Universidad Nacional de Ingeniera Instituto de Estudios Superiores

Auditora de Sistemas

Integrantes: Bayardo Aguilar Yeril Alemn Mijail Montenegro

Grupo:

5T1-S

Profesor: Ing. Lber Marcial Cerda Reyes

Managua, 27 de Junio del 2011.

Declaracin

Nosotros, Bayardo Aguilar, Yeril Alemn y Mijal Montenegro declaramos bajo juramento que el trabajo aqu descrito es de nuestra autora; que no ha sido previamente presentado para ningn grado o calificacin profesional.

Introduccin

El presente documento tiene por objetivo presentar los resultados obtenidos del anlisis del nivel de madurez de los procesos de gestin de las Tecnologas de Comunicacin e Informacin y presentar las recomendaciones para el cumplimiento de normas y estndares establecidos en la empresa Librera Santa Martha basndose en la metodologa COBIT.

Librera Santa Martha es una empresa dedicada a la venta y distribucin de productos para los artculos de oficina y librera entre otros. La empresa cuenta con un sencillo sistema de facturacin, ventas e inventario, para el manejo, control y verificacin de los procedimientos normalmente realizados en el quehacer diario de la empresa.

La empresa se encuentra ubicada en el barrio Loma Linda, del mercado de san judas 1km al sur. Managua, Nicaragua.

La empresa fue fundada como un negocio familiar en el mes de Mayo del ao 2004.

El sistema de cmputo fue implementado en Agosto del 2008

Resumen

El presente documento consta de 3 captulos:

- El capitulo uno es un anlisis de los procesos de la Librera Santa Martha

- El capitulo dos contiene un informe ejecutivo y un tcnico que da a conocer los resultados obtenidos con la aplicacin de la metodologa COBIT.

- El capitulo tres contiene las conclusiones y recomendaciones que la gerencia debe tomar en cuenta para obtener un mejor desempeo segn la metodologa COBIT.

Captulo I

El capitulo est dividido en 4 secciones principales que contienen el anlisis de cada uno de los dominios de COBIT.

El marco de trabajo de COBIT se basa en controles y mediciones, tiene 4 dominios que son los siguientes:

Planear y Organizar (PO) con 10 procesos de gestin de TI Adquirir e Implementar (AI) con 7 procesos de gestin de TI Entregar y Dar Soporte (DS) con 13 procesos de gestin de TI Monitorear y Evaluar (ME) con 4 procesos de gestin de TI.

La metodologa COBIT brinda buenas prcticas a travs de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lgica. Las buenas prcticas de COBIT representan el consenso de los expertos. Estn enfocadas fuertemente en el control y menos en la ejecucin. Estas prcticas ayudarn a optimizar las inversiones habilitadas por TI, asegurarn la entrega del servicio y brindarn una medida contra la cual juzgar cuando las cosas no vayan bien.

I: PLANEAR Y ORGANIZAR
PO1 DEFINIR UN PLAN ESTRATGICO Mediante la entrevista realizada al gerente de Librera Santa Martha, determinamos que esta reconoce la necesidad de realizar inversiones en el rea de TI, pero no tiene establecidos proyectos concretos y solo se basa en criterios propios y uso de recursos disponibles en el momento. Los ejecutivos debido al alto grado de desconfianza y desconocimiento sobre el uso de tecnologas, no prestan inters en las necesidades de actualizacin y mejora continua que requiere todo sistema para un ptimo funcionamiento, y utilizan herramientas no establecidas para la resolucin de problemas y entrega de resultados. Por lo tanto se desconoce la dependencia e importancia para la empresa de las TI en el giro del negocio. El anlisis FODA no toma en cuenta, el uso estratgico del SI y TI, proporcionando un punto de vista incompleto de las capacidades y potencial que la empresa podra brindar. En el momento de elaboracin del plan estratgico de TI no se toma en cuenta personal especifico de la empresa, y solo se menciona de manera general las responsabilidades y metas necesarias a realizar, es basado nicamente en criterios, conocimiento y experiencia del gerente. Las tcticas son inexistentes, ya que la comunicacin por niveles del plan estratgico, solo es brindada a funcionarios de alto nivel involucrados en el rol del cumplimiento del plan mismo, quienes deben de manera individual, establecer mtodos y procesos adecuados para cumplir las estrategias propuestas. La administracin del portafolio de TI no se observa relacin entre los recursos destinados para inversin de TI y el desarrollo del negocio, por lo tanto los objetivos estratgicos, no son visualizados de manera estructurada. Y los resultados del negocio no son respaldados, para una rendicin de cuentas claras, sobre alcances, deficiencias, presupuestos, cumplimientos, metas, delegaciones y responsabilidades. El proceso de definicin del plan estratgico empresarial se localiza en el nivel de madurez 1 (Inicial / ad hoc) ya que se conoce la necesidad de una planeacin estratgica de TI y la planeacin de TI se realiza segn se necesite como respuesta a un requerimiento de negocio especfico. La planeacin estratgica de TI se discute de forma ocasional en las reuniones de la gerencia de TI.

PO2 DEFINIR LA ARQUITECTURA DE LA INFORMACIN La empresa cuenta con una un estudio de la estructura organizativa, manual de funciones y procedimientos que permite establecer los roles y funciones, as como identificacin de niveles de usuarios y comprensin de flujo de datos e informacin requeridos de manera general, lo que facilita el soporte y apoyo de los responsables de la informacin y los que la emplean en la institucin. Cuenta con diccionario de datos a nivel bsico, ya que solo se toma en cuenta los elementos que el Sistema de facturacin venta e inventario maneja, mientras que para las dems reas no se cuenta con documentacin, ni conocimiento, sobre reglas de sintaxis de datos de la organizacin, por lo tanto se presentan a menudo inconsistencias en la entrada de los datos, de una aplicacin a otra, siendo incompatibles unos con otros. Se protege de manera fsica la informacin, mediante controles de accesos a reas de almacenamiento de la informacin y lgica de control como son contraseas y logins y preventivas de intrusiones al sistema reducidas a un riesgo mnimo, pero no se cuenta con una clasificacin para la totalidad de la informacin, ni un mtodo de manejo o clasificacin de informacin segn su peso e importancia para la organizacin. Los datos no presentan ningn tipo de cifrado, tanto al momento de transferir la informacin como en su almacenamiento, adicional al brindado por los manejadores de BD. En cuanto a la administracin de la integridad de la informacin, no existen mtodos que garanticen la integridad y consistencia de los datos almacenados en el Sistema Computarizado. El proceso de definicin de la arquitectura de la informacin se localiza en el nivel de madurez 3 (definido).

PO3 DETERMINAR LA DIRECCIN TECNOLGICA

El anlisis de nuevas propuestas tecnolgicas emergentes, para su utilizacin en la institucin es un proceso poco desarrollado en Librera Santa Martha ya que no existe una poltica que incentive al administrador del sistema, de realizar anlisis de factibilidad operacional y actualizaciones necesarias del sistema para que la organizacin se adecue nuevas exigencias del negocio. As como comunicacin poco fluida entre el CIO y CEO impide que las propuestas elaboradas sean tomadas en cuenta por la alta gerencia, y la respuesta tecnolgica sea adecuada al lineamiento gerencial existente. La mejora en la inter operatividad de las plataformas y aplicaciones de Librera Santa Martha, son limitadas a la disponibilidad de recursos (bsico), y conocimientos sobre instalacin e implantacin de Sistemas Automatizados que el responsable de informtica posee. La infraestructura tecnolgica actual no presenta diseos para una futura ampliacin o empleo de plan estratgico y tctico de TI, adems de carecer de estos, no se contempla surgimiento de necesidades futuras por exigencias del mercado y la empresa. Los riesgos que constituye una inversin en TI, ante cambios repentinos en el comercio, tecnologas, legislacin y normas no fueron tomados en cuenta y solo se contempla en el nivel de flexibilidad y adaptabilidad de diseo del sistema. Haciendo que una ampliacin o mejora sea de costos elevados, ya que la existencia de un monitoreo de tendencias y regulaciones futuras es nula. En tanto a la proporcin de soluciones tecnolgicas consistentes, efectivas y seguras para toda la empresa es de carcter emprica, ya que no se generan reportes de los cambios realizados a la infraestructura de TI, y la capacitacin sobre usos de las tecnologas existentes y las nuevas solo se brinda de manera personal a nivel de consultas de usuarios y dudas. No se consta con comits de arquitectura de TI que genere propuestas de mejoras de infraestructura de las TI que verifique y evalu el cumplimiento de los requerimientos y regulaciones que deben de ser cumplidas para un correcto y continuo desarrollo del negocio. El proceso para determinar la direccin tecnolgica se localiza en el nivel de madurez 2 (Repetible pero intuitivo).

PO4 DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI

Sobre el marco de trabajo de procesos TI para la ejecucin del plan estratgico se toma en cuenta mediante polticas de control interno y seguimiento de cumplimiento de estrategias que deben de ser realizadas por el personal, no existiendo procesos definidos precisamente, que garantice la integridad y confiabilidad de los resultados brindados a la gerencia. La mejora y medicin de desempeo no se toma en cuenta, no estableciendo actividades equitativas al personal de TI y su respectivo manejo. Sobre el comit estratgico de TI, se puede decir que las decisiones son tomadas de manera individual por el responsable de informtica con soporte o ayuda del personal tcnico, no tomando en cuenta las relaciones que existen, y las necesidades que deben de ser suplidas al personal La determinacin de las prioridades y portafolio de inversin, la correcta realizacin de proyectos y solucin de problemas no previstos, no es realizada de manera ntegra ya que no existe un comit directivo de TI, integrado por alta gerencia y director informtico. La estructura organizacional de la empresa fue basada en el flujo de informacin y niveles de responsabilidad del personal, respecto al sistema, pero no se cuenta con un proceso de revisin de la estructura organizacional de TI de forma peridica, y las responsabilidades del personal de TI, as como deberes no son conocidos por el personal, haciendo que los usuarios presenten consultas que no competen al personal de TI. No existen mdulos de aseguramiento de la calidad tanto del servicio, como del sistema, y por ende tampoco personal destinado para este fin, la calidad del servicio solo es monitoreada con cumplimiento de metas y objetivos, las quejas para mejoramiento del mismo solo son presentadas de manera verbal por sugerencias de usuarios internos y externos a los responsables del rea que generan informes a la alta gerencia pero no representan un punto crtico de control. No obstante la asignacin de un equipo de soporte y apoyo al momento de desarrollo de sistemas es tomada en cuenta y orientada por la gerencia en estos casos, para asegurar un desarrollo correcto de aplicaciones y software, con el fin de evitar incurrir en costos elevados por reparar errores de diseo y disminuir tiempos.

La empresa tiene claras sus polticas, normas y procedimientos de seguridad, as como los responsables de la administracin de amenazas y riesgos, que surgen dentro de la empresa, aunque no la clasificacin y clculo del impacto de los mismos en la institucin. Adems no se verifica o supervisa la respuesta o solucin ejecutada, a los riesgos detectados y no se elaboran planes de prevencin de acontecimientos futuros. Sobre el personal se verifica las capacidades de respuesta de los usuarios en el momento de contratacin e insercin a su puesto de trabajo y se especifica que cumplan con polticas de proteccin de los activos de informacin de manera contractual, no estn previstos planes de capacitacin ante cambios en el entorno de trabajo, operativo, transaccional o de actualizacin de TI, no se realizan habitualmente estudios de cargas de trabajos y se depende especialmente de pocos individuos para la total administracin, desempeando una funcin de trabajo critica.

El proceso para definir procesos, organizacin y relaciones de TI, se localiza en el nivel de madurez 3 (definida).

