AUDITORIA INFORMATICA

1.1. ORIGEN DE LA AUDITORIA:

La presente Auditora se realiza en cumplimiento del Plan Anual de Control de ao 2014,
aprobada mediante Resolucin de Contralora N 020- 2002-CG del 20 de Noviembre de
2013.

1.2. ALCANCE
La auditoria se realizar sobre la seguridad logica de la red de nuestra empresa.

1.3 OBJETIVOS

1.3.1. OBJETIVO GENERAL
Revisar y Evaluar exhaustiva, especfica y especializadamente los controles,
sistemas, procedimientos de la red logica de la empresa; obteniendo eficiencia y
seguridad en la conectividad, comunicaciones y servicios que ofrece la organizacin
participando en el procesamiento de la informacin, c que servir para una adecuada
toma de decisiones.
1.3.2. OBJETIVOS ESPECIFICOS
Verificar los planes de contingencias y medidas de proteccin de la
informacin.
Evaluacin de los aspectos que contribuyen a la proteccin y salvaguardia del
rea de sistematizacin, (Redes logicas).
Evaluar el diseo y prueba de los sistemas de red: Arquitectura, topologa,
protocolos, conexiones.
Determinar la veracidad de la informacin del rea de Informtica.
Verificar las disposiciones y reglamentos de Seguridad y Administracin:
accesos y privilegios.
Evaluar los procedimientos de control de operacin, Conectividad,
comunicaciones y servicios analizar su estandarizacin y evaluar el
cumplimiento de los mismos.
Evaluar el control que se tiene sobre el mantenimiento de los Sistemas
operativos, lenguajes, programas, paqueteras, utileras, bibliotecas.

1.4. ANTECEDENTES
De la empresa:
La Empresa Elctrica Regional CENTROSUR, es una moderna compaa de distribucin
y comercializacin de energa, que en el transcurso de su historia ha asumido los cambios
como oportunidades para desarrollarse y evolucionar, siempre en favor de sus clientes y
de la regin a la que sirve.
Auditorias Realizadas:
Se realizaron auditorias orientadas al departamento financiero, TI y al de atencion al
cliente. Se realizaron estas auditorias para establecer el buen funcionamiento de la
empresa y de cada uno de los departamentos auditados.
Razones para la auditoria actual: La nueva auditoria a realizarce se hace por las
mismas razones, de mejorar el rendimiento de la red y analizar los problemas que ocurre
en cuanto la red logica y la transmision de la informacion.

1.5. ENFOQUE A UTILIZAR
1. TOMA DE CONTACTO
Es el contacto con todos los empleados tiene que ser buena de tal manera que nos
favorece mucho al realizar la auditoria
2. PLANIFICACION DE LA OPERACION
Se analiza y prepara un plan de operaciones, la documentacin es detallada y
especfica para llevar a cabo con xito, esto verificara el xito y funcionamiento de la
red fsica y lgica. De la misma manera la seguridad es uno de los factores
principales al medir con esta auditora.
3. DESARROLLO DE LA AUDITORIA
Implica la aplicacin de procedimientos de auditora a menos del 100% de las partidas
que integran el saldo de una cuenta o clase de transacciones de tal manera que todas
las unidades del muestreo tengan igual oportunidad de seleccin. Esto permitir al
auditor obtener y evaluar la evidencia de auditora sobre algunas caractersticas de
las partidas seleccionadas para formar o ayudar en la formacin de una conclusin
concerniente al universo de la que se extrae la muestra. El muestreo en la auditora
puede usar un enfoque estadstico o no estadstico.
4. FASE DE DIAGNOSTICO
Se establecen parmetros y se realiza la evaluacin requerida en las reas
establecidas a evaluar, todo esto se realizara para establecer una estadstica clara y
concisa a utilizar. Esta fase se la realiza con los encargados de cada rea.

5. PRESENTACION DE LAS CONCLUSIONES
Las conclusiones presentadas sern de forma clara y de fcil entendimiento para el
empleado que va a revisar la auditoria. Estas conclusiones son presentadas al
Gerente de la Empresa y a los directores de cada rea.
6. FORMULACION DEL PLAN DE MEJORAS
Se presentara un plan de mejoras al personal de la empresa con todo lo requerido
para la empresa de tal manera que si se tienen problemas estos sean solucionados
con eficacia
CONTROL DE LECTURA
COBIT (Objetivos de control para la informacin y tecnologas relacionadas) es una
metodologa publicada en 1996 por el Instituto de Control de TI y la ISACA(Asociacin
de Auditora y Control de Sistemas de Informacin) que se usa para evaluar el
departamento de informtica de una compaa; en Francia est representada por la
AFAI (Asociacin Francesa de Auditora y Consejo de TI).
Este enfoque se basa en un ndice de referencia de procesos, indicadores de
objetivos clave e indicadores de rendimiento clave que se usan para controlar los
procesos para recoger datos que la compaa puede usar para alcanzar sus
objetivos.
El enfoque COBIT propone 34 procesos organizados en 4 reas funcionales ms
grandes que abarcan 318 objetivos:
Planear y Organizar (PO) Estrategias y tcticas. Identificar la manera en que TI
pueda contribuir de la mejor manera al logro de los objetivos del negocio. Proporciona
direccin para la entrega de soluciones (AI) y la entrega de servicio (DS).
Adquirir e Implementar (AI) Identificacin de soluciones, desarrollo o adquisicin,
cambios y/o mantenimiento de sistemas existentes. Proporciona las soluciones y las
pasa para convertirlas en servicios.
Entregar y Dar Soporte (DS) Cubre la entrega de los servicios requeridos. Incluye la
prestacin del servicio, la administracin de la seguridad y de la continuidad, el
soporte del servicio a los usuarios, la administracin de los datos y de las
instalaciones operacionales. Recibe las soluciones y las hace utilizables por los
usuarios finales.
Monitorear y Evaluar (ME) Todos los procesos de TI deben evaluarse de forma
regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de
control. Este dominio abarca la administracin del desempeo, el monitoreo del
control interno, el cumplimiento regulatorio y la aplicacin del gobierno. Monitorear
todos los procesos para asegurar que se sigue la direccin provista.
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI
consiste en desarrollar un mtodo de asignacin de puntos para que una organizacin
pueda calificarse desde Inexistente hasta Optimizada (de 0 a 5).
Este planteamiento se basa en el Modelo de Madurez que el Software Engineering
Institute defini para la madurez de la capacidad de desarrollo de software.
Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que
hara que el sistema fuera difcil de usar y sugerira una precisin que no es
justificable.

1.6. RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A
EXAMINAR

Apellidos

Nombres

Cargo Perodo de Gestin
Del Al
Idrovo Carlos Gerente general 02/06/2013 06/06/2014
Salazar Sthefania Jefe de departamento de
TI
02/06/2013 06/06/2014
Sanchez Lucrecia Jefe de desarrollo 02/06/2013 06/06/2014
Moralez Sofia Jefe de mantenimiento 02/06/2013 06/06/2014
Pulgarin Alfredo Jefe de infraestructura 01/06/2013 10/06/2014
Hernandez Ana Analista diseador 09/06/2013 10/06/2014
Orellana Alan Programador 03/06/2013 10/06/2014
Lopez Jhonatan Tecnoci de redes 15/06/2013 12/06/2014
Faican Victoria Administrador de BD 10/06/2013 13/06/2014
Rosales Josue Administrador de redes 13/06/2013 13/06/2014
Venavidez Manuel Administrador de
seguridad
14/06/2013 13/06/2014







1.7 CRONOGRAMA DE TRABAJO

PROGRAMA DE AUDITORIA
EMPRESA: EMPRESA ELECTRICA CENTROSUR
FECHA:
30/06/2014
FASE ACTIVIDAD
HORAS
ESTIMADAS
ENCARGADOS
I TOMA DE CONTACTO
Determinacin el objetivo de la Auditora
Informtica
Determinacin de las reas a cubrir
Establecimiento las Personas de la
Organizacin que habrn de colaborar y
en qu momentos de la auditora
Contactos con las personas que presentan
mayores problemas en la red

100



10


5



5

4 auditores



1 auditor por
rea

1 auditor



2 auditores
II PLANIFICACION DE LA OPERACION
Plan de trabajo:
- tareas
- calendario
- resultados parciales
- presupuesto
- equipo auditor necesario

Solicitud de Manuales y
Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la
informacinorganizacional:
estructura orgnica, recursos
humanos, presupuestos.


