AUDITORIA INFORMTICA EMPRESA: CUERPO DE INGENIEROS DEL EJRCITO CEE GRUPO DE TRABAJO CIUDAD DE LOJA

Misin Planificar y ejecutar operaciones de Ingeniera Militar en apoyo a Fuerzas Armadas, al desarrollo nacional, accin del Estado y cooperacin internacional; en forma permanente, para permitir cumplir la misin del Ejrcito, FF AA y el Estado Visin Al !"!#, $nidad de Ingeniera Militar, lder a ni%el regional en apoyo a las operaciones de seguridad, defensa, desarrollo nacional, misiones de paz, ayuda &umanitaria y reconstruccin; con personal altamente capacitado y comprometido, tecnologa de punta y fle'i(ilidad para enfrentar nue%os escenarios Valor s Ins!i!"#ional s ) *tica profesional ) +onora(ilidad ) +onestidad ) ,ealtad ) -isciplina ) .o&esin Prin#i$ios Ins!i!"#ional s ).alidad )/eguridad y /alud 0cupacional )Proteccin al medio am(iente )1ocacin de ser%icio )2ra(ajo en E3uipo Pol%!i#a El .uerpo de Ingenieros del Ejrcito unidad militar de ingeniera, garantiza 3ue4 la satisfaccin de las necesidades de sus clientes, la pre%encin de la contaminacin am(iental y la seguridad y salud ocupacional, forman parte del desarrollo de sus acti%idades, proyectos de construccin y ser%icios Para lo cual se compromete a4 .umplir con los re3uisitos legales, normas y compromisos 3ue suscri(a, aplica(les a la gestin de4 .alidad, Medio Am(iente y /eguridad y /alud 0cupacional en las 5reas de influencia de la Matriz 0rientar las acti%idades a la mejora continua del desempe6o de sus procesos ,ograr 3ue los riesgos para las personas, el medio am(iente y la producti%idad sean tolera(les, cumpliendo con la misin y los o(jeti%os institucionales, en un marco de desarrollo sosteni(le 7uestra Poltica integrada constituye un compromiso o(ligatorio y categrico 3ue de(er5 ser comunicada a todos los miem(ros del . E E y 3uienes tra(ajen en su nom(re; estar disponi(le al p8(lico y ser re%isada continuamente para garantizar su rele%ancia

O&' !i(os Mejorar el ni%el 2ecnolgico del .EE 9 :ealizacin de Planos 9 Pagos, /u(ir facturas al portal 9 0ficios, ingresar informacin de personal 9 /e guarda informacin local en los ser%idores Planificar y Ejecutar 0(ras y /er%icios con .alidad, /eguridad y Proteccin Am(iental 9 0(ser%acin de las acti%idades de la o(ra 9 2oma decisiones de la o(ra 9 :eparaciones, cam(ios de aceite, limpieza 9 .onstruccin4 mezcladores, e'ca%adoras, cargadores ;enerar satisfaccin en los clientes con o(ras y ser%icios de calidad 9 Produccin de cemento 9 2opografas 9 .oordinar con los jefes departamentales 9 Pedidos de lo 3ue falta en la o(ra Ampliar nuestro posicionamiento en el mercado 9 :esolucin de conflictos de la o(ra 9 lle%ar el registro diaria de las acti%idades 9 monitorear acti%idades de las m53uinas y tra(ajadores 9 .ontrolar el ingreso de mercaderas E)"i$o .arlos :amrez Marco .ue%a <efferson .oronel F"n#in Auditor Principal Especialista en redes Analista de /oft=are y +ard=are r a a #ar*o <efe de ;rupo 2cnica /er%idores

An+lisis FODA Fortalezas Tratamiento personalizado a clientes, orientacin y asesoramiento. Integracin de productos y servicios buscando sinergias entre ellos. Innovacin Constante. Personal debidamente Capacitado y comprometido con la visin de la Organizacin. Oportunidades )aloracin positiva de las TI en la Organizacin. Costos cada vez menores para las Organizaciones para la aplicacin de las TI. *ealtad de los clientes +acia la Organizacin. Debilidades Control de Obras. Realizar grandes proyectos en el sector privado y pblico. Dependencia de los servicios subcontratados. istema de In!ormacin Integrado "Compras, ventas, #a$uinaria y %&rde'(.

Amenazas O!erta de obras a menor precio por parte de la competencia. *a inestabilidad de contratos por parte del ,obierno. Cambios repentinos de los istemas In!orm&ticos. Incremento de la Competencia.

