Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ups GT000307 PDF
Ups GT000307 PDF
FACULTAD DE INGENIERAS
CARRERA:
INGENIERA EN SISTEMAS
Tema:
Diagnstico para la Implantacin de COBIT en una
Empresa de Produccin
rea Piloto: Departamento de Sistemas
Tesistas:
Martha Elizabeth de la Torre Morales
Ingrid Kathyuska Giraldo Martnez
Carmen Azucena Villalta Gmez
Director:
Ing. Bertha Alice Naranjo Snchez, MSC
Septiembre 2012
DECLARACIN
__________________________________
______________________________
_____________________________
2
AGRADECIMIENTO Y DEDICATORIA
3
AGRADECIMIENTO Y DEDICATORIA
Principalmente a Dios.
4
AGRADECIMIENTO Y DEDICATORIA
MIS PADRES: Por brindarme su ejemplo, amor y tiempo para ser una persona de
bien.
MIS HERMANOS: Porque juntos formamos un futuro mejor para nuestra familia.
A todas las personas que hicieron que hoy cumpla mi meta mil gracias. Dios los
bendiga
5
CERTIFICADO
Certifico que el presente trabajo fue realizado por las estudiantes Ingrid Kathyuska
Giraldo Martnez, Martha Elizabeth de la Torre Morales y Carmen Azucena Villalta
Gmez; bajo mi direccin.
-----------------------------------------------
DIRECTORA DE TESIS
6
NDICE
CAPTULO 1 18
CAPTULO 2 23
7
CAPTULO 3 80
CAPITULO 4 86
8
4.1.2.1.1.3 RESULTADO FINAL DE LA EVALUACIN POR PROCESO 120
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL 127
4.1.2.1.1.5 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL DE MENOR CUMPLIMIENTO 172
4.1.3 EVALUACIN DE RIESGOS DE TI 174
4.1.4 ELABORACIN DE POLTICAS A APLICAR ACORDE A LOS
OBJETIVOS DE CONTROL CRTICOS 180
CONCLUSIONES y RECOMENDACIONES 188
BIBLIOGRAFA 211
9
NDICE DE ILUSTRACIONES
10
ILUSTRACIN 16: OBJETIVOS DE CONTROL DEL PROCESO
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO ............................ 47
11
ILUSTRACIN 32: OBJETIVOS DE CONTROL DEL PROCESO
DS10 ADMINISTRAR LOS PROBLEMAS ......................................................... 63
12
NDICE DE TABLAS
13
NDICE DE GRFICOS
14
GRFICO 17: OBJETIVOS DE CONTROL DEL PROCESO
AI1 - IDENTIFICAR SOLUCIONES AUTOMATIZADAS.................................. 140
15
GRFICO 33: OBJETIVOS DE CONTROL DEL PROCESO
DS10 ADMINISTRAR LOS PROBLEMAS ....................................................... 162
16
ANEXOS
17
CAPTULO 1
19
1.2 OBJETIVOS
1.3 ALCANCE
VARIABLES INDICADORES
Dependiente Control
Mejorar procesos Polticas
Anlisis de Riesgos
21
1.5 MATRIZ CAUSA EFECTO
Se identifica el problema, las causas y las soluciones viables que se deberan aplicar
en el departamento de sistemas de la empresa EP, detallados en la tabla 2.
22
CAPTULO 2
DEFINICIN DE COBIT
COBIT fue creado para ayudar a la alta direccin a garantizar el logro de objetivos
de los negocios mediante la direccin y control adecuado de las TI, sin embargo la
aplicacin de COBIT se debera de dar en todos los niveles organizativos de la
empresa y no tan solo concentrarse en la tecnologa de la informacin. COBIT est
involucrado en reflejar las principales directrices jerrquicas que permitan el control
de la tecnologa de informacin aplicada en la empresa.
23
ILUSTRACIN 1: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
Para la realizacin de la siguiente tabla nos hemos basado en el Manual COBIT 4.1
cuya clasificacin por dominio, procesos y objetivos de control servir de gua en la
ejecucin del diagnstico de este proyecto.
24
TABLA 3: MARCO DE TRABAJO COMPLETO DE COBIT 4.1
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO1.1 - Administracin del Valor de TI
PO1.2 - Alineacin de TI con el Negocio
PO1.3 - Evaluacin del Desempeo y la Capacidad
PO1 - Definir un Plan Estratgico Actual
de TI
PO1.4 - Plan Estratgico de TI
PO1.5 - Planes Tcticos de TI
PO1.6 - Administracin del Portafolio de TI
PO2.1 - Modelo de Arquitectura de Informacin
Empresarial
PO2 - Definir la Arquitectura de la PO2.2 - Diccionario de Datos Empresarial y Reglas de
Informacin Sintaxis de Datos
PO2.3 - Esquema de Clasificacin de Datos
PO2.4 - Administracin de Integridad
PO3.1 - Planeacin de la Direccin Tecnolgica
PO3.2 - Plan de Infraestructura Tecnolgica
PO3 - Determinar la Direccin PO3.3 - Monitoreo de Tendencias y Regulaciones
PLANEAR Y ORGANIZAR
Tecnolgica Futuras
PO3.4 - Estndares Tecnolgicos
PO3.5 - Consejo de Arquitectura de TI
PO4.1 - Marco de Trabajo de Procesos de TI
PO4.2 - Comit Estratgico de TI
PO4.3 - Comit Directivo de TI
PO4.4 - Ubicacin Organizacional de la Funcin de TI
PO4.5 - Estructura Organizacional
PO4.6 - Establecimiento de Roles y Responsabilidades
PO4.7 - Responsabilidad de Aseguramiento de Calidad
de TI
PO4 - Definir los Procesos, PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad
Organizacin y Relaciones de TI y el Cumplimiento
PO4.9 - Propiedad de Datos y de Sistemas
PO4.10 - Supervisin
PO4.11 - Segregacin de Funciones
PO4.12 - Personal de TI
PO4.13 - Personal Clave de TI
PO4.14 - Polticas y Procedimientos para Personal
Contratado
PO4.15 - Relaciones
PO5.1 - Marco de Trabajo para la Administracin
Financiera
PO5 - Administrar la Inversin en PO5.2 - Prioridades dentro del Presupuesto de TI
TI PO5.3 - Proceso Presupuestal
PO5.4 - Administracin de Costos de TI
PO5.5 - Administracin de Beneficios
25
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
PO6.1 - Ambiente de Polticas y de Control
PO6.2 - Riesgo Corporativo y Marco de Referencia de
Control Interno de TI
PO6 - Comunicar las Aspiraciones y
PO6.3 - Administracin de Polticas para TI
la Direccin de la Gerencia
PO6.4 - Implantacin de Polticas de TI
PO6.5 - Comunicacin de los Objetivos y la Direccin de
TI
PO7.1 - Reclutamiento y Retencin del Personal
PO7.2 - Competencias del Personal
PO7.3 - Asignacin de Roles
PO7 - Administrar Recursos PO7.4 - Entrenamiento del Personal de TI
Humanos de TI PO7.5 - Dependencia Sobre los Individuos
PLANEAR Y ORGANIZAR
26
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
AI1.1 - Definicin y Mantenimiento de los Requerimientos
Tcnicos y Funcionales del Negocio
AI1.2 - Reporte de Anlisis de Riesgos
AI1 - Identificar soluciones
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos
automatizadas
de Accin Alternativos.
AI1.4 - Requerimientos, Decisin de Factibilidad y
Aprobacin
AI2.1 - Diseo de Alto Nivel
AI2.2 - Diseo Detallado
AI2.3 - Control y Posibilidad de Auditar las Aplicaciones
AI2.4 - Seguridad y Disponibilidad de las Aplicaciones
AI2.5 - Configuracin e Implantacin de Software
Aplicativo Adquirido
AI2 - Adquirir y mantener software
AI2.6 - Actualizaciones Importantes en Sistemas
aplicativo
Existentes
AI2.7 - Desarrollo de Software Aplicativo
AI2.8 - Aseguramiento de la Calidad del Software
AI2.9 - Administracin de los Requerimientos de
Aplicaciones
ADQUIRIR E IMPLEMENTAR
27
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
DS1.1 - Marco de Trabajo de la Administracin de los
Niveles de Servicio
DS1.2 - Definicin de Servicios
DS1.3 - Acuerdos de Niveles de Servicio
DS1 Definir y administrar los
niveles de servicio DS1.4 - Acuerdos de Niveles de Operacin
DS1.5 - Monitoreo y Reporte del Cumplimento de los
Niveles de Servicio
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y
de los Contratos
DS2.1 - Identificacin de Todas las Relaciones con
Proveedores
DS2 Administrar los servicios de DS2.2 - Gestin de Relaciones con Proveedores
terceros
DS2.3 - Administracin de Riesgos del Proveedor
DS2.4 - Monitoreo del Desempeo del Proveedor
DS3.1 - Planeacin del Desempeo y la Capacidad
DS3.2 - Capacidad y Desempeo Actual
DS3 Administrar el desempeo y la
DS3.3 - Capacidad y Desempeo Futuros
ENTREGAR Y DAR SOPORTE
capacidad
DS3.4 - Disponibilidad de Recursos de TI
DS3.5 - Monitoreo y Reporte
DS4.1 - Marco de Trabajo de Continuidad de TI
DS4.2 - Planes de Continuidad de TI
DS4.3 - Recursos Crticos de TI
DS4.4 - Mantenimiento del Plan de Continuidad de TI
DS4.5 - Pruebas del Plan de Continuidad de TI
DS4 Garantizar la continuidad del DS4.6 - Entrenamiento del Plan de Continuidad de TI
servicio
DS4.7 - Distribucin del Plan de Continuidad de TI
DS4.8 - Recuperacin y Reanudacin de los Servicios de
TI
DS4.9 - Almacenamiento de Respaldos Fuera de las
Instalaciones
DS4.10 - Revisin Post Reanudacin.