PO5 ADMINISTRAR LA INVERSIN EN TI

No existe una administracin de inversin para TI, las inversin ocurre cada vez que se requiere de una nueva adquisicin, adems la empresa cuenta con un marco de trabajo limitado a necesidades bsicas de TI como son insumos y consumibles y la administracin de costos, beneficios, prioridades solo se registra en trminos contables no presupuestados. El detalle del uso de las TI y sus repercusiones e importancia en el giro del negocio no es conocido, siendo difcil detallar y presupuestar .El proceso de toma de decisiones para asignar prioridades a recursos de TI para operaciones, proyectos y mantenimiento, se realiza segn criterios subjetivos. La administracin de costos y beneficios de la inversin de TI en el desarrollo del proyecto donde fue empleada son tomados en cuenta con criterios de Retorno de la inversin, periodo de reintegro y valor presente neto.

El proceso para administrar la inversin en TI se localiza en el nivel de madurez 1 (inicial).

PO6 COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN DE LA GERENCIA

En base a las polticas de la empresa se elabora un marco de trabajo general que es informado al personal de la empresa, donde se presentan las metas, objetivos, misiones, polticas y procedimientos de la empresa, que fueron previamente aprobados por la alta directiva y ejecutivos, estos informes se presentan sin una periodicidad definida, y pretende establecer el compromiso de la empresa y los usuarios en el cumplimiento de objetivos y prevencin de riesgos del negocio. Orientndose un completo cumplimiento de leyes y reglamentos establecidos. El ambiente de control y polticas es manejado por RRHH quien intenta establecer cultura de control y uso de TI (valor agregado) y expresa las expectativas y requerimientos de la gerencia, incentivando la inversin de TI y su repercusin en resultados, integridad, facilidad del trabajo y disminucin de riesgos. El proceso para comunicar las aspiraciones y la direccin gerencial se localiza en el nivel de madurez 3 (definido).

PO7 ADMINISTRAR LOS RECURSOS HUMANOS DE TI

Se cuenta con personal destinado para la entrega de servicios de TI en toda la empresa los cuales brindan soporte a las reas funcionales de TI, los mtodos de reclutamiento (interno y externo), retencin y motivacin ocupacional se basan en cumplimiento de requisitos y pruebas generales para los puestos de trabajos, expectativas y correcta insercin a su rea laboral, adquiriendo personal competente y entrenado. El estudio de trabajo y ocupacional es realizado pero no se adapta rpidamente a las exigencias de los cargos y del negocio, provocando que la contratacin no sea eficiente, ya que el personal en ocasiones no posee las habilidades para cumplir roles con base a su educacin, entrenamiento o experiencia. Se maneja de manera clara los roles y responsabilidades del personal as como las polticas y procedimiento administrativo, cdigos de tica y prcticas profesionales, que apoyan en la asignacin segn la sensibilidad del puesto e importancia. En tanto a entrenamiento no se realiza de manera sistemtica y solo se realiza un entrenamiento con asignacin de personal para el entrenamiento personal y dirigir las funciones, y entrega de un manual de funciones con explicacin terica de las actividades a realizar. La dependencia de la organizacin a individuos estratgicos en la empresa es grande ya que no existen mtodos de transferencia de conocimientos y documentacin de procedimientos detallada, no se fomenta descentralizacin de la informacin y dificulta la planeacin de la sucesin y sustitucin de personal. Las evaluaciones de desempeo no se realizan peridicamente y solo en circunstancias que la empresa considera que lo amerita, se comparada contra los objetivos individuales derivados de las metas organizacionales, estndares establecidos y responsabilidades especficas del puesto. Aunque los resultados no se apoyan a polticas de compensacin salarias y motivacin personal. Al momento de culminacin del periodo laboral en el puesto de trabajo ya sea por despido a promocin, la actualizacin de registros de usuarios activos no es un proceso que se realice inmediatamente, y queda abierta por un periodo no mayor a una semana generando riesgos a nivel de acceso y privilegios. El proceso para administrar el recurso humano se localiza en el nivel de madurez 4 (administrado y medible).

PO8 ADMINISTRAR LA CALIDAD

Se cuenta con estndares de servicio de calidad, con un monitoreo constante sobre el cumplimiento de la atencin a clientes, siendo el cliente el principal generador de informacin, criterios, requerimientos y datos para mejoras en la atencin y procesos relacionados, aunque sin ninguna metodologa establecida, se cuenta con proceso de reconocimiento del problemas, y un tratamiento inmediato, el anlisis de soluciones permanentes y estandarizacin del problema no se encuentra y queda a criterio del gerente de calidad, no existiendo en si un ciclo de mejora continua establecido, y debido a la no clasificacin de los procesos por su importancia o peso no se conoce cul es el proceso que requiere la implementacin de mayores estndares de calidad. El proceso de medicin, monitoreo y revisin de calidad aunque existente, los mecanismos de medicin no son establecidos claramente y estn paramtricos.

El proceso para administrar la calidad se localiza en el nivel de madurez 3 (definido).

PO9 Evaluar y administrar el riesgo de TI

La empresa cuenta con un plan de respaldo y prevencin ante fallos, que permite que los riesgos no previstos o acontecimientos fortuitos, sean mitigados de manera que el restablecimiento de los servicios principales de la empresa minimizando los riesgos residuales a un nivel aceptable, se conoce la cantidad necesaria de recursos para el desarrollo del plan de contingencia aunque no se mide en trminos financieros, ni los beneficios que este podra brindar. Adems se evalan los riesgos segn su peligrosidad, y las medidas de mitigacin y solucin pasan por un proceso establecido que permite, analizar las amenazas a las cuales la empresa est expuesta, y presentar propuestas que los prevenga a un futuro, aunque no se sigue un proceso exhaustivo del monitoreo y evaluacin de la solucin.

El proceso para evaluar y administrar los riesgos de TI se localiza en el nivel de madurez 4 (administrado y medible).

II: ADQUIRIR E IMPLANTAR

AI1 Identificar soluciones automatizadas

En este proceso se identifican los requerimientos de negocio funcionales y tcnicos de TI y se identifican los riesgos asociados con los requerimientos del negocio y diseo de soluciones para los mismos. Esta implica desarrollar un estudio de factibilidad que examine la posibilidad de Implementar los requerimientos.

La identificacin de soluciones automatizadas es un proceso inexistente en la empresa, no se cuenta con una metodologa para actualizar las operaciones del sistema actual ni existen las intenciones de actualizarlas. No consideran las alternativas de software

Basados en los datos recolectados en nuestras visitas y durante preguntas cortas al personal determinamos que hay un estudio de factibilidad desfasado. El proceso para identificar soluciones automatizadas se localiza en el nivel de madurez 1 (inicial) ya que existe conciencia de la necesidad de definir requerimientos y de identificar soluciones tecnolgicas, pero la documentacin disponible no es muy confiable ya q se realizo hace un par de aos.

AI2 Adquirir y mantener software aplicativo

La adquisicin y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librera Santa Martha. Se deberan tener aprobadas las especificaciones de diseo por gerencia para garantizar que el diseo responde a los requerimientos as como la seguridad de las aplicaciones para evitar inconsistencias y ataques de intrusos. Slo unas pocas personas dentro de la organizacin cuentan con la capacidad de abordar la seguridad de las aplicaciones y los requerimientos para enfrentar los riesgos en los datos y la arquitectura de la informacin. El proceso para adquirir y mantener software aplicativo se localiza en el nivel de madurez 2 (dos) Es repetible pero intuitivo porque la gerencia no tiene conciencia de la importancia de este proceso, no se planean actualizaciones importantes en el Sistema existente, simplemente hay un mantenimiento correctivo de ste. No hay intenciones de implementar cambios importantes en el sistema existente.

AI3 Adquirir y mantener infraestructura tecnolgica

Basados en los datos obtenidos la entrevista realizada al Gerente General, sabemos que hay un plan de mantenimiento pero no es muy detallado y es muy superficial, no cuentan con un enfoque planeado para adquirir infraestructura ni con medidas de control interno. La gerencia no presta inters en las necesidades de actualizacin y mejora continua que requiere todo sistema para un ptimo funcionamiento.

Cuentan con planes de respaldo de la informacin y un plan de contingencia, lo que garantiza que siempre se mantendr en funcionalidad el sistema. Tambin utiliza un mecanismo de respaldo externo para datos relevantes sobre los servicios de TI de la empresa Santa Martha. En la empresa hay un responsable informtico que vela por el buen cumplimiento de estos planes.

El proceso para adquirir y mantener infraestructura tecnolgica se localiza en el nivel de madurez 1 (uno-inicial) pues se cuenta con un proceso rudimentario de mantenimiento. La actividad de mantenimiento reacciona a necesidades de corto plazo ya que no hay un plan conjunto y se limita a ser mantenimiento correctivo ante errores en el sistema o eventos adversos.

AI4 Facilitar la operacin y el uso

Existe un plan de contingencia y de seguridad para as como manuales efectivos de usuario y de operacin estn presentes, esto permite identificacin de niveles de usuario y comprensin del flujo de datos.

El nico manual no presente es el manual de entrenamiento. La capacitacin fue administrada por los desarrolladores del software a los usuarios iniciales.

Este proceso est en el nivel de madurez 1 (uno), la empresa reconoce la necesidad de los manuales pero no tiene desarrollada ninguna estrategia al respecto ni ha definido una manera de crearlos. La transferencia de conocimientos al personal de operaciones y de soporte es de manera oral y solo representa una capacitacin inicial pero no incluye capacitacin continua.

AI5 Adquirir recursos de ti

Este proceso garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

Basndose en los datos proporcionados por la empresa concluimos que en la librera no estn definidos los procedimientos para adquirir nuevas tecnologas, mucho menos seleccionar proveedores de las mismas, ni se gua con un proceso de contratacin.

Este proceso se halla en nivel de madurez 0 (cero-inexistente) ya que la organizacin no reconoce la necesidad de procedimientos claros de adquisicin para proteger los intereses de la organizacin.

Los requerimientos no estn optimizados con las entradas de los proveedores potenciales, ya que no se lleva un registro confiable de los proveedores.

AI6 Administrar cambios

Todos los cambios relacionados con la infraestructura de las TI deben administrarse de manera controlada.

Basndose en los datos proporcionados por la empresa y la informacin recopilada durante la visita de campo, descubrimos que no existen procedimientos de administracin de cambio formales ni un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio.

El proceso para administrar cambios, se localiza en el nivel de madurez 0 (cero) ya que ni siquiera est definido un proceso para realizar cambios durante emergencias.

AI7 Instalar y acreditar soluciones y cambios

Todo nuevo sistema requiere ser puesto a prueba en su ambiente final para garantizar su correcto funcionamiento una vez instalado e implementado.

Con los datos obtenidos en la visita de campo a la empresa determinamos que existe una metodologa definida para migracin y existen planes de prueba y migracin los cuales cumplen con los estndares de la organizacin y tienen cierto grado de seguridad.

El proceso para instalar y acreditar soluciones y cambios, se localiza en el nivel de madurez 3 (tres) ya que la organizacin cuenta con una metodologa en lo que respecta a la instalacin, migracin y conversin de datos, sin embargo al implementarse pueden presentar inconsistencias, por lo que necesita revisiones.