10
10
10
5
5
5

2

10

20



1
1
1
1
1
1

1

2

2
III DESARROLLO DE LA AUDITORIA
Aplicacin del cuestionario al
personal.
Entrevistas a directores del area y
usuarios mas relevantes de la
direccin.
Anlisis de las claves de acceso,
control, seguridad, confiabilidad y
respaldos.
Evaluacin de la estructura
orgnica: departamentos, puestos,
funciones, autoridad y

2

2


2


3



1

1


1


2


responsabilidades en cuanto a lo
referente a la red.
Evaluacin de los equipos de red.
Evaluacin de los sistemas:
relevamiento de Hardware y
Software, evaluacin del diseo
lgico y del desarrollo del sistema.
Evaluacin del Proceso de Datos y
de los Equipos de Cmputos:
seguridad de los datos, control de
operacin, seguridad fsica y
procedimientos de respaldo.


5

10



10


2

3



3

IV FASE DE DIAGNSTICO
Revisin de los papeles de trabajo.
Determinacin del Diagnostico e
Implicancias.


10

10

2

2
V PRE-INFORME - CONCLUSIONES
Elaboracin de la Carta de
Gerencia.
Elaboracin del Borrador.
Elaboracion de el mejoramiento de
la topologia de la red.


10

10

5

2

2

3
VI INFORME PLAN DE MEJORAS
Elaboracin y presentacin del
Informe
Elaboracion y presentacion de un
mejor diseo de red.

10

10

4

4



1.7. DOCUMENTOS A SOLICITAR

Polticas, estndares, normas y procedimientos.
Planes de seguridad y continuidad
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
Nmero de equipos, dispositivos de red, localizacin y las caractersticas (de los
equipos instalados y por instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin si la red desea crecer.
Ubicacin general de los equipos y dispositivos de red.
Polticas de operacin.
Polticas de uso de los equipos y dispositivos de red.

1.8. EJECUCION DE LA REVISION ESTRATEGICA

1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD

Anteriormente no existia una direccion de telecominicacione y por ende no habia un
control del networking, en la actualidad se creo una direccion de telecomunicaciones con
una adecuada infraestructura bajo los estandares actuales establecidos, este
departamento se encuentra ubicado en el septimo piso de la empresa.


1.8.2. AUTORIDADES

NOMBRE CARGO
Ing. Alfredo Vasquez. Director.
Ing. Fernando Feijo. Operador Comunicaciones.
Ing. Pedro Eguez. Soporte de telecomunicaciones.
Ing. Demetrio Toledo. Ing. Sistemas.


1.8.3. PRINCIPALES ACTIVIDADES:

1. Acordar su rgimen escalable de autoridad.
2. Aprobar los presupuestos para los nuevos requerimientos de tecnologia.
3. Aprobar permisos y politicas de conexion a los servidores.
4. Disear, modificar y eliminar, nuevas conexiones tanto fisicas como logicas de las
redes, conforme a las politicas establecidas.
5. Organizar, Reglamentar y Administrar las conexiones y acesoso a los diferentes
servicios.

1.8.4. FUNCIONES GENERALES

Disear, implementar, ejecutar y monitorear las redes atraves de las herramientas
correspondientes, todas estas acciones destinadas a proporcionar al usuario, el servicio
adecuado para satisfacer las necesidades de sus actividades cotidianas, para asi cumplir
eficientemente todas las tareas que se le asigne.

Formular el plan de escalabilidad de la red, para cubrir las necesidades y requerimientos
que se presententen en la empresa.
Cumplir con la implementacion, configuracion, mantenimiento y control de networking de
los nuevos nodos que se implementen de acuerdo a los requerimientos de los usuarios.















GERENCIA GENERAL DE INFORMATICA
GERENCIA DE SISTEMAS
SISTEMAS
AMBIENTE WEB
GERENCIA DE SOPORTE
TECNICO
BIENES INFORMATICOS
ATENCION AL CLIENTE
CENTRO DE COMPUTO
GERENCIA DE
COMUNICACIONES
IP TELEFONIA
SOPORTE DE RED
ADMINISTRACION
COORDINACION DE PROYECTOS
INFORMATICOS

TAREA 2:

ELABORACIN DE LOS INSTRUMENTOS PARA EL LEVANTAMIENTO DE INFORMACION
DOMINIO PROCESO
OBJETIVO DE
CONTROL
DETALLE DEL
DEL OBJETIVO
PREGUNTA RESPUESTA
CALIFICACIN
(0 - 5)

1
.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R

P01. Definir un
Plan
Estratgico de
TI
P01.1
Administracin del
valor de TI
Trabajar con el
negocio para
garantizar que el
portafolio de
inversiones de TI de
la empresa contenga
programas con casos
de negocio slidos
1.El portafolio de
inversiones de TI
contiene programas con
casos de negocio
slidos?
La empresa cuenta
con un portafolio de
inversiones de TI
4
2.Los procesos de TI
propician una entrega
efectiva de los
componentes de TI de
los programas?
Estos procesos de
TI asegura que los
procesos sean
seguros y efectivos
4
P01.2
Alineacin de TI con
el Negocio

Se busca capacitar a
los empleados de la
empresa para que
tengan conocimiento
de las tecnologas
actuales.
1.Se realizan
capacitaciones
periodicas a los
empleados?
Se da
capacitaciones a los
empleados cada 4
meses
4
2. Los empleados
cuentas con
conocimientos de la
tecnologia actual?
La mayoria de los
empleados tienen
conocimientos
basicos de
tecnologia
3
P01. Definir
un Plan
Estratgico
de TI
PO1.3 Evaluacin
del desempeo y la
capacidad actual
Se evala el
desempeo laboral y
los sistemas de
informacin, tambin
se analizan las
debilidades y
fortalezas de la
empresa.
1.Se realizan
evaluaciones que
determinen el nivel de
desempeo laboral de
los empleados?
Las evaluaciones se
realizan cada tres
meses
3
2.La empresa cuenta
con un analisis FODA?
El principal fuerte de
la empresa es que
cuenta con un
analisis FODA
5
PO1.4 Plan
estratgico de TI
Crear un plan en el
cual se muestre
cmo TI contribuir
al cumplimiento de
los objetivos en la
empresa.
1.La empresa cuenta
con un plan estrategico?
Se cuenta con un
plan estrategico que
permita cumplir los
objetivos de la
empresa
4
2. La empresa tiene
todos sus objetivos
alineados al plan
estrtegico de TI?.
Sus objetivos se
encuentrana
alineados al plan
estrategico de TI
4
PO1.5 Planes
tcticos de TI
Crear un portafolio
de planes tcticos
de TI que se
deriven del plan
estratgico de TI.

1.En el portafolio de
planes se detallan los
planes estrtegicos en
caso de que la red
tenga problemas?
Si la red llegase a
tener problemas se
detalla un plan
estrategico para
soluionarlos
4
2.La empresa cuenta
con un plan tactico de TI
que respalde la red
logica de la empresa?
El plan tactico de la
empresa respalda la
informacion de la
red
3
1
.
P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R


P01.6 Gestin del
portafolio de TI
Administrar de forma
activa, junto con el
negocio, el portafolio
de programas de
inversin de TI
requerido para lograr
objetivos de negocio
estratgicos
1.Las redes de la
empresa estan
adquiridas en base al
Portafolio de TI?
No toda la red esta
adquirida en base al
portafolio de TI
2
2.Se cuenta con un
portafolio en el que se
detalle la inversion
hecha en las redes de la
empresa?
Si se cuenta con un
portafolio pero no
muy detallado
3



P02. Definir la
arquitectura de
la informacin
PO2.1 Modelo de
arquitectura de
informacin
empresarial
Establecer y
mantener un
modelo de
informacin
empresarial que
facilite el
desarrollo de
aplicaciones.
1.Se tiene un modelo
de informacion de la red
logica de la empresa?
Si se tiene un
modelo informacion
en el que conste los
detalles de la red
3
2.En el modelo general
de arquitectura de la
empresa, se detalla el
uso de la red?
Si se detalla el uso
que se le da a la red
y los beneficios que
se obtiene
4
PO2.2 Alineacin
de TI con el
negocio
Mantener un
diccionario de
datos empresarial
que incluya las
reglas de sintaxis
de datos de la
organizacin.