DS5.1 - Administracin de la Seguridad de TI
DS5.2 - Plan de Seguridad de TI
DS5.3 - Administracin de Identidad
DS5.4 - Administracin de Cuentas del Usuario
DS5.5 - Pruebas, Vigilancia y Monitoreo de la Seguridad
DS5.6 - Definicin de Incidente de Seguridad
DS5 Garantizar la seguridad de los
sistemas DS5.7 - Proteccin de la Tecnologa de Seguridad
DS5.8 - Administracin de Llaves Criptogrficas
DS5.9 - Prevencin, Deteccin y Correccin de Software
Malicioso
DS5.10 - Seguridad de la Red
DS5.11 - Intercambio de Datos Sensitivos
28
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
DS6.1 - Definicin de Servicios
DS6.2 - Contabilizacin de TI
DS6 Identificar y asignar costos
DS6.3 - Modelacin de Costos y Cargos
DS6.4 - Mantenimiento del Modelo de Costos
DS7.1 - Identificacin de Necesidades de Entrenamiento y
Educacin
DS7 Educar y entrenar a usuarios DS7.2 - Imparticin de Entrenamiento y Educacin
DS7.3 - Evaluacin del Entrenamiento Recibido
DS8.1 - Mesa de Servicios
DS8.2 - Registro de Consultas de Clientes
DS8 Administrar la mesa de
DS8.3 - Escalamiento de Incidentes
servicio y los incidentes
DS8.4 - Cierre de Incidentes
DS8.5 - Anlisis de Tendencias
DS9.1 - Repositorio y Lnea Base de Configuracin
DS9.2 - Identificacin y Mantenimiento de Elementos de
ENTREGAR Y DAR SOPORTE
29
COBIT 4.1
DOMINIO PROCESOS OBJETIVOS DE CONTROL
Planear Y Adquirir e
Organizar Implementar
Entregar y Monitorear y
Dar Soporte Evaluar
31
El dominio planear y organizar est compuesto de 10 procesos que se detallan en la
ilustracin siguiente:
PO5
PO1 Definir un Plan
Administrar la
Estratgico de TI
Inversin en TI
PO4
Definir los
Procesos, PO8 Administrar la
Organizacin y Calidad
Relaciones de TI
PO9
Evaluar y
Administrar los
riesgos de TI
PO10
Administrar
Proyectos
32
PROCESO PO1- DEFINIR UN PLAN ESTRATGICO DE TI
33
PROCESO PO2 - DEFINIR LA ARQUITECTURA DE LA INFORMACIN
34
quienes conforman las actividades de la TI en su completa y extensa calidad en la
empresa.
35
sistemticos y adems permitan planificar de forma eficaz las tendencias y
regulaciones que se presenten en el tiempo y que acojan como prioridad el monitoreo
y la evaluacin de sistemas aplicativos as como recursos y capacidades que permitan
aprovechar las oportunidades tecnolgicas.
36
ILUSTRACIN 7: OBJETIVOS DE CONTROL DEL PROCESO
PO4 - DEFINIR LOS PROCESOS, ORGANIZACIN Y RELACIONES DE TI
37
PROCESO PO5 - ADMINISTRAR LA INVERSIN EN TI
COBIT indica que el proceso debe: Establecer y mantener un marco de trabajo para
administrar los programas de inversin en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administracin
contra ese presupuesto. (IT Governance Institute, COBIT 4.1, Pg.47, 2007)
Los objetivos se basan en la meta alcanzada y a mejorar los procesos en las distintas
reas, sin embargo la inversin consiste en medir el esfuerzo, la eficiencia y
optimizar los recursos con una adecuada gestin financiera, que permita difundir
habilidades de comunicacin integradoras para la correcta consecucin de beneficios.
El manejo adecuado y garantizado del proceso implica cambios sustanciales que
garanticen beneficios y nuevos objetivos trazados.
38
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN
DE LA GERENCIA
Lo que menciona COBIT para este proceso es: La direccin debe elaborar un marco
de trabajo de control empresarial para TI, y definir y comunicar las polticas. El
proceso debe garantizar el cumplimiento de las leyes y reglamentos relevantes. (IT
Governance Institute, COBIT 4.1, Pg.51, 2007)
41
ILUSTRACIN 11: OBJETIVOS DE CONTROL DEL PROCESO
PO8 - ADMINISTRAR LA CALIDAD
42
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso
del negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados
a sistemas existentes. (IT Governance Institute, COBIT 4.1, Pg.12, 2007)
AI4 Facilitar la
operacin y el
uso
AI7 Instalar y
AI6 acreditar
AI5 Adquirir
Administrar soluciones y
recursos de TI
cambios cambios
46
PROCESO AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
48
PROCESO AI4 FACILITAR LA OPERACIN Y EL USO
49
PROCESO AI5 ADQUIRIR RECURSOS DE TI
50
PROCESO AI6 ADMINISTRAR CAMBIOS
Segn COBIT:
Los objetivos de control de este proceso permiten seguir los pasos secuenciales para
la adecuada administracin de cambios definiendo y comunicando oportunamente los
procedimientos a cumplir para realizarlos. El monitoreo y evaluacin de los cambios
minimiza errores e interrupciones y agrega valor a la informacin garantizando que
TI sea un factor que hace posible un incremento en la productividad y crea nuevas
oportunidades de negocio para la organizacin.
51
PROCESO AI7 INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con
datos de prueba relevantes, definir la transicin e instrucciones de migracin,
planear la liberacin y la transicin en s al ambiente de produccin, y revisar
la post-implantacin. Esto garantiza que los sistemas operativos estn en lnea
con las expectativas convenidas y con los resultados. (IT Governance
Institute, COBIT 4.1, Pg.97, 2007)
Los 9 objetivos de control que conforman el proceso instalar y acreditar soluciones y
cambios, se detallan en la siguiente ilustracin.
52
2.1.1.1.3 DOMINIO ENTREGAR Y DAR SOPORTE (DS)
DS5 DS4
Garantizar la Garantizar la
seguridad de continuidad
los sistemas del servicio
DS8
DS7 Educar y Administrar la
DS6 entrenar a los Mesa de
Identificar y usuarios servicio y los
asignar incidentes
costos
DS10
DS9
Administrar los
Administrar la
Problemas
configuracin
DS12 DS13
DS11
Administrar el Administrar
Administrar
ambiente las
los datos
fsico operaciones
53
PROCESO DS1 DEFINIR Y ADMINISTRAR LOS NIVELES DE
SERVICIO
55
PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
56
PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
Generar un marco de trabajo ptimo que incluya planes de continuidad que considere
entre otras cosas la estructura organizacional, roles y responsabilidades,
identificacin de recursos crticos, etc. Considerar el mantenimiento, prueba,
entrenamiento y distribucin de los planes de continuidad asegura la recuperacin y
reanudacin de los servicios de TI con un impacto mnimo. Los objetivos de control
tambin contemplan una revisin posterior a la reanudacin de las funciones de TI
validando la efectividad de los planes de continuidad.
57
PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
La seguridad de los sistemas de TI debe estar alineada con los objetivos de seguridad
del negocio. Desarrollar un plan de seguridad que contemple los requerimientos de
negocio, riesgos y cumplimiento. Implementar mecanismos de autenticacin para
usuarios de las TI, y los permisos de accesos a informacin crtica y sensible debe
contar con la debida aprobacin. El monitoreo y las pruebas peridicas garantizan
que se mantiene el nivel de seguridad aprobado.