Or*ani*ra,a - la E,$r sa <efe de ;rupo Area -e Informatica /er%idores :edes /er%icio 2ecnico

>rea 2cnica

>rea de Administracin .onta(ilidad :ecursos +umanos /ecretaria

Ing .i%iles Ar3uitectos

METODOLOGA COBIT

 r a a A"-i!ar ,a auditoria realizada por Marcos .ue%a, <efferson .oronel, .arlos :amrez, sera en el campo inform5tico de toda la empresa, de(ido a 3ue toda las 5reas de la empresa tra(ajan con e3uipo de computacin R #l"!a,i n!o - la In.or,a#in Por medio de la o(ser%acin realizada se procedi a entre%istas y cuestionario con el jefe de grupo y el personal 3ue esta a cargo de la diferente 5reas, y as poder determinar con mas precisin cueles son los pro(lemas presentados y poder dar una conclusin especifica Do#", n!a#in - G s!in - l r a In.or,+!i#a Actualmente .EE no cuenta con el manual de procedimientos administrati%os inform5ticos, ni tampoco cuenta con la documentacin re3uerida las cuales son4 Mantenimiento de E3uipos de .omputo $n Plan de .ontingencia /eguridad de datos y E3uipos de .omputo

Plan - la A"-i!oria n l r a - In.or,+!i#a Para el Plan de desarrollo de la Auditoria, se cuenta con el apoyo del <efe del ;rupo ;2 Pro%incia de ,oja , solicitando la participacin de los principales tra(ajadores de la .ompa6ia y en donde se realizaran las siguientes acciones4 Nro 1 2 3 4 5 6 7 ACTIVIDADES 0(ser%acin ;eneral de las >reas a Auditar Entre%istas a los tra(ajadores de las >reas a Auditar Analizar con 3ue documentos de ;estin y 2cnicos cuentas 1erificar si 3ue los e3uipos de los 3ue se cuenta en la actualidad concuerdan con su in%entario An5lisis de las cla%es de acceso, control, seguridad, confia(ilidad y respaldos E%aluar las tecnologas de informacin ?2I@, tanto en &ard=are como en soft=are E%aluacin de la seguridad fsica, lgica y de redes Mo!i(o o n # si-a- - "na A"-i!oria In.or,+!i#a /ntomas de mala imagen e insatisfaccin de los usuarios /ntomas de de(ilidad econmico financiero /ntomas de Inseguridad /ntomas de des9coordinacin y des9organizacin

S *"ri-a- In.or,+!i#a S *"ri-a- F%si#a: Esta(lecer un sistema contra incendios y la capacitacin adecuada para el manejo de estos .ontar con agentes de seguridad para el resguardo del esta(lecimiento, principalmente en las noc&es, de(ido a la creciente delincuencia .ontar con un espacio adecuado para el alojamiento de los ser%idores

 S *"ri-a- L *al: +acer uso de est5ndares y metodologas de calidad ?IEEE, I/0 y otros@ al (rindar los ser%icios de redes y dise6o de p5ginas =e( .ontar con las licencias de los sistemas operati%os ?Microsoft@ en uso S *"ri-a- - Da!os: :ealizar peridicamente (acAups de la (ase de datos del sistema de informacin Procesar los datos m5s importantes de la 0rganizacin en las aplicaciones tecnolgicas ?&ojas de c5lculo, procesadores de te'to y otros@ y al sistema de informacin :estringir al acceso al sistema de informacin y al ser%idor para 3ue los datos no sean adulterada CARACTERI/ACI0N COMUNICACI0N +ard=are4 DE LAS TECNOLOG1AS DE INFORMACI0N 2

/oft=are4 ,inu'9.ent0/ 1er B " Microsoft Cindo=s /e%en $ltimate con /er%ice PacA ! My/D, B # /er%er Apac&e E " FileFilla /er%er G B ! .itri' systems Pa3uetes H5sicos CARACTERI/ACI0N DE LA CARGA I.EEJ cuenta con ## computadores 3ue son la siguientes4 # /er%idor de -atos K computadores de Escritorio G .omputadores Port5tiles Para el funcionamiento de los sistemas de informacin, donde cada tra(ajador ingrese al mismo sistema de informacin dependiendo de la acti%idad 3ue desempe6e dentro de la organizacin ,as Acti%idades 3ue se realizan en la empresa son de lunes a -omingo desde las B4"" am +asta las #K4"", realizando cada departamento sus acti%idades como4 Mantenimiento de Pc, Planos de Ingeniera, .onta(ilidad, Ingresos y Egreso de Hodega, etc DETERMINACI0N DE PROBLEMAS 2 PLANTEAMIENTO DE 3IP0TESIS Posi&l s Pro&l ,as 9 Falta total o parcial de seguridades lgicas y fsicas 3ue garanticen la integridad del 9 personal, e3uipos e informacin 9 Falta de una planificacin inform5tica