1.Se tiene un
diccionario de datos en
lo referente a la sintaxis
de la red?
El diccionario que la
empresa tiene no
consta con toda la
sintaxis que es
utilizada en la red
2
2.El uso de la sintaxis
de la empresa, se alinea
a TI?
Esta sintaxis no
esta tan bien
alineada a TI
3
PO2.3 Evaluacin
del desempeo y la
capacidad actual
Establecer un
esquema de
clasificacin que
se aplique a toda
la empresa
1.Cada que tiempo se
evaluan a los
empleados encargados
de la red logica?
Los empleados son
evaluados cada tres
meses para
determinar su
capacidad actual
4
2.Se realizan
evaluaciones que
determinan la capacidad
de los empleados?
Si se realizan esta
evaluacion a todos
los empleados
5
PO2.4 Plan
estratgico de TI
Definir e
implementar
procedimientos
para garantizar la
integridad y
consistencia de los
datos.
1.La empresa cuenta
con un plan estrategico
de TI que protega la red
lgica de la empresa?
La empresa si
cuenta con un plan
estrategico de TI
5
2.El plan estrategico
que la empresa tiene
protege los datos de la
red?
Este plan
estrategico si
protege la
informacion que se
transmite por la red
4



P03 Determinar
la Direccin
Tecnolgica
PO3.1 Planeacin
de la Direccin
Tecnolgica
Realizar un
estudio del
departamento de
TI para conocer
las tecnologas
disponibles.
1.La empresa realiza
estudios al
departamento de TI
perdiodicamente?
Se realiza cada mes
estudios al
departemento de TI
5
2.Se cuenta con un
documento en el que se
detalle las tecnologias
disponibles referentes a
la red?
La tecnologias que
conforma la red se
encuentra
documentada
4
PO3.2 Plan de
Infraestructura
Tecnolgica
Hacer un plan de
diseo de la nueva
estructura
orientada a la
adquisicin de
nuevos equipos
tecnolgicos.
1. Se realizan estudios
antes de adquirir
nuevos dispositivos de
red?
Si se realizan estos
estudios para
mejorar el buen
funcionamiento de
la red
3
2.La empresa tiene
planes de
infraestructura
tecnologica, que permita
el crecimiento de la red?
Este plan de
infraestructura
permite la
escabilidad de la
red cuando la
empresa lo requiera
4

PO3.3 Monitoreo
de tendencias y
regulaciones
futuras
Empezar a
monitorear las
tecnologas futuras
que se desean
adquirir o son
necesarias para la
empresa
1.Se monitorean las
tecnologias futuras para
el mejor funcionamiento
de la red?
La tecnologia es
monitoreada
constantemente
4
2.Se cuenta con un
documento en el que se
detallen las tecnologias
que se desean adquirir
con sus
especificaciones?
Se hacen proformas
y por lo tanto se
documentan para
tener informacion de
los nuevos
requerimientos de la
red
3
PO3.4 Estndares
tecnolgicos
Realizar un
estudio y un plan
de adquisicin de
equipos
tecnolgicos se
1.La empresa cuenta
con estandares
tecnologicos?
Si se tiene
estandares en los
que la empresa se
base para adquirir
nueva tecnologia
5
establecen
estndares o
reglas que se
aplicaran sobre el
sector tecnolgico.
2.Los estudios para
adquirir nuevos equipos
tecnologicos se alinean
a los estandares de la
empresa.
Si se alinean a los
estandares de la
empresa en el
momento de
adquirir nueva
tecnologia
4
PO3.5 Consejo de
arquitectura de TI
NO CUMPLE


PO4 Definir los
procesos,
organizacin y
relaciones de
TI
PO4.1 Marco de
trabajo de
procesos de TI
Gestionar un
portafolio de la
empresa y los
procesos de cambio
que se aplicaran.
1.Se cuenta con un
portafolio de los
procesos de cambio que
se aplican en la
empresa?
Cada cambio que
sucede en la
empresa se detalla
en un portafolio de
procesos
4
2.En el portafolio de
cambios se detallan
nuevos cambios que se
le da a la red?
Todos los cambios
que suceden en la
red son detallados
4
PO4.2 Comit
estratgico de TI
Conformar un
comit que estar
formado por los
directores de cada
rea de la
empresa para
controlar las
estrategias de
gobiernos de TI y
as revisar las
inversiones que
garantizaran el
crecimiento de la
organizacin
1.Por quienes se
encuentran
conformados este
comite estrategico de
TI?
Por los directores
de cada area que
conforma el
organigrama de la
empresa
5
2.Cuales son las
estrategias que busca
este comite en cuanto a
la red?
Mejorar el uso y el
acceso a la red,
sobre todo el ancho
de banda que se
distribuye entre los
equipos de la
empresa
4

PO4.3 Comit
directivo de TI
Luego de
establecer las
estrategias del
comit directivo se
centra en el
programa de
inversiones y
seguimientos de
proyectos y su
desarrollo.
1.Cal es el principal
objetivo de este comite
en cuanto a la red?
Optimizar el uso de
la red para el
mejorar la inversion
en la empresa
4
2.Cada que tiempo se
modifica el programa de
inversiones?
Estos programas de
inversiones se
modifican cada 3
mesees
3


PO4.4 Ubicacin
organizacional de
la funcin de TI
Establecer la
finalidad de la
empresa y los
servicios que
ofrece, se
determina el
desarrollo
organizacional y el
compromiso de la
gerencia para la
seguridad de la
informacin.
1.Se tiene bien
establecido los servicios
que la red de la
empresa ofrece?
La empresa tiene
claro los servicios
que ofrece y la
prioridad que se les
tiene que dar a sus
clientes
4
2.El departamento de
redes cuenta con una
organigrama funcional
de TI?
En el organigrama
se detalla a que
funcion se dedica
cada miembro del
departamento de
red
5
PO4.5 Estructura
organizacional de
TI
Establecer
necesidades en el
negocio y que se
las tiene que
alinear a la
organizacin.
1.Se encuentran
establecidas todas las
necedidades de la
empresa y su prioridad?
La empresa tiene
establecido todas
sus necesidades
3
2.Las necesidades que
la red cubre esta
alineado a la estructura
organizacional de TI?
La estructura
organizacional de TI
esta respaldada por
las necesidades que
la red cubre
3
PO4.6 Establecer
roles y
responsabilidades
Determinar la
estructura y
relaciones de los
procesos que se
darn dentro del
departamento de
TI y la propiedad
de dichos
procesos al
momento de
ejecutarlos para el
cambio de la
empresa.
1Se encuentran
establecidos los
procesos de la red que
se dan dentro del
departamento de TI en
la empresa?
Si, la empresa tiene
establecido todos
los procesos que la
red cumple
4
2.Los encargados de
la red logica, tiene
establecidos roles y
responsabilidades?
Cada empleado
encargado de la red
tiene establecido su
rol y debida
responsabilidad
5
PO4.7
Responsabilidades
para el
aseguramiento de
la calidad de TI
(QA)
NO CUMPLE
PO4.8
Responsabilidad
sobre el riesgo, la
seguridad y el
cumplimiento
NO CUMPLE


PO4.9 Propiedad
de los datos y
sistemas
NO CUMPLE
PO4.10 Supervisin NO CUMPLE
PO4.11
Segregacin de
funciones
NO CUMPLE
PO4.12 Personal
de TI
NO CUMPLE
PO4.13 Personal
clave de TI
NO CUMPLE
PO4.14 Polticas y
procedimientos
para el personal
contratado
NO CUMPLE
PO4.15 Relaciones NO CUMPLE


PO5
Administrar la
Inversin en TI.
PO5.1 Marco de
trabajo para la
administracin
financiera
Realizar y aplicar
un marco de
trabajo financiero
para controlar las
inversiones y
gastos con
respecto a los
activos y servicios
de TI.
1Se tiene un marco de
trabajo que administra
la situacion financiera
de la empresa?
La situacion
financiera de la
empresa se
encuentra detallada
en un marco de
trabajo
4
2.Se controlan los
gastos e inversiones
que se le da a la red e
la empresa?
La red de la
empresa, sus
gastos e inversiones
son controlados por
el area financiero
3
PO5.2 Priorizacin
dentro del
presupuesto de TI
Analizar los
procesos que
realiza TI para
verificar la
importancia y
1.Se detallan los
procesos de TI y se los
divide por prioridades?
Todos los procesos
de TI estan
detallados
4
necesidad de
mejorar tales
procesos
asignndoles
mayores recurso a
TI.
2.El mejoramiento de
la red se encuentra
dentro del presupuesto
de TI?
Una de las
prioridades del
presupuesto de TI
es el mejoramiento
de la red
4

