Documentos de Académico
Documentos de Profesional
Documentos de Cultura
REALIZACIN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS
mostrara a continuacin una ficha por cada uno de los
objetivos haciendo un anlisis de los modelos de madurez
de COBIT 4.1, para determinar el nivel mnimo que no
cumple la Organizacin que a su vez califica el nivel en
dicho objetivo.
Nivel
1
Nivel
2
Nivel
3
Nivel
4
CUMPLE
Nivel
OBSERVACIONES
NO
CUMPLE
NIVEL DE MADUREZ
GRADO DE MADUREZ
El proceso de Definir el Plan Estratgico
de Tecnologa Informacin esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Que no existe un plan estratgico
de TI y estrategias de recursos de
la Organizacin.
No se realizar planes a largo plazo
de
TI,
haciendo
solo
actualizaciones debido a los
avances tecnolgicos.
5
cambiantes avances tecnolgicos
y el progreso relacionado
al
negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as
como de los sistemas de informacin y su impacto de los objetivos de DATA CENTER
E.I.R.L
En el Largo Plazo:
Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes
deben ser bien detallados para poder realizar la definicin de planes proyectados.
NIVEL DE MADUREZ
NO
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir la Arquitectura de
la Informacin esta en el nivel de
madurez 1.
OBJETIVOS NO CUMPLIDOS
Que no se resolvi necesidades
futuras del negocio realizando el
proceso de la arquitectura de la
informacin.
Aprovechar
las
habilidades
personales para la construccin
de la arquitectura de la
informacin.
Universidad Nacional
El proceso de definicin de la
RECOMENDACIONES
Para el proceso PO2 de COBIT estable los siguientes objetivos de control:
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la informacin.
Ser participe de la construccin de la arquitectura de la informacin para incrementar sus
habilidades.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
ser til para la creacin, uso y comparticin ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrnico, como bases de datos,
almacenamiento de datos y archivos.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
GRADO DE MADUREZ
El proceso de Determinar la Direccin
Tecnologa esta en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Desarrollar las habilidades para la
elaboracin del plan de la
infraestructura tecnolgica.
Realizar
un
plan
de
infraestructura tecnolgica.
Pgina 32
4
necesarias para desarrollar un plan
de infraestructura tecnolgica.
La direccin del plan de
infraestructura tecnolgica est
Nivel impulsada por los estndares y
avances
industriales
e
5
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.
RECOMENDACIONES
Para el proceso PO3 de COBIT estable los siguientes objetivos de control:
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y
emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer
un foro tecnolgico, para de esta forma brindar directrices tecnolgicas.
La organizacin de TI no est
Nivel establecida de forma efectiva para
0
enfocarse en el logro de los
objetivos del negocio.
Nivel La funcin de TI se considera como
una funcin de soporte, sin una
1
perspectiva organizacional general.
Nivel La necesidad de contar con una
organizacin estructurada, pero las
2
decisiones todava depende del
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
Universidad Nacional
conocimiento y habilidades de
individuos clave.
Se formulan las relaciones con
Nivel terceros, incluyendo los comits de
3
direccin, auditora interna y
administracin de proveedores.
La organizacin de TI responde de
Nivel forma pro activa al cambio e
5
es flexible y adaptable.
RECOMENDACIONES
Para el proceso PO4 de COBIT estable los siguientes objetivos de control:
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Pgina 34
Formular relaciones con terceros como auditoria interna.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el personal
involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.
NIVEL DE MADUREZ
No existe conciencia de la
importancia de la seleccin y
Nivel presupuesto de las inversiones en
TI. No existe seguimiento o
0
monitoreo de las inversiones y
gastos de TI.
La organizacin reconoce la
Nivel necesidad de administrar la
inversin en TI, aunque esta
1
necesidad se comunica de manera
inconsistente.
Nivel Existe un entendimiento implcito
de la necesidad de seleccionar y
2
presupuestar las inversiones en TI.