III: ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio. Segn los datos obtenidos de la entrevista informal y la observacin determinaron que la empresa librera Santa Martha no cuenta con un marco de trabajo referencial al servicio, dicha empresa conoce los procesos y requerimientos necesario para el rea de servicio, de acuerdo a la estructura organizacional para el cumplimiento de los servicios, la administracin de servicio no se encuentra definida por lo tanto su manera de operar e implementacin es de manera implcita, ya que se conoce o se tiene en mente lo que se debe de realizar, pero no est debidamente documentado. Cabe destacar que la empresa cuenta con un responsable que pueda manejar y evaluar los niveles de servicio, pero el reporte y los aspectos del servicio que se realiza no es documentado adecuadamente, la veracidad de su informe no puede ser justificado, porque no realiza adecuadamente un informe correcto o pertinente hacia la gerencia. Con respecto al sistema de informacin con que cuenta librera, este si est debidamente documentado, cuenta con todos los manuales que son necesario para su uso y as brindar los servicios necesarios por medio de l, el monitoreo del sistema existe pero su anlisis de resultados es de forma emprica por parte responsable de ventas, los resultados del mismo y los anlisis se generan, todos los realiza de forma completa, pero el anlisis por medio del responsable es muy dbil. Este proceso est ubicado dentro del nivel (2) de madurez repetible pero intuitivo, ya que la empresa cuenta con un supervisor que vele por los servicios que se realizan tanto interna como externamente, pero los reportes efectuados por el son informales o basados muy empricamente, estos a la vez depende de la pericia que tenga el responsable al generarlos causando que sean incompletos ya que no se toma completamente toda la informacin necesaria para generarlos.

DS2 Administrar los servicios de terceros. Los resultados arrojaron que las vas de comunicacin, el manejo, as como los conocimientos completos de los servicios que asisten los proveedores no se controlan adecuadamente, no se basan en un mtodo establecido ya que solo se maneja registro pero no un informe de las relaciones empresa proveedor. La manera que la empresa toma el servicio de terceros es muy superficial o solo quieren suplir con la necesidad, se tiene un listado con los servicios que proveen los terceros, lo que ocasiona no se registre informacin ms detallada de cada uno, resultados o productos, no se sabe si dichos proveedores cumplen con los requerimientos del negocio ya que no hay nadie a cargo de este factor que pueda controlar y brindar un anlisis til de estos servicios hacia la empresa. No se tiene a una persona o responsable que entable comunicacin entre la empresa y dichos entes de servicio, lo que ocasiona inconsistencias en los registros, e informacin de cada uno, la empresa no puede conocer a fondo las caractersticas de los servicios que brindan, ni algunos aspectos como lo son la calidad, veracidad de entrega del servicio, y sobre todo resultados. A nivel de sistema de informacin se tienen registros sobre los servicios de terceros, pero el sistema no maneja ningn control sobre los datos ni genera ningn tipo de reporte acerca de los proveedores de servicios, el sistema no es capaz de brindar ningn tipo de informacin de los servicios y proveedores que se registran, lo que ocasiona que nadie pueda realizar un anlisis con referencia a estos aspectos. Para el proceso de administrar los servicios de terceros su ubicacin es en el nivel (0) de madurez o no existe, ya que ni tanto a nivel de sistema como administrativo se llevan control o cuenta de los resultados de los servicios a terceros, no se realizan mediciones de los servicios obtenidos, as como no hay una va de comunicacin fuerte hacia los proveedores que pueda generar algn tipo de reporte. Al no existir un control de estos servicios la empresa se expone a que sus costos puedan elevarse, ya que no se conoce la calidad de dichos servicios, lo que pueda ocasionar que en algn momento se presente una no conformidad de parte de la empresa hacia los proveedores, por no conocer su historia o se hayan medido sus resultados obtenidos.

DS3 Administrar el desempeo y la capacidad. En la empresa librera Santa Martha tiene conocimiento sobre las caractersticas y necesidades de los recursos de las TI. Segn la entrevista informal que se realizo, solo se tiene en cuenta el uso de estos recursos, pero no se definen ningn tipo de polticas para su manejo o medicin, se conoce lo actual y su mantenimiento, pero no existe un procedimiento de proyeccin para uso futuro de dichos recursos, no se establece una comparacin entre los acontecimientos actuales como lo son ancho de banda, carga de trabajo tanto del sistema como de personal, limitantes de servicio, etc. Y las necesidades futuras que vienen ligadas a los aspectos anteriores. Si bien existe un plan de respaldo para los recursos de TI, no se realiza un seguimiento exhaustivo de dichos recursos de las TI, no se puede garantizar que siempre estarn disponibles para las actividades de la empresa o requerimientos del negocio, o que sigan con las actividades establecidas en el plan de contingencia en caso de usarlo. No se toman en cuenta los niveles de carga de trabajo que sufren, y otros aspectos de gran relevancia lo que provoca una degradacin en los mismos y una carencia de mantenimiento. La administracin del desempeo y capacidad se ubica en el nivel (2) de madurez repetible, ya que la administracin de la empresa solo conoce la necesidad de los recursos de TI, no se toman ningn tipo de poltica concreta sobre la medicin o proyeccin de los mismo, la evaluacin del desempeo es de manera emprica lo que depende de la experiencia del que evala el recurso o espera algn resultado del mismo, no se observa una clara organizacin de los mismos destinados a cada rea de la empresa.

DS4 Garantizar la continuidad del servicio. La empresa segn la entrevista informal realizada, cuenta con los planes necesarios para algn acontecimiento que pueda suceder a nivel estructural, o de problemas a nivel de sistema, datos, almacenamiento u otro factor que pueda afectar de forma directa la funcionalidad de los procesos cotidianos de la empresa, el servicio de la TI est debidamente documentado y su funcionalidad ante cualquier acontecimiento que pueda daar la integridad, la continuidad del negocio y las TI.

Cuentan con planes de respaldo de la informacin, lo que asegura que siempre se mantendr en funcionalidad el sistema y que trabajara con datos actualizados. Tambin se respalda de manera exterior aquellos datos relevantes sobre los servicios de TI de la empresa Santa Martha. Cuentan con responsable que vele por el buen cumplimiento de estos planes al momento que puedan ocurrir dichos acontecimientos, este genera los reportes pertinentes sobre el manejo y almacenamiento que tenga que ver con todo lo relacionado sobre las TI. El garantizar la continuidad del negocio se localiza en el nivel (4) de madurez administrado, ya que la empresa y la administracin de la misma tienen muy bien definido los planes que se deben de llevar acabo ante cualquier eventualidad o acontecimientos que puedan amenazar los recursos de las TI, se localiza en este nivel ya que la documentacin sobre los respaldos de TI est muy bien controlado, y es realizado por responsables capacitados en el rea. A pesar de tener un muy buen control sobre las actividades que se llevan y deben con respecto a la continuidad del negocio, no se piensa en ningn tipo de actualizacin hacia los planes ya establecidos.

DS5 Garantizar la seguridad de los sistemas. De acuerdo a la entrevista informal que se realizo, se obtuvo que la empresa y los activos de las TI cuentan con el debido resguardo todo establecido en el plan de seguridad, se conoce los deberes que tiene el responsable por mantener los niveles de seguridad, as como la debida documentacin que este genera hacia la gerencia. Se realizan monitoreo sobre los procesos que afecta de manera directa o indirecta a las TI. El plan de seguridad abarca puntos importantes como que se debe de realizar en caso de que alguna vulnerabilidad del sistema se convierta en riesgo, qu medidas se deben tomar, y como resguardar el sistema ante la misma. Se conocen los roles y accesos que tiene las personas que interactan dentro del ambiente de las TI. Tambin cuentan con puntos o controles de acceso, est muy bien definida las reas restringidas y quines son los nicos que pueden ingresar a ellas. Este aspecto se ubica en el nivel (3) de madurez definido, ya que a pesar de que se maneje muy bien todas las actividades dentro del plan de seguridad, los reportes no tiene un enfoque meramente hacia los intereses de la empresa, solo se cumplen con lo que esta normado en el plan de seguridad. El plan de seguridad no se actualiza ante una nueva vulnerabilidad que pueda surgir de la empresa, lo que ocasiona que sea obsoleto ante un nuevo acontecimiento que no est registrado dentro del plan, es un sistema abierto ante nuevos riesgos.

DS6 Identificar y asignar costos. Segn la entrevista informal realizada, actualmente en librera Santa Martha no cuenta con polticas acerca de asignacin o proyeccin de costos para las TI, no se identifican los costos que se incurren o que son necesarios para las operaciones cotidianas de las TI del negocio, lo que se realiza en cambio es solo suplir con las necesidades que surgen en el momento. De los datos obtenidos se puede identificar que la empresa registra los costos que se incurren en las TI del negocio, pero no se sigue un modelo establecido de costo, lo que provoca que no se pueda realizar un presupuesto muy bien proyectado hacia los requerimientos de las TI del negocio.

Los usuarios de las TI tienen conocimiento de los costos que incurren las tecnologas, pero como ellos no se rigen de un presupuesto dirigido y proyectado hacia esta rea, provoca que no se optimice adecuadamente el uso de los recursos generando ms costos de los necesarios. Si bien los usuarios de las TI reportan los costos que se incurren, no se hace uso optimo de los mismos, ya que al carecer de restricciones de costos o no se guan por un modelo de costos necesario para las TI, no se garantiza el uso optimo de dichos recursos. El nivel de madurez para identificar y asignar costos no existe (0), ya que la empresa no conoce la relacin que existe entre los costos que incurren por parte de las TI y la eficiencia que estos pueden brindar por su uso adecuado. La administracin no logra poner claro las restricciones econmicas que pueden surgir, ya que no se realiza una proyeccin y no se refleja un presupuesto necesario para la operacin de los recursos de TI para el negocio.

DS7 Educar y entrenar a los usuarios. En la empresa Santa Martha segn la entrevista informal realizada, se realizo una capacitacin de todo los aspectos generales que le competen a las TI del negocio, pero no se mantiene de forma proactiva, ni se actualiza ante cualquier cambio que pueda surgir. Los responsables de las TI del negocio estn debidamente capacitados para llevar a cabo el cumplimiento de todas las responsabilidades. No se estableci ningn tipo de plan de capacitacin, no existe ningn tipo de iniciativa o documento que valore este aspecto, o que le d importancia a la actualizacin y la necesidad de mantener al personal capacitado sobre las TI del negocio. No se evala al personal de su estado actual con respecto a los TI, se realizo una capacitacin al inicio de toda implantacin de las TI del negocio, pero no se sigue capacitando cuando estas sufren algn tipo de actualizacin, y el usuario debe basarse en mtodos empricos y similares a la capacitacin para aplicar y usar alguna tecnologa. La administracin de la empresa reconoce que es necesaria una capacitacin peridica o regular para los usuarios de las TI, pero no se logra entablar o concluir en un plan de capacitacin que pueda brindar a los recursos de las TI seguridad por parte de los usuarios, su manejo, uso y resultados sean los esperados. El nivel de en el que se ubica la empresa es (1) inicial ya que se encuentran indicios que la empresa ha realizado capacitaciones a los usuarios de las TI, pero no se ha realizado un plan concreto de capacitacin, tampoco se ha tomado en cuenta las actualizaciones que pueden sufrir las TI, que esto provoca confusin sobre el uso de las mismas por parte de los usuarios. No se han establecido puntos crticos sobre la necesidad de entrenamiento y educacin.

DS8 Administrar la mesa de servicios y los incidentes. Segn la entrevista informal que se realizo, la empresa Santa Martha cuenta con una mesa de servicio, donde se provee informacin necesaria con respecto a las TI del negocio, pero dicha mesa no proporcional la suficiente informacin sobre acontecimientos o incidentes que puedan ocurrir a los usuarios de las TI. En la mesa de servicio se puede establecer informacin de requerimientos o solicitudes de informacin sobre las TI, pero como no hay polticas de actualizacin con respecto a las tecnologa o planes de seguimiento, la mesa no puede proporcionar suficiente informacin a los usuarios, limitando al negocio y a sus usuarios con respecto a la solucin de problemas o requerimientos de informacin con respecto a las TI. Dentro del sistema de informacin se puede observar que la mesa de servicio si recibe todos los informes que realiza el encargado sobre los incidentes o actividades que el sistema sufre directa e indirectamente, pero el proceso de solucin es limitado, ya que no se realiza un seguimiento y las respuestas ante los incidentes no se basan en una metodologa para tratarlos, simplemente registran, reportan y tratan de solucionar limitadamente. Este proceso se ubica en el nivel (1) de madurez inicial, ya que en la entrevista informal reconocen que existe la necesidad de actualizar los procesos que ocurren en la mesa de servicio, estar ms al tanto de lo que ocurre con respecto a las TI, y mantener un seguimiento a dichos reportes o incidentes para que puedan dar seguimiento y esto ayude a la toma de decisin.