58
PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS
59
PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
60
PROCESO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS
INCIDENTES
Con estos objetivos de control se puede conformar una mesa de servicio bien
diseada que atienda en forma oportuna y efectiva los requerimientos y problemas de
los usuarios. Establecer procedimientos para el monitoreo y escalamientos de
incidentes, priorizando la resolucin de los ms crticos corresponde a una adecuada
administracin de la mesa de servicio que permite mantener un control apropiado
sobre los incidentes e identificar las tendencias de problemas recurrentes para
mejorar el servicio de manera continua.
61
PROCESO DS9 ADMINISTRAR LA CONFIGURACIN
62
PROCESO DS10 ADMINISTRAR LOS PROBLEMAS
64
PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO
Todos los procesos necesitan ser evaluados regularmente a travs del tiempo para
verificar su calidad y cumplimiento en cuanto a los requerimientos de control. (IT
Governance Institute, COBIT 4.1, Pg.13, 2007)
ME1
Monitorear y
Evaluar el
Desempeo
de TI
ME2
Monitorear y
Evaluar el
Control
Interno
ME3
Garantizar el
Cumplimiento
Regulatorio
ME4
Proporcionar
Gobierno de
TI
TI
67
PROCESO ME1 - MONITOREAR Y EVALUAR EL DESEMPEO DE TI
70
PROCESO M4 - PROPORCIONAR GOBIERNO DE TI
71
2.1.1.2 MISIN DE COBIT
Por medio de la siguiente ilustracin se indica las reas de enfoque del Gobierno de
TI dentro de la organizacin.
72
ALINEACIN ESTRATGICA
ENTREGA DE VALOR
Ejecuta la propuesta de valor a todo lo largo del ciclo de entrega, asegurando que TI
genere los beneficios prometidos en la estrategia, concentrndose en optimizar los
costos y en brindar el valor intrnseco de la TI. (IT Governance Institute, COBIT
4.1, Pg.6, 2007)
73
lograr las metas medibles ms all del registro convencional. (IT Governance
Institute, COBIT 4.1, Pg.6, 2007)
Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
Cumplimiento y
Confiabilidad
Los siete criterios de informacin que permiten satisfacer los objetivos del negocio
se muestran en la ilustracin siguiente:
CRITERIOS DE INFORMACIN
74
Efectividad:
Eficiencia:
Confidencialidad:
Integridad:
Disponibilidad:
Cumplimiento:
75
Confiabilidad:
2.1.1.2.3 RECURSOS DE TI
TI
APLICACIONES
Informacin
Infraestructura
PERSONAS
Informacin para la
Gestin correcta en
la organizacion
Aplicaciones:
76
Informacin:
Consiste en los datos generados por los sistemas de informacin y utilizados por el
negocio en cualquiera de sus formas.
Infraestructura:
Personas:
2 - Repetible pero intuitivo: Se han desarrollado los procesos hasta el punto en que
se siguen procedimientos similares en diferentes reas que realizan la misma tarea.
No hay entrenamiento o comunicacin formal de los procedimientos estndar, y se
deja la responsabilidad al individuo. Existe un alto grado de confianza en el
77
conocimiento de los individuos y, por lo tanto, los errores son muy probables. (IT
Governance Institute, COBIT 4.1, Pg.19, 2007)
78
c) El objetivo de la empresa para mejorar - Dnde la empresa quiere estar.
79
CAPTULO 3
80
3.1.3 FUENTES Y TCNICAS PARA LA RECOLECCIN DE
INFORMACIN
3. Entrevistas.
81
3.1.5 MTODO MATRICIAL PARA EL ANLISIS DE RIESGOS
82
El mtodo se desarroll de la siguiente manera:
Segn (Talancn, 2006) se define que: El anlisis FODA consiste en realizar una
evaluacin de los factores fuertes y dbiles que en su conjunto diagnostican la
situacin interna de una organizacin, as como su evaluacin externa
Las evaluaciones deben estar enfocadas en los factores relevantes para el xito del
negocio, resaltando las fortalezas y debilidades que son internas y contrastndolas
con las oportunidades y amenazas que son externas.
83
A continuacin se detalla en la ilustracin la aplicacin del anlisis Foda en una
organizacin.
La matriz FODA permite reconocer los errores y aprovechar las ventajas para poder
elaborar las estrategias que contribuyan a ampliar los objetivos y planificar los
procesos en base a los avances sistemticos de la organizacin.
Estrategias FO FA DO DA
84
Estrategia FA. Disminuye al mnimo la situacin de los factores externos que se
presentan como amenazas, aprovechando las fortalezas con la que la organizacin
cuenta. Esto no implica que siempre se deba afrontar las amenazas del entorno de
una forma tan directa, ya que a veces puede resultar ms problemtico para la
institucin.
Estrategia DA. Consiste en aplicar estrategias muy bien diseadas para contrarrestar
las amenazas del entorno y a la vez disminuir las debilidades para la supervivencia
de la organizacin.
85
CAPITULO 4
4.1.1.1 HISTORIA
86
El 31 de julio de 2003, la familia de la empresa EP, recibe la Certificacin ISO
9001: 2000 al Sistema de Gestin de Calidad. A todos estos logros alcanzados por la
empresa se suma la mano de obra calificada, tcnica y tecnologa adecuada, manejo
de los recursos residuales, que transforman a la empresa en la primera industria
siderrgica en el Ecuador con Certificacin Internacional a la Calidad.
Armaduras Conformadas
Alambre Trefilado
Varillas Soldables
ngulos
Alambrn
Alambre Grafilado
Mallas Electro Soldadas
Barras Cuadradas
87
a) Capacitacin a los maestros de obra, a fin de explicar las ventajas de los
productos.
b) Charlas y seminarios a los clientes y distribuidores a nivel nacional, cada
ao, para exponer las potencialidades de los productos.
c) Auspicios de eventos a los diversos cuerpos colegiados afines: Colegio de
Ingenieros, de Arquitectos, etc.
d) Visitas de los estudiantes de colegios tcnicos y universidades del pas a
la planta industrial de Acera y Laminacin en la empresa EP con el
objetivo de reforzar su formacin acadmica.
88
4.1.1.5 ESTRUCTURA ORGNICA ACTUAL DE LA EMPRESA EP
Fuente: EMPRESA EP
89
4.1.1.6 ORGANIGRAMA FUNCIONAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP
Estos tienen a su cargo tareas especficas, las cuales se ejecutan en coordinacin con
el jefe de TI y que en conjunto brindan los servicios que necesita la empresa.
Fuente: EMPRESA EP
90
4.1.1.7 ORGANIGRAMA ESTRUCTURAL DE LAS TECNOLOGAS DE
INFORMACIN EN LA EMPRESA EP
Fuente: EMPRESA EP
91
4.1.1.8 ANLISIS FODA DEL DEPARTAMENTO DE TECNOLOGAS DE
INFORMACIN
AMENAZAS FA DA
1.- Competencia Nacional 1.1. Mantener y difundir buena imagen 1.1. Tomar contactos tcnicos en el exterior
2.- Crecimiento de Importaciones corporativa. 2.2. Evitar Organizaciones Sindicales
3.- Inestabilidad Socio-econmical del Pas 2.2. Mantener Certificacin ISO 9002 3.3. Anlisis de competencia
4.- Alto Costo de energa elctrica 3.3. Aprovechar coyuntura con FF.AA.
4.4. Proyecto de ahorro energa elctrica
OPORTUNIDADES FO DO
1.- Posibilidad de exportar 1.1. Preparacin para globalizacin del 1.1. Acuerdos con empresas del exterior que
2.- Apertura a la inversin Nacional e mercado. provean productos afines a la construccion
Internacional 2.2. Aprovechar ubicacin geogrfica 2.2. Apoyar a la especializacin tcnica del
3.- Diversificacin de la demanda del 3.3. Brindar al cliente un valor agregado. personal.
producto 4.4. Categorizar a los clientes 3.3. Mantener un buen nivel de abastecimiento
4.- Acercamiento con los centros de 5.5. Adoptar medidas para enfrentar 4.4. Actualizacin de informacin de compe-
Educacin superior competencia nacional e importaciones. tencia.
5.- Conyuntura con las Fuerzas Armadas
Fuente: EMPRESA EP
Los datos para el diagnstico son tomados del manual COBIT 4.1, se dise una
tabla en Excel considerando los dominios, procesos, actividades de los procesos,
objetivos de control y detalle de los objetivos de control, adems de realizar un
cuestionario de preguntas por cada objetivo tomando como referencia la 2da edicin
de los Objetivos de Control y la 3 Edicin de las Directrices de Auditora para
identificar el cumplimiento de los procesos del departamento de sistemas con
relacin a lo que indica la metodologa COBIT.
Se coordin con anticipacin entrevistas con los encargados de cada proceso del
departamento de sistemas, as como con el jefe del departamento para obtener la
informacin necesaria de esta investigacin en base al cuestionario de preguntas
previamente elaborado, para posteriormente calificar las respuestas obtenidas.