NO
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Administrar la Inversin de
TI esta en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
Formular las relaciones con
terceros para la TI.
procesos
de
seleccin
de
3
inversiones
en
TI
y
de
presupuestos estn formalizados,
documentados y comunicados.
La responsabilidad y la rendicin
de cuentas por la seleccin y
Nivel presupuestos de inversiones se
La organizacin no requiere de la
identificacin
de
los
Nivel requerimientos funcionales y
operativos para el desarrollo,
0
implantacin o modificacin de
soluciones, tales como sistemas,
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
Universidad Nacional
Santiago Antnez de Mayolo
estructurado mnimo de la
requerimiento del negocio.
1
tecnologa disponible.
Documentacin de los proyectos
El xito de cada proyecto depende
realizados.
de la experiencia de unos cuantos
Nivel individuos clave. La calidad de la
documentacin y de la toma de
2
decisiones
vara
de
forma
considerable.
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
Nivel factores tales como las decisiones
tomadas
por
el
personal
3
involucrado, la cantidad de tiempo
administrativo dedicado, y el
tamao
y
prioridad
del
requerimiento de negocio original.
Nivel La documentacin de los proyectos
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
negocio.
RECOMENDACIONES
Para el proceso AI2 de COBIT estable los siguientes objetivos de control:
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
Para pasar al nivel de madurez 3 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y pistas de
auditora.
NIVEL DE MADUREZ
No se reconoce la administracin
Nivel de la infraestructura de tecnologa
0
como un asunto importante al cual
deba ser resuelto.
Se realizan cambios a la
infraestructura para cada nueva
Nivel aplicacin, sin ningn plan en
1
conjunto.
La
actividad
de
mantenimiento
reacciona
a
necesidades de corto plazo.
La adquisicin y mantenimiento de
la infraestructura de TI no se basa
Nivel en una estrategia definida y no
2
considera las necesidades de las
aplicaciones del negocio que se
deben respaldar.
El
proceso
respalda
las
necesidades de las aplicaciones
Nivel crticas del negocio y concuerda
con la estrategia de negocio de TI,
3
pero no se aplica en forma
consistente.
La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones
del negocio. El proceso est bien
4
organizado y es preventivo.
Nivel El proceso de adquisicin y
NO
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Infraestructura Tecnolgica esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Definir una estrategia para la
adquisicin y mantenimiento de
la infraestructura.
Organizar y prevenir el proceso
de adquisicin y mantenimiento
de la infraestructura.
mantenimiento
de
la
infraestructura de tecnologa es
preventivo y est estrechamente
en lnea con las aplicaciones
crticas del negocio y con la
arquitectura de la tecnologa.
RECOMENDACIONES
Para el proceso AI3 de COBIT estable los siguientes objetivos de control:
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura tecnolgica.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control interno,
seguridad y auditabilidad durante la configuracin, integracin y mantenimiento
de
Pgina 39
hardware y software de la infraestructura tecnolgica.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
administracin
que
se desarrollan
de adquisicin
y mantieneny
procedimientos
contrato
de TI segn
para la
todos
experiencia
los
procesos. del gerente de contrato.
particular
Losadquisicin
La
materiales de
de TI
procedimiento
se integra en y
Nivel gran
de entrenamiento
parte con se los
tratansistemas
como
3
una base de de
generales
conocimiento
adquisicin
en del
evolucin constante que se
Nivel negocio.
mantiene
en forma
La
adquisicin
de TI electrnica,
se integra en
con el uso
de administracin
de
5
gran
parte
con los sistemas
Nivel conocimiento
actualizada,
generales de adquisicin del
workflowExisten
y tecnologas
4
negocio.
estndares de TIde
distribucin,
que
los hacen
para
la adquisicin
de recursos
de
accesibles y fciles de mantener.
TI.