DS9 Administrar la configuracin. De acuerdo a la entrevista informal y la visita de campo, se estableci que la empresa y sobretodo el rea informtica lleva a cabo este proceso, y se generan reportes o documentos sobre las actividades que se realizan con respecto a las configuraciones de software y hardware de las TI. Se sigue el plan de mantenimiento estipulado para el sistema de informacin. Las limitantes en este proceso son la actualizacin de los mtodos de mantenimiento, adems de la falta de capacitacin que limita a los usuarios de las TI del negocio conocer la configuracin optima para una eficiencia necesaria por parte de las tecnologas. El nivel de madurez para este proceso es el definido (3) ya que se realizan seguimientos de las configuraciones que se realizan a las TI del negocio, pero esto depende meramente de la pericia del individuo o sus conocimientos, est muy limitado ya que no se realizan capacitaciones para mantener actualizado al personal, a nivel administrativo ya que se realizan configuraciones al sistema ocupando en su mayora metodologa propia o del conocimiento del usuario no se puede determinar si las TI del negocio estn en niveles ptimos o que su uso de acuerdo a la configuracin que se establece pueda generar a la empresa el nivel de rentabilidad necesario.

DS10 Administracin de problemas. La entrevista informal realizada hacia la administracin de la empresa Santa Martha arrojo que actualmente se registran los problemas, pero las medidas a tomar no re rigen de ninguna poltica ni una metodologa que conlleve a resolverlos o tratarlos. El rea encargada de registrar los problemas presentados en la empresa y sobre todo con las TI del negocio, genera un reporte dirigido a la administracin, pero no se analizan posibles soluciones o recomendaciones lo que carga al rea administrativa. No se realiza un catalogo de los problemas encontrados y tampoco un historial del nivel de incidencia y ocurrencia de dichos problemas, lo que en cambio sucede es que registran, informan y almacenan dichos problemas, tomando acciones en el momento de ocurrir, sin hacer un previo anlisis con respecto si antes ocurri lo mismo y qu medidas se tomaron, es decir que la empresa soluciona problemas que puedan haberse repetido con distintos mtodos de solucin. Estos problemas que suceden no son documentados adecuadamente, lo que ocasiona que los planes preventivos sobre algunas vulnerabilidades de la empresa donde puedan atacar los problemas nunca estn bien definidos, o que no se tengan actividades que puedan contrarrestarlos al momento de presentarse, se desconoce si el problema una vez solucionado est cerrado parcial o totalmente y qu medidas se pueden tomar. El nivel de madurez para este proceso ubica a la empresa en (1) inicial, si bien la empresa registra los problemas y toma las medidas necesarias en su momento, no se puede garantizar que este no se presente de nuevo, as afectando de forma directa la productividad del negocio y de las TI correspondientes, el servicio que se brinda por medio de las tecnologas nunca se encontrara seguro, siempre estar vulnerable por qu no se toman medidas preventivas ni anlisis correspondientes para tratar problemas que pudieron afectarla las tecnologa en el pasado. La empresa al no llevar un catalogo de problemas, ni un historial de incidencia nunca podr definir una metodologa para tratar problemas y cerrarlos, cargando as el rea administrativa y generando costos.

DS11 Administracin de datos. La administracin de datos llevada en librera Santa Martha segn la entrevista informal y la visita de campo, arrojo que se est cumpliendo con lo establecido en los manuales y requerimientos del sistema, el personal a cargo de realizar el manejo, almacenamiento y respaldo de la informacin cumple con las polticas establecidas de la empresa y el sistema, hay un uso adecuado de los recursos de las TI para realizar la administracin de datos correspondiente. Las polticas sobre la eliminacin y manejo de los datos estn implantadas y se cumplen adecuadamente, los reportes se generan y se documentan as como el almacenamiento de los mismos. El encargado reporta todo lo sucedido con el manejo y almacenamiento de datos, as como los niveles de disponibilidad que presenta el hardware para el manejo de datos y la capacidad de almacenamiento. Para el respaldo y restauracin de datos la empresa y el sistema cuentan con el plan de backup para actividad que lo requiera. En l estn bien definidos todas las actividades, tareas y controles que se deben de realizar para el manejo y restauracin de los datos que afecta de manera directa o indirecta las TI del negocio. El nivel de madurez para este proceso es el optimizado (5) ya que la empresa conoce a totalidad la metodologa para el manejo de datos, el personal cumple con los establecido las polticas y normas por las cuales se rige este proceso, y adems de contar con el respaldo de un plan de manejo de la informacin y datos, lo que ayuda que los datos que procesan y almacenan las TI del negocio transcurran normar y optima por la vas correspondientes, adems que las tecnologas para estos estn siendo usada de manera correcta.

DS12 Administracin del ambiente fsico. Segn la visita de campo y la entrevista informal realizada, la empresa cuenta con las instalaciones adecuadas para mantener un ambiente necesario y acorde para las TI del negocio. El personal realiza todo lo estipulado en las polticas de seguridad con respecto al ambiente fsico para salvaguardar las TI del negocio. Cabe destacar que las instalaciones cumplen con lo establecido para lograr el ambiente requerido para las TI del negocio pero la seguridad de las instalaciones principales no se cumplen con lo estipulado en el plan de seguridad, el acceso a la mismas no est debidamente restringido y el personal autorizado y tambin el resto pueden accesar de forma fcil a las instalaciones. Los planes de contingencia y recuperacin ante fallos sustentan y mantienen un ambiente adecuado y estable para las TI del negocio, ya que proporcionan seguridad ante cualquier suceso que pueda ocurrir y afecte de manera directa al ambiente fsico de trabajo. De acuerdo al anlisis que se realizo se establece que este proceso se encuentra en el nivel de madurez administrado (4) ya que la empresa tiene conocimiento suficiente para mantener un ambiente fsico controlado y que pueda funcionar ante cualquier ocurrencia o actividad natural econmica etc., que este estipulada dentro de los planes con que cuenta el negocio y las TI. A se ubica en este nivel porque a pesar de cumplir con las polticas no se cumple la seguridad de las instalaciones donde reside el sistema de informacin exponindolo demasiado ante cualquier amenaza, a pesar de esto se mantiene un ambiente fsico ordenado garantizando que los recursos de las TI se utilicen y mantengan de manera optima.

DS13 Administracin de operaciones.

En la empresa segn la entrevista informal se conoce todas las operaciones necesarias para el manejo uso e implantacin de cualquier TI segn lo estipulado en los planes con que cuenta las TI de la empresa. Se rigen por las polticas establecidas y por el catalogo de operaciones que existe en la empresa. El personal a cargo de velar por el cumplimiento de las mismas reporta de manera explcita todo lo que ocurre con respecto a las operaciones que afecta de manera directa o indirecta a las TI del negocio.

El grado de madurez para este proceso es (4) administrado ya que la empresa conoce a fondo los procesos que se deben de cumplir para mantener un nivel optimo dentro de la empresa y que el uso de las TI se lleven a cabo segn lo estipulado y con las correspondientes operaciones de cada una de ellas.

IV: MONITOREAR Y EVALUAR

ME1 Monitorear y evaluar el desempeo de ti

Los datos fueron obtenidos durante la visita de campo realizada a la empresa, posteriormente se realiz una comparacin del desempeo contra las metas de la Librera. El proceso para monitorear y la evaluar el desempeo de TI se localiza en el nivel de madurez 1 (uno-inicial) ya que la gerencia reconoce la necesidad de establecer polticas de monitoreo para verificar el correcto funcionamiento de las Tecnologas de la Informacin para el cumplimiento de las metas del negocio. A pesar de esto no se identificaron procesos precisos para la recoleccin de estos datos. El monitoreo por lo general se implanta de forma reactiva ante algn incidente negativo, sin embargo mientras no hayan ocurrido eventos negativos dentro de la organizacin todo el monitoreo es evitado ya que la gerencia considera que representa un gasto extra que causara un desbalance en las cuentas. Tambin se contempla evaluar la capacidad de aplicar medidas correctivas basadas en el monitoreo del desempeo y los reportes del sistema. En el proceso de monitorear y evaluar el desempeo de las Tecnologas de la Informacin se halla en el grado de madurez 2 (repetible pero intuitivo) ya que se han identificado mediciones bsicas a ser monitoreadas pero solo en reas especificas de la organizacin. Es necesario que la a gerencia defina un marco de trabajo para medir el desempeo y que este marco sea intuitivo para todos en la empresa.

ME2 Monitorear y evaluar el control interno

Este proceso incluye monitoreo y el reporte de excepciones de control interno, autoevaluaciones y otras revisiones hechas por terceros. Se enfoca en el monitoreo de los procesos de control interno. Luego de revisar los datos obtenidos de la entrevista al gerente general y de la visita de campo monitoreamos la eficiencia de los control interno, verificamos que los procesos de control interno existen pero no siguen un plan definido y no estn implementados procedimientos para capacitar al personal en el uso de herramientas de control interno. La organizacin cuenta con herramientas de control interno pero su uso est limitado a ciertos usuarios con altos rango dentro de la organizacin. El proceso para monitorear y evaluar el control interno se localiza en el nivel de madurez 3 (definido) porque la gerencia apoya los procedimientos de monitoreo de control interno, adems han desarrollado polticas de control interno herramientas, aunque no se integradas en todos los procesos. El personal de la empresa no tiene conciencia sobre la seguridad operativa.

ME3 Garantizar el cumplimiento con requerimientos externos

Este proceso incluye identificacin de requerimientos de cumplimiento y asegurar el seguimiento de los mismos as como la identificacin de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento. El sistema en uso cumple con varias medidas establecidas por la DGI en cuanto a la facturacin y aplicacin de los impuestos correspondientes en los productos. El proceso para garantizar el cumplimiento regulatorio se localiza en el nivel de madurez 3 (definido) pues en la librera se han desarrollado, documentado y comunicado polticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo. Existen contratos para minimizar los riesgos asociados con las obligaciones contractuales de los empleados, pero estn ausentes en la contratacin de proveedores.

ME4 Proporcionar gobierno de ti

Durante este proceso se definen estructuras, procesos, liderazgo, roles y responsabilidades que garanticen que las inversiones de TI estn alineadas con los objetivos del negocio. Adems implica definir, establecer y alinear el marco de gobierno de TI con una visin de control. Luego de obtener los datos de la visita de campo se trabaj con el consejo directivo de la empresa para definir el nivel de riesgo de TI aceptable para poder determinar que el riesgo actual de las TI es aceptable. Luego se realizo una medicin del desempeo. Adems se realiz una revisin independiente para garantizar la conformidad de TI con la legislacin relevante as como las polticas y procedimientos existentes dentro de la empresa. El proceso para proporcionar un gobierno de TI se localiza en el nivel de madurez 1 (inicial) ya que la gerencia de la empresa reconoce que existe un problema debido a la falta de TI y que este debe ser resuelto. Solamente existe una comunicacin espordica e inconsistente sobre los temas de TI y sus soluciones. La gerencia solo responde a los problemas que consideran tangibles pero no analizan la necesidad de prevenirlos.

