Trabajo Auditoria de Cobit

2.2.
REALIZACIN DE LA AUDITORIA
2.2.1. MODELOS DE MADUREZ DE LOS PROCESOS
mostrara a continuacin una ficha por cada uno de los
objetivos haciendo un anlisis de los modelos de madurez
de COBIT 4.1, para determinar el nivel mnimo que no
cumple la Organizacin que a su vez califica el nivel en
dicho objetivo.
DOMINIO: PLANIFICAR Y ORGANIZAR

PO1: Definir el Plan Estratgico de Tecnologa de la Informacin
Nivel
1
Nivel
2
Nivel
3
Nivel
4
CUMPLE
Nivel
No existe conciencia por parte de

la gerencia de que la planeacin
estratgica de TI es requerida para
dar soporte a las metas del
negocio.
La planeacin estratgica de TI se
discute de forma ocasional en las
reuniones de la gerencia.
Las decisiones
estratgicas se
toman proyecto por proyecto,
sin ser consistentes
con una
estrategia
global
de la
organizacin.
La planeacin estratgica de TI
sigue un enfoque estructurado, el
cual se documenta
y se da a
conocer a todo el equipo. Las
estrategias de recursos humanos,
tcnicos y financieros
de TI
influencian
cada vez ms la
adquisicin de nuevos productos
y tecnologas.
Existen procesos bien definidos
para determinar
e uso de
recursos internos y externos
requeridos en el desarrollo y las
OBSERVACIONES
NO
CUMPLE
NIVEL DE MADUREZ
GRADO DE MADUREZ
El proceso de Definir el Plan Estratgico
de Tecnologa Informacin esta en el
nivel de madurez 1.
OBJETIVOS NO CUMPLIDOS
Que no existe un plan estratgico
de TI y estrategias de recursos de
la Organizacin.
No se realizar planes a largo plazo
de
TI,
haciendo
solo
actualizaciones debido a los
avances tecnolgicos.
operaciones de los sistemas.

Se desarrollan planes realistas a
largo plazo de TI y se actualizan de
Nivel manera constante para reflejar los
5
cambiantes avances tecnolgicos
y el progreso relacionado
al
negocio.
RECOMENDACIONES
Para el proceso PO1 de COBIT estable los siguientes objetivos de control:
Planes a largo plazo de TI.
Tomar decisiones estratgicas.
Definir los recursos internos y externos necesarios.
Para pasar al nivel de madurez 2 se debe adoptar las siguientes estrategias:
En el Corto Plazo:
Evaluar el desempeo actual, es decir realizar una evaluacin de los planes existentes, as
como de los sistemas de informacin y su impacto de los objetivos de DATA CENTER
E.I.R.L
En el Largo Plazo:
Crear planes tctico de TI a futuro, que resulten del plan estratgico de TI, estos planes
deben ser bien detallados para poder realizar la definicin de planes proyectados.
NIVEL DE MADUREZ
NO
CUMPLE

PO2: Definir la Arquitectura de la Informacin
CUMPLE
El conocimiento, la experiencia y las
Nivel responsabilidades necesarias para

desarrollar esta arquitectura no
0
existen en la organizacin.
La gerencia reconoce la necesidad de
Nivel una arquitectura de informacin. El
desarrollo de algunos componentes
1
de una arquitectura de informacin
ocurre de manera ad hoc.
Las
personas
obtienen
sus
habilidades
al
construir
la
Nivel
arquitectura de informacin por
2
medio de experiencia prctica y la
aplicacin repetida de tcnicas.
Existe una funcin de administracin
de datos definida formalmente, que
Nivel establece estndares para toda la
organizacin, y empieza a reportar
3
sobre la aplicacin y uso de la
arquitectura de la informacin.
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir la Arquitectura de
la Informacin esta en el nivel de
madurez 1.
Que no se resolvi necesidades
futuras del negocio realizando el
proceso de la arquitectura de la
informacin.
Aprovechar
las
habilidades
personales para la construccin
de la arquitectura de la
informacin.
Universidad Nacional
El proceso de definicin de la
Nivel arquitectura de informacin es proactivo y se enfoca en resolver

4
necesidades futuras del negocio.

El personal de TI cuenta con la
experiencia
y
las
habilidades
Nivel necesarias para desarrollar y dar
mantenimiento a una arquitectura de
5
informacin robusta y sensible que
refleje todos los requerimientos del
negocio.
RECOMENDACIONES
Desarrollar y mantener la arquitectura de la informacin.
Tener en claro la definicin del proceso de la arquitectura de la informacin.
Ser participe de la construccin de la arquitectura de la informacin para incrementar sus
habilidades.
En el Corto Plazo:
Establecer y mantener un modelo de arquitectura de la informacin para facilitar el
desarrollo de aplicaciones y actividades de soporte a la toma de decisiones, este modelo
ser til para la creacin, uso y comparticin ptimas de la informacin vital.
En el Largo Plazo:
Definir e implementar procedimientos para brindar integridad y consistencia de todos los
datos que se encuentran almacenado en formato electrnico, como bases de datos,
almacenamiento de datos y archivos.
No existe conciencia sobre la

Nivel importancia de la planeacin de la
infraestructura tecnolgica para la
0
entidad.
La gerencia reconoce la necesidad
de planear la infraestructura
Nivel tecnolgica. El desarrollo de
1
componentes tecnolgicos y la
implantacin
de
tecnologas
emergentes son ad hoc y aisladas.
La evaluacin de los cambios
Nivel tecnolgicos se delega a individuos
que siguen procesos intuitivos,
2
aunque similares.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

