Está en la página 1de 44

Introduccin

La misin principal de COBIT es investigar, desarrollar, hacer


pblico y promover un marco de control de gobierno TI autorizado,
actualizado,

aceptado

internacionalmente

para

la

adopcin

por

parte de las empresas y el uso diario por parte de gerentes de


negocio, profesionales de TI y profesionales de aseguramiento. La
necesidad de un marco de trabajo de control para el gobierno de TI
define las razones de por qu se necesita el gobierno TI, los
interesados y qu se necesita cumplir en el gobierno de TI.
El presente documento representa la funcionalidad que el gobierno
de TI tiene en una empresa ya que para toda empresa, organizacin,
institucin o negocio de cualquier tamao la informacin es el
recurso ms valioso. Entre ms se automaticen de forma correcta
los procesos que maneja, almacenan y generan informacin se tendr
un

mejor

control

sobre

toda

actividad

que

se

realice

en

la

empresa, tomando en cuenta todas las actividades de negocio as


como las actividades propias de TI

Antecedentes
La empresa Petrleo y Combustibles HS es una empresa guatemalteca
fundada

en

el

ao

2005

por

una

sociedad

funcionamiento y operaciones fueron

annima

local,

su

aprobadas y monitoreadas por

el Ministerio de Energa y Minas del Gobierno de Guatemala para la


explotacin,

importacin

transformacin

de

materias

primas

locales y extranjeras.
Desde la fundacin Petrleo y Combustibles HS se convirti en un
referente en la regin por su buen funcionamiento, buenos precios
y calidad en sus productos. Hoy da la empresa se encuentra
posicionada en un lugar privilegiado ya que ha podido extenderse
por toda la regin centro americana y panam.
Petrleo y Combustibles HS cree en:
Brindar productos de calidad a todos sus clientes
Generacin de empleo para una gran cantidad personas
Responsabilidad ambiental
Productos seguros y accesibles
Siempre

estar

la

vanguardia

en

la

tecnologa

de

sus

productos y en los mtodos para lograr todas sus operaciones


Petrleo y combustibles HS se encuentra entre el top 5 de las
compaas refinadoras de toda amrica latina.

Visin
Nos comprometemos a ser una empresa responsable del medio ambiente
que desarrolla sus operaciones y reservas, eficientemente, sin
derrames ni accidentes, para ir siempre a la vanguardia.

Misin
Producir de manera responsable el recurso petrolero de Guatemala y
la

regin

Centro

Americana

en

beneficio

empleados, las comunidades y el medio ambiente.

armona

de

los

PLANTEAMIENTO DEL PROBLEMA


Usted fue contratado por una organizacin para la implementacin de un
gobierno de TI basado en el marco de referencia de COBIT.
La organizacin se dedica a la fabricacin de combustibles y carburantes
para la regin centroamericana.
Los procesos crticos para esta organizacin son:
1. Fabricacin de GLP.
2. Fabricacin de combustibles para automotores.
3. Importacin de materias primas.
4. Distribucin de los productos finales que se realiza de la
siguiente forma:
a. GLP venta en hogares en toda la regin.
b. Combustibles a travs de una red 100 gasolineras en la
regin.
La organizacin actualmente cuenta con sistemas obsoletos que deben ser
reemplazados por tecnologas de ltimas generacin tanto en aplicaciones
de escritorio como tecnologas mviles.
Dentro de los requerimientos del negocio se le solicita la creacin de un
nuevo datacenter y toda la infraestructura tecnolgica necesaria para la
implementacin. Considera lo siguiente:
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
5. Los principales sistemas para el control de las operaciones.

6. Volumen estimado de usuarios por pas:


a. Guatemala 400.
b. Resto de C.A. 200 por pas incluyendo Panam.
7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2
TB en aplicaciones.
8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.
Gobierno de T.I. para empresa que fabrica Combustibles y carburantes.

Marco de Trabajo Cobit 4.1

PO Planear y Organizar
PO1 Definir un Pla estratgico de T.I.
PO1.1 Situacin Actual de la Empresa
PO1.1.1 Caractersticas principales de la Empresa
La empresa Se dedica a la Fabricacin de Combustible para automotores,
carburantes y gas licuado de petrleo en la regin centroamericana, en la
cual distribuye el GLP a los hogares y el combustible en una red de 100
gasolineras en toda la regin.
PO1.1.2 Condiciones Actuales de la empresa
La organizacin actualmente cuenta con sistemas obsoletos que deben ser
reemplazados por tecnologas de ltimas generacin tanto en aplicaciones
de escritorio como tecnologas mviles para mejorar los procesos de
comunicacin y manejo de informacin en todas las reas de la empresa.
PO1.2 Modelo de Negocio
PO1.2.1 Estrategia Organizacional
La Estrategia de la empresa en convertirse en lderes del mercado en la
regin, brindndoles a sus clientes los mejores productos y de la mejor
calidad para satisfacer las necesidades de cada uno de ellos y ayudar al
cuidado y mantenimiento de sus vehculos y su economa.
Para poder cumplir con su estrategia, la empresa desea innovarse cada vez
ms para mantenerse en la cima del mercado y mantener una ventaja amplia
sobre sus competidores.
PO1.2.2 Competencias Fundamentales
Las fortalezas fundamentales de la organizacin son:

Posicionamiento en el mercado

Calidad de sus productos

Amplia cobertura

Precios Accesibles

Materia prima de ptima calidad

Para llegar a esto se utilizara:


1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
PO1.2.3 Estrategia Competitiva
La estrategia competitiva de la organizacin radica en mantener a sus
clientes satisfechos en muchos aspectos tanto en precio y confiabilidad
como en una buena imagen que identifica a la marca.