93
TABLA 5: MATRIZ GENERAL COBIT 4.1
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- El portafolio de inversiones de TI contiene programas con casos de El portafolio cubre el 3% de los procesos de la
negocio slidos? empresa en la actualidad basado en el
presupuesto anual. Tienen algunos proyectos
en curso como proyecto de seguridad
informticas, implementacin de estandares, 1,00
integracin de cliente y proveedores a la
cadena de valor., Adquirir software para las
reas de mantenimiento y proyectos.
2.- Los procesos de TI proporcionan una entrega efectiva de los Se revisa mensualmente lo presupuestado vs.
componentes TI de los programas? lo real cada gerencia hace seguimiento
mediante reuniones y se verifica las
desviaciones en cuanto a dinero. Hay
procedimientos para establecer los controles
sobre los datos o resultados que se generan
Trabajar con el negocio para garantizar que el portafolio de en los sistemas. En cada area hay monitoreo. 1,00
inversiones de TI de la empresa contenga programas con Si hay herramientas que dan informacin a
casos de negocio slidos. Reconocer que existen inversiones los gerentes (tableros gerenciales) para toma
Relacionar las metas del negocio con las de TI.
obligatorias, de sustento y discrecionales que difieren en de decisiones, A nivel operativo los reportes
PO1.1 - Administracin del Valor de TI.
P 7.- La rendicin de cuentas del logro de los beneficios y del control de los Si est asignada porque se basan en
costos est claramente asignada? presupuesto, y monitoreada porque es
L auditada de manera interna y externa. Es 1,00
corporativa.
A 8.- La rendicin de cuentas del logro de los beneficios y del control de los Si.
1,00
N costos est claramente monitoreada?
9.- Se evala el riesgo de no cumplir con una capacidad para obtener los Si saben los riesgos a los que estn expuestos
E beneficios esperados? pero no hay una evaluacin del impacto, se
PO1 - Definir un Plan Estratgico de TI.
0,50
est trabajando en un proyecto de seguridad
A informtica.
R 10.- Se evala el riesgo de no materializar los beneficios esperados? Ver respuesta anterior.
0,50
1. Los ejecutivos reciben capacitacin tecnolgica actual? Reciben la especifica al caso por herramienta
adquirida. No hay capacitacin.
Y Implementarn programas de capacitacion en
todos los niveles para las personas que van a
trabajar y elaborarn planes de capacitacin
0,50
O en base al anlisis de las necesidades de los
usuarios. Si se lo hacia por el ao 2001 y lo
R piensan retomar.
Relacionar las metas del negocio con las de TI.
6.- Entre los imperativos del negocio y la tecnologa, estn establecidas Si est priorizado. Los proyectos estn hechos
prioridades concertadas? en base a las necesidades del negocio. 1,00
estratgicos de la empresa (metas) as como los costos y 3.- En este plan estn definidos los costos relacionados? Ver respuesta anterior. 1,00
riesgos relacionados. Incluye cmo TI dar soporte a los
4.- En este plan estn definidos los riesgos relacionados? Ver respuesta anterior. 1,00
programas de inversin facilitados por TI y a la entrega de
los servicios operativos. Define cmo se cumplirn y medirn 5.- En el plan incluye cmo TI dar soporte a los programas de inversin? Si. Hicieron un analisis FODA.
1,00
los objetivos y recibirn una autorizacin formal de los
interesados. El plan estratgico de TI debe incluir el 6.- En el plan incluye cmo TI dar soporte a la entrega de los servicios Ver respuesta anterior.
presupuesto de la inversin / operativo, las fuentes de operativos? 1,00
financiamiento, la estrategia de obtencin, la estrategia de
7.- El plan define cmo se cumplirn los objetivos? Si. 1,00
adquisicin, y los requerimientos legales y regulatorios. El
8.- El plan define cmo se medirn los objetivos? Si. 1,00
plan estratgico debe ser lo suficientemente detallado para
permitir la definicin de planes tcticos de TI. 9.- El plan es lo suficientemente detallado para permitir la definicin de Si.
planes tcticos de TI? 1,00
94
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
lograr objetivos de negocio estratgicos especficos por b. Se identifican nuevos proyectos? Si, algunos surgen de las necesidades de los
1,00
medio de la identificacin, definicin, evaluacin, asignacin clientes y otros surgen aqu.
de prioridades, seleccin, inicio, administracin y control de c. Se definen nuevos proyectos? Si. 1,00
los programas. Esto incluye clarificar los resultados de d. Se evalan los nuevos proyectos? Si. 1,00
proyectos.
negocio deseados, garantizar que los objetivos de los e. Se priorizan los proyectos? Si. 1,00
programas den soporte al logro de los resultados, entender el f. Se seleccionan proyectos? Si. 1,00
alcance completo del esfuerzo requerido para lograr los
g. Se administran los proyectos? Si. 1,00
resultados, definir una rendicin de cuentas clara con
medidas de soporte, definir proyectos dentro del programa, h. Se controlan los proyectos? Si.
asignar recursos y financiamiento, delegar autoridad, y
1,00
comisionar los proyectos requeridos al momento de lanzar el
programa.
1.- El modelo de informacin empresarial facilita el desarrollo de Baan funciona mas como repositorio de datos
aplicaciones consistente con los planes de TI? que como resultado. TI hace un levantamiento
de informacin por cada necesidad que surge
P . El modelo contribuye un 70% a proporcionar
la informacion que TI necesita para realizar 0,70
L el trabajo. Se trabaja con reporteadores para
unificar la informacin de los procesos y que
Crear y mantener modelo de informacin corporativo/empresarial.
2.-El diccionario facilita compartir elementos de datos entre las Es una utilidad para el Baan pero si quieren
R aplicaciones? unirlo a nivel empresarial no se puede. a) No
han obtenido a nivel de Baan las fuentes. b)
Tecnologia no ha recibido capacitacin
de Sintxis de Datos.
95
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Existen procedimientos que garanticen la integridad de los datos En un pequeo porcentaje, a nivel de
Arquitectura de la
Usar el modelo de
PO2 - Definir la
Administracin
diccionario de
de Integridad.
Informacin.
Definir e Implementar procedimientos para garantizar la almacenados en formato electrnico, tales como bases de datos, respaldo. Los procedimientos no estan en su 0,25
esquema de
clasificacin
datos y el
PO2.4 -
sistemas
integridad y consistencia de todos los datos almacenados en almacenes de datos y archivos? mayoria documentados. Se lo piensa hacer.
formato electrnico, tales como bases de datos, almacenes de 2.- Existen procedimientos que garanticen la consistencia de todos los Ver respuesta anterior.
datos y archivos. datos almacenados en formato electrnico, tales como bases de datos, 0,25
almacenes de datos y archivos?
1.- Se analizan las tecnologas existentes? Si. Los proveedores vienen a que les enseen.
1,00
PO3.1 - Planeacin de la Direccin Tecnolgica.
1,00
del negocio. Tambin identificar en el plan qu tecnologas 5.- Estn identificadas en el plan las tecnologas que tienen el potencial No, a lo mucho el internet, por las
tienen el potencial de crear oportunidades de negocio. El plan de crear oportunidades de negocio? 0,00
exportaciones.
debe abarcar la arquitectura de sistemas, la direccin 6.- El plan abarca la arquitectura de sistemas? El plan de TI abarca todo eso, contingencia,
tecnolgica, las estrategias de migracin y los aspectos de riesgo, pero en un porcentaje. Falta crear 0,50
contingencia de los componentes de la infraestructura. (tienen seguridad, riesgos, capacitacion).
7.- El plan abarca la direccin tecnolgica? En parte. 0,50
8.- El plan abarca las estrategias de migracin? En parte. 0,50
9.- El plan abarca los aspectos de contingencia de los componentes de la En parte.
0,50
infraestructura?
1.- Existe un plan de infraestructura tecnolgica? En la actualidad no. Se estn haciendo
diagnosticos en base de datos, servidores ,
SO. y estandares (ITIL, Cobit, ISO 27000 y
0,00
seguridad informtica). En base a ese
diagnostico (3 empresas lo hacen) se
elaborar el plan estratgico.
PO3.2 - Plan de Infraestructura Tecnolgica.
2.- El plan de infraestructura tecnolgica est acorde con los planes Ver respuesta anterior.
Crear y mantener estndares tecnolgicos.
N recursos tecnolgicos. Tambin toma en cuenta los cambios 5.- El plan est basado en la direccin tecnolgica? Si est basado en la direccin tecnolgica. 1,00
en el ambiente competitivo, las economas de escala para
6.- El plan incluye acuerdos para contingencias? Si.