PO3: Determinar la Direccin Tecnologa
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Determinar la Direccin
Tecnologa esta en el nivel de madurez 1.
Desarrollar las habilidades para la
elaboracin del plan de la
infraestructura tecnolgica.
Realizar
un
plan
de
infraestructura tecnolgica.
Pgina 32
Existe un plan de infraestructura

definido,
Nivel tecnolgica
documentado y bien difundido,

3
aunque se aplica de forma
inconsistente.
El rea de informtica cuenta con
Nivel la experiencia y las habilidades
4
necesarias para desarrollar un plan
de infraestructura tecnolgica.
La direccin del plan de
infraestructura tecnolgica est
Nivel impulsada por los estndares y
avances
industriales
e
5
internacionales, en lugar de estar
orientada por los proveedores de
tecnologa.
RECOMENDACIONES
Elaborar un plan de infraestructura tecnolgica.
Impulsar la orientacin de la infraestructura tecnolgica hacia los proveedores.
No delegar los cambios tecnolgicos a personas que no tienen la debida experiencia.
En el Corto Plazo:
Planear la direccin tecnolgica, es decir analizar las tecnologas existentes y
emergentes, para tomar en cuenta cual direccin tecnolgica es apropiada para lograr
cumplir con las estrategias de TI, y la arquitectura de sistemas del negocio.
En el Largo Plazo:
Realizar un proceso de monitoreo de tendencias tecnolgicas, si es posible establecer
un foro tecnolgico, para de esta forma brindar directrices tecnolgicas.
La organizacin de TI no est
Nivel establecida de forma efectiva para
0
enfocarse en el logro de los
objetivos del negocio.
Nivel La funcin de TI se considera como
una funcin de soporte, sin una
1
perspectiva organizacional general.
Nivel La necesidad de contar con una
organizacin estructurada, pero las
2
decisiones todava depende del
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

PO4: Definir los Procesos, la Organizacin y las Relaciones de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Definir los Procesos, la
Organizacin y las Relaciones de TI esta
en el nivel de madurez 2.
Formular las relaciones con
terceros para la TI.
No satisfacer los requerimientos
del negocio.
conocimiento y habilidades de
individuos clave.
Se formulan las relaciones con
Nivel terceros, incluyendo los comits de
3
direccin, auditora interna y
administracin de proveedores.
La organizacin de TI responde de
Nivel forma pro activa al cambio e
incluye todos los roles necesarios

4
para satisfacer los requerimientos
del negocio.
Nivel La estructura organizacional de TI
5
es flexible y adaptable.
RECOMENDACIONES
Ser flexible y adaptable a la estructura organizacional de TI.
Responder de forma pro actica a los requerimientos del negocio.
Pgina 34
Formular relaciones con terceros como auditoria interna.
En el Corto Plazo:
Realizar una evaluacin permanente de personal, para as asegurar que el personal
involucrado en las TI sea el pertinente para la funcin asignada.
En el Largo Plazo:
Implantar mtodos de supervisin dentro de las funciones de TI para asegurar que los
roles y responsabilidades se ejerzan correctamente.
NIVEL DE MADUREZ
No existe conciencia de la
importancia de la seleccin y
Nivel presupuesto de las inversiones en
TI. No existe seguimiento o
0
monitoreo de las inversiones y
gastos de TI.
La organizacin reconoce la
Nivel necesidad de administrar la
inversin en TI, aunque esta
1
necesidad se comunica de manera
inconsistente.
Nivel Existe un entendimiento implcito
de la necesidad de seleccionar y
2
presupuestar las inversiones en TI.
NO
CUMPLE

PO5: Administrar la Inversin de TI
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Administrar la Inversin de
TI esta en el nivel de madurez 4.
Formular las relaciones con
terceros para la TI.
El presupuesto de TI est alineado

con los planes estratgicos de TI y
Nivel con los planes del negocio. Los
procesos
de
seleccin
de
3
inversiones
en
TI
y
de
presupuestos estn formalizados,
documentados y comunicados.
La responsabilidad y la rendicin
de cuentas por la seleccin y
Nivel presupuestos de inversiones se
asignan a un individuo especfico.

4
Las diferencias en el presupuesto
se identifican y se resuelven.
Se utilizan las mejores prcticas de
la industria para evaluar los costos
Nivel por comparacin e identificar la
efectividad de las inversiones. Se

5
utiliza el anlisis de los avances
tecnolgicos en el proceso de
seleccin y presupuesto de
inversiones.
RECOMENDACIONES
Reconocer la necesidad de administrar la inversin en TI.
Utilizar las mejores prcticas para la evaluacin de costos de inversin.
Documentar y formalizar el presupuesto en TI.
En el Corto Plazo:
Incluir un anlisis de costos y beneficios a largo plazo del ciclo total de vida en la toma de
decisiones de inversiones.
En el Largo Plazo:
Mejorar de forma continua la administracin de inversiones en base a las lecciones
aprendidas del anlisis del desempeo real de las inversiones.
La organizacin no requiere de la
identificacin
de
los
Nivel requerimientos funcionales y
operativos para el desarrollo,
0
implantacin o modificacin de
soluciones, tales como sistemas,
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ADQUIRIR E IMPLEMENTAR

AI1: Identificar Soluciones Automatizadas
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Identificar Soluciones
Automatizadas esta en el nivel de
madurez 1.
Santiago Antnez de Mayolo
servicios, infraestructura y datos.