9 -isminucin considera(le e injustifica(le del presupuesto del >rea de .onta(ilidad 9 Falta de documentacin del sistema de informacin y del ser%idor en uso, lo 3ue dificulta efectuar el mantenimiento de estos 9 0rganizacin 3ue no funciona correctamente por la falta de polticas, normas, metodologa, asignacin de tareas, de(idamente esta(lecida por la <efe de ;rupo For,"la#in - 3i$! sis 7o se cuenta con la seguridad en general de los recursos inform5ticos y &umanos de la 0rganizacin, de(ido a 3ue no e'isten polticas de negocio (ien definidas, como tam(in una planificacin inform5tica, teniendo como consecuencia pro(lemas econmicos y de tecnologa de informacin ?+ard=are y /oft=are@

REALI/ACI0N DE LA AUDITORIA
MODELOS DE MADURE/ DE LOS PROCESOS /e mostrara a continuacin una fic&a por cada uno de los o(jeti%os &aciendo un an5lisis de los modelos de madurez de .0HI2 L #, para determinar el ni%el mnimo 3ue no cumple la 0rganizacin 3ue a su %ez califica el ni%el en dic&o o(jeti%o -0MI7I04 PA,7IFI.A: M 0:;A7IFA: P0#4 -efinir el Plan Estratgico de 2ecnologas de la Informacin 7I1E, -E MA-$:EF 7i%el ,a planeacin estrategia de 2I discute de forma ocasional en " las reuniones de gerencia 7i%el ,as decisiones estratgicas se toman Proyecto por proyecto, sin ser # .onsistentes con una estrategia glo(al 7i%el ,as Planeaciones estratgicas de 2I sigue un enfo3ue estructurado, el cual ! se documenta y se da a conocer 7i%el E'isten procesos (ien definidos para -eterminar el uso de recursos internos L M e'ternos en el desarrollo cumple 7o cumple 0H/E:1A.I07E/

GRADO DE MADURE/ El proceso de definir el Plan Estratgico de 2I esta en el ni%el de Madurez # OBJETIVOS NO CUMPLIDOS 4 7o e'iste un plan estratgico de 2I y estrategias d recursos d la organizacin 9 7o se realiza planes a largo plazo de 2I, &aciendo solo actualizaciones de(ido a los a%ances tecnolgicos

RECOMENDACIONES: Para el proceso P0# de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 Planes a largo plazo de 2I 9 2omar decisiones estratgicos 9 -efinir los recursos internos y e'ternos necesarios Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 E%aluar el desempe6o actual, es decir realizar una e%aluacin de los planes e'istentes, as como de los sistemas de informacin y su impacto de los o(jeti%os de I.EEJ En ,argo Plazo4 9 .rear planes t5cticos de 2I a futuro, 3ue resulten del plan estratgico de 2I, estos planes de(en ser (ien detallados para poder realizar la definicin de planes proyectados

-0MI7I04 PA,7IFI.A: M 0:;A7IFA: P0!4 -efinir la Ar3uitectura de la Informacin 7o cumple

7I1E, -E MA-$:EF 7i%el :esponsa(ilidades necesaria para " -esarrollar esta ar3uitectura no e'isten
En la organizacin El conocimiento, la e'periencia y las

cumple

0H/E:1A.I07E/

7i%el El jefe de ;rupo reconoce la necesidad # -e una ar3uitectura de informacin 7i%el al construir la ar3uitectura de ! informacin por medio de la e'periencia
,as personas o(tienen sus &a(ilidades

practica E, proceso de definicin de la 7i%el ar3uitectura de informacin es proacti%o N L y se enfoca en resol%er necesidades guturas del negocio RECOMENDACIONES: Para el proceso P0! de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 -esarrollar y mantener la ar3uitectura de la informacin 9 2ener en claro la definicin del proceso de la ar3uitectura de la informacin 9 /er participe de la construccin de la ar3uitectura de la informacin para incrementar sus &a(ilidades Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 Esta(lecer y mantener un modelo de ar3uitectura de la informacin para facilitar el desarrollo de -e aplicaciones y acti%idades de soporte a la toma de decisiones, este modelo sera 8til para la .reacion, uso y compartimentar optimas de la informacin %ital En ,argo Plazo4 9 -efinir e implantar procedimientos para (rindar integridad y consistencia de todos los datos 3ue se se encuentran almacenado en formato electrnico, como (ases de datos, almacenamiento de datos y arc&i%os

GRADO DE MADURE/ El proceso de definir la Ar3uitectura de la informacin esta en el ni%el de madurez # OBJETIVOS NO CUMPLIDOS 4 Due no se resol%i necesidades futuras del negocio realizando el proceso de la ar3uitectura de la informacin 9 Apro%ec&ar las &a(ilidades personales para la construccin de la ar3uitectura de la informacin