PO1.3 Modelo de TI
El modelo de TI de la organizacin se fortalece con la aplicacin y buen
manejo de tecnologa de ltima generacin para mantener controlados los
procesos de negocio, as como brindar una comunicacin efectiva en todas
las sedes y centros de distribucin de la regin centro americana.
Los nuevos sistemas de informacin que se implementaran servirn para
mantener un control de la informacin en las base de datos del data
center principal y creando una copia para el data center de respaldo. Los
trabajadores de la empresa podrn mantenerse en contacto con aplicaciones
desarrolladas

para

dispositivos

mviles.

Toda

la

tecnologa

que

se

implementara servir para dar el mejor servicio y productos de calidad a


los ms de 2000 usuarios.

PO2 Definir la arquitectura de la informacin


PO2.1 Modelo de Arquitectura de informacin

Procesos
crticos

Fabricacin
de GLP

Fabricacin de
combustible

Importacin
de materia
prima

Distribucin de
los productos

Objetivos de Negocio
Objetivos de
Gobierno

Requisitos de
Negocio
Informacin
de servicios

Informacin de
Criterios de
negocio

Arquitectura de TI
DATACENTER

Servidor de
aplicaciones

BD

Servidor de
Comunicaciones

PO2.2 Esquema de Clasificacin de Datos


Proceso
Tipo de

Fabricacin

Fabricacin

Importacin

Distribucin

Informacin

de GLP

de

de materia

de Productos

Combustible

prima

Publica

Secreta

Confidencial

PO2.3 Administracin de Integridad


Para garantizar la integridad de la informacin:

El sistema limitara el acceso a informacin con roles

Solo el DBA te tendr acceso a todas las reas de la informacin

Para la transicin de la informacin se utilizaran algoritmos de


encriptacin

El acceso al sistemas ser por medio de claves encriptada y se


cambiaran constantemente

Para

acceder

al

data

center

se

tomaran

medidas

de

seguridad

biomtrica, tarjetas inteligentes y claves.

El rea de TI es responsable de la seguridad, almacenamiento,


distribucin y comunicacin de la informacin para todas las reas
de la empresa

En

TI

hay

responsabilidades

compartidas

as

responsabilidad especfica para cada miembro del equipo

Nunca se compartir informacin importante va telefnica

como

una

Los empleados que tengan acceso a informacin confidencial de la


empresa debern seguir un estricto cdigo de conducta para evitar
percances con ingeniera social

PO3 Determinar la direccin tecnolgica


PO3.1 Planeacin de la direccin tecnolgica
Bajo esta direccin recae la responsabilidad de supervisar y evaluar la
actividad de los tcnicos e integrantes de la empresa, estableciendo los
objetivos y mecanismos necesarios para la consecucin de la evolucin de
nuestros productos y servicios.
Sus principales tareas son:

Registrar y controlar la propiedad de las tecnologas desarrolladas


e implantadas.

Registrar,

administrar

controlar

los

sistemas

internos

de

control.

Generar la documentacin y metodologa necesaria, que facilite la


rpida adaptacin de los sistemas.

Asegurar, mediante el estudio continuo de los procedimientos y


mecanismos de control, la mayor calidad en la ejecucin de los
proyectos que caigan bajo su espectro funcional, organizando las
prioridades con carcter tecnolgico que se adecuen a la oferta
realizada.

Organizar, controlar, dirigir y supervisar al personal tcnico.

Asegurar la realizacin de tareas de seguimiento continuo para


mantener y mejorar la calidad de los servicios y productos.

Coordinar con la Direccin de Innovacin los planes de implantacin


y adecuacin tecnolgicos.

Asesorar proactivamente a la Direccin en la elaboracin y diseo


de los planes tecnolgicos anuales y plurianuales.

PO3.2 Plan de infraestructura tecnolgica


Dentro de los requerimientos del negocio se le solicita la creacin de un
nuevo datacenter y toda la infraestructura tecnolgica necesaria para la
implementacin. Considera lo siguiente:
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
5. Los principales sistemas para el control de las operaciones.
6. Volumen estimado de usuarios por pas:
a. Guatemala 400.
b. Resto de C.A. 200 por pas incluyendo Panam.
7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2 TB
en aplicaciones.
8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.

PO4 Definir los Procesos, Organizacin y Relaciones de TI.


PO4.1 Marco de trabajo de procesos de TI
Procesos
Trabajo a

Base de

realizar

Datos

Aplicaciones

Comunicaciones

Control de
Distribucin de
productos

Generacin de
informacin

Almacenamiento

de informacin
Control de

trfico de
informacin

PO4.2 Polticas que debe cumplir el personal contratado


1-

Cumplir fielmente en forma presencial el tiempo estipulado en su

contrato.

En

caso

de

presentrsele

una

situacin

especial

debe

comunicarlo por escrito.


2-

Cumplir las expectativas y resultados esperados.

3-

Manejar

las

informaciones

dentro

del

Canon

de

absoluta

discrecionalidad.
4-

Toda persona que entra al departamento entra en condicin de prueba

de 3 meses; decidiendo su continuidad a partir de los resultados.


5-

Todo miembro ha de cumplir fielmente el cronograma de trabajo;

presentando a ms tardar el da 5 de cada mes una memoria de sus


ejecutorias.
6-

Todo miembro del equipo ha de respetar los canales y procedimientos

establecidos.
78-

Asistir a las reuniones y jornadas a las que se le convoque.


Presentar todas las sugerencias y propuestas que considere pueden

contribuir al cumplimiento pleno de la misin del departamento.