PO5.3 Proceso
presupuestal
Analizar y
asegurarse que el
presupuesto este
alineado con el
portafolio de
inversiones de
programas y
servicios.
1.Cual es el
presupuesto general
con el que cuenta la
empresa para invertir en
sus programas y
servicios?
El presupuesto que
se le asigna a la
empresa para la
inversion en sus
programas es el
30%
5
2.Cual es el
presupuesto que se le
asigna al mejoramiento
de la red?
Para el
mejoramiento de la
red se le asigna un
15%
4
PO5.4
Administracin de
costos de TI
NO CUMPLE
PO5.5
Administracin de
beneficios
Monitorear y
analizar los
beneficios que
traer con la
implementacin
del nuevo
presupuesto,
mejorando en los
procesos internos
de la empresa.
1.Se Revisan
periodicamente los
beneficios que se
obtienen con mas
presupuestos?
Todos estos
beneficios son
revisados
mensualmente
5
2.Se Verifica si el
mejoramiento de la red
ofrece mejores servicios
a la empresa?
Para esto se
realizan
evaluaciones para
examinar el
rendimiento de la
red
4


PO6
Comunicar las
aspiraciones y
la direccin de
la gerencia
PO6.1 Poltica y
entorno de control
de TI
Definir polticas
para el
departamento de
TI as llevaremos
un ambiente de
control, en los
procesos que
realiza dicho
departamento
1.La empresa cuenta
con politicas de
procesos para cada
departamento?
Cada departamento
cuenta con politicas
de proceso
5
2.El departamento de
redes tiene politicas que
controlen el acceso a la
red?
El departamento de
redes controla todo
acceso por parte del
usuario a la red
4
PO6.2 Riesgo
corporativo y marco
de referencia del
control interno de
TI
Llevar un control y
crear un plan de
contingencia
contra riesgos,
basndonos en los
marcos de
referencias
existentes como
Cobit, Itil, etc. Y
tambin en las
polticas creadas
por Ti para as
encaminarnos con
los objetivos de Ti
y los de la
empresa.
1.Se tiene un plan de
contingencia que
respaldara a los riesgos
de la empresa?
La empresa si
cuenta con un plan
de contingencia
4
2.Se controlan los
riesgos a los que la red
se encuentra vulnerable
?
Todos los riesgos
de la red son
controlados
4
3.El plan de
contingencia de la red,
esta basado en un
marco de referencia
como Cobit, Itil, etc?
Si se basa en el
marco de referencia
Itil
4

PO6.3 Gestin de
polticas de TI
Actualizar y mejorar
el conjunto de
polticas del
departamento de
TI, basndonos en
los resultados y
1.Se actualizan
periodicamente las
politicas de TI de la
empresa?
Si se actualizan
constantemente
5
evaluando la
efectividad de las
mismas para poder
mejorar los
procesos y
actividades que
realiza TI.
2.El departamento de
redes evalua la
eficiencia de los
procesos, alineadas a
las politicas de TI ?
Se realizan
evaluaciones cada
dos meses
4
PO6.4
Implantacin de
polticas,
estndares y
procedimientos
Implantar nuevas
polticas y marcos
de referencia para
actualizar y
mejorar las
polticas y marcos
existentes
abarcando nuevos
procesos con ms
certeza y eficacia
cumpliendo con
las expectativas
empresariales.
1.Se implementan
politicas y estandares
de los procedimientos
para mejorar los marcos
que la empresa tiene?
Las politicas y
estandares son
implementados en
toda la empresa
4
2.Las politicas de la
empresa son eficientes
para el funcionamiento
de la red empresarial?
Estas politicas
sirven para el buen
funcionamiento de
la red
4
PO6.5
Comunicacin de
los objetivos y de la
direccin de TI
Dar a conocer los
nuevos cambios
que se realizaron a
las polticas y
marcos de
referencias los
1.De que forma se da
a conocer a los
empleados los nuevos
cambios a las politicas y
marcos de referencia?
Por medio de
correos electronicos
y en reuniones por
departamentos
4
cuales satisfacen
los objetivos y
direccin de TI
para mejorar el
desempeo de los
miembros de la
organizacin.
2.Los miembros del
departamento de redes
son parte de estos
cambios?
Todos los miembros
de la empresa estan
expuesto a los
cambios
5


P07
Administrar los
recursos
Humanos de TI
P07.1 Marco de
trabajo para la
gestin financiera
Asegurar que los
procesos de
reclutamiento del
personal de TI
estn de acuerdo
a las polticas y
procedimientos
generales de
personal de la
organizacin.
1.La empresa Se
alinean al marco de
trabajo para la
contratacion de nuevo
personal?
Para la contratacion
de nuevo personal
se basan en un
marco de trabajo
4
2.Las politicas
protegen la integridad
de la informacion y el
acceso del personal a la
red?
Todo el acceso a la
red es protegido por
politicas de
seguridad
4
PO7.2 Priorizacin
dentro del
presupuesto de TI

Verificar de forma
peridica que el
personal tenga las
habilidades para
cumplir sus roles
con base en su
educacin,
entrenamiento o
experiencia.
1.Cada que tiempo se
revisan las habilidades
del personal ?
Cada 6 meses 4
2.Los empleados se
encuentran capacitados
en el manejo de la red?
Solos los
encargados de la
red estan
capacitados en esta
area
3
PO7.3 Proceso
presupuestal
Definir, monitorear
y supervisar los
marcos de trabajo
para los roles,
responsabilidades
y compensacin
del personal,
incluyendo el
requerimiento de
adherirse a las
polticas y
procedimientos
administrativos,
as como al cdigo
de tica y
prcticas
profesionales
1.Se tienen definidos
los roles para cada
empleado y sus debidas
responsabilidades?
Cada empleado
tiene definido su rol
y su debida
responsabilidad
4
2.Los encargados de
la red tienen un codigo
de etica que supervise
su trabajo?
Todos los
empleados de la
empresa estan
capacitados en etica
profesional
4
PO7.4 Gestin de
costos de TI
Proporcionar a los
empleados de TI la
orientacin
necesaria al
momento de la
contratacin y
entrenamiento
continuo para
conservar su
conocimiento,
1.Los empleados de TI
son capacitados al
momento de ser
contratados acerca de
su labor a relizar?
Cuando se contrata
un nuevo empleado
se lo capacita por
15 dias para
indicarle su rol
4
aptitudes,
habilidades,
controles internos
y conciencia sobre
la seguridad, al
nivel requerido
para alcanzar las
metas
organizacionales.
2.Se crea conciencia
en los empleados
acerca de lo importante
que es la seguridad en
la red y se aplica
sanciones si no
cumplen?
Se dictan charlas de
la seguridad de la
informacion a todos
los empleados
5


PO7.5 Gestin de
beneficios
Minimizar la
exposicin a
dependencias
crticas sobre
individuos clave
por medio de la
captura del
conocimiento.
1.Los Jefes de cada
area brinda
capacitaciones con el fin
de compartir los
conocimientos con sus
subordenados?
Cada jefe de area
capacita a sus
subordinados,
compartiendo asi
sus conocimientos
4
2.Se Impulsa el
autoaprendizaje en los
empleados?
Si se brinda pero no
lo suficiente
3
PO7.6
Procedimientos de
Investigacin del
Personal
Incluir
verificaciones de
antecedentes en el
proceso de
reclutamiento de
TI. El grado y la
frecuencia de
estas
1.Cada empleado es
investigado antes de ser
contratado, es decir se
confirma los datos que
pone en el curriculum
viate?
Todos los datos del
curriculum de un
empleado son
verificados antes de
ser contratados
4
verificaciones
dependen de que
tan delicada o
crtica sea la
funcin y se deben
aplicar a los
empleados,
contratistas y
proveedores.
2.Se buscan
referenicas de los
proveedores de Interney
para saber si su ancho
de banda es el indicado
para la empresa?
No es comun de la
empresa buscar un
mejor proveedor de
internet
2
PO7.7 Evaluacin
del Desempeo del
Empleado
Evaluar
peridicamente el
desempeo del
empleado,
comparando
contra los
objetivos
individuales
derivados de las
metas
organizacionales,
estndares
establecidos y
responsabilidades
especficas del
puesto.
1.Cada que tiempo se
realizan las
evaluaciones para medir
el desempeo de los
empleados?
Cada 6 meses 4
2.Para cumplir una
tarea los empleados se
alinean a los estandares
establecidos de la
empresa?
Todos los
empleados se
alinean a
estandares antes de
realizar sus tareas
4