E inversiones y personal en sistemas de informacin, y la
7.- El plan incluye la orientacin para la adquisicin de recursos Si.
1,00
8.- El plan considera los cambios en el ambiente competitivo? Si considera los cambios en el ambiente
R competitivo.
1,00
9.- El plan considera las economas de escala para inversiones? Ver respuesta anterior. 1,00
10.- El plan considera al personal en sistemas de informacin? Ver respuesta anterior. 1,00
Y 11.- El plan considera la mejora en la interoperabilidad de las Ver respuesta anterior.
plataformas?
1,00
R
Publicar estndares tecnolgicos.
Establecer un proceso para monitorear las tendencias para biblioteca de planos, PDA. Integracin
A ambientales del sector / industria, tecnolgicas, de
infraestructura, legales y regulatorias. Incluir las 2.- Existe un proceso para monitorear las tendencias tecnolgicas?
del Baan con el BSC).
Ver respuesta anterior. 0,00
N consecuencias de estas tendencias en el desarrollo del plan
de infraestructura tecnolgica de TI.
3.- Existe un proceso para monitorear las tendencias de infraestructura? Ver respuesta anterior. 0,00
I 4.- Existe un proceso para monitorear las tendencias legales? Ver respuesta anterior. 0,00
5.- Existe un proceso para monitorear las tendencias regulatorias? Ver respuesta anterior. 0,00
Z 6.- Estn incluidas las consecuencias de estas tendencias en el No estn incluidas las consecuencias porque
0,00
desarrollo del plan de infraestructura tecnolgica de TI? no hay plan.
A 1.- Se proporcionan soluciones tecnolgicas consistentes para toda la Si se proporcionan soluciones.
1,00
R empresa?
2.- Se proporcionan soluciones tecnolgicas efectivas para toda la Ver respuesta anterior.
1,00
empresa?
3.- Se proporcionan soluciones tecnolgicas seguras para toda la Ver respuesta anterior.
1,00
empresa?
Monitorear la evolucin tecnolgica.
Proporcionar soluciones tecnolgicas consistentes, efectivas 4.- Se brindan directrices tecnolgicas sobre los productos de la Si se brindan. El departamento de Logstica
y seguras para toda la empresa, establecer un foro infraestructura? envia los requerimientos de los usuarios para
1,00
tecnolgico para brindar directrices tecnolgicas, asesora hacer el anlisis tecnico y en base a esto se
sobre los productos de la infraestructura y guas sobre la compra o se contrata el servicio.
seleccin de la tecnologa, y medir el cumplimiento de estos 5.- Se brinda asesora sobre los productos de la infraestructura? Ver respuesta anterior. 1,00
estndares y directrices. Este foro impulsa los estndares y 6.- Se brindan guas sobre la seleccin de la tecnologa? Ver respuesta anterior. 1,00
las prcticas tecnolgicas con base en su importancia y 7.- Se mide el cumplimiento de los estndares tecnolgicos? Si se lo hace por medio de las auditoras de
riesgo para el negocio y en el cumplimiento de 1,00
calidad.
requerimientos externos. 8.- Se mide el cumplimiento de las directrices tecnolgicas? Si. 1,00
9.- Se impulsa los estndares con base en su importancia y riesgo para el No se lo ha hecho, con este proyecto y otros
negocio y en el cumplimiento de requerimientos externos? (diagnostico de ITIL, politicas de calidad para
0,00
certificarse en ISO 27000) se lo est
impulsando.
10.- Se impulsa las prcticas tecnolgicas con base en su importancia y Ver respuesta anterior.
0,00
riesgo para el negocio y en el cumplimiento de requerimientos externos?
1.- Existe un comit de arquitectura de TI que proporcione directrices No hay comit de arquitectura. (Se lo piensa
PO3.5 - Consejo de Arquitectura
Establecer un comit de arquitectura de TI que proporcione sobre la arquitectura? crear en aproximadamente 8 meses porque 0,00
(estratgico) de la nueva
Definir el uso (futuro)
directrices sobre la arquitectura y asesora sobre su les falta asentarse como departamento).
aplicacin, y que verifique el cumplimiento. Esta entidad 2.- Existe un comit de arquitectura de TI que proporcione asesora sobre Ver respuesta anterior.
0,00
tecnologa.
facilite la estrategia del negocio y tome en cuenta el 3.- Existe un comit de arquitectura de TI que verifique el cumplimiento? Ver respuesta anterior. 0,00
cumplimiento regulatorio y los requerimientos de 4.- Esta entidad orienta el diseo de la arquitectura de TI garantizando No hay comit de arquitectura.
0,00
continuidad. Estos aspectos se vinculan con el PO2 (Definir que facilite la estrategia del negocio?
arquitectura de la informacin). 5.- Esta entidad tome en cuenta el cumplimiento regulatorio? Ver respuesta anterior. 0,00
6.- Esta entidad tome en cuenta los requerimientos de continuidad? Ver respuesta anterior. 0,00
96
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir un marco de trabajo para el proceso de TI para 1.- Est definido un marco de trabajo para el proceso de TI para ejecutar Si est definido.
1,00
ejecutar el plan estratgico de TI. Este marco incluye el plan estratgico de TI?
Disear Marco de Trabajo para el
Procesos de TI.
proceso de TI.
medicin del desempeo, mejoras, cumplimiento, metas de 3.- El marco de trabajo de procesos de TI est integrado en un marco de Si.
calidad y planes para alcanzarlas. Proporciona integracin trabajo de control interno?
entre los procesos que son especficos para TI,
administracin del portafolio de la empresa, procesos de
1,00
negocio y procesos de cambio del negocio. El marco de
trabajo de procesos de TI debe estar integrado en un sistema
de administracin de calidad y en un marco de trabajo de
control interno.
Establecer un comit estratgico de TI a nivel del consejo. 1.- Se cuenta con un comit estratgico de TI a nivel del consejo? No existe comit estratgico. 0,00
PO4.2 - Comit
organizacional
Estratgico de
proveedores
interesados y
incluyendo
estructura
Establecer
2.- Este comit asegura que el gobierno de TI, como parte del gobierno No existe comit estratgico (Si se piensa
ligas a los
de TI,
corporativo, se maneja de forma adecuada, asesora sobre la direccin crear el comit y nosotros debemos
adecuada, asesora sobre la direccin estratgica y revisa las 0,00
estratgica y revisa las inversiones principales a nombre del consejo asesorarlos como formar el comit.
inversiones principales a nombre del consejo completo. completo?
1.- Se cuenta con un comit estratgico de TI a nivel del consejo? No existe comit estratgico (Si se piensa
Establecer un comit directivo de TI (o su equivalente)
incluyendo comits y
Establecer estructura
PO4.3 - Comit
Directivo de TI.
Organizacional de
organizacional general con un modelo de negocios general con un modelo de negocios supeditado a la importancia de TI reporta directamente a la Gerencia General.
la Funcin de TI.
de sistemas.
1,00
Establecer una estructura organizacional de TI interna y Con ellos se coordina la adopcin de
externa que refleje las necesidades del negocio. Adems estandares o cualquier otro requerimiento
P implementar un proceso para revisar la estructura que se necesite.
organizacional de TI de forma peridica para ajustar los 2.- Est establecida una estructura organizacional de TI externa que Ver respuesta anterior.
L requerimientos de personal y las estrategias internas para refleje las necesidades del negocio?
1,00
N 4.- Existe un proceso que revise las estrategias internas para satisfacer Ver respuesta anterior.
los objetivos de negocio esperados y las circunstancias cambiantes? 1,00
E
PO4 - Definir los Procesos, Organizacin y Relaciones de TI.
1.- Se definen los roles y las responsabilidades para el personal de TI? Si se definen. 1,00
A
PO4.6 - Establecimiento de
Roles y Responsabilidades.
supervisin y segregacin
roles y responsabilidades
1,00
R Definir y comunicar los roles y las responsabilidades para el TI?
de TI, incluida la
de funciones.
personal de TI y los usuarios que delimiten la autoridad 3.- Estn definidas las responsabilidades para alcanzar las necesidades Si se definen mediante el plan de actividades
entre el personal de TI y los usuarios finales y definan las del negocio? y de acuerdo a los requerimientos
responsabilidades y rendicin de cuentas para alcanzar las 1,00
priorizados por la alta gerencia.
Y necesidades del negocio.
4.- Est definida la rendicin de cuentas para alcanzar las necesidades Ver respuesta anterior.
1,00
del negocio?
1.- Est asignada la responsabilidad para el desempeo de la funcin de No hay implementado un aseguramiento de
O aseguramiento de calidad (QA)? calidad de TI. Se esta definiendo todos los
PO4.7 - Responsabilidad de Aseguramiento de
R
supervisin y segregacin de funciones.