9-

Cultivar

el

perfil

de

dinamismo,

cooperacin,

integracin,

solidaridad, respeto, alegra y desarrollo integral del departamento y


cada uno de sus miembros.
10-

Consultar

con

la

procedimiento no tomado

instancia

superior

cualquier

previamente en consideracin.

inconveniente

11-

Aplicar

el

procedimiento

general

las

tcnicas

especficas

emplearse en la organizacin y ejecucin de la Evaluacin.

PO5

Administrar la inversin en TI
Descripcin
conceptos

Excelente

Bueno

Existencia marco
de trabajo
financiero para
administrar las
inversiones y el
costo de los
activos y
servicios de TI

Cumplimiento
marco de trabajo
financiero para
administrar las
inversiones y el
costo de los
activos y
servicios de TI

Retroalimentacin
marco de trabajo
financiero para
administrar las
inversiones y el
costo de los
activos y
servicios de TI

Regular

Existencia
implementacin
del proceso de
toma de
decisiones para
dar prioridades a
la asignacin de
recursos de TI

Cumplimiento
implementacin

Deficiente

del proceso de
toma de
decisiones para
dar prioridades a
la asignacin de
recursos de TI
Retroalimentacin
implementacin
del proceso de
toma de
decisiones para
dar prioridades a
la asignacin de
recursos de TI

Existencia
proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI

Cumplimiento
proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI

Retroalimentacin
proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI
Existencia
proceso de
administracin de
costos que
compare los
costos reales con
los
presupuestados

Cumplimiento
proceso de
administracin de
costos que
compare los
costos reales con
los
presupuestados

Retroalimentacin
proceso de
administracin de
costos que
compare los
costos reales con
los
presupuestados

Existencia
implementacin de
un proceso de
monitoreo de
beneficios

Cumplimiento
implementacin de
un proceso de
monitoreo de
beneficios

Retroalimentacin
implementacin de
un proceso de
monitoreo de
beneficios

PO6 Comunicar las aspiraciones y la direccin de la Gerencia

El proceso para comunicar las aspiraciones y la direccin son informales e inconsistentes


debido a que no existe comunicacin entre la persona encargada de crearlos y el nivel
gerencial, y las polticas y procedimientos de la direccin gerencial son desorganizados debido
a que el nivel gerencial no ha realizado reuniones formales para poder crearlos.

Estos procesos se van a tecnificar y se har una reestructuracin tecnolgica para que la
comunicacin sea satisfactoria y siempre la informacin est disponible en todas las reas de la
empresa.
PO7 Administrar los Recursos Humanos de TI
Por

la

entrevista

informal

realizada

la

persona

encargada

del

Departamento Administrativo y la encuesta realizada al personal de la


empresa, conocemos que la administracin de los recursos humanos de TI y
en general no cuenta con un proceso previamente establecido que siga
prcticas definidas y aprobadas para el reclutamiento, entrenamiento,
evaluacin del desempeo, la promocin y la terminacin de la fuerza de
trabajo.
El proceso para administrar el recurso humano no cuenta con una persona o
grupo de personas asignadas formalmente, no existe conciencia de la
necesidad del proceso en la organizacin.
PO8 Administrar la Calidad
Por

la

entrevista

informal

realizada

la

persona

encargada

del

Departamento Administrativo conocemos que la administracin de la calidad


es un proceso inicial en la empresa. A nivel gerencial se preocupa por
obtener certificacin ISO 9001-2000; el personal administra la calidad de
su trabajo indistintamente y sin supervisin.
El proceso para administrar la calidad no tiene una metodologa definida
en la organizacin, la alta gerencia reconoce que es necesario un sistema
de administracin de la calidad pero este no tiene una estructura
documentada

para

seguir,

todo

se

realiza

de

manera

intuitiva

desorganizada.

PO9 Descripcin del Proceso


Por

la

entrevista

informal

realizada

la

persona

encargada

del

Departamento Administrativo conocemos que la evaluacin y administracin


de los riesgos de TI es un proceso inexistente en la empresa, porque no

cuentan con un marco de trabajo que

identifique, analice y evalu

cualquier impacto potencial sobre las metas de la organizacin causada


por algn evento no planeado.
El proceso para evaluar

y administrar los riesgos de TI no tiene

conciencia de la importancia de contar con una metodologa que solucione


vulnerabilidades

de

seguridad

incertidumbres

en

el

desarrollo

de

proyectos, evaluando los riesgos en los procesos y en las decisiones del


negocio.

PO10 Administrar Proyectos


Por la entrevista realizada al Vicepresidente Ejecutivo de la empresa, y
la entrevista informal realizada a la persona encargada del Departamento
Administrativo conocemos que la administracin de proyectos de TI es un
proceso inexistente en la empresa porque no cuentan con una metodologa
definida que garantice la coordinacin de los proyectos, por el contrario
cada miembro de la empresa administra sus proyectos independientemente.
El proceso para administrar proyectos de TI no tiene tcnicas especficas
y la organizacin no toma en cuenta los impactos al negocio que ocurren
por la mala administracin de los proyectos.

AI Adquirir e implementar
AI1 Identificar Soluciones Automatizadas
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones

en toda centro

amrica.
Lista de componentes y equipo para implantar los nuevos sistemas
Cable UTP:
Componente

Descripcin

Cable UTP categora 6

Puede transmitir datos


Gigabit Ethernet

Conector RJ-45:
Componente

Descripcin

Conector RJ-45

Interfaz fsica
cable UTP

para

Patch Panel:
Componente

Descripcin

Patch Panel

De 19 pulgadas con 48
puerto

Componente

Descripcin

Switch C2960S-48FPD-L

Ofrecen alta densidad


de
10,
40
y
100
Gigabit Ethernet con
la
aplicacin
de
sensibilizacin
y
completo anlisis de
rendimiento
para
el
centro de datos.