-0MI7I04 A-D$I:I: E IMP,EME72A: AI#4 Identificar /oluciones Automatizadas 7I1E, -E MA-$:EF 7i%el "
,a organizacin no re3uiere de la identificacin de los re3uerimientos funcionales y operati%os para el desarrollo, implantacin o modificacin de soluciones como4 sistemas, datos

cumple

7o cumple

0H/E:1A.I07E/

N
GRADO DE MADURE/ El proceso de identificar soluciones automatizadas esta en el ni%el de madurez # OBJETIVOS NO CUMPLIDOS 4 -eterminar los procesos para solucin de 2I, seg8n el re3uerimiento del negocio 9 -ocumentacin de los proyectos realizados

7i%el E'iste una in%estigacin o an5lisis estructurado mnimo de la tecnologa # disponi(le 7i%el ,a documentacin de los proyectos es de (uena calidad y cada etapa se aprue(a ! adecuadamente 7i%el de datos de conocimiento internas y L e'ternas 3ue contienen material de
referencia so(re soluciones ,a metodologa esta soportada en (ases

RECOMENDACIONES: Para el proceso AI# de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 /oportar la metodologa de 2I en (ase de datos 9 -eterminar los procesos para las soluciones de 2I 9 E'plotar la e'periencia de los tra(ajadores para la (uena toma de decisiones Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 :esaltar, priorizar, especificar los re3uerimientos funcionales y tcnicos, priorizando el desempe6o el costo, la conta(ilidad, la compati(ilidad, la auditoria, la seguridad, la disponi(ilidad En ,argo Plazo4 9 Due e'ista el alineamiento con las estrategias de la organizacin y de 2I

-0MI7I04 A-D$I:I: E IMP,EME72A: AIG4 Ad3uirir y Mantener Infraestructura 2ecnolgica 7I1E, -E MA-$:EF 7i%el infraestructura de tecnologa como un " un asunto importante al cual de(a ser
resuelto no se reconoce la administracin de la

cumple

7o cumple

0H/E:1A.I07E/

N
GRADO DE MADURE/ El proceso de Ad3uirir y Mantener infraestructura 2ecnolgica esta en el ni%el de madurez # OBJETIVOS NO CUMPLIDOS 4 -efinir una estrategia para la ad3uisicin y mantenimiento de la infraestructura 9 0rganizar y pre%enir el proceso de ad3uisicin y mantenimiento de la infraestructura

7i%el #

7i%el !

/e realizan cam(ios a la infraestructura para cada nue%a aplicacion, sin ning8n plan en conjunto ,a acti%idad de mantenimiento reacciona a necesidades de corto plazo El proceso respalda las necesidades de las aplicaciones criticas del negocio y concuerda con la estrategia de negocio de 2I, pero no se aplica en forma consistente ,a infraestructura de 2I soporta organizado y es pre%enti%o

7i%el adecuadamente las aplicaciones del L negocio El proceso esta (ien

RECOMENDACIONES: Para el proceso AIG de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 .rear un plan de ad3uisicin de infraestructura tecnolgica 9 ;arantizar la disponi(ilidad de la infraestructura tecnolgica 9 Identificar 3ue necesidades se tiene para ad3uisicin de infraestructura tecnolgica Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 .rear un plan de ad3uisicin de infraestructura tecnolgica En ,argo Plazo4 9 Proteger la infraestructura tecnolgica mediante medidas de control interno, seguridad y audita(ilida durante la configuracin, integracin y mantenimiento de &ard=are y soft=are de la infraestructura tecnologica

-0MI7I04 A-D$I:I: E IMP,EME72A: AIL4 Facilitar la 0peracin y el $so 7I1E, -E MA-$:EF

7o e'iste el proceso con respecto a la

cumple

7o cumple

0H/E:1A.I07E/

7i%el Produccin de documentacin de manuales de operacin y " $suarios, Material de entrenamiento 7i%el de los procedimientos ya caducaron ,os # materiales d entrenamiento tienden a ser
es3uemas 8nicos con calidad %aria(le Indi%iduos y e3uipos de proyecto 3ue se in%olucran Muc&a de la documentacin y muc&os

7i%el generan los materiales de entrenamiento ! y la calidad depende de los indi%iduos

/e guardan y se mantienen en una ella

GRADO DE MADURE/ El proceso de Facilitar la operacin y el $so esta en el ni%el de madurez # OBJETIVOS NO CUMPLIDOS 4 Falta generar los materiales de entrenamiento (uscando su calidad 9 ;arantizar la compa6a de est5ndares Para el desarrollo del proceso