RECOMENDACIONES
Se establecen buenas relaciones
Para el proceso
AI4 decon
COBIT
estable de
loslos
siguientes objetivos de control:
con el tiempo
la mayora
Nivel
Control
proveedores
para garantizar
y socios, y adherir
se midelos
y estndares
para el mantenimiento de los procesos.
vigila la calidad
de estas
5 Desarrollar
un plan
para relaciones.
realizar soluciones de operacin el cual sirva para identificar y
Se manejan las
relaciones
en forma
documentar
todos
los aspectos
tcnicos, la capacidad de operacin y los niveles de
estratgica.
servicio
requeridos.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
RECOMENDACIONES
En el el
Para
Corto
proceso
Plazo:
AI5 de COBIT estable los siguientes objetivos de control:
Tomar
Realizarmedidas
una transferencia
en la administracin
de conocimiento
de contratos
a la parte
y adquisiciones.
gerencial lo cual permitir que
estos tomen
posesin
del sistema
los datos.de proveedores y socios.
Establecer
buenas
relaciones
con lay mayora
En el pasar
Largo al
Plazo:
Para
nivel de madurez 5 se debe adoptar las siguientes estrategias:
Mediante
En el Corto
Plazo:la transferencia de conocimientos a los usuarios finales se lograra que
estos usen
los sistemas conlos
efectividad
y eficiencia
el apoyo a losde
procesos
de la
Manejar
estratgicamente
estndares,
polticas para
y procedimientos
TI para adquirir
Organizacin.
los
recursos de TI.
NO
NO
CUMPLE CUMPLE
En el Largo Plazo:
DOMINIO:
ADQUIRIR
E IMPLEMENTAR
Cumplir y hacer cumplir
los derechos
y obligaciones
de ambas partes en los trminos
AI5: Adquirir Recursos de TI
contractuales.
CUMPLE CUMPLE
NIVEL DE MADUREZ
DOMINIO: ENTREGAR Y DAR SOPORTEOBSERVACIONES
DS1: Definir y Administrar los Niveles de Servicio
Nivel No existe un proceso definido de
NIVEL DEdeMADUREZ
0
adquisicin
recursos de TI.
Los contratos para la adquisicin
de recursos de TI son elaborados y
gerencia no reconoce la
Nivel La
administrados por gerentes de
Nivel necesidad de un proceso para
0
proyecto y otras personas que
definir los niveles de servicio.
ejercen su juicio profesional ms
1
La responsabilidad y la rendicin
seguir
resultados
de
Nivel que
de cuentas sobre para la definicin
procedimientos
y
polticas
1
y la administracin de servicios no
formales.
est definida.
Nivel Se determinan responsabilidades y
Nivel Los reportes de los niveles de
2
rendicin de cuentas para la
2
servicio estn incompletos y
Pgina 41
GRADO DE MADUREZ
OBSERVACIONES
El proceso de
Adquirir Recursos de TI
esta en el nivel de madurez 4.
OBJETIVOS NO CUMPLIDOS
GRADO DE MADUREZ
Falta de buenas relaciones con
El proceso de Definir y Administrar los
algunos proveedores de forma
Niveles de Servicio esta en el nivel de
estratgica.
madurez 1.
OBJETIVOS NO CUMPLIDOS
No ordenar los procesos de
desarrollo por niveles de servicio.
Realizar reportes de servicio de
pueden ser
irrelevantes
o
forma completa y relevante.
engaosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de
las habilidades y la iniciativa de los
administradores.
El proceso de desarrollo del
acuerdo de niveles de servicio esta
Nivel en orden y cuenta con puntos de
desempeo
reflejan
las
4
necesidades del cliente, en lugar
de las metas de TI.
Todos
los
procesos
de
administracin de niveles de
Nivel servicio estn sujetos a mejora
continua.
Los
niveles
de
5
satisfaccin del cliente son
administrados y monitoreados de
manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar a menudo una revisin con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
riesgos
del proveedor son
4
verificadas de forma continua.
Se monitorea el cumplimiento de
Nivel las condiciones operacionales,
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
evaluaciones
de
sistemas
2
individuales y el conocimiento y
soporte de equipos de proyecto.