0,00
G
Establecer e implantar roles y
relacionados con TI a un nivel superior apropiado. Definir y 2.- Estn asignados los roles crticos para administrar los riesgos de TI? Se tiene algo bsico. Se est trabajando en la
asignar roles crticos para administrar los riesgos de TI, politica de seguridad, se est elaborando
Seguridad y el Cumplimiento.
riesgo y la seguridad a nivel de toda la organizacin para procedimientos que exige esta poltica.
manejar los problemas a nivel de toda la empresa. Puede ser 3.- Est establecida la responsabilidad sobre la administracin del No est establecido formalmente. En cuanto
0,00
necesario asignar responsabilidades adicionales de riesgo? se tenga los procedimiento se va a establecer.
administracin de la seguridad a nivel de sistema especfico 4.- Est establecida la seguridad para manejar los problemas a nivel de Ver respuesta anterior.
0,00
para manejar problemas relacionados con seguridad. toda la empresa?
Obtener orientacin de la alta direccin con respecto al 5.- Estn asignadas responsabilidades adicionales de administracin de No.
0,00
apetito de riesgo de TI y la aprobacin de cualquier riesgo la seguridad a nivel de sistema especfico?
residual de TI. 6.- La alta direccin orienta con respecto al apetito de riesgo de TI? No. 0,00
7.- La alta direccin aprueba cualquier riesgo residual de TI? No. 0,00
1.- Existen procedimientos y herramientas que permitan enfrentar las Si, los usuarios disponen de una plataforma
PO4.9 - Propiedad de Datos y
Establecer e implantar roles y
responsabilidades de propiedad sobre los datos y los sistemas de tecnolgica que soportan los procesos
segregacin de funciones.
responsabilidades de TI,
incluida la supervisin y
Proporcionar al negocio los procedimientos y herramientas informacin? definidos en la empresa en base a sus 1,00
que le permitan enfrentar sus responsabilidades de necesidades, dependiendo de las funciones
de Sistemas.
propiedad sobre los datos y los sistemas de informacin. Los establecidad por RR HH.
dueos toman decisiones sobre la clasificacin de la 2.- Los dueos toman decisiones sobre la clasificacin de la informacin No, pero se debe hacer. Falta hacer un
informacin y de los sistemas y sobre cmo protegerlos de para protegerlos de acuerdo a esta clasificacin? levantamiento de informacion de cada
0,00
acuerdo a esta clasificacin. proceso y categorizarlo segn la criticidad de
la informacin.
3.- Los dueos toman decisiones para proteger los sistemas? Ver respuesta anterior. 0,00
Implementar prcticas adecuadas de supervisin dentro de 1.- Se tienen implementadas prcticas adecuadas de supervisin dentro Si se tiene implementada. Hay indicadores .
Supervisin
supervisin
responsabi
TI, incluida
Establecer
lidades de
PO4.10 -
implantar
la funcin de TI para garantizar que los roles y las de la funcin de TI para garantizar que los roles y las responsabilidades 1,00
roles y
la
e
Segregacin de
segregacin de
s de TI, incluida
la supervisin y
implantar roles
reduzca la posibilidad de que un solo individuo afecte reduzca la posibilidad de que un solo individuo afecte negativamente un
Establecer e
1,00
Funciones.
funciones.
PO4.11 -
97
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se evalan los requerimientos de personal de forma regular para Si, de acuerdo a los requerimientos, si es
Establecer e implantar roles
garantizar que la funcin de TI cuente con un nmero suficiente de algo pequeo se usan el recurso humano con
segregacin de funciones.
y responsabilidades de TI,
Evaluar los requerimientos de personal de forma regular o recursos para soportar adecuada y apropiadamente las metas del que se cuenta y si es algo grande se lo busca
1,00
cuando existan cambios importantes en el ambiente de negocio? en el mercado. Dependiendo del alcance de
negocios, operativo o de TI para garantizar que la funcin de requerimiento se lo busca internamente o
TI cuente con un nmero suficiente de recursos para soportar externamente.
PO4 - Definir los Procesos, Organizacin y Relaciones de TI.
adecuada y apropiadamente a las metas y objetivos del 2.- Se evalan los requerimientos de personal de forma regular para Si.
negocio. garantizar que la funcin de TI cuente con un nmero suficiente de
1,00
recursos para soportar adecuada y apropiadamente los objetivos del
negocio?
1.- Se define al personal clave de TI para minimizar la dependencia en un Si. Se busca que el conocimiento critico para
PO4.13 - Personal Clave de TI.
Establecer e implantar roles
Asegurar que los consultores y el personal contratado que organizacionales de proteccin de los activos de informacin de la clausulas especficas sobre esto.
implantar roles y
Procedimientos
de TI, incluida la
segregacin de
para Personal
1,00
supervisin y
Contratado.
Establecer e
funciones.
soporta la funcin de TI cumplan con las polticas empresa de tal manera que se logren los requerimientos contractuales
organizacionales de proteccin de los activos de acordados?
informacin de la empresa de tal manera que se logren los 2.- Se asegura que el personal contratado que soporta la funcin de TI Ver respuesta anterior.
requerimientos contractuales acordados. cumplan con las polticas organizacionales de proteccin de los activos 1,00
de informacin de la empresa?
1.- Existe una estructura ptima de enlace entre la funcin de TI y otros Si existe, pero falta ms. Hay una definicin
interesados dentro y fuera de la funcin de TI? clara para hacer un requerimiento pero falta
Establecer e implantar roles y
segregacin de funciones.
Establecer y mantener una estructura ptima de enlace, mayor acercamiento, como por ejemplo: Se
responsabilidades de TI,
incluida la supervisin y
PO4.15 - Relaciones.
0,50
comunicacin y coordinacin entre la funcin de TI y otros tienen reuniones con cada gerente para saber
interesados dentro y fuera de la funcin de TI, tales como el que falta o que no se ha atendido en cada
consejo directivo, ejecutivos, unidades de negocio, usuarios rea.
individuales, proveedores, oficiales de seguridad, gerentes 2.- Existe una estructura ptima de comunicacin entre la funcin de TI Ver respuesta anterior.
P de riesgo, el grupo de cumplimiento corporativo, los y otros interesados dentro y fuera de la funcin de TI?
0,50
L contratistas externos y la gerencia externa (offsite). 3.- Existe una estructura ptima de coordinacin entre la funcin de TI y Ver respuesta anterior.
otros interesados dentro y fuera de la funcin de TI?
0,50
R 1.- Existe un proceso de toma de decisiones para dar prioridades a la Si, las decisiones se basan en la prioridad de
portafolio de proyectos.
Implementar un proceso de toma de decisiones para dar asignacin de recursos a TI? los proyectos que afecten altamente a la 1,00
PO5.2 Prioridades
A contribucin de TI a optimizar el retorno del portafolio programas de inversin en TI y otros servicios? debera hacer. Las implementaciones del ERP, 0,00
empresarial de programas de inversin en TI y otros BSC fueron hechas por medio del Holding.
N servicios y activos de TI. 3.- Este proceso optimiza el retorno del portafolio empresarial de activos Ver respuesta anterior.
0,00
I de TI?
PO5 - Administrar la Inversin en TI.
1.- Existe un proceso para elaborar un presupuesto que refleje las Si, este incluye todo, como por ejemplo lo que
Z Establecer un proceso para elaborar y administrar un prioridades establecidas en el portafolio empresarial de programas de se paga por el mantenimiento del Erp, de
Dar mantenimiento al portafolio de
1,00
PO5.3 - Proceso Presupuestal.
presupuesto que refleje las prioridades establecidas en el inversin en TI, que incluya los costos recurrentes de operar y mantener licencias, etc.
A portafolio empresarial de programas de inversin en TI,
incluyendo los costos recurrentes de operar y mantener la
la infraestructura actual?
2.- Existe un proceso para administrar este presupuesto? Ver respuesta anterior.
R infraestructura actual. El proceso debe dar soporte al
1,00
servicios.
desarrollo de un presupuesto general de TI as como al 3.- El proceso soporta al desarrollo de un presupuesto general de TI as Si.
desarrollo de presupuestos para programas individuales, como al desarrollo de presupuestos para programas individuales, con 1,00
con nfasis especial en los componentes de TI de esos nfasis especial en los componentes de TI de esos programas?
programas. El proceso debe permitir la revisin, el 4.- El proceso permite la revisin, el refinamiento y la aprobacin Si.
1,00
refinamiento y la aprobacin constantes del presupuesto constante del presupuesto general?
general y de los presupuestos de programas individuales. 5.- El proceso permite la revisin, el refinamiento y la aprobacin Si.
1,00
constante de los presupuestos de programas individuales?
1.- Existe un proceso de administracin de costos que compare los Si.
1,00
costos reales con los presupuestados?