Determinar el proceso para la
solucin de TI, segn el
Nivel Existe una investigacin o anlisis
estructurado mnimo de la
requerimiento del negocio.
1
tecnologa disponible.
Documentacin de los proyectos
El xito de cada proyecto depende
realizados.
de la experiencia de unos cuantos
Nivel individuos clave. La calidad de la
documentacin y de la toma de
2
decisiones
vara
de
forma
considerable.
El proceso para determinar las
soluciones de TI se aplica para
algunos proyectos con base en
Nivel factores tales como las decisiones
tomadas
por
el
personal
3
involucrado, la cantidad de tiempo
administrativo dedicado, y el
tamao
y
prioridad
del
requerimiento de negocio original.
Nivel La documentacin de los proyectos
es de buena calidad y cada etapa

4
se aprueba adecuadamente.
La metodologa est soportada en
Nivel bases de datos de conocimiento
internas y externas que contienen

5
material de referencia sobre
soluciones tecnolgicas.
RECOMENDACIONES
Para el proceso AI1 de COBIT estable los siguientes objetivos de control:
Soportar la metodologa de TI en base de datos.
Determinar los procesos para las soluciones de TI.
Explotar la experiencia de los trabajadores para la buena toma de decisiones.
En el Corto Plazo:
Resaltar, priorizar, especificar los requerimientos funcionales y tcnicos, priorizando el
desempeo, el costo, la confiabilidad,
la compatibilidad, la auditora, la seguridad, la
disponibilidad, y continuidad, la ergonoma, funcionalidad y la legislacin.
En el Largo Plazo:
Que exista el alineamiento con las estrategias de la Organizacin y de TI.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Tpicamente, las aplicaciones se

obtienen con base en ofertas de
proveedores, en el reconocimiento
de la marca o en la familiaridad del
personal de TI con productos
especficos, considerando poco o
nada los requerimientos actuales.
Es probable que se hayan
adquirido en forma independiente
una variedad de soluciones
individuales para requerimientos
particulares del negocio, teniendo
como resultado ineficiencias en el
mantenimiento y soporte.
Existen procesos de adquisicin y
mantenimiento de aplicaciones,
con diferencias pero similares, en
base a la experiencia dentro de la
operacin de TI.
Existe un proceso claro, definido y
de comprensin general para la
adquisicin y mantenimiento de
software aplicativo. Este proceso
va de acuerdo con la estrategia de
TI y del negocio.
Existe una metodologa formal y
bien comprendida que incluye un
proceso de diseo y especificacin,
un criterio de adquisicin, un
proceso
de
prueba
y
requerimientos
para
la
documentacin.
El enfoque se extiende para toda la
empresa. La metodologa de
adquisicin y mantenimiento
presenta un buen avance y
permite
un
posicionamiento
estratgico rpido, que permite un
alto grado de reaccin y
flexibilidad para responder a
requerimientos cambiantes del
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI2: Adquirir y Mantener Software Aplicativo
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Software Aplicativo esta en el nivel de
madurez 2.
Dar a conocer el proceso de
adquisicin y mantenimiento del
Sistema
de
Informacin
(software) y aplicaciones.
Determinar
la
metodologa
formal para la documentacin
Pgina 37 del
software en uso.
negocio.
RECOMENDACIONES
Asegurar que el software diseado sea de calidad.
Realizar un diseo detallado, y los requerimientos tcnicos del software.
Identificar los requerimientos del negocio para el desarrollo del software.
En el Corto Plazo:
Desarrollar estrategia y planes de mantenimiento del software aplicativo.
En el Largo Plazo:
Garantizar integridad de la informacin, control de acceso, respaldo y pistas de
auditora.
NIVEL DE MADUREZ
No se reconoce la administracin
Nivel de la infraestructura de tecnologa
0
como un asunto importante al cual
deba ser resuelto.
Se realizan cambios a la
infraestructura para cada nueva
Nivel aplicacin, sin ningn plan en
1
conjunto.
La
actividad
de
mantenimiento
reacciona
a
necesidades de corto plazo.
La adquisicin y mantenimiento de
la infraestructura de TI no se basa
Nivel en una estrategia definida y no
2
considera las necesidades de las
aplicaciones del negocio que se
deben respaldar.
El
proceso
respalda
las
necesidades de las aplicaciones
Nivel crticas del negocio y concuerda
con la estrategia de negocio de TI,
3
pero no se aplica en forma
consistente.
La infraestructura de TI soporta
Nivel adecuadamente las aplicaciones
del negocio. El proceso est bien
4
organizado y es preventivo.
Nivel El proceso de adquisicin y
NO
CUMPLE