Los pronsticos de la capacidad y
Nivel el desempeo se modelan por
alertando
sobre incidentes
4
causados por falta de desempeo
o de capacidad.
La infraestructura de TI y la
demanda del negocio estn sujetas
Nivel a revisiones regulares para
5
asegurar que se logre una
capacidad ptima con el menor
costo posible.
RECOMENDACIONES
Para el proceso DS3 de COBIT estable los siguientes objetivos de control:
Establecer mtricas de desempeo y evaluacin de la capacidad.
Realizar revisiones de forma peridica la demanda del negocio con menor costo.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
GRADO DE MADUREZ
Nivel No hay entendimiento de los
riesgos,
vulnerabilidades
y
El proceso de Garantizar la Continuidad del
0
amenazas a las operaciones de TI.
Servicio esta en el nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Las responsabilidades sobre la
continuidad
de
los
servicios
son
Mantener un plan de servicios.
Nivel
3
continuidad de los servicios estn
claramente asignadas y definidas.
Nivel Se asigna la responsabilidad de
5
referencias de la industria y las
mejores prcticas externas.
RECOMENDACIONES
Para el proceso DS4 de COBIT estable los siguientes objetivos de control:
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.
En el Largo Plazo:
Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este segn amerite.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
reportes de seguridad de TI ni un
proceso de respuesta para resolver
brechas de seguridad de TI.
La seguridad de TI se lleva a cabo
de forma reactiva. No se mide la
seguridad de TI. Las brechas de
seguridad de
TI
ocasionan
respuestas
con
acusaciones
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son impredecibles.
La conciencia sobre la necesidad
de la seguridad esta fraccionada y
limitada. Aunque los sistemas
producen informacin relevante
respecto a la seguridad, sta no se
analiza.
Las responsabilidades de la
seguridad de TI estn asignadas y
entendidas,
pero
no
continuamente
implementadas.
Existe un plan de seguridad de TI y
existen soluciones de seguridad
motivadas por un anlisis de
riesgo.
El contacto con mtodos para
promover la conciencia de la
seguridad es obligatorio. La
identificacin, autenticacin y
autorizacin de los usuarios est
estandarizada.
Los usuarios y los clientes se
responsabilizan cada vez ms de
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
definir
requerimientos
de
seguridad, y las funciones de
seguridad estn integradas con las
aplicaciones en la fase de diseo.
RECOMENDACIONES
Para el proceso DS5 de COBIT estable los siguientes objetivos de control:
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
deteccin de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear
esta.
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
NO
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Desempeo de TI esta en el nivel de
madurez 0.
OBJETIVOS NO CUMPLIDOS
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Control Interno esta en el nivel de
madurez 0.
OBJETIVOS NO CUMPLIDOS
Establecer los procesos para la
evaluacin y aseguramiento del
control interno.
Utilizar herramientas integradas
para la deteccin del control
interno de TI.
un plan.
Se ha definido un programa de
educacin y entrenamiento para el
monitoreo del control interno. Se
Nivel ha definido tambin un proceso
para
auto
evaluaciones
y
3
revisiones de aseguramiento del
control interno, con roles definidos
para los responsables de la
administracin del negocio y de TI.
Se han implantado herramientas
para estandarizar evaluaciones y
para detectar
de forma
automtica las excepciones de
Nivel control. Se ha establecido una
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
Conocer
los
requerimientos
Nivel
confianza en el conocimiento y
2
responsabilidad de los individuos, y
los errores son posibles.
Se brinda entrenamiento sobre
requisitos legales y regulatorios
Nivel externos que afectan a la
incluye
una
revisin
del
entorno
4
para identificar requerimientos
externos y cambios recurrentes.
Hay un amplio conocimiento de los
requerimientos
externos
Nivel aplicables,
incluyendo
sus
Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad,
flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
P1
ADQUIRIR E
IMPLEMENTAR
PLANIFICAR Y
ORGANIZAR
NIVEL DE
MADUREZ
DOMINIO
1
4
2
Pgina 52 2
1
1