Establecer y mantener proceso presupuestal
el impacto de esas desviaciones sobre los programas se debe optimizar costos del rea ya que no cuenta 1,00
evaluar y, junto con el patrocinador del negocio para estos con una persona (Asistente).
programas, se debern tomar las medidas correctivas 5.- El impacto de las desviaciones sobre los programas se evalan? Si se corrige apropiadamente. 1,00
apropiadas y, en caso de ser necesario, el caso de negocio 6.- Junto con el patrocinador del negocio para estos programas, se Ver respuesta anterior.
del programa de inversin se deber actualizar. 1,00
toman medidas correctivas apropiadas?
7.- Se actualiza el caso de negocio del programa de inversin? Cada tres meses se hace un Fore Cast, que es
como un ajuste al presupuesto, pero hasta 1,00
ahora no se ha afectado el presupuesto.
PO5.5 - Administracin de Benefici
Implementar un proceso de monitoreo de beneficios. La 1.- Se cuenta con un proceso de monitoreo de beneficios? No. Se piensa implementar con nuestra ayuda. 0,00
monitorear la inversin, costo y
98
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Definir los elementos de un ambiente de control para TI, 1.- Estn definidos los elementos de un ambiente de control para TI? Si, mediante los indicadores del BSC.
1,00
Elaborar y mantener un ambiente y
requerimientos respecto a la entrega de valor proveniente de 2.- Estos elementos estn alineados con el estilo operativo de la Si, administracin basada en procesos y en
las inversiones en TI, el apetito de riesgo, la integridad, los empresa? estandar ISO 9000, 14000 y 18000
PO6 - Comunicar las Aspiraciones y la Direccin de la Gerencia.
Control.
Referencia de
Interno de TI.
control de TI.
Corporativo y
mantener un
ambiente y
establezca el enfoque empresarial general hacia los riesgos y general hacia los riesgos? su totalidad, solo los ms relevantes. Se
Marco de
Elaborar y
marco de
Control
0,50
el control que se alinee con la poltica de TI, el ambiente de piensa mejorar mediante la implementacin
control y el marco de trabajo de riesgo y control de la de un sistema de seguridad.
empresa. 2.- Existe un control que se alinee con la poltica de TI? Si, mediante las auditorias. 1,00
1.- Existen polticas que apoyen la estrategia de TI? Si, poltica de calidad. 1,00
PO6.3 - Administracin de
Objetivos y la de Polticas de
direccin de
Direccin de
control y los
objetivos y
PO6.5 -
2.- Los usuarios estn concientes de los objetivos de TI? Si. Mediante el anlisis del impacto de los
TI.
puesto, rango de
descripciones de
habilidades de TI,
generales de personal de la organizacin (Ej. contratacin, contratacin, un ambiente positivo de trabajo y orientacin)?
del personal.
Identificar las
G 2.- Se define los requerimientos esenciales de habilidades para TI? Si, Recursos humanos lo hace de acuerdo al
Identificar las habilidades de TI,
1,00
cargo.
A Verificar de forma peridica que el personal tenga las
habilidades para cumplir sus roles con base en su
3.- Se verifica que se les d mantenimiento, usando programas de Si se verifica pero no se hace nada por
calificacin segn sea el caso? mejorar. El primer paso, implementar
PO7 - Administrar los Recursos Humanos de TI
personal.
1,00
descripciones de puesto,
Definir, monitorear y supervisar los marcos de trabajo para responsabilidades y compensacin del personal est definido?
PO7.3 - Asignacin de
benchmarks sobre
rango de salarios y
los roles, responsabilidades y compensacin del personal, 2.- El marco de trabajo para la asignacin de los roles, Si.
habilidades de TI,
Identificar las
incluyendo el requerimiento de adherirse a las polticas y responsabilidades y compensacin del personal est monitoreado? 1,00
Roles.
del Personal de
Entrenamiento
entrenar
PO7.4 -
Dependencia
habilidades
Individuos.
Identificar
rango de
Sobre los
PO7.5 -
0,50
las
1,00
Ejecutar las polticas
Procedimientos de
actualizado constantemente.
y procedimientos
Investigacin del
para TI(reclutar,
terminar).
verificaciones dependen de que tan delicada crtica sea la 3.- Las verificaciones se aplican a empleados? Si, por medio de ISO 9000 1,00
funcin y se deben aplicar a los empleados, contratistas y
4.- Las verificaciones se aplican a contratistas? Ver respuesta anterior. 1,00
proveedores.
5.- Las verificaciones se aplican a proveedores? Ver respuesta anterior. 1,00
99
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Las evaluaciones de desempeo se realizan peridicamente? Si, cada 6 meses. 1,00
evaluar, promover, y
contratar, investigar,
1,00
peridicamente, comparando contra los objetivos derivados de las metas organizacionales?
terminar).
individuales derivados de las metas organizacionales, 3.- Las evaluaciones se comparan contra los estandares establecidos? Si. 1,00
estndares establecidos y responsabilidades especficas del 4.- Las evaluaciones se comparan contra las responsabilidades Si.
1,00
Humanos de TI
puesto. Los empleados deben recibir adiestramiento sobre su especficas del puesto?
desempeo y conducta, segn sea necesario. 5.- Los empleados reciben adiestramiento sobre su desempeo? Sobre el desempeo si, por medio de la
1,00
capacitacin.
6.- Los empleados reciben adiestramiento sobre su conducta? De conducta no. 0,50
1.- Se toman medidas expeditas respecto a los cambios en los puestos, Si por medio de RRHH.
Terminacin de Trabajo.
1,00
promover, y terminar).
investigar, compensar,
relevantes de RH para
TI(reclutar, contratar,
puestos, en especial las terminaciones. Se debe realizar la 2.- Se realiza la transferencia del conocimiento? Si. 1,00
transferencia del conocimiento, reasignar responsabilidades 3.- Se reasigna responsabilidades? Si. 1,00
y se deben eliminar los privilegios de acceso, de tal modo 4.- Se eliminan los privilegios de acceso, de tal modo que los riesgos se Si.
que los riesgos se minimicen y se garantice la continuidad de 1,00
minimicen?
la funcin. 5.- Se eliminan los privilegios de acceso, de tal modo que se garantice la Si.
1,00
continuidad de la funcin?
1.- Se cuenta con un QMS de TI alineados con los requerimientos del No hay un QMS de TI, pero si en forma
negocio? general. Tienen ISO 9000 y tienen proyectado 0,50
implementar ISO 27000.
2.- Este QMS proporciona un enfoque estndar, formal y continuo con Ver respuesta anterior.
0,50
respecto a la administracin de la calidad?
3.- El QMS identifica los requerimientos? Ver respuesta anterior.
Definir un sistema de administracin de calidad.
estndar, formal y continuo, con respecto a la 4.- El QMS identifica los criterios de calidad? Ver respuesta anterior. 0,50
administracin de la calidad, que est alineado con los 5.- El QMS identifica los procesos claves de TI? Ver respuesta anterior. 0,50
requerimientos del negocio. El QMS identifica los
6.- El QMS identifica las polticas para definir, detectar, corregir y prever Ver respuesta anterior.
requerimientos y los criterios de calidad, los procesos claves 0,50
las no conformidades?
de TI, y su secuencia e interaccin, as como las polticas,
7.- El QMS identifica los criterios para definir, detectar, corregir y prever Ver respuesta anterior.
criterios y mtodos para definir, detectar, corregir y prever 0,50
las no conformidades?
las no conformidades. El QMS debe definir la estructura
8.- El QMS identifica los mtodos para definir, detectar, corregir y prever Ver respuesta anterior.
organizacional para la administracin de la calidad, 0,50
las no conformidades?
P cubriendo los roles, las tareas y las responsabilidades.
Todas las reas clave desarrollan sus planes de calidad de
9.- El QMS define la estructura organizacional para la administracin de Ver respuesta anterior.
0,50
la calidad, cubriendo los roles, las tareas y las responsabilidades?
L acuerdo a los criterios y polticas, y registran los datos de
10.- Las reas clave desarrollan sus planes de calidad de acuerdo a los Ver respuesta anterior.
0,50
calidad. Monitorear y medir la efectividad y aceptacin del
A QMS y mejorarla cuando sea necesario.
criterios y polticas, y registran los datos de calidad?
11.- Se monitorea la efectividad del QMS? Ver respuesta anterior. 0,50
N 12.- Se mide la efectividad del QMS? Ver respuesta anterior. 0,50
13.- Se monitorea la aceptacin del QMS? Ver respuesta anterior. 0,50
E 14.- Se mide la aceptacin del QMS? Ver respuesta anterior. 0,50
A 15.- Se lo mejora cuando es necesario? Ver respuesta anterior. 0,50
Identificar y mantener estndares, procedimientos y 1.- Se identifica estndares para los procesos clave de TI? Ver respuesta anterior. 0,50
R
administracin
mantener un
Estndares y
Prcticas de
Establecer y
de calidad.
prcticas para los procesos clave de TI para orientar a la 2.- Se identifica procedimientos para los procesos clave de TI? Ver respuesta anterior. 0,50
sistema de
Calidad.