7i%el (i(lioteca formal los procedimientos y L cual3uiera 3ue necesite sa(er acceso a

RECOMENDACIONES: Para el proceso AIL de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 .ontrol para garantizar ad&erir los est5ndares para el mantenimiento de los procesos 9 -esarrollar un plan para realizar soluciones de operacin el cual sir%a para identificar y documentar 2odos los aspectos tecnicos, la capacidad de operacin y los ni%eles de ser%icio re3ueridos Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 :ealizar una transferencia de conocimiento a la parte <efe de ;rupo lo cual permitir5 3ue estos Estos tomen posesin del sistema y los datos En ,argo Plazo4 9 Mediante la transferencia de conocimientos a los usuarios finales se lograra 3ue estos usen los sistemas con efecti%idad y eficiencia para el apoyo a los procesos de la 0rganizacin

-0MI7I04 M07I20:EA: M E1A,$A: ME!4 Monitorear y E%aluar el -esempe6o de 2I 7I1E, -E MA-$:EF

2I no lle%a a ca(o monitoreo de proyectos o procesos de forma independiente 7o se cuenta con reportes utiles, oportunos y precisos

cumple

7o cumple

0H/E:1A.I07E/

7i%el "

,a interpretacin de los resultados del 7i%el monitoreo se (asa en la e'periencia de # indi%iduos cla%es ,a mediciones de la contri(ucin de la funcin de ser%icios de informacin al desempe6o de la organizacin se &an definido, usando criterios financieros y operati%os tradicionales ,as mtricas empleadas por el negocio se usan de forma rutinaria para medir el desempe6o, y est5n integradas en los marcos de tra(ajo estratgicos, tales como el Halanced /coecard

7i%el !

GRADO DE MADURE/ El proceso de Monitoriar y E%aluar el control interno esta en el ni%el de Madurez " OBJETIVOS NO CUMPLIDOS 4 Poder identificar los procesos est5ndares de e%aluacin 9 Integrar todos los procesos y proyectos de 2I

7i%el L

RECOMENDACIONES: Para el proceso ME! de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 -efinir un mtodo de monitoreo como Halance /corecard 9 E%aluar el desempe6o compar5ndolo peridicamente con las metas Para pasar al ni%el de madurez # se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 :ealizar una marco de tra(ajo de monitoreo general garantizado por la gerencia En ,argo Plazo4 9 Identificar e iniciar medidas correcti%as so(re el desempe6o de 2I

-0MI7I04 M07I20:EA: M E1A,$A: MEG4 ;arantizar el .umplimiento :egulatorio 7I1E, -E MA-$:EF

E'iste poca conciencia respecto a los re3uerimientos e'ternos 3ue afectan a 2I, sin procesos referentes al cumplimiento de re3uisitos reguladores legales y concentrales /e siguen proceso informales para

cumple

7o cumple

0H/E:1A.I07E/

7i%el "

7i%el mantener el cumplimiento, pero solo si la necesidad surge en nue%os proyectos #

o como respuesta a auditorias 7o e'iste, sin em(argo, un enfo3ue

7i%el Est5ndar +ay muc&a confianza en el ! .onocimiento y responsa(ilidad de los

Indi%iduos, y los errores son posi(les +ay un amplio conocimientos de los re3uerimientos e'ternos aplica(les, incluyendo sus tendencias futuras y cam(ios anticipados, as como la necesidad de nue%as soluciones

GRADO DE MADURE/ E, proceso de ;arantizar el .umplimiento :egula torio esta en el 7i%el de madurez # OBJETIVOS NO CUMPLIDOS 4 Hrindar capacitacin so(re re3uisitos ,egales y regula torios e'ternos 9 .onocer los re3uerimientos aplica(les como la solucin de nue%as necesidads

7i%el L

RECOMENDACIONES: Para el proceso MEG de .0HI2 esta(lece los siguientes o(jeti%os de control4 9 Integrar los reporte de 2I so(re el cumplimiento regulatorio 9 ;arantizar la identificacin de re3uerimientos locales e internacionales legales, contractuales de Polticas y regulatorios Para pasar al ni%el de madurez ! se de(e adoptar las siguientes estrategias4 En el .orto Plazo4 9 2ener muy en cuenta las leyes y reglamentos del comercio electrnico, pri%acidad, flujo de datos reporte finacieros, propiedad intelectual, etc En ,argo Plazo4 9 E%aluar el cumplimiento de las polticas, est5ndares y procedimientos de 2I

 REPORTE GENERAL DE GRADOS DE MADURE/ 7i%el -e Madurez

-ominio

Proceso

Planificar y 0rganizar

P0# -efinir el Plan Estratgico de 2ecnologa de la Informacin P0! -efinir la Ar3uitectura de la Informacin