Captulo II
ANALISIS DE RESULTADOS

INFORME EJECUTIVO

INFORME TCNICO

OBJETIVOS PROPUESTOS DE LA EVALUACIN

Objetivo general:

Realizar una Auditora Informtica en La Librera Santa Martha con el fin de Identificar los niveles de madurez de los diferentes procesos de gestin TICs y proponer medidas para mejorar los mismos as como definir los lineamientos para promover la implementacin de un modelo de seguridad en toda la organizacin y determinar la calidad de los procedimientos efectuados en las actividades diarias de la empresa.

Objetivos especficos:

Evaluar las instalaciones de cmputo de la librera Santa Martha. Evaluar la estructura organizacional de la empresa. Identificar y evaluar los equipos de cmputo. Identificar las medidas y polticas de seguridad existentes. Determinar el nivel de madurez de los procesos de gestin utilizando COBIT. Verificar el cumplimiento de las medidas de seguridad. Elaborar un informe tcnico y ejecutivo sobre la organizacin.

DESARROLLO DE LA EVALUACIN DEL NIVEL DE MADUREZ DE LA GESTIN DE LAS TIC EN LIBRERA SANTA MARTHA

DOMINIO: PLANEAR Y ORGANIZAR. PO1: DEFINIR UN PLAN ESTRATGICO DE TI

NIVEL DE MADUREZ ACTUAL: UNO

Se conoce la necesidad de una planeacin estratgica de TI y la planeacin de TI se realiza segn se necesite como respuesta a un requerimiento de negocio especfico. La planeacin estratgica de TI se discute de forma ocasional en las reuniones de la gerencia de TI.

RECOMENDADO: DOS

Las decisiones estratgicas se toman proyecto por proyecto, sin ser consistentes con una estrategia global de la organizacin. Los riesgos y beneficios al usuario, resultado de decisiones estratgicas importantes se reconocen de forma intuitiva.

La importancia de desarrollar un plan estratgico de TI, es tener una gua clara y robusta de lo que se debe hacer para llegar a las metas del negocio. Pero el plan estratgico no debe desarrollarse y almacenarse, debe ser un medio de consulta para el personal de la empresa. Si la empresa no cuenta con un plan estratgico de TI corre el riesgo de adquirir tecnologas de informacin que no contemplen las necesidades de la empresa

PO2: DEFINIR LA ARQUITECTURA DE LA INFORMACIN

NIVEL DE MADUREZ ACTUAL: TRES

Se protege de manera fsica la informacin, mediante controles de accesos a reas de almacenamiento de la informacin y lgica de control como son contraseas y logins y preventivas de intrusiones al sistema reducidas a un riesgo mnimo, pero no se cuenta con una clasificacin para la totalidad de la informacin, ni un mtodo de manejo o clasificacin de informacin segn su peso e importancia para la organizacin. Los datos no presentan ningn tipo de cifrado, tanto al momento de transferir la informacin como en su almacenamiento, adicional al brindado por los manejadores de BD.

RECOMENDADO: CUATRO

Se debe dar soporte completo al desarrollo por mtodo de mtodos y tcnicas formales.

La importancia de definir la arquitectura de informacin es tener una arquitectura a medida; es decir que la arquitectura satisfaga los requerimientos empresariales y ayude a alcanzar las metas del negocio. El riesgo de no contar con una arquitectura de informacin aplicada a toda la empresa es tener errores de entendimiento e incompatibilidad al momento de compartir la informacin.

PO3: DETERMINAR LA DIRECCIN TECNOLGICA

NIVEL DE MADUREZ ACTUAL: DOS

La infraestructura tecnolgica actual no presenta diseos para una futura ampliacin o empleo de plan estratgico y tctico de TI, adems de carecer de estos, no se contempla surgimiento de necesidades futuras por exigencias del mercado y la empresa.

RECOMENDADO: TRES

Planear la infraestructura tecnolgica basada en los requerimientos de la empresa. Implementar tcnicas y estndares comunes que sirvan como gua para el personal. Es importante que la empresa cuente con tcnicas y estndares comunes que sirvan como gua para el personal porque este proceso obliga al personal a tener mayor responsabilidad sobre la integridad y seguridad de los datos, adems el proceso mejora la efectividad y el control de la informacin que se comparte en las aplicaciones usadas en la empresa. Los proveedores clave se deben seleccionar con base en su entendimiento de la tecnologa a largo plazo y de los planes de desarrollo de productos, de forma consistente con la direccin de la organizacin.

PO4 Definir los procesos, organizacin y relaciones de TI

NIVEL DE MADUREZ ACTUAL: TRES

La empresa tiene claras sus polticas, normas y procedimientos de seguridad, as como los responsables de la administracin de amenazas y riesgos, que surgen dentro de la empresa, aunque no la clasificacin y clculo del impacto de los mismos en la institucin.

RECOMENDADO: CUATRO

La estructura organizacional de TI debe reflejar de manera apropiada las necesidades del negocio proporcionando servicios alineados con los procesos estratgicos del negocio, en lugar de estar alineados con tecnologas aisladas. Se debe administrar las funciones de la organizacin de TI. Es importante administrar las funciones de la organizacin de TI porque este proceso garantiza que quienes van a desempear las funciones de TI tengan roles y responsabilidades debidamente asignados para que se ejerzan de forma apropiada, adems la gerencia puede disponer de una gua para la toma de decisiones tecnolgicas.

PO5: ADMINISTRAR LA INVERSIN EN TI

NIVEL DE MADUREZ ACTUAL: UNO

No existe una administracin de inversin para TI, las inversin ocurre cada vez que se requiere de una nueva adquisicin, adems la empresa cuenta con un marco de trabajo limitado a necesidades bsicas de TI como son insumos y consumibles y la administracin de costos, beneficios, prioridades solo se registra en trminos contables no presupuestados.

RECOMENDADO: DOS

La gerencia necesita un entendimiento implcito de la necesidad de seleccionar y presupuestar. Es importante para la gerencia entender que el manejo de un presupuesto es necesario porque permite usar efectiva y eficientemente los recursos de TI y as obtener beneficios para la empresa. Si no se maneja un presupuesto detallado que contemple los imprevistos en el rea de TI se puede correr con el riesgo de no poder solucionarlos. Asignar responsables del presupuesto para TI. Las personas asignadas deben administrar el presupuesto teniendo presente los gastos actuales, los imprevistos y los gastos futuros, adems el responsable tiene la obligacin de emitir una justificacin de sus actividades para la toma de decisiones presupuestales a la gerencia.

PO6: ASPIRACIONES Y LA DIRECCIN DE LA GERENCIA

NIVEL DE MADUREZ ACTUAL: TRES

El ambiente de control y polticas es manejado por RRHH quien intenta establecer cultura de control y uso de TI (valor agregado) y expresa las expectativas y requerimientos de la gerencia, incentivando la inversin de TI y su repercusin en resultados, integridad, facilidad del trabajo y disminucin de riesgos.

RECOMENDADO: CUATRO

Se debe establecer un ambiente de control de informacin positivo y proactivo, as como un juego completo de polticas, procedimientos y estndares. Documentar las aspiraciones y la direccin de la gerencia. La librera cuenta con documentacin que contempla simplemente con la misin, porque su visin, polticas, procedimientos y estndares aun no estn definidos. Al no documentar se corre el riesgo de que cada persona que trabaja en la empresa entienda a su manera la informacin, y por ende la siga como crea conveniente. Comunicar las aspiraciones y la direccin de la gerencia Es importante dar a conocer el documento de aspiraciones y direccin de la gerencia por medio de una reunin para todo el personal, el expositor debe aclarar las dudas que se presenten, hasta estar seguro que el personal de la empresa entienda las aspiraciones y la direccin gerencial.

PO7: ADMINISTRAR RECURSOS HUMANOS DE TI

NIVEL DE MADUREZ ACTUAL: CUATRO

Las evaluaciones de desempeo no se realizan peridicamente y solo en circunstancias que la empresa considera que lo amerita, se comparada contra los objetivos individuales derivados de las metas organizacionales, estndares establecidos y responsabilidades especficas del puesto.

RECOMENDADO: CINCO

Los componentes de la administracin de recursos humanos de TI deben ser consistentes con las mejores prcticas de la industria, por ejemplo: compensacin, revisiones de desempeo y entrenamiento.

PO8: ADMINISTRAR LA CALIDAD

NIVEL DE MADUREZ ACTUAL: TRES

Aunque sin ninguna metodologa establecida, se cuenta con proceso de reconocimiento del problemas, y un tratamiento inmediato, el anlisis de soluciones permanentes y estandarizacin del problema no se encuentra y queda a criterio del gerente de calidad.

RECOMENDADO: CUATRO

Se debe institucionalizar un programa de educacin y entrenamiento para educar a los empleados. Se deben hacer encuestas de satisfaccin de calidad y construir una base de datos para mtricas de calidad.

PO9: EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI

NIVEL DE MADUREZ ACTUAL: CUATRO

La empresa cuenta con un plan de respaldo y prevencin ante fallos. las medidas de mitigacin y solucin pasan por un proceso establecido que permite, analizar las amenazas a las cuales la empresa est expuesta, y presentar propuestas que los prevenga a un futuro, aunque no se sigue un proceso exhaustivo del monitoreo y evaluacin de la solucin.

RECOMENDADO: CINCO

Identificar los riesgos de TI. Si no se identifican los riesgos de TI la empresa no tendr un procedimiento definido que analice los riesgos y defina las caractersticas generales de seguridad que regirn para toda la organizacin. El proceso de evaluacin de riesgos proceso estructurado debe implantarse en toda la organizacin y ser bien administrado. La administracin de riesgos debe integrarse en todo el negocio y en las operaciones de TI. La mitigacin de riesgos debe hacerse de manera continua.

PO10: ADMINISTRAR PROYECTOS

NIVEL DE MADUREZ ACTUAL: UNO

Existe una carencia de compromiso por parte de la gerencia hacia la propiedad de proyectos y hacia la administracin de proyectos. Las decisiones crticas sobre administracin de proyectos se realizan sin la intervencin de la gerencia usuaria ni del cliente.

RECOMENDADO: DOS

Administrar los proyectos de TI ejecutados. La gerencia debe reconocer la necesidad de usar tcnicas de administracin de proyectos, y el plan de administracin de proyectos debe desarrollarlo un experto en conjunto con la gerencia y los usuarios.

Es importante administrar los proyectos de TI para reducir riesgos de costos inesperados y de cancelacin de proyecto, as como para mejorar la comunicacin y el involucramiento del negocio y de los usuarios finales y adems asegurar la calidad de los entregables de los proyectos.

DOMINIO: ADQUIRIR E IMPLANTAR

AI 1: Identificar soluciones administrativas NIVEL DE MADUREZ ACTUAL: UNO

La empresa reconoce la necesidad de definir requerimientos y de identificar soluciones

tecnolgicas, pero los requerimientos definidos son obsoletos.

RECOMENDADO: DOS

Es imperativo definir los requerimientos de informacin para desarrollar un estudio de factibilidad actualizado que sirva como gua para que la empresa conozca que puede hacer al momento de querer implementar soluciones automatizadas, sean stas en software, hardware, servicios y habilidades, de esta forma los altos directivos con la ayuda de este estudio podrn implementar la mejor solucin satisfaciendo las necesidades de la empresa. Si no se definen requerimientos de informacin las soluciones tecnolgicas que se escojan no van a satisfacer los requerimientos y no van a ayudar a alcanzar las metas del negocio. Las soluciones tecnolgicas disponibles deben encontrarse con la ayuda de un experto que gue a los encargados del rea informtica de la empresa a solucionar los problemas existentes.

AI2: Adquirir y mantener software aplicativo

NIVEL DE MADUREZ ACTUAL: DOS

La adquisicin y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librera Santa Martha. Solo unas pocas personas dentro de la organizacin cuentan con la capacidad de abordar la seguridad de las aplicaciones y los requerimientos para enfrentar los riesgos en los datos y la arquitectura de la informacin.