AI3: Adquirir y Mantener Infraestructura Tecnolgica
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Adquirir y Mantener
Infraestructura Tecnolgica esta en el
nivel de madurez 1.
Definir una estrategia para la
adquisicin y mantenimiento de
la infraestructura.
Organizar y prevenir el proceso
de adquisicin y mantenimiento
de la infraestructura.
mantenimiento
de
la
infraestructura de tecnologa es
preventivo y est estrechamente
en lnea con las aplicaciones
crticas del negocio y con la
arquitectura de la tecnologa.
RECOMENDACIONES
Crear un plan de adquisicin de infraestructura tecnolgica.
Garantizar la disponibilidad de la infraestructura tecnolgica.
Identificar que necesidades se tiene para adquisicin de infraestructura tecnolgica.
En el Corto Plazo:
Crear un plan de adquisicin de infraestructura tecnolgica.
En el Largo Plazo:
Proteger la infraestructura tecnolgica mediante medidas de control interno,
seguridad y auditabilidad durante la configuracin, integracin y mantenimiento
de
Pgina 39
hardware y software de la infraestructura tecnolgica.
No existe el proceso con respecto

Nivel a la produccin de documentacin
de usuario, manuales de operacin
0
y material de entrenamiento.
Mucha de la documentacin y
muchos de los procedimientos ya
Nivel caducaron. Los materiales de
1
entrenamiento tienden a ser
esquemas nicos con calidad
variable.
Individuos o equipos de proyecto
materiales
de
Nivel generan los
entrenamiento, y la calidad
2
depende de los individuos que se
involucran.
Se guardan y se mantienen los
Nivel procedimientos en una biblioteca
formal y cualquiera que necesite
3
saber tiene acceso a ella.
Nivel Existen controles para garantizar
4
que se adhieren los estndares y
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

AI4: Facilitar la Operacin y el Uso
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Facilitar la Operacin y el
Uso esta en el nivel de madurez 1.
Falta generar los materiales de
entretenimiento buscando su
calidad.
Garantizar la compaa de
estndares para el desarrollo del
proceso.
administracin
que
se desarrollan
de adquisicin
y mantieneny
procedimientos
contrato
de TI segn
para la
todos
experiencia
los
procesos. del gerente de contrato.
particular
Losadquisicin
La
materiales de
de TI
procedimiento
se integra en y
Nivel gran
de entrenamiento
parte con se los
tratansistemas
como
3
una base de de
generales
conocimiento
adquisicin
en del
evolucin constante que se
Nivel negocio.
mantiene
en forma
La
adquisicin
de TI electrnica,
se integra en
con el uso
de administracin
de
5
gran
parte
con los sistemas
Nivel conocimiento
actualizada,
generales de adquisicin del
workflowExisten
y tecnologas
4
negocio.
estndares de TIde
distribucin,
que
los hacen
para
la adquisicin
de recursos
de
accesibles y fciles de mantener.
TI.
RECOMENDACIONES
Se establecen buenas relaciones
Para el proceso
AI4 decon
COBIT
estable de
loslos
siguientes objetivos de control:
con el tiempo
la mayora
Nivel
Control
proveedores
para garantizar
y socios, y adherir
se midelos
y estndares
para el mantenimiento de los procesos.
vigila la calidad
de estas
5 Desarrollar
un plan
para relaciones.
realizar soluciones de operacin el cual sirva para identificar y
Se manejan las
relaciones
en forma
documentar
todos
los aspectos
tcnicos, la capacidad de operacin y los niveles de
estratgica.
servicio
requeridos.
RECOMENDACIONES
En el el
Para
Corto
proceso
Plazo:
AI5 de COBIT estable los siguientes objetivos de control:
Tomar
Realizarmedidas
una transferencia
en la administracin
de conocimiento
de contratos
a la parte
y adquisiciones.
gerencial lo cual permitir que
estos tomen
posesin
del sistema
los datos.de proveedores y socios.
Establecer
buenas
relaciones
con lay mayora
En el pasar
Largo al
Plazo:
Para
nivel de madurez 5 se debe adoptar las siguientes estrategias:
Mediante
En el Corto
Plazo:la transferencia de conocimientos a los usuarios finales se lograra que
estos usen
los sistemas conlos
efectividad
y eficiencia
el apoyo a losde
procesos
de la
Manejar
estratgicamente
estndares,
polticas para
y procedimientos
TI para adquirir
Organizacin.
los
recursos de TI.
NO
NO
CUMPLE CUMPLE
En el Largo Plazo:
DOMINIO:
ADQUIRIR
E IMPLEMENTAR
Cumplir y hacer cumplir
los derechos
y obligaciones
de ambas partes en los trminos
AI5: Adquirir Recursos de TI
contractuales.
CUMPLE CUMPLE
NIVEL DE MADUREZ
DOMINIO: ENTREGAR Y DAR SOPORTEOBSERVACIONES
DS1: Definir y Administrar los Niveles de Servicio
Nivel No existe un proceso definido de
NIVEL DEdeMADUREZ
0
adquisicin
recursos de TI.
Los contratos para la adquisicin
de recursos de TI son elaborados y
gerencia no reconoce la
Nivel La
administrados por gerentes de
Nivel necesidad de un proceso para
0
proyecto y otras personas que
definir los niveles de servicio.
ejercen su juicio profesional ms
1
La responsabilidad y la rendicin
seguir
resultados
de
Nivel que
de cuentas sobre para la definicin
procedimientos
y
polticas
1
y la administracin de servicios no
formales.
est definida.
Nivel Se determinan responsabilidades y
Nivel Los reportes de los niveles de
2
rendicin de cuentas para la
2
servicio estn incompletos y
Pgina 41
GRADO DE MADUREZ
OBSERVACIONES
El proceso de
Adquirir Recursos de TI
esta en el nivel de madurez 4.
GRADO DE MADUREZ
Falta de buenas relaciones con
El proceso de Definir y Administrar los
algunos proveedores de forma
Niveles de Servicio esta en el nivel de
estratgica.
madurez 1.
No ordenar los procesos de
desarrollo por niveles de servicio.
Realizar reportes de servicio de
pueden ser
irrelevantes
o
forma completa y relevante.
engaosos para los clientes. Los
reportes de los niveles de servicio
dependen, en forma individual, de
las habilidades y la iniciativa de los
administradores.
El proceso de desarrollo del
acuerdo de niveles de servicio esta
Nivel en orden y cuenta con puntos de
control para revalorar los niveles

