NavigationMenu/Members
and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm
Diciembre 2008.

WIKIPEDIA, Objetivos de control para la informacin y
tecnologas relacionadas.
http://es.wikipedia.org/wiki/COBIT

WIKIPEDIA, Auditoria Informtica
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3
%A1tica

Textos:

Escuela Politcnica Nacional, Auditoria de la Gestin de las
Tecnologas de la Informacin en el Gobierno Municipal de
San Miguel de Urcuqui, utilizando como modelo de
referencia COBIT 4.0.

COBIT 4.1 Marco Referencial, Emitido por el Comit
Directivo de COBIT y El IT Governance Institute 2007.


ANEXOS

A. Cuestionario de Auditora correspondiente al
funcionamiento del rea de Informtica:

Se tiene restringida la operacin del sistema de cmputo a
los usuarios?
SI ( ) NO ( )

Son funcionales los muebles asignados para los equipos de
cmputo?
SI ( ) NO ( )

B. Cuestionario de Auditora correspondiente a la seguridad
fsica:

DATA CENTER E.I.R.L cuenta con extintores de fuego?

SI ( ) NO ( )

Existe salida de emergencia?

SI ( ) NO ( )

Existe alarma para detectar fuego (calor o humo) en forma
automtica?

SI ( ) NO ( )

Existen una persona responsable de la seguridad?

SI ( ) NO ( )


El lugar donde se encuentra DATA CENTER E.I.R.L est
situado a salvo de:

a) Inundacin? ( )
b) Terremoto? ( )
c) Fuego? ( )
d) Sabotaje? ( )

C. Cuestionario de Auditoria en Comunicaciones y Redes:

Estn establecidos controles especiales para salvaguardar
la confidencialidad e integridad del procesamiento de los
datos que pasan a travs de redes pblicas, y para proteger
los sistemas conectados?

Existen controles especiales para mantener la
disponibilidad de los servicios de red y computadoras
conectadas?


Existen protocolos de comunicaron establecida?

Existe un plan de infraestructura de redes?

Existen controles y procedimientos de gestin para
proteger el acceso a las conexiones y servicios de red?

Proyectodeauditorainformticaenlaempresadatacentere I R Laplicandolametodologacobit4 1 111218213101 Phpapp01 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Proyectodeauditorainformticaenlaempresadatacentere I R Laplicandolametodologacobit4 1 111218213101 Phpapp01 PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL

SANTIAGO ANTNEZ DE MAYOLO

También podría gustarte