RECOMENDADO: TRES
La empresa cuenta actualmente con un software llamado SVIL-SM (Sistema de Venta e Inventario de Librera-Santa Martha) que fue desarrollado por una empresa externa hace 2 aos y es ocupado actualmente para:

Registrar el inventario Registrar compras a proveedores Registrar ventas Ingreso de pedidos de clientes

Es necesario contar con un plan que detalle los pasos a seguir para el proceso de adquisicin y mantenimiento de software aplicativo, el plan debe realizarse en coordinacin con el departamento de Contabilidad para que acepte o rechace el presupuesto indicado en el plan por el experto, y con la gerencia para que apruebe o repruebe el plan. Las actividades de mantenimiento se deben planear, programar y coordinar con las distintas reas de la empresa.

AI3: Adquirir y mantener infraestructura tecnolgica

NIVEL DE MADUREZ ACTUAL: DOS

La adquisicin y mantenimiento de software aplicativo es un proceso poco desarrollado en la Librera Santa Martha. Es repetible pero intuitivo porque la gerencia no tiene conciencia de la importancia de este proceso, no se planean actualizaciones importantes en el Sistema existente, simplemente hay un mantenimiento correctivo de ste.

RECOMENDADO: TRES

Es importante definir un plan de infraestructura tecnolgica con enfoques tecnolgicos consistentes considerando las necesidades de las aplicaciones del negocio, que permita tener un correcto seguimiento del desempeo de la infraestructura. Adems se debe tener presente que elegir una infraestructura tecnolgica adecuada es importante porque ayuda al personal a tener la informacin que necesita para trabajar en forma ms productiva cada da. Se debe planear, programar y coordinar el mantenimiento, para as garantizar un soporte tecnolgico continuo para las aplicaciones del negocio.

AI4: facilitar la operacin y el uso

NIVEL DE MADUREZ ACTUAL: UNO

La empresa reconoce la necesidad de los manuales pero no tiene desarrollada ninguna estrategia al respecto ni ha definido una manera de crearlos. La informacin de uso del software aplicativo se distribuye en forma irregular al personal de la empresa.

RECOMENDADO: TRES

Actualizar la documentacin. Es importante proporcionar al personal la documentacin necesaria para garantizar el uso correcto de las aplicaciones y de la infraestructura. Es necesario que la empresa cuente con un procedimiento de actualizacin porque la documentacin debe reflejar los cambios que se realicen en procedimientos, sistema, y TI. Se debe planear y programar tanto el entrenamiento del negocio como de los usuario. Cada departamento de la empresa debe hacer su documentacin y posteriormente compartirla con el resto de la organizacin, adems la empresa debe contar con un experto (interno o contratado) para que gue el proceso de desarrollo de los manuales, y de esta manera se pueda planear y programar un entrenamiento al personal de la empresa con respecto al uso de los recursos de TI.

AI5: Adquirir recursos de ti

NIVEL DE MADUREZ ACTUAL: CERO

No existe un proceso definido de adquisicin de recursos de TI. No existe un proceso definido y la gerencia no reconoce que es necesario tener un plan para adquirir recursos de TI.

RECOMENDADO: DOS

Planear la adquisicin de recursos de TI Buscar un experto que defina un plan para implementar polticas y procedimientos bsicos que ayuden a la adquisicin de recursos de TI para la empresa, el plan debe especificar las responsabilidades de los involucrados y monitorear el desempeo de lo adquirido. Es importante planear la adquisicin de recursos de TI porque de esta forma la empresa tiene un apoyo en la toma de decisiones en el proceso de adquisicin y adems la planeacin de la adquisicin garantiza que la organizacin disponga de todos los recursos de TI que requiere, de manera eficaz y eficiente. Las polticas y procedimientos se deben integrar con el proceso general de adquisicin de la organizacin del negocio. Se deben implementar procesos de contrato al menos en los proyectos grandes. Si no se planea la adquisicin de recursos de TI se corre con el riesgo de adquirir recursos poco eficientes que no cubran con los requerimientos de la empresa.

AI6: Administrar cambios

NIVEL DE MADUREZ ACTUAL: CERO

La gerencia no tiene conciencia de los beneficios de una correcta administracin de cambios.

RECOMENDADO: DOS

Administrar los cambios en Librera Santa Martha. La empresa debe buscar un asesor externo que en coordinacin con el encargado definan un procedimiento para administrar los cambios. Implementacin del cambio, el encargado de implementar el cambio debe efectuar el cambio y documentar la disposicin final, esto significa recolectar, analizar, modificar la documentacin donde se incluyan todo lo que se ha modificado.

Debe implementarse un proceso de administracin de cambio. Es importante administrar de cambios mediante un procedimiento formal de administracin y control para evitar que estos ocurran sin autorizacin. Los cambios deben ser documentados para ser analizados y as la empresa pueda tener un reporte de las tendencias, los patrones encontrados y las relaciones con las que interacta cada cambio.

AI7: Instalar y acreditar soluciones y cambios

NIVEL DE MADUREZ ACTUAL: TRES

La organizacin cuenta con una metodologa en lo que respecta a la instalacin, migracin y conversin de datos, sin embargo al implementarse pueden presentar inconsistencias, por lo que necesita revisiones.

RECOMENDADO: CUATRO

Todos los cambios mayores de sistemas deben seguir un enfoque formal Se debe dar entrenamiento al personal que usar la solucin implantada, para que la gerencia se asegure de que sus empleados utilizarn el nuevo o modificado sistema correctamente, Debe aplicarse la prueba de stress para los nuevos sistemas Es importante instalar y autorizar las soluciones y cambios para as garantizar que los sistemas usados en la empresa estn en lnea y cumplan con las expectativas convenidas y con los resultados requeridos.

DOMINIO: ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio. ACTUAL: 2 La empresa Santa Martha presento anomalas con respecto a la administracin de niveles de servicio, ya que el encargado de supervisar logra realizar su tarea pero la realizacin del reporte de niveles es muy informal y no logra detallar todos los hallazgos que se encuentran en la empresa. Para este nivel se requiere que los niveles de servicio estn muy administrados, el reporte que se realiza debe de medir la satisfaccin y la percepcin que el cliente tiene sobre los servicios que brinda las TI al negocio. RECOMENDADO: 4 Se recomienda que este proceso se encuentre en el nivel de madurez (4) administrado, ya que al establecerse en este, la empresa sufrir grandes cambios, se recomienda que el personal a cargo de los niveles de servicio presente informes donde puedan detallar todos aquellos factores que son importante para la evaluacin de los niveles de servicio.

DS2 Administrar los servicios de terceros. ACTUAL: 0 La administracin de servicios a terceros que la empresa presento, no cuentan con una metodologa para el manejo de los mismo, y al contrario se quiere cumplir con ellos de modo emprico y no analizado y detallado, la informacin que se registra y se maneja no es la adecuada para realizar alguna toma de decisin, lo que provoca inconsistencias en la realizacin y puesta en marcha de este proceso. El nivel de madurez para este proceso es (0) inexistente porque la administracin no se preocupa de factores relevantes que se deben de cumplir para este proceso, lo que provoca que cualquier procedimiento que se lleva a cabo dentro de este proceso no sea confiable, o no se tiene certeza de que las tareas o actividades que se realizan estn de forma correcta y benefician a este proceso. RECOMENDADO: 4 Para este proceso se requiere el nivel de madurez (4) administrado porque se deben de establecer polticas y normas por parte de la administracin, para llevar un control de todas las actividades que se realizan por parte de terceros, y que estn debidamente definidas y dentro de lo esperado por la empresa, para minimizar costos y riesgos que se presentan actualmente por el manejo deficiente que se lleva a cabo. Se debe de capacitar al personal para registrar toda anomala o sucesos que surjan en el transcurso de este proceso por parte de los proveedores, ya que con esto se garantiza que la empresa est recibiendo un buen servicio y que todos los productos o servicios que se reciben de terceros cumplen con las normas de calidad estipuladas, sobre todo si se trata de productos que afecten de manera directa o indirecta a las TI del negocio.

DS3 Administrar el desempeo y la capacidad. ACTUAL: 2 La administracin del desempeo y la capacidad que se lleva actualmente en la empresa no puede brindar informacin para la toma de decisin futura, ya que los datos que se registran actualmente no se puede realizar una proyeccin del uso y eficiencia que presentan las TI del negocio. Se debe de intuir al personal para que realice el labor exhaustivo en la revisin de los datos que presentan las TI del negocio, un registro de todos los acontecimientos que suceden sobre el desempeo ya que actualmente no se puede conocer el estado actual de las TI del negocio, exponiendo a la empresa a perdidas por falta de seguimiento o mantenimiento a las TI de la empresa. Con un de acuerdo registro de los datos del desempeo y capacidad se pueden realizar la planeacin de las TI, cuando estas para la empresa representan un gasto por falta de seguimiento o representa un riesgo para la realizacin de las labores de la empresa afectando su utilidad y ocasionando que el cliente presente un descontento por el servicio que se brinda, afectando de manera directa la calidad de servicio de la empresa.

RECOMENDADO: 4 Se recomienda el nivel (4) administrado porque es necesario que la administracin defina una metodologa para la administracin del desempeo tanto de los servicios de los recursos de TI como del sistema de informacin, se debe de capacitar al personal para que realicen labores de registro del uso y niveles de desempeo que se recibe por parte de la TI y el sistema, as como asignar un responsable capaz de analizar los datos y generar un reporte que sirva para la toma de decisin y se pueda realizar una proyeccin del uso que tiene las TI del negocio.

DS4 Garantizar la continuidad del servicio. ACTUAL: 4 Este proceso cumple con requerimientos esperados, al contar con los documentos que garantizan la continuidad del servicio provee a la empresa la seguridad necesaria para el cumplimento de las tareas y as poder estar preparado ante cualquier acontecimiento que pueda restringir el uso de las TI para el negocio. El nivel de madurez que presenta este proceso es el necesario para que la empresa pueda seguir con su funcionalidad normalmente, el personal se rige por los documentos que existen. A pesar de estar en este nivel se recomienda que la empresa revise actualizaciones o mejoras que se pueden presentar para que la empresa se encuentre preparada ante cualquier acontecimiento que pueda afectar las actividades cotidianas del negocio.

DS5 Garantizar la seguridad de los sistemas. ACTUAL: 3 Este es uno de los niveles ms importantes que se deben de tomar en cuenta ya que aqu depende que las operaciones y actividades del negocio se lleven a cabo de forma segura. Si bien la empresa cuenta con un plan de seguridad, el nivel de madurez con el que cuenta no es lo suficiente para garantizar que el negocio goce de total seguridad con las vulnerabilidades que puedan surgir. No se realiza un anlisis sobre que nuevas vulnerabilidades pueden convertirse en riesgos que afecten de manera directa la continuidad del negocio, los roles de usuario y puntos de acceso se encuentran bien normados y esto genera seguridad al negocio y los recursos de las TI de la empresa. RECOMENDADO: 4 Se recomienda el nivel (4) administrado de madurez, ya que se debe de realizar actualizaciones seguidas, para determinar si el negocio puede presentar en un futuro una vulnerabilidad que pueda convertirse en riesgo, y esto afectar la productividad y la utilidad del negocio.