3
de servicio y la satisfaccin
de
cliente.
La satisfaccin del cliente es
medida y valorada de forma
Nivel rutinaria.
Las
medidas
de
desempeo
reflejan
las
4
necesidades del cliente, en lugar
de las metas de TI.
Todos
los
procesos
de
administracin de niveles de
Nivel servicio estn sujetos a mejora
continua.
Los
niveles
de
5
satisfaccin del cliente son
administrados y monitoreados de
manera continua.
RECOMENDACIONES
Para el proceso DS1 de COBIT estable los siguientes objetivos de control:
Realizar un portafolio de servicios.
Realizar acuerdos de niveles de servicio.
En el Corto Plazo:
Realizar a menudo una revisin con los proveedores internos y externos los acuerdos
de niveles de servicio.
En el Largo Plazo:
Realizar un monitoreo y reporte del cumplimiento de los niveles de servicio, estos
reporte deben mantener un formato entendible por parte de los interesados.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE
DOMINIO: ENTREGAR Y DAR SOPORTE

DS2: Administrar los Servicios de Terceros
OBSERVACIONES
Los servicios de terceros no son ni

GRADO DE MADUREZ
aprobados
ni
revisados
por
la
El proceso de Administrar los Servicios de
Nivel
gerencia. No hay actividades de

Terceros esta en el nivel de madurez 3.
0
medicin y los terceros no
reportan.
Verificar de forma continua las
capacidades del proveedor.
Nivel No hay condiciones estandarizadas
para los convenios con los
Monitorear
e
implementar
1
prestadores de servicios.
acciones correctivas.
Se utiliza un contrato pro forma
Nivel con trminos y condiciones
estndares del proveedor (por
2
ejemplo, la descripcin de servicios
que se prestarn).
Cuando se hace un acuerdo de
prestacin de servicios, la relacin
Nivel con el tercero es meramente
contractual. La naturaleza de los

3
servicios a prestar se detalla en el
contrato e incluye requerimientos
legales, operacionales y de control.
y
Nivel Las aptitudes, capacidades
riesgos
del proveedor son
4
verificadas de forma continua.
Se monitorea el cumplimiento de
Nivel las condiciones operacionales,
legales y de control y se implantan

5
acciones correctivas.
RECOMENDACIONES
Monitorear e implementar acciones correctivas.
Verificar de forma continua las capacidades del proveedor.
En el Corto Plazo:
Establecer criterios formales y estandarizados para realizar la definicin de los trminos
del acuerdo.
En el Largo Plazo:
Mantener acuerdos de confidencialidad con los proveedores.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS3: Administrar el Desempeo y la Capacidad
OBSERVACIONES
La gerencia no reconoce que los

GRADO DE MADUREZ
procesos clave del negocio pueden
El proceso de Administrar el Desempeo y
altos
niveles
de
la Capacidad esta en el nivel de madurez 1.
Nivel requerir
desempeo de TI o que el total de
0
los requerimientos de servicios de
Realizar evaluaciones de la
TI del negocio pueden exceder la
infraestructura de TI logrando una
capacidad.
capacidad optima.
Los responsables de los procesos
Establecer mtodos de desempeo
del negocio valoran poco la
y evaluacin.
necesidad de llevar a cabo una
Nivel
planeacin de la capacidad y del

desempeo. Las acciones para
1
administrar el desempeo y la
capacidad
son
tpicamente
reactivas.
Las necesidades de desempeo se
Nivel logran por lo general con base en
evaluaciones
de
sistemas
2
individuales y el conocimiento y
soporte de equipos de proyecto.
Los pronsticos de la capacidad y
Nivel el desempeo se modelan por
medio de un proceso definido. Los

3
reportes
se
generan
con
estadsticas de desempeo.
Hay
informacin
actualizada
disponible, brindando estadsticas
Nivel de desempeo estandarizadas y
alertando
sobre incidentes
4
causados por falta de desempeo
o de capacidad.
La infraestructura de TI y la
demanda del negocio estn sujetas
Nivel a revisiones regulares para
5
asegurar que se logre una
capacidad ptima con el menor
costo posible.
RECOMENDACIONES
Establecer mtricas de desempeo y evaluacin de la capacidad.
Realizar revisiones de forma peridica la demanda del negocio con menor costo.
En el Corto Plazo:
Realizar pronsticos de la capacidad y el desempeo futuros de los recursos de TI en
intervalos regulares.
En el Largo Plazo:
Realizar un monitoreo continuo del desempeo y la capacidad de los recursos de TI.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS4: Garantizar la Continuidad del Servicio
OBSERVACIONES
GRADO DE MADUREZ
Nivel No hay entendimiento de los
riesgos,
vulnerabilidades
y
El proceso de Garantizar la Continuidad del
0
amenazas a las operaciones de TI.
Servicio esta en el nivel de madurez 1.
Las responsabilidades sobre la
continuidad
de
los
servicios
son
Mantener un plan de servicios.
Nivel
informales y la autoridad para