# #

Ad3uirir AI# Identificar /oluciones Automatizadas AIG Ad3uirir y Mantener Infraestructura 2ecnolgica e implementar AIL Facilitar la 0peracin y el $so

# # #

Monitorear y E%aluar

ME! Monitorear y E%aluar el .ontrol Interno MEG ;arantizar el .umplimiento :egulatorio

# #

R s", n - An+lisis $or Do,inios: Do,inio: Plan ar 5 Or*ani6ar 7PO8 7o se encuentran alineadas las estrategias de 2I y del negocio I.EEJ no est5 alcanzando el uso optimo de los recursos ya 3ue estos no son apro%ec&ados al m5'imo o de tam(in no se cuenta con los recursos necesarios para el desempe6o de ciertas tareas 7o todo el personal de I.EEJ entiende los o(jeti%os de 2I, son pocos los usuarios 3ue comprenden la importancia de estos para el cumplimiento de las metas de I.EEJ Do,inio: A-)"irir I,$l , n!ar 7AI8 Para 3ue se cumplan la estrategia de 2I, se de(e identificar, desarrollar o ad3uirir las soluciones de 2I, as como la implementacin e integracin en los procesos del negocio Do,inio: Moni!or ar 5 E(al"ar 7ME8 El <efe de ;rupo no monitorea ni e%al8a el control interno en I.EEJ E'iste un poco %inculacin en el desempe6o de 2I con las metas del negocio 7o e'iste una medicin ptima de riesgos y el reporte de estos, as como el cumplimiento, desempe6o y control

 -.-CTI)ID/D.0 Para este criterio de informacin se asigno un porcentaje del LO OEP so(re #""P, es decir 3ue la informacin 3ue es de importancia para I.EEJ, 3ue tiene incidencia en los procesos del negocio y de(e ser entregada de forma oportuna, consistente, y %eraz tiene un porcentaje del LO OEP -.ICI-1CI/.0 Para este criterio de informacin se asigno un porcentaje del LQ BQP so(re el #""P, es decir 3ue la informacin 3ue de(e generar el uso ptimo de los recursos de I.EEJ tiene un porcentaje del LQ BQP CO1.ID-1CI/*ID/D.0 Para este criterio de informacin se o(tu%o un porcentaje del GQ "GP so(re el #""P, es decir 3ue la proteccin de la informacin de I.EEJ para 3ue esta no sea di%ulgada a personas o sectores e'tra6os a este tiene un porcentaje del GQ "GP I1T-,RID/D.0 Para este criterio de informacin se asigno un porcentaje del GB "BP so(re el #""P, es decir la distri(ucin de la informacin e'acta y correcta, as como su %alidez con las e'pectati%as de la empresa tiene un porcentaje del GB "BP DI PO1I2I*ID/D.0 Para este criterio de la informacin se o(tu%o un porcentaje del G! QEP so(re el #""P, es decir la accesi(ilidad de la informacin cuando esta sea re3uerida por los procesos del negocio y a la sal%aguarda de los recursos y capacidades asociadas a la misma en I.EEJ, tiene porcentaje del G! QEP .$MP,IMIE720 9 Para este criterio de la informacin se o(tu%o un porcentaje del B# QGP so(re el #""P, es decir 3ue el cumplimiento de las leyes, regulaciones, y compromisos contractuales con los cuales est5 comprometido I.EEJ, tiene un porcentaje del B# QGP .07FIAHI,I-A- 9 Para este criterio de la informacin se o(tu%o un porcentaje del B" QOP so(re el #""P, es decir pro%eer la informacin apropiada para 3ue la administracin tome decisiones adecuadas para manejar I-A2A .E72E: E I : ,J y cumplir con sus responsa(ilidades, tiene porcentaje del B" QOP

A #on!in"a#in anali6a,os #a-a "no - los #ri! rios - la in.or,a#in:

I1.OR#- T3C1ICO
ALCANCE
Mediante esta auditora se pretende e%aluar el estado actual del -epartamento Inform5tico I.EEJ, mediante este proceso se podr5 (rindar al I.EEJ sus respecti%as conclusiones y recomendaciones para cada uno de los procesos e%aluados en cada dominio seg8n la metodologa .0HI2 L #