PO7.8 Cambios y
Terminacin de
Trabajo
Tomar medidas
claras respecto a
los cambios en los
puestos. Se debe
realizar la
transferencia del
1.Con que anterioridad
de tiempo se les informa
a los empleados su
cambio de puesto?
Con un mes de
anticipacion
4
conocimiento,
reasignar
responsabilidades
y se deben
eliminar los
privilegios de
acceso.
2.Todos los
empleados de la
empresa tienen acceso
a la red, o dependiendo
de los puestos que
ocupan?
Dependiendo de las
necesidades que
tiene se le otorga
diferentes accesos
a la red
3


P08.
Administrar la
Calidad
PO8.1 Sistema de
Administracin de
Calidad
Elaborar y mantener
un sistema de
gestin de calidad
que proporcione un
enfoque estndar,
formal y continuo
con respecto a la
administracin de la
calidad, que estn
alineados con los
requerimientos del
negocio.
1.Se tiene elaborado
un sistema de gestion
de calidad en la
empresa?
SI se tiene
elaborado un
sistema para
administrar la
calidad de la
empresa
4
2.El sistema de
gestion de calidad del
departemento de redes
se alinean a los
requerimientos de
brindar los servicios en
la empresa?
Si se alinea a los
requerimientos
3
PO8.2 Estndares y
Prcticas de
Calidad
Identificar y
mantener
estndares,
procedimientos y
prcticas para los
procesos clave de
TI para orientar a la
organizacin hacia
el cumplimiento del
sistema de gestin
de calidad.
1La empresa mantiene
estandares que orienten
al cumplimento de la
calidad?
Se tiene estandares
para mejorar la
calidad
4
2.Se identifican los
procesos mas
importantes ?
Todos los procesos
mas importantes os
identificados
4
PO8.3 Estndares
de Desarrollo y
Adquisicin
Adoptar y mantener
estndares para
todo desarrollo y
adquisicin que siga
el ciclo de vida en
base a criterios
adoptados.
1.La empresa sigue
estandares al momento
de adquirir nuevos
servicios?
Se basan en
estandares para
poder adquirir
nuevos productos
4
2.Los dispositivos de
red siguen un ciclo de
vida antes de ser
implementados?
Todo dispositivo de
red tiene un ciclo de
vida hasta su
implementacion
definitiva
4
PO8.4 Enfoque en
el Cliente de TI
Enfocar la
administracin de
calidad en los
clientes,
determinando sus
requerimientos y
alinendolas con los
estndares y
prcticas de TI.
1.El principal objetivo
de la empresa es la
atencion y satisfaccion
de los clientes?
Si ese es su
principal objetivo
5
2.Los requerimientos
de empresa se alinean
a los estandares y
practicas de TI.?
Todo requerimiento
son basados en los
estandares de TI
4
PO8.5 Mejora
Continua
Mantener y
comunicar
continuamente un
plan de calidad que
impulse la mejora
continua.
1.Se comunica
constantemente a los
empleados el plan de
calidad que la empresa
tiene?
Estos comunicados
son enviados por
medio de informes
4
2.Se mantiene un plan
de calidad relacionada a
la adminsitracion de la
red?
Si se mantiene un
plan de calidad
4
PO8.6 Medicin,
Monitoreo y
Revisin de la
Calidad
Definir, planear e
implementar formas
de monitoreo al
sistema de gestin
de calidad (QMS) y
su valor.
1.Cada que tiempo se
monitorea la calidad del
servicio de la empresa?
Cada 3 meses 4
2.La calidad de la red
es medida por un
software que determine
la calidad de la seal?
Si se la mide para
determinar si esta
teniendo algun
problema
4



P09. Definir un
Plan
Estratgico de
TI
P09.1 Marco de
Trabajo de
Administracin de
Riesgos
Establecer un marco
de trabajo de los
riesgos que estn
administrados por TI
y que estn
alineados al marco
de trabajo de riesgos
de la organizacin.
1.El marco de
administracin de
riesgos esta
administrado por TI?
Si se encuentra
admistrado por TI
5
2.El marco de
administracin de
riesgos esta alineado a
los objetivos de la
organizacion?
Si esta alineados a
la organizacion
4
3.Se modifica
peridicamente este
marco de trabajo?
Si cada 6 meses 3
P09.2
Establecimiento del
control de riesgos
Establecer los
riesgos posibles, con
sus debidas
caractersticas,
funciones y
soluciones sean tanto
riesgos internos
como externos.
1Cuales son lo
posibles riesgos a los
que se encuentra
expuesta una red
logica?
Al robo de
informacion, virus,
hackers, perdida y
desvio de la
comunicacion.
3
2.Se cuenta con un
portafolio en el que
consten los riesgos
externos e internos de
la empresa?
La empresa tiene un
portafolion en el que
constan los riesgos
a los que se expone
la empresa
4



PO9.3 Identificacin
de Eventos
Identificar todos los
riesgos posibles, las
amenazas que
explota la
vulnerabilidad a la
que se encuentra la
empresa, tambin se
puede identificar las
oportunidades que se
le presentas,
negocios
beneficiosos.
1.La empresa
identifica facilmente los
riesgos a los que se
expone?
Para la empresa es
un poco dificil
identificar los
riesgos a los que
esta expuesta
3
2.El departamento de
redes identifica las
oportunidades para
mejorar su servicio?
Primero se
identifican las
oportunidas y sus
beneficios antes de
implementarlos. Por
lo tanto es facil
identificar tales
oportunidades
4
PO9.4 Evaluacin
de Riesgos de TI
Evaluar todos los
riesgos posibles de
forma detallada y
peridica. Para esto
se utilizan diferentes
mtodos de
evaluacin.
1.Cada que tiempo se
realizan la evaluacion
de riesgos?
Cada dos meses 3
2.Cuales son los
metodos de evaluacion
que se utiliza para
encontrar los riegos de
la red?
El metodo de
verificacion de
usuarios y acceso a
la red, control de la
informacion.
4
PO9.5 Respuesta a
los Riesgos
Desarrollar y
mantener un proceso
de respuestas a los
riesgos que se
presentan, este
proceso debe
identificar las
estrategias para
1.Se desarrolla un
proceso que responda a
los riesgos a los que la
empresa se expone?
Se tiene
desarrollado un
proceso para
responder a los
riesgos
3
controlar y evitar los
riesgos, compartir o
aceptar riesgos y
asignar diferentes
responsabilidades.
2.Se identifican las
estrategias para
controlar los riesgos de
la red y
responsabilidades de
los miembros del
departemento de Red?
Se tienen
identificados las
estrategias que
permitan controlar
los riesgos de la red
3
PO9.6
Mantenimiento y
Monitoreo de un
Plan de Accin de
Riesgos
Priorizar las
actividades que se
implementara para
accin de riesgos, as
mismo la supervisin
de todo el plan
estratgico para la
identificacin de
costos, beneficios y
la responsabilidad de
cada uno de los
empleados.
1.Cada que tiempo se
monitorea el plan de
accin de riesgos?
El plan de accion de
riesgos se
monitorea una vez
por mes
5
2.Que actividades se
detallan en plan de
accin de riesgos?
Respaldo de la
informacion, evitar
la caida de la red,
del sistema, etc..
4


P10 ADMINISTRAR
PROYECTOS
PO10.1 Marco
de Trabajo para
la
Administracin
de Programas
Administrar y
verificar si los
programas que la
empresa utiliza se
relaciona con el
portafolio de
programas de
inversiones
facilitadas por TI
1.Se cuenta con
un marco de
trabajo que
permita
administrar los
programas de la
empresa?
Si se cuenta con
una marco de
trabajo
4
2.Los
programas de la
empresa constan
el portafolio de
inversiones de
TI?
No todos los
programas de la
empresa se
detallan en este
portafolio
2
PO10.2 Marco
de Trabajo para
la
Administracin
de Proyectos
Administrar los
proyectos que defina
el alcance y los
lmites de la
administracin de
proyectos
1.El marco de
trabajo de la
administracion de
proyectos se
integra con los
procesos de
administracion de
programas?
Si pero no todos 3
2.Cuales son
protectos que se
detallan en este
marco de
trabajo?
Elaboracio de
nuevos sistemas,
creacion de
nuevos proyectos,
etc..
4
PO10.3
Enfoque de
Administracin
de Proyectos
Administrar los
proyectos que
corresponda al
tamao, complejidad
y requerimientos
regulatorios de cada
proyecto
1.Los proyectos
se enfocan a los
requerimientos de
la empresa?
Si se enfocan
segun como la
empresa lo
requiera
4
2.Se integran
nuevos proyectos
para el
mejoramiento de
la red?
Si se integran
nuevos proyectos
3