Integrar los procesos de servicios
1
ejecutar responsabilidades es
para mejores prcticas externas.
limitada.
Los
reportes
sobre
la
Nivel disponibilidad son espordicos,
pueden estar incompletos y no

2
toman en cuenta el impacto en el
negocio.
Las responsabilidades
de la
Nivel planeacin y de las pruebas de la
3
continuidad de los servicios estn
claramente asignadas y definidas.
Nivel Se asigna la responsabilidad de
mantener un plan de continuidad

4
de servicios.
Los procesos integrados de servicio
Nivel continuo toman en cuenta
5
referencias de la industria y las
mejores prcticas externas.
RECOMENDACIONES
Desarrollar y tomar muy en cuenta planes de continuidad.
Realizar un marco de trabajo de continuidad.
En el Corto Plazo:
Realizar pruebas regulares del plan de continuidad, de esta forma se asegura que los
sistemas de TI sean recuperados de forma efectiva.
En el Largo Plazo:
Una vez realizada la reanudacin exitosa de las funciones de TI, determinar la
efectividad del plan de continuidad y realiza actualizaciones a este segn amerite.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Nivel
5
Las medidas para soportar la

administrar la seguridad de TI no
estn implementadas. No hay
reportes de seguridad de TI ni un
proceso de respuesta para resolver
brechas de seguridad de TI.
La seguridad de TI se lleva a cabo
de forma reactiva. No se mide la
seguridad de TI. Las brechas de
seguridad de
TI
ocasionan
respuestas
con
acusaciones
personales, debido a que las
responsabilidades no son claras.
Las respuestas a las brechas de
seguridad de TI son impredecibles.
La conciencia sobre la necesidad
de la seguridad esta fraccionada y
limitada. Aunque los sistemas
producen informacin relevante
respecto a la seguridad, sta no se
analiza.
Las responsabilidades de la
seguridad de TI estn asignadas y
entendidas,
pero
no
continuamente
implementadas.
Existe un plan de seguridad de TI y
existen soluciones de seguridad
motivadas por un anlisis de
riesgo.
El contacto con mtodos para
promover la conciencia de la
seguridad es obligatorio. La
identificacin, autenticacin y
autorizacin de los usuarios est
estandarizada.
Los usuarios y los clientes se
responsabilizan cada vez ms de
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

DS5: Garantizar la Seguridad de los Sistemas
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Garantizar la Seguridad de
los Sistemas esta en el nivel de madurez 1.
Concientizar el valor de la
seguridad de la informacin.
Elaborar un plan de seguridad de
TI.
definir
requerimientos
de
seguridad, y las funciones de
seguridad estn integradas con las
aplicaciones en la fase de diseo.
RECOMENDACIONES
Se debe administrar la seguridad TI.
Realizar un plan de seguridad de TI.
En el Corto Plazo:
Implementar seguridad en la red como por ejemplo firewalls, dispositivos de seguridad,
deteccin de intrusos, etc.)
En el Largo Plazo:
Realizar pruebas a la implementacin de la seguridad, de igual forma monitorear
esta.
NIVEL DE MADUREZ
Nivel
0
Nivel
1
Nivel
2
Nivel
3
TI no lleva a cabo monitoreo de

proyectos o procesos de forma
independiente. No se cuenta con
reportes tiles, oportunos y

precisos. La necesidad de entender
de forma clara los objetivos de los
procesos no se reconoce.
No se han identificado procesos
estndar
de
recoleccin
y
evaluacin. El monitoreo se
implanta y las mtricas se
seleccionan de acuerdo a cada
caso, de acuerdo a las necesidades
de proyectos y procesos de TI
especficos.
La interpretacin de los resultados
del monitoreo se basa en la
experiencia de individuos clave.
Las mediciones de la contribucin
de la funcin de servicios de
informacin al desempeo de la
organizacin se han definido,
usando criterios financieros y
operativos tradicionales.
NO
CUMPLE
DOMINIO: MONITOREAR Y EVALUAR

ME1: Monitorear y Evaluar el Desempeo de TI
CUMPLE
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Desempeo de TI esta en el nivel de
madurez 0.
Poder identificar los procesos
estndares de evaluacin.
Integrar todos los procesos y
proyectos de TI.
Hay una integracin de mtricas a

Nivel lo largo de todos los proyectos y
procesos de TI. Los sistemas de

4
reporte de la administracin de TI
estn formalizados.
Las mtricas impulsadas por el
negocio se usan de forma rutinaria
Nivel para medir el desempeo, y estn
integradas en los marcos de

5
trabajo estratgicos, tales como el
BalancedScorecard.
RECOMENDACIONES
Para el proceso ME1 de COBIT estable los siguientes objetivos de control:
Definir un mtodo de monitoreo como Balance Scorecard.
Evaluar el desempeo comparndolo peridicamente con las metas.
En el Corto Plazo:
Realizar una marco de trabajo de monitoreo general garantizado por la gerencia.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
Los mtodos de reporte de control

interno gerenciales no existen.
Nivel Existe una falta generalizada de
conciencia sobre la seguridad