DS6 Identificar y asignar costos. ACTUAL: 0 Este proceso dentro de la empresa es que ms incidencia presenta y afecta de manera directa a la utilidad de la empresa, ya que la empresa Santa Martha no se rige de ningn presupuesto para costos de las TI del negocio. No se registran adecuadamente todo los gastos y costos que incurren por parte de las tecnologas, y el personal que hace uso de ellas, no hace uso debido de las mismas ya que no se definen limites de costos que puedan generar, no se rigen por los niveles de eficiencia de cada tecnologa que se usa, con sus costos ya establecidos. El nivel de madurez que presenta esta actividad es inexistente ya que no se lleva un control adecuado de los costos que incurren en el uso de las TI, y no se realizan estndares necesarios para determinar lmites de costos en cada TI que el usuario debe de conocer para garantizar un uso adecuado del mismo. RECOMENDADO: 5 Se recomienda el nivel de madurez (5) optimizado ya que el nivel de incidencia de este proceso para el negocio es esencial para asegurar que la rentabilidad y utilidad de la empresa esta salvaguarda. Se debe de garantizar los costos que incurren, para realizar proyecciones adecuadas para el uso de los recursos tecnolgicos, y lo que el personal debe de cumplir para el uso de los mismos.

DS7 Educar y entrenar a los usuarios. ACTUAL: 1 La capacitacin que realizo la empresa hacia los usuarios de las TI se efectu al principio y no abarca todas las actualizaciones que puedan surgir en el transcurso del tiempo. No se han realizado evaluaciones al personal si es necesario entrenar o realizar una actualizacin en la capacitacin que se realizo, esto puede influir bastante en la productividad de la TI ya que los usuarios no cumplen con el suficiente nivel que se requiere para el uso de las mismas. Este proceso presenta el nivel de inicial de madurez, ya que la empresa reconoce que tiene un problema con respecto a capacitacin y entrenamiento, esto puede generar costos excesivos por parte de las TI del negocio por un uso inadecuado de los usuarios.

RECOMENDADO: 3 Se recomienda el nivel de madurez (3) definido para este proceso ya que la administracin debe de realizar un plan de capacitacin que abarque las actividades que se deben de tomar en cuenta al momento de realizar una actualizacin de las TI del negocio. El personal siempre debe de ser capaz de usar las tecnologas adecuadamente brindando niveles de desempeo altos, y cumpliendo con los estndares de eficiencia establecidos para las TI.

DS8 Administrar la mesa de servicios y los incidentes. ACTUAL: 1 La mesa de servicio con que cuenta librera Santa Martha cumple con la funcionalidad para cual fue establecida pero no totalmente, solo se registran los acontecimientos que suceden y se solucionan de manera inadecuada, ya que la mesa no se basa en una metodologa o polticas establecidas para tratar dichos incidentes. Cabe destacar que como carece de actualizaciones sobre mtodos en las TI, no se puede proporcionar la debida informacin para solucionar los problemas que puedas presenta. No se realiza un historial de los incidentes que se reportan, no se realiza ningn catalogo de incidentes, esto para tratar acontecimientos que se puedan presentar en el futuro. El nivel de madurez actual no soporta la toma de decisin que se pueda realizar para la solucin de los problemas que puedan surgir en la empresa. RECOMENDADO: 4 Se recomienda el nivel de madurez (4) administrado, ya que es necesario que la empresa cuente con metodologa para tratar los incidentes que puedan afectar las TI del negocio, tiene que tener en cuenta los beneficios que brinda tener claro polticas y normas para tratar cualquier altercado que afecte a la empresa y sus recursos. La mesa de servicios e incidentes debe estar compuesto por un personal que pueda dar solucin y soporte a dichos incidentes que ocurran, debe de realizar los catlogos e historiales para tener un registros de los acontecimientos que suceden y en un futuro ocuparlos para soluciones pertinentes.

DS9 Administrar la configuracin. ACTUAL: 3 La administracin de la configuracin depende del conocimiento que los usuarios tienen sobre las TI, la empresa cuenta con los planes de configuracin y mantenimiento respectivo para que el personal pueda llevar a cabo todas las actividades y tareas que le corresponden a este proceso. La empresa al no actualizar al personal por medio de las capacitaciones que competen sobre las TI del negocio, limita a configurar los recursos, ocasionando que no se garantice el nivel ptimo de configuracin para los recursos tecnolgicos. Cuentan con el nivel (3) definido, ya que la configuracin est restringida sobre aspectos tecnolgicos, se encuentra muy cerrada hacia prximas configuraciones que se pueden dar en el futuro. RECOMENDADO: 4 Se recomienda que este proceso se localice en el nivel de madurez (4) definido, ya que se requiere ms monitoreo para este proceso, se debe de configurar optimo, para lograr con los objetivos de la empresa, se requiere actualizaciones en las capacitaciones del personal para conocer las configuraciones optimas para tener niveles de eficiencia altos en la empresa.

DS10 Administracin de problemas.

ACTUAL: 1 El nivel de madurez para este proceso ubica a la empresa en (1) inicial, si bien la empresa registra los problemas y toma las medidas necesarias en su momento, no se puede garantizar que este no se presente de nuevo, as afectando de forma directa la productividad del negocio y de las TI correspondientes. RECOMENDADO: 4 Se debe de asignar el nivel (4) administrado debido a que es esencial que la empresa pueda cumplir y administrar todos los problemas que surgen, esto debe de ir junto con la mesa de servicios ya que esta es la que recibe todas las anomalas de la empresa, y auqui se definen las metodologas que se deben de hacer para tratar los problemas que se puedan encontrar.

DS11 Administracin de datos. ACTUAL: 5 El nivel de madurez para este proceso es el optimizado (5) ya que la empresa conoce a totalidad la metodologa para el manejo de datos, el personal cumple con los establecido las polticas y normas por las cuales se rige este proceso, y adems de contar con el respaldo de un plan de manejo de la informacin y datos, lo que ayuda que los datos que procesan y almacenan las TI del negocio transcurran normar y optima por la vas correspondientes, adems que las tecnologas para estos estn siendo usada de manera correcta. DS12 Administracin del ambiente fsico. ACTUAL: 4 el nivel de madurez administrado (4) ya que la empresa tiene conocimiento suficiente para mantener un ambiente fsico controlado y que pueda funcionar ante cualquier ocurrencia o actividad natural econmica etc., que este estipulada dentro de los planes con que cuenta el negocio y las TI. A se ubica en este nivel porque a pesar de cumplir con las polticas no se cumple la seguridad de las instalaciones donde reside el sistema de informacin exponindolo demasiado ante cualquier amenaza, a pesar de esto se mantiene un ambiente fsico ordenado garantizando que los recursos de las TI se utilicen y mantengan de manera optima.

DS13 Administracin de operaciones.

ACTUAL: 4 El grado de madurez para este proceso es (4) administrado ya que la empresa conoce a fondo los procesos que se deben de cumplir para mantener un nivel optimo dentro de la empresa y que el uso de las TI se lleven a cabo segn lo estipulado y con las correspondientes operaciones de cada una de ellas.

DOMINIO: MONITOREAR Y EVALUAR.

ME1: Monitorear y evaluar el desempeo de ti

NIVEL DE MADUREZ ACTUAL: DOS

Se han identificado mediciones bsicas a ser monitoreadas pero solo en reas especificas de la organizacin. El monitoreo por lo general se implanta de forma reactiva ante algn incidente negativo.

RECOMENDADO: TRES
Se deben implantar programas educacionales y de entrenamiento para el monitoreo de las TI. Es importante que la empresa cuente con un plan de monitoreo y evaluacin del desempeo de TI que garantice que los procesos que realiza cada departamento de la empresa se ejecuten correctamente y que cumplan con las polticas establecidas. Deben definirse las mediciones del desempeo especficas de TI, as como mediciones estratgicas, de satisfaccin del cliente y niveles de servicio. El no tener un plan de de monitoreo y evaluacin del desempeo de TI implica que el experto no pueda monitorear el tiempo real del desempeo de sus sistemas y esto le ocasione problemas reales y afecten el tiempo y la productividad de su empresa.

ME2: Monitorear y evaluar el control interno

NIVEL DE MADUREZ ACTUAL: TRES

La gerencia apoya los procedimientos de monitoreo de control interno, adems han desarrollado polticas de control interno herramientas, aunque no se integradas en todos los procesos. El personal de la empresa no tiene conciencia sobre la seguridad operativa debido a la falta de capacitacin.

RECOMENDADO: CUATRO

La gerencia debe implantar un marco de trabajo para el monitoreo del control interno de TI. Se debe establecer una base de datos de mtricas para informacin histrica sobre el monitoreo del control interno Es importante que la empresa cuente con un plan de monitoreo y evaluacin del control interno debido a que esto proporciona seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de las leyes y regulaciones aplicables en la empresa.

Si no se monitorea y evala el control interno de la empresa no se podr proporcionar seguridad razonable en el cumplimiento de los objetivos de la empresa a partir de la efectividad en las operaciones y la confiabilidad de la informacin y el cumplimiento de las leyes.

ME3: Garantizar el cumplimiento regulatorio

NIVEL DE MADUREZ ACTUAL: TRES

En la librera se han desarrollado, documentado y comunicado polticas, procedimientos y procesos, para garantizar el cumplimiento de los reglamentos y de las obligaciones contractuales y legales. Se realiza poco monitoreo.

RECOMENDADO: CUATRO
Debe crearse un esquema formal de entrenamiento que asegura que todo el equipo est consciente de sus obligaciones de cumplimiento. Debe implantarse un mecanismo para monitorear el no cumplimiento de los requisitos externos, reforzar las prcticas internas e implementar acciones correctivas. Es importante que la empresa cuente con un plan que garantizase el cumplimiento regulatorio porque esto proporciona un aseguramiento positivo con respecto al cumplimiento de las leyes y regulaciones de TI. Si no se garantiza el cumplimiento regulatorio la empresa no podr realizar nuevos proyectos debido a que no cumplir con los requerimientos en el caso en el que le ejecuten una auditoria.

ME4: Proporcionar gobierno de TI

NIVEL DE MADUREZ ACTUAL: UNO

El proceso para proporcionar un gobierno de TI se localiza en el nivel de madurez 1 (inicial) ya que la gerencia de la empresa reconoce que existe un problema debido a la falta de TI debe ser resuelto. Solamente existe una comunicacin espordica e inconsistente sobre los temas de TI y sus soluciones.

RECOMENDADO: TRES

Establecer un gobierno de TI. Los procedimientos deben estandarizarse y documentarse. La gerencia debe comunicar los procedimientos estandarizados y el entrenamiento est establecido. La empresa debe buscar un experto del gobierno de TI para que gue el proceso de establecer un gobierno de TI en la empresa, el experto debe establecer un gobierno de TI slido para que ayude a la organizacin a alcanzar sus metas de negocio. Es importante que la empresa cuente con un gobierno de TI pues de ese modo garantiza que las inversiones empresariales en TI estn alineadas y de acuerdo con las estrategias y objetivos empresariales. Adems el gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva por ello la gerencia necesita dirigir sus TI para obtener ventajas ptimas, manejar los riesgos relacionados con las TI y medir el valor proporcionado por ellas. Si en la empresa no existe gobierno de TI la gerencia no podr apoyar sus objetivos de negocio e incluso no podr plantear nuevos objetivos y servicios que vayan acorde al uso de las tecnologas de informacin.

CAPITULO III CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

La herramienta COBIT nos permiti definir el nivel de madurez de los procesos de gestin de TI. Evaluamos el nivel de madurez actual y el nivel de madurez recomendado de los procesos en Librera Santa Martha para emitir recomendaciones que debern ser tomadas en cuenta por el nivel gerencial segn se especifique a lo largo del proceso.

Como la empresa no cuenta con personal calificado que se encargue de los procesos de gestin de TI, parte del personal realiza algunas funciones de TI por esta razn los procesos de gestin de TI son iniciales y desorganizados. Tales procesos dependen de un nmero limitado de personas dentro de la empresa.

RECOMENDACIONES

Se recomienda a la empresa aplicar las sugerencias emitidas. El nivel administrativo de la empresa debe tomar en cuenta las recomendaciones del informe tcnico mostradas en el Captulo II.