PO10.4
Compromiso de
los Interesados
Obtener el
compromiso y la
participacin de los
interesados
afectados en la
definicin y
ejecucin del
proyecto dentro del
contexto del
programa global de
inversiones
facilitadas por TI.
1.Se impulsa la
participacion de
los empleados
para participar en
nuevos
proyectos?
Se da impulso pero
no lo suficiente
3
2.Existe
compromiso en
los empleados
para alinearse al
programa de
inversiones de
TI?
Si existe
compromiso pero
no por parte de
toda la empresa
3
PO10.5
Declaracin de
Alcance del
Proyecto
Definir y documentar
la naturaleza y
alcance del proyecto
para confirmar y
desarrollar, entre los
interesados, un
entendimiento
comn del alcance
del proyecto y cmo
se relaciona con
otros proyectos
dentro del programa
global de
inversiones
facilitadas por TI.
1.Todo alcance
de un proyecto es
documentado?
Si todo el
desarrollo de un
proyecto se
documenta
4
2. Los proyectos
se encuentran
dentro del
programa de
inversiones de
TI?
Si se encuentran 3
PO10.6 Inicio
de las Fases
del Proyecto
Aprobar el inicio de
las etapas
importantes del
proyecto y
comunicarlo a todos
los interesados. La
aprobacin de la
fase inicial se debe
basar en las
decisiones de
gobierno del
programa.
1.Se describen
claramente las
fases de un
proyecto?
Si se describen
estas fases
4
2. Estas fases
so comunicadas
a los
interesados?
Si se las comunica
a los encargados e
interesados
3


2
.

A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

AI1 Identificar
Soluciones
Automatizadas
AI1.1 Definicin
y
mantenimiento
de los
requerimientos
tcnicos y
funcionales del
negocio.
Identificar, priorizar y
especificar los
requerimientos para
todas las iniciativas
relacionadas con los
programas de
inversin del
departamento de TI.
1.Se identifican
las soluciones
automatizadas
para la empresa?
Estas soluciones
automatizadas son
identificadas
4
2. Se
especifican los
requerimientos
del programa de
inversin de TI?
Si se especifican
estos
requerimientos
3
AI 1.2 Reporte
de anlisis de
riesgos
Analizar y
documentar todas
las amenazas
significativas y
vulnerabilidades
potenciales que
1.Se analizan
las amenazas
que afectan a la
empresa?
Si se analiza toda
amenaza
3
afecten a todos los
requerimientos del
negocio para
despus realizar un
diseo de
soluciones.
2. Se realiza un
diseo de
soluciones?
Si se realiza este
diseo
3
AI1.3 Estudio
de factibilidad
y formulacin
de cursos
alternativos de
accin

Desarrollar un
estudio para
redactar soluciones
alternativas que
satisfagan los
requerimientos del
negocio, y realizar
evaluaciones por el
negocio y por TI
para ver la
factibilidad de su
aplicacin.
1.Se redactan
soluciones para
satisfacer los
requerimientos de
la empresa?
Si se redactan
estas soluciones
4
2. Se realizan
estudios de
factibilidad
constantemente?
Si se realizan
estos estudios
para ver com esta
funcionando la
empresa
4
AI1.4
Requerimientos
, decisin de
factibilidad y
aprobacin
Realizar la
aprobacin de
requerimientos,
opciones factibles,
soluciones y la
propuesta de
adquisicin por parte
del patrocinador del
negocio.
NO CUMPLE




AI2 ADQUIRIR Y
MANTENER
SOFTWARE
APLICATIVO
AI2.1 Diseo a
alto nivel
Se especifica y se
realiza un mejor
diseo para la
adquisicin de
software, teniendo
en cuenta las
necesidades
tecnolgicas y la
arquitectura que
tiene la informacin
dentro de la
empresa.
1.Antes de
adquirir un
software se
realizan un buen
diseo?
Si se realiza un
buen diseo para
poder adquirir un
nuevo software
3
2.Se toman en
cuenta las
necesidades de
la empresa antes
de adquirir un
nuevo software?
Todas las
necesidades de la
empresa son
analizadas para
poder adquirir un
software nuevo
4
AI2.2 Diseo
detallado
Se prepara el diseo
detallado y los
requerimientos
tcnicos del
software de
aplicacin.
1.Es preparado
el diseo de los
requerimientos
del software?
Los requerimientos
del software son
anlizados y
preparados
4
2.Este diseo es
bien detallado?
Se detallan muy
bien todos los
requerimientos
3
AI2.3 Control y
Posibilidad de
Auditar las
Aplicaciones
Se implementa
controles para
verificar que los
procesos sean
exactos, completos,
oportunos,
autorizado y puedan
ser auditados.
1.Se tienen
controles para
auditar las
aplicaciones?
Si se cuentan con
estos controles
para realizar todo
tipo de auditoria
4
2.Existe la
posibilidad de
auditar todas las
aplicaciones?
No todas, pero si
las mas
importantes
3
AI2.4 Seguridad
y Disponibilidad
de las
Aplicaciones
Implementar la
mayor seguridad
posible en lo que es
aplicaciones y los
requerimientos para
1Se implementa
seguridad en el
acceso a las
aplicaciones?
Toda aplicacion
cuenta con un
sistema de
seguridad antes de
acceder a ella
4
los riesgos que se
encuentran
disponibles.
2.Las
aplicaciones esta
disponibles en
todo momento?
Depende lo que el
usuario necesite,
se puede tener
acceso a las
aplicaciones
3
AI2.5
Configuracin e
Implantacin de
Software
Aplicativo
Adquirido
Configurar e
implementar el
software adquirido
para lograr los
objetivos del
negocio
1.Se configura
debidamente el
software antes de
implementarlo?
Todos los software
son debidamente
probados antes de
ser implementados
en la empresa
4
2.Este software
logra los objetivos
de la empresa?
Si los logra, pero
no en su totalidad
2
AI2.6
Actualizaciones
Importantes en
Sistemas
Existentes
Aplicar un proceso
al empleado
parecido como si se
estuviera creando
un sistema nuevo Si
existen cambio en
los sistemas que ya
funcionan en la
empresa en lo
referente al diseo
actual se
1.Se aplica el
proceso o
manuel de
usuario al
empleado de un
producto nuevo?
A cada empleado
se le otorga un
manual de usuario
para el manejo del
sistema
4
2.Se realizan
actualizaciones
en las
aplicaciones
existentes?
Toda aplicacion
sufre una
actualizacion por lo
menos una ves por
ao
3


AI2.7 Desarrollo
de Software
Aplicativo
Garantizar que el
software se
desarrolle con las
especificaciones de
diseo, los
estndares de
NO CUMPLE
desarrollo y
documentacin, los
documentos de
calidad y estndares
de aprobacin.

AI2.7 Desarrollo
de Software
Aplicativo
Garantizar que el
software se
desarrolle con las
especificaciones de
diseo, los
estndares de
desarrollo y
documentacin, los
documentos de
calidad y estndares
de aprobacin.
NO CUMPLE

AI2.8
Aseguramiento
de la Calidad
del Software
Ejecutar un plan de
aseguramiento de
calidad del software
para obtener la
calidad que la
empresa requiere de
acuerdo a los
requerimientos,
polticas y
procedimientos de
calidad a los que la
empresa se alinea
1.Todos los
software de la
empresa son
asegurados?

2.El software de
la empresa tiene
calidad?