0
operativa y el aseguramiento del
control interno de TI.
La gerencia de TI no ha asignado
manera
formal
las
Nivel de
responsabilidades para monitorear
1
la efectividad de los controles
internos.
La gerencia de servicios de
informacin realiza monitoreo
Nivel peridico sobre la efectividad de lo
que considera controles internos
crticos. Se estn empezando a
2
usar metodologas y herramientas
para monitorear los controles
internos, aunque no se basan en
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME2: Monitorear y Evaluar el Control Interno
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Monitorear y Evaluar el
Control Interno esta en el nivel de
madurez 0.
Establecer los procesos para la
evaluacin y aseguramiento del
control interno.
Utilizar herramientas integradas
para la deteccin del control
interno de TI.
un plan.
Se ha definido un programa de
educacin y entrenamiento para el
monitoreo del control interno. Se
Nivel ha definido tambin un proceso
para
auto
evaluaciones
y
3
revisiones de aseguramiento del
control interno, con roles definidos
para los responsables de la
administracin del negocio y de TI.
Se han implantado herramientas
para estandarizar evaluaciones y
para detectar
de forma
automtica las excepciones de
Nivel control. Se ha establecido una
funcin formal para el control

4
interno de TI, con profesionales
especializados y certificados que
utilizan un marco de trabajo de
control formal avalado por la alta
direccin.
La
organizacin
utiliza
herramientas
integradas
y
Nivel actualizadas, donde es apropiado,
que permiten una evaluacin

5
efectiva de los controles crticos de
TI y una deteccin rpida de
incidentes de control de TI.
RECOMENDACIONES
Monitorear el marco de trabajo de control interno de forma continua.
Mediante las revisiones de auditora reportar la efectividad de los controles internos sobre
las TI.
En el Corto Plazo:
Realizar una auto-evaluacin
del control interno de la administracin de procesos,
polticas y contratos de TI.
En el Largo Plazo:
Identificar e iniciar medidas correctivas sobre el desempeo de TI.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME3: Garantizar el Cumplimiento Regulatorio
OBSERVACIONES
Existe poca conciencia respecto a

GRADO DE MADUREZ
los requerimientos externos que
El proceso de Garantizar el Cumplimiento
Nivel afectan a TI, sin procesos
Regulatorio esta en el nivel de madurez 1.
referentes al cumplimiento de
0
requisitos regulatorios, legales y
Brindar
capacitacin
sobre
contractuales.
requisitos legales y regulatorios
externos.
Se siguen procesos informales para
mantener
el
cumplimiento,
pero
Conocer
los
requerimientos
Nivel
solo si la necesidad surge en

aplicables, como la solucin de
1
nuevos proyectos
o como
nuevas necesidades.
respuesta a auditoras o revisiones.
No existe, sin embargo, un
Nivel enfoque estndar. Hay mucha
confianza en el conocimiento y
2
responsabilidad de los individuos, y
los errores son posibles.
Se brinda entrenamiento sobre
requisitos legales y regulatorios
Nivel externos que afectan a la
organizacin y se instruye respecto

3
a los procesos de cumplimiento
definidos.
Las responsabilidades son claras y
el empoderamiento de los
Nivel procesos es entendido. El proceso
incluye
una
revisin
del
entorno
4
para identificar requerimientos
externos y cambios recurrentes.
Hay un amplio conocimiento de los
requerimientos
externos
Nivel aplicables,
incluyendo
sus
tendencias futuras y cambios

5
anticipados, as como la necesidad
de nuevas soluciones.
RECOMENDACIONES
Integrar los reporte de TI sobre el cumplimiento regulatorio.
Garantizar la identificacin de requerimientos locales e internacionales legales,
contractuales de polticas, y regulatorios.
Tener muy en cuenta las leyes y reglamentos del comercio electrnico, privacidad,
flujo de datos, reporte financieros, propiedad intelectual, etc.
En el Largo Plazo:
Evaluar el cumplimiento de las polticas, estndares y procedimientos de TI.
Nivel
0
Nivel
1
Nivel
2
Nivel
3
Nivel
4
Existe una carencia completa de

cualquier proceso reconocible de
gobierno de TI. La organizacin ni
siquiera ha reconocido que existe

un problema a resolver; por lo
tanto, no existe comunicacin
respecto al tema.
El enfoque de la gerencia es
reactivo y solamente existe una
comunicacin
espordica
e
inconsistente sobre los temas y los
enfoques para resolverlos.
La gerencia ha identificado
mediciones bsicas para el
gobierno de TI, as como mtodos
de evaluacin y tcnicas; sin
embargo, el proceso no ha sido
adoptado a lo largo de la
organizacin.
La gerencia ha comunicado los
procedimientos estandarizados y el
entrenamiento est establecido. Se
han identificado herramientas para
apoyar a la supervisin del
gobierno de TI.
Los procesos de TI y el gobierno de
TI estn alineados e integrados con
la estrategia corporativa de TI. La
mejora de los procesos de TI se
basa principalmente en un
entendimiento cuantitativo y es
posible monitorear y medir el
cumplimiento con procedimientos
y mtricas de procesos.
NO
CUMPLE
NIVEL DE MADUREZ
CUMPLE

ME4: Proporcionar Gobierno de TI
OBSERVACIONES
GRADO DE MADUREZ
El proceso de Proporcionar Gobierno de TI
esta en el nivel de madurez 0.
Comunicar por parte de la Gerencia
los procedimientos estandarizados.
P1
ADQUIRIR E
IMPLEMENTAR
PLANIFICAR Y
ORGANIZAR
NIVEL DE
MADUREZ
DOMINIO
La implantacin de las polticas de