Componente

Descripcin

Router Cisco ASR 1013

Servicios
escalables
integradas
en
el
procesador
de
QuantumFlow
Cisco
a
velocidades de cable
de 2,5 Gbps a 100 Gbps

Switch:

Router:

Servidores:
Componente
Servidor

Descripcin
Un servidor es un nodo que,
formando parte de una red, provee
servicios a otros nodos denominados
clientes.

Rack:
Componente
Rack

Descripcin
Un rack es un soporte metlico
destinado a alojar equipamiento
electrnico,
informtico
y
de
comunicaciones. Las medidas para la
anchura estn normalizadas para que
sean compatibles con equipamiento
de cualquier fabricante. Tambin
son llamados bastidores, cabinas,
cabinets o armarios.

Tecnologia Web logic :


Componente
Oracle Weblogic

Descripcion
Oracle WebLogic Server 12c es el servidor
de aplicaciones nmero uno en los entornos
convencionales y de nube. Es la piedra
angular de la base de la aplicacin de nube
de Oracle, la plataforma ms completa y de
mayor nivel del sector para el desarrollo
de aplicaciones de nube.

Telfono IP
Componente

Descripcin

Cisco Unified 9971

El

Cisco

ofrece

Unified

una

alta

IP

Phone

9971

calidad,

las

comunicaciones

multimedia

interactivas avanzadas en un diseo


que

es

la

vez

usuario

respetuoso del medio ambiente.

AI2 Adquirir y mantener software


La adquisicin de software se realizara bajo licenciamiento de fabricante
y las aplicaciones sern desarrolladas por el personal del departamento
de TI.
El departamento de TI desarrollara y mantendr el sistema que haya sido
creado

implantado

en

los

equipos,

desarrollara

aplicaciones

para

dispositivos mviles que cuenten con el sistema operativo Android.


El desarrollo de aplicaciones y sistemas de la empresa para terminales no
mviles se realizara en lenguajes de programacin orientada a objetos
(Java, .Net, etc.) as tambin como las pginas web propias de la empresa
en la que se brindara informacin acerca de los productos y servicios de
la empresa. Para el desarrollo de aplicaciones mviles se usaran SDK
especiales que permitan desarrollar de la mejor manera posible las
aplicaciones.

AI3 Adquirir y Mantener Infraestructura Tecnolgica


El mantenimiento de la estructura de TI ser realizado por el personal
del departamento de TI y si fuera necesario se contratara a un tercero
para brindar dicho mantenimiento bajo la supervisin del personal de la
empresa.
La adquisicin del equipo ser evaluada para distintos proveedores y se
escoger la que mejor se acople al presupuesto destinado a la inversin
de automatizacin de los procesos de la empresa y controlar los mismos
(fabricacin de GLP, Combustibles, la adquisicin de las materias primas
y la distribucin de los productos finales). Los equipos que sern
adquiridos son los que se ajustan a las necesidades de la empresa y se
deber realizar el doble de la compra ya que se contar con un sistema de
respaldo en un datacenter privado en Costa Rica.

AI4 Facilitar la operacin y el uso


Para facilitar la operacin de los sistemas y el uso de las aplicaciones
nuevas para realizar los nuevos procesos de la empresa se requerir:

Documentacin de todos los procesos que se realizan

Creacin de diagramas de los procesos

Documentacin apropiada en cada proyecto de desarrollo


o Manuales de programacin
o Manuales de usuario

Creacin de archivos digitales que contengan toda la informacin de


los proyectos

Creacin

de

Manuales

de

polticas

responsabilidad de los usuarios

de

uso,

compromiso

AI5 Adquirir recursos de TI


Precio de componentes tecnolgicos que sern adquiridos o que podran ser
adquiridos para realizar una reestructuracin en el gobierno de TI en la
empresa:
Producto

Precio unidad

UTP CAT6

Q. 6.25 p/m

RJ45

Q. 14.60

Patch panel

$ 229.00

Switch

$ 3,118.00

Router

$ 12,732.00

Servidor

$ 10,919.00

Rack

$ 150.00

Web Logic

$ 600.00

Base de datos Oracle

$ 700.00

Telfonos IP Cisco

$ 514.66

Windows 7 Ultimate

$ 250.00

Microsoft Office 13

$ 367.00

Microsoft Server 2012 R2

$ 600.00

VmWare Virtual Center

$ 6,000.00

Backup Exec

$ 500.00

AI6 Administrar Cambios


Las aplicaciones, sistemas, bases de datos, servidores, telefona Ip y
pstn sern integrados en la nueva red empresarial. Despus de la ceracin
de la nueva red sern automatizados los procesos de la empresa a travs
de las aplicaciones que sern instaladas y brindadas a los equipos
terminales a travs de los servidores de aplicaciones con Weblogic de
Oracle que se adquirieron.
Se realizaran pruebas de funcionamiento previas al completo lanzamiento
de los nuevos sistemas que cubrirn la regin centro americana y panam

AI7 Instalar y acreditar soluciones y cambios


Despus de realizar las pruebas de funcionamiento de los sistemas a nivel
local y a nivel regional:

Se proceder a la instalacin automtica de las aplicaciones a


travs del directorio activo de la red

Se asignaran usuarios y respectivas contraseas a los empleados

Se brindara capacitacin para entrenar al personal y saber dar


solucin a los problemas que se presenten

Cambiar el mtodo tradicionalmente utilizado para realizar los


procesos para automatizarlos a travs de los nuevos sistemas

DS Entregar y Dar Soporte


DS1 Definir y Administrar los Niveles de Servicio
Se conoce que la definicin y administracin de los niveles de servicio
es un proceso inexistente en la empresa porque no cuentan con una
documentacin de acuerdos de niveles de servicio de TI con respecto a los
servicios requeridos, que refuerce la comunicacin entre la gerencia de
TI y el personal de la empresa.
Para definir el proceso y administrar los niveles de servicio la gerencia
no tiene contemplado el gran nmero de beneficios de tener un sistema
responsable que controle y documente la administracin de acuerdos de
niveles de servicio en la empresa por ello se llevara a cabo una lista de
beneficios que la empresa tendr al contar con un sistema que ayude a
automatizar sus procesos:

Priorizacin de los procesos

Optimizacin de costos de TI

Incremento en la productividad del personal al utilizar el sistema

Mayor control del estado actual de los procesos

Confidencialidad de informacin

Integridad de los Activos de la empresa

Disponibilidad de informacin en todo momento

Niveles de Servicios:

Rapidez y confiabilidad en la bsqueda de datos

Clasificacin de la informacin en niveles de privacidad

Soporte de los servicios en caso de algn problema

Soporte y mantenimiento de hardware

DS2 Administrar los Servicios de Terceros


En caso de necesitar el servicio de terceros, la poltica de la empresa
establece reglas que se deben seguir para que la empresa o persona que
brinde

el

servicio

se

apegue

directamente

las

polticas

especificaciones con las que trabaja nuestro departamento de TI, de esta


manera

se

asegurara

funcionalidad

libre

que todo est bajo


de

errores.

Las

control y
polticas

se mantendr la
con

las

que

se

administraran a terceros son:

La informacin permanecer nica y exclusivamente restringida para


miembros de la organizacin

Solo tendrn acceso si as se necesitara bajo supervisin de


personal autorizado del rea de TI

El personal de TI es responsable de verificar el trabajo que


realizan los terceros

El acceso a los datacenter solo ser posible si son acompaados de


personal autorizado que supervise el trabajo

Los terceros son responsables del equipo en que trabajan

Daos y percances causados por personal de empresas terceras sern


responsabilidad de la empresa a la que se contrata

Se podr utilizar la misma empresa para los distintos servicios que


se necesiten si se llenan las expectativas

No existir un contrato con empresas terceras para dar servicio a


los equipos

Se contratara a empresas terceras solo si el personal del rea de


TI propio lo necesitan

Nuca se realizaran pagos en efectivo a los trabajadores, solo se


realizara por transaccin bancaria

Los acuerdos de trabajo se realizaran con directivos de las empresas

DS3 Administrar el Desempeo y la Capacidad


Para poder cumplir con los requerimientos de tiempo de respuesta de los
acuerdos de niveles de servicio, minimizando el tiempo sin servicio y
haciendo mejoras continuas de desempeo y capacidad de TI a travs del
monitoreo y la medicin se establecern pasos a seguir y revisiones
peridicas para confirmar que se cumplen los objetivos.
Proceso de administracin del buen desempeo y la capacidad de la
empresa a travs de los procesos que se automatizarn
Fabricacin
de GLP

Fabricacin
de
combustible

Adquirir
Materia
prima

Vender y
distribuir

Para medir que tan bien estn las ventas,


es necesario no solo medir las ganancias
obtenidas si no tambin que tanto hemos
satisfecho las necesidades de los clientes,
si su precio es razonable y si nos permite
competir en el mercado, rea que se cubre
con cada punto de distribucin
Las materias primas para la fabricacin de los
productos de la empresa son adquiridas de los
mejores proveedores nacionales y extranjeros
para garantizar la confiabilidad de los
productos que fabricamos, vendemos y
distribuimos
El control de este proceso ser llevado a cabo durante
su fabricacin midiendo la calidad de los productos
utilizados y haciendo pruebas para medir si cumple con
los requisitos necesarios para dejar la lnea de
fabricacin
El control de este proceso ser llevado a cabo durante su
fabricacin midiendo la calidad de los productos utilizados y
haciendo pruebas para medir si cumple con los requisitos
necesarios para dejar la lnea de fabricacin

DS4 Garantizar la Continuidad del Servicio


La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma peridica sobre
los planes de continuidad. El desarrollo de resistencia en las soluciones
automatizadas y desarrollando, manteniendo y probando los planes de
continuidad de TI.
Los planes para la continuidad del servicio sern con la definicin de
medidas que garanticen la integridad en todo momento de la informacin,
los equipos que la contiene y que prestan servicios a las aplicaciones
con las que interactan los usuarios y los clientes de la empresa para
mantener una mejor comunicacin.
Las medidas que se tomaran para realizar lo anterior dicho ser:

SAP. Sistemas de Anlisis y Desarrollo de Programas

ERP. Planificacin de Recursos Empresariales

Data Loss Prevention (DLP):

Backup Exec

DRP. Plan de recuperacin ante desastres

BCP. Plan de continuidad del negocio

Backup de Base de Datos


o Backups incrementales
o Backups diferenciales

DS5 Garantizar la Seguridad de los Sistemas


La necesidad de mantener la integridad de la informacin y de proteger
los activos de TI, requiere de un proceso de administracin de la
seguridad. La definicin de polticas, procedimientos y estndares de
seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las
vulnerabilidades e incidentes de seguridad.
Para garantizar la seguridad de los sistemas se tomara en cuenta:
Polticas de Seguridad
Data Center
El DataCenter deber:

Tener una puerta de acceso de vidrio templado transparente, para


favorecer el control del uso de los recursos de cmputo.

Ser un rea restringida. Tener un sistema de control de acceso que


garantice la entrada solo al personal autorizado por la gerencia de
Tecnologa.

Recibir

limpieza

al

menos

una

vez

por

semana,

que

permita

mantenerse libre de polvo.