AI2.9
Administracin
de los
Seguir el estado de
los requerimientos
individuales
1.Se
administran
debidamente
Si se administran
estos
requerimientos
4
Requerimientos
de Aplicaciones
(incluyendo todos
los requerimientos
rechazados) durante
el diseo, desarrollo,
implementacin, y
aprobar los cambios
a los requerimientos
a travs de un
proceso de gestin
de cambios
establecido.
todos los
requerimientos de
las aplicaciones a
adquirir en la
empresa?
antes de adquirir
nuevas
aplicaciones
2.Se tiene un
proceso de
cambios
establecido?
La empresa cuenta
con un proceso de
cambios
establecido para el
mejoramiento de la
red y de las
apliaciones
3
AI2.10
Mantenimiento
de Software
Aplicativo
Desarrollar un plan
estratgico para
realizar los
mantenimientos
oportunos para el
software aplicativo.
1.Cada que
tiempo se da
mantenimiento a
las aplicaciones
de la empresa?
Una ves por ao
como minimo
3
1.Se desarrolla
un plan
estrategico para
este
mantenimiento?
Si, se tiene un plan
estrategico
4



AI3 ADQUIRIR Y
MANTENER
INFRAESTRUCTURA
TECNOLGICA.
AI3.1 Plan de
Adquisicin de
Infraestructura
Tecnolgica
Plan de adquisicin,
implementacin y
mantenimiento para
la infraestructura, en
lnea con las
1.Se cuenta con
un plan de
adquisicion de
infraestuctura
tecnologica?
Si se cuenta con
este plan
4
necesidades del
negocio y la
direccin
tecnolgica
2.Esta
infraestructura se
alinea a las
necesidades de
la empresa?
Toda la
infrestructura esta
alineada las
necesidades de la
empresa
4
AI3.2
Proteccin y
Disponibilidad
del Recurso de
Infraestructura
Proteger los
recursos utilizando
mediciones de
seguridad y
audibilidad y uso de
infraestructura
sensitiva
NO CUMPLE

AI3.3
Mantenimiento
de la
Infraestructura
Controlar los
cambios, gestin de
parches ,estrategias
de actualizacin y
requerimientos de
seguridad
1.Se da
mantenimiento a
la infraestructura
de la empresa?
Si se da este
mantenimiento
3
2.Se controlan
los
requerimientos
para mejorar la
seguridad de la
red?
Todos estos
requerimientos son
controlados
4
AI3.4 Ambiente
de Prueba de
Factibilidad
Crear entornos de
desarrollo y
pruebas; pruebas de
factibilidad e
integracin
1.Se cren
ambientes de
prueba para la
infraestructura
tecnologica?
Si, se crean este
ambiente de
prueba
3
2.Estas pruebas
mejoran la
estructura de la
empresa?
Si mejoran a toda
la empresa
3



AI4 Facilitar la
Operacin y el Uso.
AI4.1 Plan para
Soluciones de
Operacin
Desarrollar una base
de datos con todos
los procesos
establecidos y
llevados a cabo
respectivamente.
1.Se tiene
desarrollado una
base de datos
con los procesos
de la empresa?
Si, se tiene
desarrollado esta
base de datos
3
2.Estos
procesos son
ejecutados?
Todos los
procesos
establecidos, son
ejecutado
4
AI4.2
Transferencia
de
Conocimiento a
la Gerencia del
Negocio
Crear un plan de
documentacin
estndar donde se
establezca lo que
todo lo los procesos,
sistemas y
actividades que se
realiza para la
gerencia
1.Se crea un
plan de
documentacion
de los procesos y
sistemas?
Si, se crea este
plan de
documentacion
3
2.Se transfiere
los conocimientos
entre empleados?
Los conocimientos
son compartidos
entre los
empleados de la
empresa
4
AI4.3
Transferencia
de
Conocimiento a
Usuarios
Finales
Definir una
documentacin
estndar donde est
el orden de los
procesos que se
deben llevar
dirigidos a los
usuarios finales.
1.Se transfiere
el conocimiento
de los Jefes de
area a sus
empleados?
Si, se lo realiza en
todas las areas
3
2.Se tiene
documentado
esta transferencia
de conocimiento?
Estos
conocimientos se
encuentran
debidamente
documentados
4

AI4.4
Transferencia
de
Conocimiento al
Personal de
Operaciones y
Soporte
Crear la emisin de
informes los cuales
estn dirigidos al
personal de
operaciones y
soporte, de manera
que estarn al tanto
de todo los
inconvenientes que
sucedan en la
empresa.
1.Se crean
informes para
dirigirlos al
personal de
Operaciones y
Soporte?
Si, se crean estos
informes
4
2.El personal de
la empresa
siempre esta a
conocimiento de
los problemas
que suceden en
cuanto a la red?
No todo el
personal, solo los
mas importantes
2



AI5 Adquirir Recursos
de TI.
AI5.1 Control de
Adquisicin
Analizar los
requerimientos
necesarios para la
nueva adquisicin y
adecuarse al
presupuesto
establecido por la
empresa.
1.Se realiza un
control de
adquision en la
empresa?
Si se realiza este
control
3
2.Este control
esta alineado al
presupuesto con
el que cuenta la
empresa?
Todo control se
alinea a lo
establecido en la
empresa
4
AI5.2
Administracin
de Contratos
con
Proveedores
Definir los contratos
de los proveedores
que se van a
trabajar en las
nuevas
adquisiciones.
1.Se tienen bien
definidos los
contratos con los
proveedores?
Si, se tienen bien
definidos
3
2.Quienes son
los encargados
de adminstrar
estos contratos?
Los de area
financiera
4
AI5.3 Seleccin
de Proveedores
Determinar ya de
manera transparente
los proveedores que
se van a trabajar
con los contratos ya
definidos cuales son
los que nos
convienen y nos
favorece.
1.Se realiza
proformas para
analizar a los
mejores
proveedores?
Antes de adquirir
algo en la
empresa, se
realizan previos
estudios
4
2.Cuantos
proveedores de
internet se tiene
en la empresa?
Dos proveedores
de internet
3
AI5.4
Adquisicin de
Recursos de TI
Asignar roles de
funciones a los
empleados con
mejor aptitud para
que hagan cumplir
todas las clausuras
de los contratos.
1.Se asignan
roles a todos los
empleados?
Si, se los asigna 4
2.Se tienen
reglas
establecidad para
el cumplimiento
de los contratos?
Se cuentan con
estas reglas
3



AI6 Administrar
Cambios.
AI6.1
Estndares y
Procedimientos
para Cambios
Establecer
procedimientos de
administracin y
estandarizar todas
las solicitudes para
cambios a
aplicaciones,
procedimientos,
procesos,
parmetros de
sistema y servicios.
NO CUMPLE

AI6.2
Evaluacin de
Impacto,
Priorizacin y
Autorizacin
Garantizar que
todas las solicitudes
de cambio se
evalen por su
funcin y operacin
cuando tengan
impactos en el
sistema.
NO CUMPLE

AI6.3 Cambios
de Emergencia
Establecer un
proceso para definir,
evaluar y autorizar
los cambios de
emergencia que no
siguen el proceso de
cambio ya
establecido en la
empresa.
NO CUMPLE

AI6.4
Seguimiento y
Reporte del
Estatus de
Cambio
Establecer un
sistema de
seguimiento para
mantener
actualizado las
solicitudes de
cambio y a los
interesados,
procedimientos,
procesos y las
bases importantes
para que se d el
cambio.
NO CUMPLE


AI6.5 Cierre y
Documentacin
del Cambio
Actualizar la
documentacin
del usuario y los
procedimientos
correspondientes,
establecer un
proceso de
revisin para
garantizar que los
cambio se haya
realizado
completamente y
no est
produciendo
errores
NO CUMPLE




AI7 Instalar y
Acreditar Soluciones
y Cambios.
AI7.1
Entrenamiento
Entrenar al
personal afectado
por los cambios
de acuerdo con el
plan definido de
entrenamiento e
implantacin.
1.Se entrena al
personal antes de
realizar un
cambio en la
empresa?
Los empleados
son entrenados
antes de un
cambio
4
2.Se tiene un
plan de
entrenamiento?
Si se tiene un plan
de entrenamiento
3
AI7.2 Plan de
Prueba
Establecer un
plan de prueba
basado en los
estndares de la
organizacin que
define roles y
responsabilidades
1.Se establece
un plan de
prueba para los
empleados?
Si, se establece un
plan de prueba
4
de cada sistema y
su respectivo
funcionamiento
dentro de la
empresa.
1.Esta plan de
prueba define los
roles y
responsabilidade
s de cada
sistema?
Todo el plan define
los roles y las
debidas
respoonsabilidade
s
4
AI7.3 Plan de
Implantacin
Establecer un
plan para el
cambio de los
sistemas, de
modo que se
puedan basar en
eso para que se
aplique un
cambio.
1.Se establece
un plan de
implantacion para
el cambio de los
sistemas?
Si, se establece un
plan de
implantacion
3
2.Se aplican
estos cambios en
la empresa?
Todo cambio es
aplicado en la
empresa
4
AI7.4 Ambiente
de Prueba
Definir un entorno
de pruebas,
controles
internos, calidad
de los datos y
requerimientos de
privacidad y
cargas de trabajo.
1.Se cren un
ambiente de
prueba en la
empresa?
Si, se crea ese
embiente
3
2.Estos
ambientes de
prueba controlan
la calidad de los
datos?
El ambiente de
prueba controla la
seguridad de la
informacion
4