Establecer un gobierno de TI. Los procedimientos deben estandarizarse y documentarse. La gerencia debe comunicar los procedimientos estandarizados y el entrenamiento est establecido. La empresa debe buscar un experto del gobierno de TI para que gue el proceso de establecer un gobierno de TI en la empresa, el experto debe establecer un gobierno de TI slido para que ayude a la organizacin a alcanzar sus metas de negocio.

Se recomienda realizar auditoras informticas peridicamente. El nivel gerencial debe autorizar la realizacin peridica de auditoras informticas porque sirven para llevar un registro de la madurez de los procesos de gestin de TI de la empresa y as cumplir con los objetivos del negocio.

Cada departamento de la empresa debe hacer su documentacin y posteriormente compartirla con el resto de la organizacin

ANEXO N 1
CARACTERIZACIN DE LA EMPRESA

Nombre

Librera Santa Martha.

Introduccin Librera Santa Martha es una empresa dedicada a la venta y distribucin de productos para los artculos de oficina y librera entre otros. La empresa cuenta con un sencillo sistema de facturacin, ventas e inventario, para el manejo, control y verificacin de los procedimientos normalmente realizados en el quehacer diario de la empresa. Ubicacin La empresa se encuentra ubicada en el barrio Loma Linda, del mercado de san judas 1km al sur. Managua, Nicaragua. Fecha de iniciacin de operaciones de la empresa: La empresa fue fundada como un negocio familiar en el mes de Mayo del ao 2004. Fecha de iniciacin de operaciones del centro de cmputo:

El sistema de cmputo fue implementado en Agosto del 2007 Giro del negocio:

La empresa se dedica a la venta al por menor y al detalle de artculos escolares y de oficina

Objetivos de la empresa: -Obtener el mximo beneficio econmico de sus actividades. -Tener un orden administrativo que permita ejecutar funciones de manera ptima.

Estructura legal: La empresa es una Sociedad Annima, controlada principalmente por los fundadores.

Objetivos del centro de cmputo: Concentrar el procesamiento de datos e informacin de una manera sistematizada y automtica.

ORGANIGRAMA DE LA EMPRESA.

La librera Santa Martha actualmente consta con la siguiente organizacin:

Gerente General

RRHH

Gerente Contabilidad

Jefe de Bodega

Administrador Informatico Soporte Tecnico

Gerente de Ventas

Ayudante

Supervisor

Cajeros

Vendedores

INVENTARIO
INVENTARIO DE HARDWARE El inventario al que tuvimos acceso fue el siguiente: Estaciones de trabajo Procesador Sistema operativo Memoria Almacenamiento Controladora de red Alimentacin Tarjeta de video Factor de forma Monitor Mouse y teclado Puerto USB Unidad de CD-ROM/DVD-ROM Tarjeta Madre Intel Core i3 de 2.6 GH Windows 7 de 64 bit DDR3 de 2 GB SATA de 3,5" (7200 RPM) 250 GB GIGABIT EXPRESS INTELLINET Fuente de alimentacin con un solo cable Integrada Torre LCD de 15" AOC Genius Standard PS2 Ninguno Samsung ASROCK H55M-LE

Impresora TM U950P Epson Tipo de impresora Dimensiones Peso Tamao mx. soporte (estndar) Velocidad de impresin Tipo de soporte Impresora de recibos - B/W - matriz de puntos (Ancho x Profundidad x Altura) 25.1 cm x 29.8 cm x 19.4 cm 5.6 kg Carta, rollo 7 ccm Hasta 311 caracteres/s - normal Papel normal, formas continuas

Bodega Estaciones de trabajo Procesador Sistema operativo Memoria Almacenamiento Controladora de red Alimentacin Tarjeta de video Factor de forma Monitor Mouse y teclado Puerto USB Unidad de CD-ROM/DVD-ROM Tarjeta Madre Intel Core i3 de 2.4 GH Windows 7 de 32 bit DDR3 de 2 GB SATA de 3,5" (7200 RPM) 250 GB GIGABIT EXPRESS INTELLINET Fuente de alimentacin con un solo cable Integrada Torre LCD de 15" AOC Genius Standard PS2 ninguno Samsung ASROCK H55M-LE

Servidor Procesador Memoria Almacenamiento Alimentacin Intel Core i3 de 2.6 GH DDR3 de 4 GB SATA de 3,5" (7200 RPM) 5 TB Configuracin de 8 discos duros: Una fuente de alimentacin no redundante conectable en caliente de 1.100 W Memoria Matrox G200eW con 16 MB 8 MB Adaptador Intel Gigabit ET de puerto doble, NIC Gigabit Ethernet, PCIe x4

Tarjeta de video Cach Tarjetas de interfaz de red

INVENTARIO DE SOFTWARE

Las estaciones de trabajo ocupan: Sistema Operativo: - Microsoft Windows XP Professional SP3 Programas Utilitarios: Adobe Reader 9.0 Avast Antivirus Microsoft Office 2007

Servidores: Sistema Operativo: - Microsoft Windows Server 2008 Aplicacin Usada - SVIL -SM

El sistema SVIL-SM (Sistema de Venta e Inventario de Librera-Santa Martha) fue desarrollado por una empresa externa hace 2 aos y es ocupado actualmente para: - Registrar el inventario - Registrar compras a proveedores - Registrar ventas - Ingreso de pedidos de clientes

RED

Estructura lgica de la red WAN de librera Santa Martha

ANEXO N 2
EVALUACION REALIZADA DURANTE LA VISITA DE CAMPO

BACKUP DE DATOS EN EL SERVIDOR

Cuando se hace un cambio en la configuracin del servidor, se guardan copias de las configuraciones anterior y posterior al cambio, pero no se documentan los cambios que se realizan ni la fecha de estas modificaciones. No hay ningn procedimiento formal para la realizacin ni la recuperacin de los backups. Adems no se realizan chequeos para comprobar que el funcionamiento sea el correcto.

Se realiza un respaldo incremental. Para recuperar un sistema o el disco completo, se debe partir del ltimo respaldo completo y cargar en secuencia cada uno de los respaldos incrementales. En general se suele hacer un respaldo completo una vez por semana y par cada da de la semana se hace el incremental.

No hay un responsable designado para realizar los backups, aunque generalmente los hace una sola persona, el responsable del rea o administrador del centro de cmputos. Tampoco hay ninguna poltica en cuanto a asignar un responsable para la restauracin de los datos de los backups, esta tarea tambin la realiza el administrador.

EVALUACIN DE SEGURIDAD LGICA

IDENTIFICACIN DE USUARIOS Cuando un usuario nuevo ingresa a la empresa, el rea de Recursos Humanos toma sus datos y le hace el pedido al Departamento de Sistemas, donde se genera el alta del usuario al sistema. 1-Borrar cuenta de usuario Las cuentas de los usuarios no se eliminan del sistema, se deshabilitan actualizndoles la fecha de anulacin de dicha cuenta. De esta forma los datos de las cuentas dadas de baja quedan almacenados en el disco y no es posible repetir los IDs de usuarios anteriores para nuevos empleados. No hay ningn procedimiento formal para dar de baja un usuario del sistema. El departamento de Recursos Humanos informa al sector de Cmputos, y all se procede a dar de baja el empleado una vez que se ha desvinculado de la empresa. 2-Mantenimiento No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento de las cuentas de los usuarios, ni sobre sus permisos 3-Permisos El control de acceso en la empresa no se basa en los perfiles de los usuarios y la asignacin o denegacin de permisos a los mismos, sino ms bien en perfiles de grupos. Estos grupos se generan en concordancia con las reas de la empresa y es el Departamento de Recursos Humanos el que asigna cada usuario a un grupo determinado. Luego, los usuarios son dados de alta en el sistema, y los administradores del sistema son los encargados de la asignacin de permisos. El usuario root se logea en los servidores durante las 24 horas del da, debido a que stos equipos no se apagan en ningn momento.

4-Inactividad Si el usuario permanece un perodo de tiempo logeado sin actividad, el sistema no ejecuta ninguna accin.

AUTENTICACIN En la pantalla de login de los sistemas se muestran los siguientes datos: -Nombre de usuario (a completar por el usuario) -Password (a completar por el usuario) Dentro de la empresa no se usa ningn tipo de firma digital, ni para mensajes internos ni para los externos ya que las directivas de importancia no son enviadas va mail. En cuanto a la configuracin de las estaciones de trabajo, no hay ningn control de acceso a sus sistemas BIOS, de manera que al momento del encendido de la mquina cualquier persona podra modificar sus opciones de configuracin.

PASSWORDS Los cambios en los passwords los hacen los usuarios a travs de la pantalla del login, all hay un botn que muestra la opcin para su modificacin. Aunque generalmente los passwords no son actualizados por los usuarios, permaneciendo iguales por largos perodos de tiempo, ya que tienen no tienen un plazo de expiracin.

EVALUACIN DE SEGURIDAD LGICA

CORREO De los logs del mail no se calculan estadsticas, no se sacan lneas de base ni se grafican. El administrador solo los lee cuando supone que puede haber algn problema, a pedido de los usuarios por una supuesta falla en el servicio de mail. En el caso que se llene el espacio en disco de alguna cuenta, se enva un mail al root indicando el problema, pero no se emiten alarmas ni se generan logs. No se generan estadsticas sobre qu departamento o usuario de la empresa utiliza ms el servicio de mail, o si a algn usurario le llegan ms mail que la cantidad promedio, pero en los logs figuran los datos del usuario que sera necesario para realizar dichos clculos. Existe una herramienta en el servidor de hosting que tiene detalles como los usuarios que estn activos, los que estn inactivos, cuanto espacio tiene usado cada usuario de mail, cuanto espacio hay libre, entre otros. No tuvimos acceso al nombre de dicha herramienta. ESTADSTICAS DE RED No existen datos detallados sobre el consumo de ancho de banda por terminal ni por sector de la empresa, de manera de tener la posibilidad de individualizar cul de las terminales usa ms trfico de red o en qu parte de la lnea el trfico es ms intenso. Solo existen datos indicando la cantidad de bytes entrantes y salientes, pero no se detalla desde dnde se generan, ni con qu aplicacin (mail, datos, aplicaciones, mensajes, Internet, etc.). Tampoco existen reportes sobre las aplicaciones utilizadas por cada usuario, ni las prioridades de estas aplicaciones con el fin de discriminar qu cantidad de trfico genera cada aplicacin. Sera til para ver qu aplicacin usa ms recursos, y restringir en el caso que sea necesario. No hay datos estadsticos de los intentos de ataques. Cada vez que ocurre uno desde el exterior de la empresa el sistema operativo enva un mail al root advirtiendo de esta situacin. No se hace ningn seguimiento de los logs en busca de cambios en las estadsticas como un incremento en el uso de Internet, incremento en los ataques o la modificacin en los permisos.

ANEXO N 3
CONCEPTO DE LOS CUATRO DOMINIOS DE COBIT

1. PLANEAR Y ORGANIZAR

Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiada.

2. ADQUIRIR E IMPLANTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como implementadas e integradas en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio.

3. ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operativos.

4. MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno TI.

ANEXO N 4
MARCO DE TRABAJO GENERAL DE COBIT

ANEXO N 5

MODELO GENRICO DE MADUREZ

MODELO GENRICO DE MADUREZ

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. 1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estndar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administracin es desorganizado. 2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes reas que realizan la misma tarea. No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. 3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a travs de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en s no son sofisticados pero formalizan las prcticas existentes. 4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estn trabajando de forma efectiva. Los procesos estn bajo constante mejora y proporcionan buenas prcticas. Se usa la automatizacin y herramientas de una manera limitada o fragmentada. 5 Optimizado. Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.