Estar libre de contactos e instalaciones elctricas en mal estado

Aire

acondicionado.

Mantener

la

temperatura

21

grados

centgrados.

Asignar un tcnico para que realice un control diario temperatura y


aires acondicionados y llevar un registro de estos controles.

Respaldo de energa redundante.

Seguir

los

minimizar

estndares
el

riesgo

de
de

proteccin
daos

telecomunicaciones y servidores.

elctrica

fsicos

de

vigentes

los

equipos

para
de

Los

sistemas

de

tierra

fsica,

sistemas

de

proteccin

instalaciones elctricas debern recibir mantenimiento anual con el


fin de determinar la efectividad del sistema.

Contar con algn esquema que asegure la continuidad del servicio.

Control de humedad

Prevencin y/o deteccin de incendios

Sistemas de extincin.

Contar por lo menos con dos extintores de incendio adecuado y


cercano al DataCenter.

La instalacin del equipo de cmputo, quedar sujeta a los siguientes


lineamientos:

Los equipos para uso interno se instalarn en lugares adecuados,


lejos de polvo y trfico de personas.

El rea de Tecnologa, as como las reas operativas debern contar


con un plano actualizado de las instalaciones elctricas y de
comunicaciones del equipo de cmputo en red.

Las

instalaciones

elctricas

de

comunicaciones,

estarn

preferiblemente fijas o en su defecto resguardadas del paso de


personas

materiales,

libres

de

cualquier

interferencia

elctrica o magntica.

Las instalaciones se apegarn estrictamente a los requerimientos de


los equipos, cuidando las especificaciones del cableado y de los
circuitos de proteccin necesarios.

En

ningn

caso

se

permitirn

instalaciones

improvisadas

sobrecargadas.

La supervisin y control de las instalaciones se llevar a cabo en


los plazos y mediante los mecanismos que establezca el Comit.

Configuracin e instalacin
TI tiene la responsabilidad de verificar la instalacin, configuracin e
implementacin de seguridad, en los servidores conectados a la Red.

La instalacin y/o configuracin de todo servidor conectado a la


Red ser responsabilidad de TI.

Durante la configuracin de los servidores TI deben genera las


normas para el uso de los recursos del sistema y de la red,
principalmente la restriccin de directorios, permisos y programas
a ser ejecutados por los usuarios.

Los servidores que proporcionen servicios a travs de la red e


Internet debern:
o Funcionar 24 horas del da los 365 das del ao.
o Recibir mantenimiento preventivo mnimo dos veces al ao
o Recibir mantenimiento semestral que incluya depuracin de
logs.
o Recibir mantenimiento anual que incluya la revisin de su
configuracin.
o Ser monitoreados por TI.

La informacin de los servidores deber ser respaldada de acuerdo


con los siguientes criterios, como mnimo:
o Diariamente, informacin crtica.
o Semanalmente, los documentos web.
o Mensualmente, configuracin del servidor y logs.

Los servicios hacia Internet slo podrn proveerse a travs de los


servidores autorizados por TI.}

DS6 Identificar y Asignar Costos

Planning

Riesgos

El riesgo que se corre en este negocio es alto, ya que un ataque al


sistema o un trabajo de ingeniera social puede revelar la informacin
personal de los clientes asegurados. La informacin que se puede filtrar
pueden ser datos personales de los trabajadores, informacin de sus
proveedores, procesos confidenciales, frmulas de fabricacin, etc.

Amenazas

A. Robo de informacin
B. Modificacin de informacin
C. Prdida total o parcial de informacin

Prioridad, costo de proteccin y nivel de amenaza

Tipo de Riesgo

Costo de si sucede el
ataque

$800,000.00

$1,000,000.00

$4,000,000.00

Probabilidad de que
ocurra

65%

45%

75%

Severidad de la amenaza

$600,000.00

$950,000.00

$2,787,500.00

Costo de Proteccin

$300,000.00

$800,000.00

$1,000,000.00

Viabilidad

Si

Si

Si

Prioridad

Acciones de las polticas de seguridad

Las polticas de seguridad para esta empresa sern de un carcter


personal de la empresa, estas polticas muestran que hacer para prevenir
un ataque, que hacer durante un ataque y despus del mismo, as como
evitar que suceda otra vez. Entre las polticas de seguridad est
definido el uso del equipo y la informacin, los niveles de acceso a
informacin, el comportamiento de los empleados dentro y fuera de la
institucin, hbitos que deben tener y evitar, etc.

Control de acceso

El control de acceso a la informacin, estar acotada por los roles de


cada uno de los empleados de la empresa. El fin de dar permisos por roles
es limitar la cantidad de informacin a la que cada nivel de la empresa
tiene acceso y as tener un control del flujo de informacin en la
empresa para evitar la filtracin hacia afuera de la empresa.

Arquitecturas tcnicas de seguridad.

Herramientas para comprender seguridad

A. FireWalls
B. Everest corporte edition
C. Ocs inventory next generation

Advertencias y procesos de entrenamiento

Las advertencias y procesos de entrenamiento para el personal con el que


cuenta la empresa son definidos en las polticas de seguridad en los que
se definen y se advierte a los empleados de las consecuencias de sus
hbitos y acciones que pueden realizar dentro y fuera de la empresa.
El proceso de entrenamiento abarca desde la forma de comportamiento y el
uso adecuado de la tecnologa y la informacin.