AI7.6 Pruebas
de Cambios
Realizar pruebas
de cambios que
esten deacuerdo
con los planes de
prueba definidos
1.Se realizan
pruebas de
cambios, antes
de
implementarlos?
Si, se realizan
estas pruebas
4
antes de la
migracion al
entorno de
operaciones.
2.Estas pruebas
de cambio dan
resultado?
Todas las pruebas
de cambio dan
resultados
diferentes
2
AI7.7 Prueba de
Aceptacin
Final
Asegurar que el
dueo del
proceso del
negocio y los
interesados de TI
evalen los
procesos de
pruebas como se
determina el plan
de pruebas.
1.Se realiza una
ultima prueba de
aceptacion?
Si, se las realiza
antes de
implementarlas
4
2.Esta prueba
es aceptada por
los empleados?
Todas las pruebas
realizadas en la
empresa, son
aceptadas por los
empleados
3











A
D
Q
U
I
S
I
C
I

N

E

I
M
P
L
E
M
E
N
T
A
C
I
O
N












AI7 Instalar acreditar
soluciones y
cambios.












AI7.2 Plan de
prueba
Monitorear
continuamente el
ancho de banda que
el servicio mantiene
Qu tan rpido
es la obtencin de
archivos en lnea?


La velocidad es de
30kbps por
descarga de
archivos.

3



El monitoreo es
realizada cada que
tiempo?
El monitore de la
velocidad de
descarga se lo
realiza cada mes.
4



AI7.4 Ambiente
de prueba

Las pruebas sern
realizadas en el
momento en el que
el usuario este
haciendo uso del
servicio.
Ha mejorado la
velocidad de
descarga de los
archivos?
Se puede
descargar de
manera ms
rpida
dependiendo del
tipo de archivo.
3
































La rapidez del
usuario al
momento de
realizar su tarea
ha mejorado?

Se nota una
disminucin en el
tiempo de proceso
de las tareas de
los usuarios.
3
AI7.9 Revisin
posterior a la
Implantacin
Luego de las
respectivas pruebas
por parte del
usuario se realiza
un monitoreo
peridico de la
disponibilidad del
servicio.
Cmo evala la
disponibilidad de la
red?
Las descargas de
archivos al igual
que el envi es
buena tiene una
velocidad
aceptable
3
La disponibilidad
de los dispositivos
y recursos
compartidos
cumple con las
necesidades
requeridas?
La informacin
adquirida es
realizada de
manera ms
rpida y los
dispositivos en red
funcionan
correctamente.







4



DS1. Definir y
administrar los
niveles de servicio.
DS1.1 Marco de
trabajo de la
Administracin
de los servicios
de los niveles
de servicio
Comprobar que la
topologa de red sea
la apropiada y se
encuentre alineada
con el diseo
originalmente
aprobado


Ha observado
algn tipo de error
al almacenar o
registrar su
informacin?
La informacin se
almacena de
manera correcta la
velocidad del
proceso es
aceptable.
4
Existen
intermitencias en
la red?
No existe
intermitencia en la
trasferencia de los
datos.
4
DS1.5
Monitoreo y
reporte del
cumplimiento de
los niveles de
servicio
Verificar atreves de
herramientas o
aplicativos que el
ancho de banda
efectivo de la red se
encuentre alineado
con el terico
Qu tan efectiva
es la considera la
velocidad para
mover o consultar
archivos en la red?
La velocidad de
consultas y
traslado de la
informacin est
dentro de los
parmetros
establecidos
4
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E











DS3 Administrar el
desempeo y la
capacidad



DS3.2
Capacidad y
desempeo
actual.
Evaluar si los
componentes de red
utilizados son de
calidad y garantizan
un buen
rendimiento.
Considera que es
inmediato el
acceso al internet?
El acceso al
internet es un poco
lento.
3
La velocidad de
conexin de las
aplicaciones
internas es rpida
o lenta?
Las aplicaciones
funcionan de
manera correcta
por lo tanto la
conexin es
satisfactoria.
4

ANALISIS DE RESULTADOS:
Para cada proceso:
Determinar el nivel de madurez de cada proceso en base al cumplimiento de los
objetivos de control.
Estimar el nivel de madurez del proceso tomando la calificacin de cada objetivo,
promediando segn del nmero de objetivos y el valor final nos dar una
referencia sobre el nivel de madurez alcanzado por el proceso.
Determinar el nivel de madurez al que debera llegar cada proceso y explicar las
razones.

DOMINO PROCESO
NIVEL DE
MADUREZ
ALCANZADO
NIVEL DE
MADUREZ
DESEABLE
RECOMENDACIONES
A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R








AI7 Instalar
acreditar
soluciones
y cambios.



3.33 4
La velocidad de
descarga y envi, es
aceptable sin embargo
para llegar al nivel de
madurez deseado se
debe seguir optimizando
la red aplicando VLAN.
Se debe capacitar al
usuario en el para que
haga uso de los
procesos
correspondiente a las
aplicaciones para que
siga optimizando su
tiempo en las tareas
asignadas.
Los dispositivos deben
ser configurados con el
protocolo EIGRP y para
las conexiones remotas
hacer uso de Frame
Relay.

E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E



DS1.
Definir y
administrar
los niveles
de servicio.


4 5
Los parmetros
establecidos para la
transferencia y descarga
de los datos deben ser
realizados siguiendo los
manuales de
procedimientos, los
cuales deben ser
cumplidos para obtener
un mejor resultado de
las tareas asignadas.


DS3
Administrar
el
desempeo
y la
capacidad




3.5 5
Las conexiones de las
aplicaciones deben
estar bien configuradas
por lo tanto se debe
realizar un monitoreo
peridico de las ODBC
de cada aplicacin que
ser realizado por la
Direccin de Sistemas.




















INFORME DE LA AUDITORIA.
Fecha del Informe: 15 / 07/ 2014
Nombre de la Entidad: EMPRESA ELECTRICA CENTROSUR
AUDITORIA DE LA RED A NIVEL LOGICO.
El objetivo, de la auditora es controlar la definicin y existencia de las configuraciones
y dispositivos necesarios para la transmisin de los datos y para mejorar su calidad y
eficacia.
La auditora es realizada en cada uno de los departamentos de la organizacin.
Grupo de trabajo:
Ing. Eva Merchn.
Ing. Jorge Arvalo.
Tecno. Geovanny Ordoez.
Tecno. Manuel Quezada.
Fecha de Inicio de la Auditora: 01/06/2014.
Tiempo estimado del proceso de revisin: 160 hs
Fecha de Finalizacin de la Auditora: 30 / 06 / 2014.
Herramientas utilizadas:
Metodologa de auditora de objetivos de control
Utilitarios estndar para la medicin del ancho de banda de una red.
Sistemas operativos Linux para la revisin de las configuraciones de los
dispositivos.
Alcance:
Controlar y definir parmetros para el uso correcto de la red y as mejorar los tiempos
de procesos de la informacin, mejorando la productividad de la empresa.
Los procedimientos a aplicar, serian la implementacin de un proxi que permita solo el
uso de las aplicaciones necesarias para la realizacin de las tareas asignadas,
liberando el ancho de banda por mal uso del internet. Realizar un mantenimiento y
reconfiguracin constante a los dispositivos de red.
Las debilidades detectadas, en la empresa son el mal uso del internet y de los
procedimientos para el uso de las aplicaciones que funcionan en el intranet, lo cual
hace que la red se sature constantemente.
La situacin actual, es que la informacin no llega a tiempo o se pierde al momento de
ser enviada o recibida, con lo cual el trabajo encomendado es realizado de manera
lenta o en el peor de los casos no se lo realiza, deteniendo el crecimiento de la
empresa.
En conclusin, se debe capacitar al personal para que haga uso de los manuales para
realizar los procesos correspondientes a cada aplicacin, de esta manera se garantiza
el envo y recepcin de la informacin en los tiempos establecidos, que la direccin de
comunicacin realice mantenimientos preventivos de los dispositivos de red y de los
host revisando que las ODBC estn direccionadas correctamente.