TI
ha
resultado
en
una
organizacin, personas y procesos
que se adaptan rpidamente, y
Nivel que dan soporte completo a los
requisitos de gobierno de TI. Todos

5
los problemas y desviaciones se
analizan por medio de la tcnica de
causa raz y se identifican e
implementan medidas eficientes
de forma rpida.
RECOMENDACIONES
Administrar los riesgos de forma eficiente.
Garantizar la optimizacin de la inversin, uso y asignacin de los activos de TI mediante
evaluaciones peridicas.
En el Corto Plazo:
Establecer un marco de trabajo de gobierno de TI, incluyendo liderazgo, procesos, roles
y responsabilidades.
1
En el Largo Plazo:PO1 Definir el Plan Estratgico de Tecnologa de la Informacin
Conformar un comit de auditora para asegurar el cumplimiento de TI.
PO5 Administrar la Inversin de TI
PO2 Definir la Arquitectura de la Informacin
PO3 Determinar la Direccin Tecnologa

AI5 Adquirir Recursos de TI
PO4 Definir los Procesos, la Organizacin y las Relaciones de TI
1
4
2
AI1 Identificar Soluciones Automatizadas
AI2 Adquirir y Mantener Software Aplicativo

AI3 Adquirir y Mantener Infraestructura Tecnolgica
AI4 Facilitar la Operacin y el Uso
Pgina 52 2
1
1
Resumen de Anlisis por Dominios:

Dominio: Planear y Organizar (PO)
No se encuentran alineadas las estrategias de TI y del
negocio.
DATA CENTER E.I.R.L no est alcanzando el uso optimo de
los recursos ya que estos no son aprovechados al mximo o
de tambin no se cuenta con los recursos necesarios para
el desempeo de ciertas tareas.
No todo el personal de DATA CENTER E.I.R.L entiende los
objetivos de TI, son pocos los usuarios que comprenden la
importancia de estos para el cumplimiento de las metas
de DATA CENTER E.I.R.L.
Dominio: Adquirir e Implementar (AI)
Para que se cumplan la estrategia de TI, se debe identificar,
desarrollar o adquirir las soluciones de TI, as como la
implementacin e integracin en los procesos del negocio.
Dominio: Entrega y Dar Soporte (DS)
Los servicios de TI son medianamente entregados de
acuerdo a las prioridades del negocio.
Los costos de TI no se encuentran totalmente optimizados.
Puesto que no existe un plan de continuidad no es
implementada la disponibilidad de forma completa de los

Trabajo Auditoria de Cobit

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trabajo Auditoria de Cobit

Cargado por

Copyright:

Formatos disponibles

2.2.

DOMINIO: PLANIFICAR Y ORGANIZAR

No existe conciencia por parte de

operaciones de los sistemas.

DOMINIO: PLANIFICAR Y ORGANIZAR

El conocimiento, la experiencia y las

Nivel responsabilidades necesarias para

Nivel arquitectura de informacin es proactivo y se enfoca en resolver

necesidades futuras del negocio.

No existe conciencia sobre la

DOMINIO: PLANIFICAR Y ORGANIZAR

Existe un plan de infraestructura

documentado y bien difundido,

DOMINIO: PLANIFICAR Y ORGANIZAR

incluye todos los roles necesarios

DOMINIO: PLANIFICAR Y ORGANIZAR

El presupuesto de TI est alineado

asignan a un individuo especfico.

efectividad de las inversiones. Se

DOMINIO: ADQUIRIR E IMPLEMENTAR

servicios, infraestructura y datos.

es de buena calidad y cada etapa

internas y externas que contienen

Tpicamente, las aplicaciones se

DOMINIO: ADQUIRIR E IMPLEMENTAR

DOMINIO: ADQUIRIR E IMPLEMENTAR

No existe el proceso con respecto

DOMINIO: ADQUIRIR E IMPLEMENTAR

control para revalorar los niveles

DOMINIO: ENTREGAR Y DAR SOPORTE

Los servicios de terceros no son ni

gerencia. No hay actividades de

contractual. La naturaleza de los

legales y de control y se implantan

DOMINIO: ENTREGAR Y DAR SOPORTE

La gerencia no reconoce que los

planeacin de la capacidad y del

medio de un proceso definido. Los

DOMINIO: ENTREGAR Y DAR SOPORTE

informales y la autoridad para

pueden estar incompletos y no

mantener un plan de continuidad

Las medidas para soportar la

DOMINIO: ENTREGAR Y DAR SOPORTE

TI no lleva a cabo monitoreo de

reportes tiles, oportunos y

DOMINIO: MONITOREAR Y EVALUAR

Hay una integracin de mtricas a

procesos de TI. Los sistemas de

integradas en los marcos de

Los mtodos de reporte de control

conciencia sobre la seguridad

DOMINIO: MONITOREAR Y EVALUAR

funcin formal para el control

que permiten una evaluacin

DOMINIO: MONITOREAR Y EVALUAR

Existe poca conciencia respecto a

solo si la necesidad surge en

organizacin y se instruye respecto

tendencias futuras y cambios

Existe una carencia completa de

siquiera ha reconocido que existe

DOMINIO: MONITOREAR Y EVALUAR

La implantacin de las polticas de