Castigos

Los castigos al incurrir en faltas a las polticas de la empresa pueden


ser:
A. Sanciones econmicas
B. Advertencias
C. Despidos
D. Persecucin judicial
Otros costos:

Mantenimiento de Sistemas

Mantenimiento de Hardware

Mantenimiento de cableado estructurado

Cambio de equipos

Actualizacin de sistemas

DS7 Educar y Entrenar a los Usuarios


Para una educacin efectiva de todos los usuarios de sistemas de TI,
incluyendo

aquellos

necesidades

de

dentro

entrenamiento

de
de

TI,
cada

se

requieren

grupo

de

identificar

usuarios.

Un

las
claro

entendimiento de las necesidades de entrenamiento de los usuarios de TI,


la ejecucin de una efectiva estrategia de entrenamiento y la medicin de
resultados.
Los mtodos para dar educacin y entrenamiento a los usuarios acerca de
los nuevos sistemas sern:

Capacitaciones

Charlas

Talleres

DS8 Administrar la Mesa de Servicio y los Incidentes


El personal o recurso humano encargado de prestar servicio de help desk
debe poseer conocimientos de software, hardware y telecomunicaciones,
todo relacionado con el rea, adems de las polticas de la organizacin,
as como tambin tener capacidades comunicacionales idneas, tales como
escuchar y comprender la informacin, y las ideas expuestas en forma
oral, a problemas especficos, para as lograr respuestas coherentes.
Lo ms importante es dejar al usuario satisfecho con las gestiones del
analista, ms all si el analista entrega o no una solucin.
El Service Desk incluir:

Una gua de posibles problemas con respuestas a problemas comunes


que los usuarios podrn resolver por s solos

Envi de mensajes de reporte de problemas mayores para solicitar


ayuda tcnica

Informacin para que el personal de servicio tenga una gua con


especificaciones de los problemas.

DS9 Administrar la Configuracin


Garantizar la integridad de las configuraciones de hardware y software
requiere establecer y mantener un repositorio de configuraciones completo
y preciso. Establecer y mantener un repositorio completo y preciso de
atributos

de

la

configuracin

de

los

activos

de

lneas

base

compararlos contra la configuracin actual.


DS10 Administracin de Problemas
Identificacin y clasificacin de los problemas

Identificacin

de

problemas.

Los

problemas

son

alteraciones

al

funcionamiento correcto de las cosas y pueden ser:

Problemas de Software

Sistemas Operativos

Errores en registros de base de datos

Dao en las aplicaciones

Problemas de Hardware

Dao en equipos

Fallo en componentes

Problemas de escritura en disco

Problemas causados por el personal

Acceso no autorizado a equipos e informacin

Los problemas de tipo tecnolgico sern tratados y resueltos por el rea


de TI de la empresa y se reportaran a la direccin para llevar un control
de cada incidente que sucede.

Los problemas que el personal causa a los sistemas son tratados por el
rea de TI y el departamento de recursos humanos para que se encarguen de
las acciones pertinentes, todo lo que suceda y se decida ser reportado a
la direccin de la empresa para llevar un control especfico de todos los
procesos de castigo, correccin y solucin.

DS11 Administracin de Datos


Una efectiva administracin de datos requiere de la identificacin de
requerimientos

de

datos.

Mantener

la

integridad,

exactitud,

disponibilidad y proteccin de los datos.

DS12 Administracin del Ambiente Fsico

El ambiente fsico para los equipos que tendrn en funcionamiento los


sistemas estn definidos:
Tier III

Caractersticas:

Permite planificar actividades de mantenimiento sin afectar al


servicio de computacin, pero eventos no planeados pueden causar
paradas no planificadas.

Componentes redundantes (N+1)

Conectados

mltiples

lneas

de

distribucin

elctrica

de

refrigeracin, pero nicamente con una activa.

Suficiente capacidad y distribucin para poder llevar a cabo tareas


de mantenimiento en una lnea mientras se da servicio por otras.

Mltiples enlaces de salida

varios enlaces de salida

DS13 Administracin de Operaciones


Un procesamiento de informacin completo y apropiado requiere de una
efectiva administracin del procesamiento de datos y del mantenimiento
del

hardware.

procesamiento

Cumplir
de

datos

con

los

niveles

programado,

operativos

proteccin

de

de

servicio

datos

sensitivos y monitoreo y mantenimiento de la infraestructura.

de

para

salida

ME MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeo de TI
Una efectiva administracin del desempeo de TI requiere un proceso de
monitoreo. Monitorear y reportar las mtricas del proceso e identificar e
implementar acciones de mejoramiento del desempeo.
Cmo monitorear el desempeo?
Etapa 1: Conformacin del equipo de trabajo
Personal capacitado para determinar si el trabajo se est realizando como
debera.
Etapa 2: Caracterizacin general de la organizacin objeto de estudio
Caractersticas de la empresa.
Etapa 3: Anlisis de los recursos de TI y su alineacin a los objetivos
de negocio de la organizacin
Recursos de TI con los que se cuenta y su participacin en los objetivos
de negocio.
Etapa 4: Anlisis de los riesgos de TI y su administracin
Riesgo a los que el equipo de cmputo y sus administradores corren.
Etapa 5: Caracterizacin del grado de satisfaccin de los trabajadores
con los recursos y servicios de TI
Evaluacin de las opiniones que tienes los usuarios de los equipos y
sistemas para determinar si es adecuado o no.
Etapa 6: Realizacin del diagnstico de madurez de los objetivos de
control de TI
Diagnstico de que tan tiles son los sistemas y equipos.

Etapa 7: Evaluacin de la gestin de TI en la organizacin


Investigacin acerca de cmo se gestiona, como se optimiza, como se
solucionan problemas de TI en la organizacin.
Etapa 8: Elaboracin del informe de evaluacin
Informe detallado de las investigaciones y los resultados encontrados
acerca del funcionamiento de TI y su gestin, tambin se reporta quien
realizo la evaluacin.