OBJETIVOS

OBJETIVO GENERAL :ealizar la auditora de las tecnologas de la informacin de I.EEJ ;rupo de 2ra(ajo ,oja utilizando como modelo de referencia .0HI2 L # OBJETIVOS ESPECIFICOS Identificar pro(lemas tcnicos en las 2I y dar posi(les soluciones -efinir controles 3ue permitan disminuir riesgos. :ealizar un informe tcnico y ejecuti%o A continuacin se detalla los resultados de la e%aluacin de cada uno de los O procesos di%ididos en sus respecti%os dominios ?Planear y organizar, ad3uirir e implementar, monitorear y e%aluar @, (as5ndonos en los ni%eles de madurez los cuales %an desde el grado " ?no e'istente@ al grado m5'imo B ?administrado@ DOMINIO PLANEAR 2 ORGANI/AR PO9: DEFINIR UNPLAN ESTARTEGICO CONCLUSI0N 9 Este proceso se encuentra en el ni%el de madurez # puesto 3ue no se cuenta con un plan estratgico definido

RECOMENDACIONES COBIT
Alinear las 2I con el negocio, instruir a los jefes de departamento so(re las capacidades tecnolgicas actuales y el futuro de estas, as como las oportunidades 3ue prestan las 2I, para el mejor desempe6o de las la(ores diarias .rear planes t5cticos de 2I, 3ue se resulten del plan estratgico de 2I, estos ser%ir5n para descri(ir las iniciati%as y los re3uerimientos de recursos 3ue necesitados por 2I, estos planes de(en ser (ien detallados para poder realizar la definicin de planes proyectados

PO;: DEFINIR LA AR<UITECTURA DE LA INFORMACI0N CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez #, puesto 3ue se reconoce no tener una ar3uitectura de informacin, pero a pesar de reconocer su importancia no se la ela(ora RECOMENDACIONES COBIT Esta(lecer un dise6o de clasificacin de datos 3ue apli3ue a todo I.EEJ, (asado en la informacin crtica y sensi(le AI9: IDENTIFICAR SOLUCIONES AUTOMATI/ADAS CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez # puesto 3ue e'iste la conciencia de la necesidad de definir re3uerimientos y de identificar soluciones tecnolgicas, las necesidades son analizadas de manera informal y por ciertos indi%iduos RECOMENDACIONES COBIT :esaltar, priorizar, especificar los re3uerimientos funcionales y tcnicos de I.EEJ, priorizando el desempe6o, el costo, la confia(ilidad, la compati(ilidad, la auditora, la seguridad, la disponi(ilidad, y continuidad, la ergonoma, funcionalidad y la legislacin de I.EEJ

AI=: AD<UIRIR 2 MANTENER INFRAESTRUCTURA TECNOL0GICA CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez #, ya 3ue no se cuenta con un plan de ad3uisicin de tecnologa, por lo tanto no se controlan los procesos de ad3uirir, implantar y actualizar infraestructura tecnolgica RECOMENDACIONES COBIT Proteger la infraestructura tecnolgica mediante medidas de control interno, seguridad y audita(ilidad durante la configuracin, integracin y mantenimiento de &ard=are y soft=are de la infraestructura tecnolgica -esarrollar un plan de mantenimiento de la infraestructura y garantizar el control de cam(ios de esta AI>: FACILITAR LA OPERACI0N 2 EL USO CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez #, puesto 3ue no e'iste una generacin de documentacin, ni polticas de generacin de manuales, pero se tiene la conciencia de 3ue esto es necesario, la mayor parte de la documentacin y procedimientos ya se encuentran caducados o desactualizados RECOMENDACIONES COBIT :ealizar una transferencia de conocimiento a la parte gerencial lo cual permitir5 3ue estos tomen posesin del sistema y los datos Mediante la transferencia de conocimientos a los usuarios finales se lograra 3ue estos usen los sistemas con efecti%idad y eficiencia para el apoyo a los procesos de I.EEJ

ME;: MONITOREAR 2 EVALUAR EL CONTROL INTERNO CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez ", por cuanto, 7o se tiene procedimientos para monitorear la efecti%idad de los controles internos RECOMENDACIONES COBIT :ealizar una auto9e%aluacin del control interno de la administracin de procesos, polticas y contratos de 2I /i es necesario, mediante re%isiones de terceros asegurar la completitud y efecti%idad de los controles internos 1erificar 3ue los pro%eedores e'ternos cumplan con los re3uerimientos legales y regulatorios y con las o(ligaciones contractuales ME=: GARANTI/AR EL CUMPLIMIENTO REGULATORIO CONCLUSI0N:4 Este proceso se encuentra en el ni%el de madurez # por cuanto, se siguen procesos informales para mantener el cumplimiento regulatorio RECOMENDACIONES COBIT 2ener muy en cuenta las leyes y reglamentos del comercio electrnico, pri%acidad, flujo de datos, reporte financieros, propiedad intelectual, etc E%aluar el cumplimiento de las polticas, est5ndares y procedimientos de 2I

IMPACTO SOBRE LOS CRITERIOS DE INFORMACION CRITERIOS DE LA PORCENTAJE INFORMACIN Efectividad 45.567

OBSERVACIONES

-l ob8etivo es alcanzar el 9::7, para esto la in!ormacin en ;C-- debe ser entregada de !orma oportuna, correcta, consistente y utilizable. -l ob8etivo es alcanzar el 9::7, para esto la in!ormacin debe ser generada optimizando los recursos. -l ob8etivo es alcanzar el 9::7, para lo cual se debe proteger la in!ormacin sensitiva contra revelacin no autorizada. -l ob8etivo es alcanzar el 9::7, para lo cual la in!ormacin debe ser precisa, completa y valida. -l ob8etivo es alcanzar el 9::7, para la cual la in!ormacin debe estar disponible cuando esta se re$uiera por parte de las &reas del negocio en cual$uier momento -l ob8etivo es alcanzar el 9::7, para lo cual se debe respetar las leyes, reglamentos y acuerdos contractuales a los $ue esta su8eta el proceso del negocio, como pol@ticas internas. -l ob8etivo es alcanzar el 9::7, para lo cual se debe proporcionar la in!ormacin apropiada, con el An de $ue Be!e de ,rupo administre la entidad.

Eficiencia

4<.=<7

C nfidencia!idad

><.:>7

Inte"#idad

>=.:=7

Di$% ni&i!idad

>?.<67

C'(%!i(ient

=9.<>7

C nfia&i!idad

=:.<57

INFORME EJECUTIVO
En el Informe Ejecuti%o se detallara los resultados de la e%aluacin a cada uno de los GL procesos 3ue recomienda .0HI2 L # siendo e%aluado en I.EEJ ;rupo de 2ra(ajo ,oja ,os criterios de informacin se encuentran en el siguiente porcentaje todos so(re el #""P

,a efecti%idad consiste en 3ue la informacin rele%ante sea entregada de forma oportuna, correcta, consistente y utiliza(le, este criterio tiene un promedio del LO OEP

,a eficiencia consiste en 3ue la informacin de(e ser generada optimizando los recursos, este criterio tiene un promedio del LQ BQP

,a confidencialidad consiste en 3ue la informacin %ital sea protegida contra la re%elacin no autorizada, este criterio tiene un promedio del GQ "GP

,a integridad consiste en 3ue la informacin de(e ser precisa, completa y %alida, este criterio tiene un promedio del GB "BP

,a disponi(ilidad consiste en 3ue la informacin este disponi(le cuando esta sea re3uerida por parte de las 5reas del negocio en cual3uier momento, este criterio tiene un promedio del G! QEP

El cumplimiento consiste en 3ue se de(e respetar las leyes, reglamentos y acuerdos contractuales a los 3ue esta sujeta el proceso del negocio, como polticas internas, este criterio tiene un promedio del B# QGP

,a confia(ilidad consiste en 3ue se de(e respetar proporcionar la informacin apropiada, con el fin de 3ue la ;erencia ;eneral administre la entidad, este criterio tiene un promedio del B" QOP

CONCLUSIONES
.on este estudio se &a dado un conjunto de directrices las cuales pueden ayudar a alinear 2I con el negocio, es decir identificar riesgos, gestionar recursos y medir el desempe6o, as como el ni%el de madurez de cada uno de los procesos de I.EEJ ;rupo ,oja E, <efe de ;rupo y usuarios son (eneficiados con el desarrollo de .0HI2 L #, ya 3ue este marco de referencia ayuda a estos indi%iduos entender sus sistemas de 2I, de igual forma decidir el ni%el de seguridad y control para proteger los acti%os ?informacin, &ard=are, soft=are, etc @ de I.EEJ ;rupo ,oja mediante un modelo de desarrollo de go(ernacin de 2I Mediante el marco de referencia .0HI2, se &a podido e%aluar y diagnosticar los procesos de 2I en I.EEJ ;rupo ,oja 2am(in se &a diagnosticado cada uno de los criterios de la informacin, los cuales son efecti%idad, eficiencia, confidencialidad, integridad, disponi(ilidad, cumplimiento y confia(ilidad

RECOMENDACIONES
2omar en cuenta los procesos 3ue se encuentran con el ni%el de madurez de " y #, 3ue son los de factor crtico :ealizar e%aluaciones peridicas con el fin de medir el a%ance de cada uno de los procesos estudiados en este tra(ajo /e de(e utilizar soft=are aplicati%o con licenciamiento, as como adecuar las instalaciones del 5rea de inform5tica, puesto 3ue el espacio de tra(ajo de este es muy limitado y sin las seguridades fsicas pertinentes R+acer el uso del presente tra(ajo, con el fin de tomarlo como gua para futuras mejoras en 2I