ME2 Monitorear y Evaluar el Control Interno


El

control

interno

actividades de los

informtico

controla

diariamente

que

sistemas de informacin sean realizadas

los procedimientos, estndares y

todas

las

cumpliendo

normas fijados por la direccin de la

organizacin y/o direccin de informtica, as como los requerimientos


legales.
Objetivos del control interno de TI:

Establecer
informacin

como
del

prioridad
sistema

la

seguridad

computacional

proteccin

de

los

de

la

recursos

informticos de la empresa.

Promover la confiabilidad, oportunidad y veracidad de la captacin


de datos, su procesamiento en el sistema y la emisin de informes
en la empresa.

Implementar los mtodos, tcnicas y procedimientos necesarios para


coadyuvar al eficiente desarrollo de las funciones, actividades y
tareas

de

los

servicios

computacionales,

para

satisfacer

los

requerimientos de sistemas en la empresa.

Instaurar y hacer cumplir las normas, polticas y procedimientos


que regulen las actividades de sistematizacin de la empresa.

Establecer

las

acciones

necesarias

para

el

adecuado

diseo

implementacin de sistemas computarizados, a fin de que permitan


proporcionar

eficientemente

los

servicios

de

procesamiento

de

informacin en la empresa.
Elementos fundamentales del control interno informtico

Controles internos sobre la organizacin del rea de TI

Controles internos sobre el anlisis, desarrollo e implementacin


de sistemas

Controles internos sobre operacin del sistema

Controles internos sobre los procedimientos de entrada de datos, el


procesamiento de informacin y la emisin de resultados.

Controles internos sobre la seguridad del rea de sistemas


Controles internos sobre la organizacin del rea de TI

Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos
Perfiles de puestos
Controles internos sobre el anlisis, desarrollo e implementacin de
sistemas

Estandarizacin de metodologas para el desarrollo de proyectos


Asegurar que el beneficio de los sistemas sea optimo
Elaborar estudios de factibilidad del sistema
Garantizar la eficiencia y eficacia en el anlisis y diseo de
sistemas
Vigilar la efectividad y eficiencia en la implementacin y
mantenimiento del sistema
Optimizar el uso del sistema por medio de su documentacin

Controles internos sobre operacin del sistema

Prevenir y corregir los errores de operacin


Prevenir y evitar la manipulacin fraudulenta de la informacin
Implementar y mantener la seguridad en la operacin
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en
el procesamiento de la informacin de la institucin
Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados.

Verificar la existencia y funcionamiento de los procedimientos de


captura de datos
Comprobar que todos los datos sean debidamente procesados
Verificar
la
confiabilidad,
veracidad
y
exactitud
del
procesamiento de datos.
Comprobar la oportunidad, confiabilidad y veracidad en la emisin
de los resultados del procesamiento de informacin.
Controles internos sobre la seguridad del rea de TI
Controles para prevenir y evitar las amenazas, riesgos y
contingencias que inciden en las reas de sistematizacin.
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas.
Controles sobre la seguridad de las bases de datos
Controles sobre la operacin de los sistemas computacionales
Controles sobre seguridad del personal de informtica
Controles sobre la seguridad de la telecomunicacin de datos
Controles sobre la seguridad de redes y sistemas multiusuarios

ME3 Garantizar el Cumplimiento con Requerimientos Externos


Una supervisin efectiva del cumplimiento requiere del establecimiento de
un proceso de revisin para garantizar el cumplimiento de las leyes,
regulaciones y requerimientos contractuales. La identificacin de todas
las

leyes

regulaciones

aplicables

el

nivel

correspondiente

de

cumplimiento de TI y la optimizacin de los procesos de TI para reducir


el riesgo de no cumplimiento.

ME4 Proporcionar Gobierno de TI


El establecimiento de un marco de trabajo de gobierno efectivo, incluye
la

definicin

responsabilidades

de

estructuras,

procesos,

organizacionales

para

liderazgo,

garantizar

roles

as

que

y
las

inversiones empresariales en TI estn alineadas y de acuerdo con las


estrategias y objetivos empresariales. La elaboracin de informes para el
consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y
responder a los requerimientos de gobierno de acuerdo a las directrices
del consejo directivo.
reas del Gobierno TI:
1. Alineamiento estratgico, se centra en:

Asegurar la conexin e integracin del negocio con los planes de


TI.

Definir, mantener y validar las propuestas de valor de TI.

Alinear las operaciones de TI con las de la empresa.

Obtener mejor alineacin que la competencia.

2. Entrega de valor: se refiere a ejecutar las propuestas de valor


durante

el

beneficios

ciclo

de

entrega,

relacionados

concentrndose

en

con

optimizar

asegurando
la

costes

que

estrategia
y

TI

entrega

del

proporcionar

los

negocio,
el

valor

intrnseco a la TI.
3. Gestin del Riesgo requiere:

Concienciacin por parte de la alta direccin.

Comprender la necesidad del cumplimiento con los requisitos.

Transparencia en el tratamiento de los riesgos ms significativos.

Integrar las responsabilidades de la gestin de riesgos en la


organizacin.

Clara comprensin de la apetencia de riesgo de la organizacin.

4. Gestin de Recursos, se centra en:


Organizar de manera ptima los recursos de TI de forma que los servicios
que los requieran los obtengan en el lugar y momento necesarios.
Alinear y priorizar servicios y productos existentes de TI que se
requieren para apoyar las operaciones del negocio.
Controlar y monitorizar los servicios TI propios y de terceros.
5. Medicin del Rendimiento, sigue y controla:

La estrategia de la implantacin.

La estrategia de los proyectos.

El uso de los recursos.

El rendimiento de los procesos.

La entrega de los servicios.