PO8.2 -
organizacin hacia el cumplimiento del QMS. Usar las 3.- Se identifica prcticas para los procesos clave de TI? Ver respuesta anterior. 0,50
buenas prcticas de la industria como referencia al mejorar 4.- Se usan las buenas prcticas de la industria como referencia al Ver respuesta anterior.
Y y adaptar las prcticas de calidad de la organizacin. mejorar y adaptar las prcticas de calidad de la organizacin?
0,50
1.- Se adoptan estndares para todo desarrollo y adquisicin que siga el Los lineamientos los da el Holding Dine.
ciclo de vida, hasta el ltimo entregable? 1,00
O
Crear y comunicar estndares de calidad a toda la organizacin.
2.- Se mantienen estndares para todo desarrollo y adquisicin que siga Si.
1,00
el ciclo de vida, hasta el ltimo entregable?
PO8 - Administrar la Calidad
R
PO8.3 - Estndares de Desarrollo y de Adquisicin.
0,50
Crear y comunicar
Enfocar la administracin de calidad en los clientes, enfocan en las necesidades del usuario.
calidad a toda la
el Cliente de TI.
organizacin.
estndares de
determinando sus requerimientos y alinendolos con los 2.- Estn definidos los roles respecto a la resolucin de conflictos entre Si se sabe que datos corrige el usuario y la
estndares y prcticas de TI. Definir roles y el usuario/cliente y la organizacin de TI? organizacin en lo que respecta a errores del 1,00
responsabilidades respecto a la resolucin de conflictos aplicativo.
entre el usuario/cliente y la organizacin de TI. 3.- Estn definidos las responsabilidades respecto a la resolucin de Si.
1,00
conflictos entre el usuario/cliente y la organizacin de TI?
1.- Se mantiene un plan global de calidad que promueva la mejora No en lo relacionado a TI. A nivel de ISO 9000
PO8.5 - Mejora
plan de calidad
Continua.
continua.
Crear y
2.- Estn planeadas mediciones para monitorear el cumplimiento Ver respuesta anterior.
0,00
Medir, monitorear y revisar el
QMS proporciona. La medicin, el monitoreo y el registro de 4.- Est definido el valor que el QMS proporciona? Ver respuesta anterior. 0,00
la informacin deben ser usados por el dueo del proceso
5.- Est planeado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
para tomar las medidas correctivas y preventivas
6.- Est implementado el valor que el QMS proporciona? Ver respuesta anterior. 0,00
apropiadas.
7.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
0,00
el dueo del proceso para tomar las medidas correctivas apropiadas?
8.- Esta medicin, monitoreo y registro de la informacin son usados por Ver respuesta anterior.
0,00
el dueo del proceso para tomar las medidas preventivas apropiadas?
100
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Est establecido un marco de trabajo de administracin de riesgos de Se lo tiene en parte. Se est trabajando en la
n de riesgos
Administraci
administraci
la alineacin
Determinar
0,50
(ej: Evaluar
Trabajo de
Establecer un marco de trabajo de administracin de riesgos TI?
Marco de
riesgo). seguridad para minimizar los riesgos.
Riesgos.
PO9.1 -
n de
de la
0,00
evaluacin de riesgos se aplica para garantizar resultados evaluacin de riesgos? contingencia y revisar la matriz de riesgos.
apropiados. Esto incluye la determinacin del contexto 3.- Est incluida la determinacin del contexto externo de cada Ver respuesta anterior.
0,00
interno y externo de cada evaluacin de riesgos, la meta de evaluacin de riesgos?
la evaluacin y los criterios contra los cuales se evalan los 4.- Est incluida la meta de la evaluacin contra los cuales se evalan Ver respuesta anterior.
0,00
riesgos. los riesgos?
5.- Estn incluidos los criterios contra los cuales se evalan los riesgos? Ver respuesta anterior.
0,00
1.- Estn identificadas las amenazas importantes con impacto potencial En parte. Se analizan los riesgos potenciales
*Entender los objetivos de los
negativo sobre las metas o las operaciones de la empresa? de criticidad media, frente a los cuales tienen
tiempos de respuesta adecuados. Para los
*Entender los objetivos de negocio
riesgos identificados?
*Identificar los objetivos internos de
0,00
P Evaluar de forma recurrente la probabilidad e impacto de
todos los riesgos identificados, usando mtodos cualitativos
3.- Se usan mtodos cuantitativos? No.
0,00
L y cuantitativos. La probabilidad e impacto asociados a los 4.- Se determina de forma individual la probabilidad e impacto Si.
1,00
riesgos inherentes y residuales se debe determinar de forma asociados a los riesgos inherentes y residuales?
A
con los eventos.
1.- Se cuenta con un proceso de respuesta a riesgos diseado para En parte por medio del plan de contingencia,
A Desarrollar y mantener un proceso de respuesta a riesgos
PO9.5 - Respuesta a
respuestas a riesgo.
diseado para asegurar que controles efectivos en costo asegurar que controles efectivos en costo mitigan la exposicin en forma pero falta. 0,50
R
los Riesgos.
seleccionar
respuesta a riesgos debe identificar estrategias tales como 2.- El proceso de respuesta a riesgos identifica estrategias tales como No.
0,00
evitar, reducir, compartir o aceptar riesgos; determinar evitar, reducir, compartir o aceptar riesgos?
responsabilidades y considerar los niveles de tolerancia a 3.- El proceso de respuesta a riesgos considera los niveles de tolerancia Ver respuesta anterior.
Y riesgos. a riesgos?
0,00
Priorizar y planear las actividades de control a todos los 1.- Se prioriza las actividades de control a todos los niveles para No.
0,00
*Aprobar y asegurar fondos
*Mantener y monitorear un
plan de accin de riesgos.
O
*Priorizar y Planear
Accin de Riesgos.
identificadas como necesarias, incluyendo la identificacin 2.- Se obtiene la aprobacin para las acciones recomendadas de Si, pero no lo han propuesto. La gerencia si
cualquier riesgo residual? tiene apertura para esto. 1,00
de costos, beneficios y la responsabilidad de la ejecucin.
R Obtener la aprobacin para las acciones recomendadas y la 3.- Se obtiene la aceptacinde las acciones recomentadas de cualquier Si. 1,00
aceptacin de cualquier riesgo residual, y asegurarse de que i Se asegura
id l?que las acciones comprometidas estn a cargo del dueo No.
G 4.- 0,00
riesgos.
para la Administracin de
Definir un marco de
por medio de la identificacin, definicin, evaluacin, 2.- Se asegura que los proyectos apoyen los objetivos del programa? Si. 1,00
administracin de
inversiones en TI.
defina el alcance?
un Marco de Trabajo
para la administracin
de proyectos de TI.
PO10.2 - Marco de
Administracin de
administracin de proyectos que defina el alcance y los 2.- Este marco de trabajo defina los lmites de la administracin de Si.
Trabajo para la
Proyectos.
proyectos.
de calidad, presupuestos y planes de comunicacin y de
2.- Est establecido un enfoque de administracin de proyectos que Ver respuesta anterior.
1,00
Establecer un enfoque de administracin de proyectos que corresponda a la complejidad de cada proyecto?
corresponda al tamao, complejidad y requerimientos 3.- Est establecido un enfoque de administracin de proyectos que Ver respuesta anterior.
1,00
regulatorios de cada proyecto. La estructura de gobierno de corresponda a los requerimientos regulatorios de cada proyecto?
administracin de riesgos.
proyectos puede incluir los roles, las responsabilidades y la 4.- La estructura de gobierno de proyectos incluye los roles del Ver respuesta anterior.
rendicin de cuentas del patrocinador del programa, patrocinador del programa, patrocinadores de proyectos, comit de 1,00
patrocinadores de proyectos, comit de direccin, oficina de direccin, oficina de proyectos, y gerente del proyecto?
proyectos, y gerente del proyecto, as como los mecanismos 5.- La estructura de gobierno de proyectos incluye las responsabilidades Ver respuesta anterior.
por medio de los cuales pueden satisfacer esas del patrocinador del programa, patrocinadores de proyectos, comit de 1,00
responsabilidades (tales como reportes y revisiones por direccin, oficina de proyectos, y gerente del proyecto?
etapa). Asegurarse que todos los proyectos de TI cuenten con 6.- La estructura de gobierno de proyectos incluye la rendicin de Ver respuesta anterior.
patrocinadores con la suficiente autoridad para apropiarse cuentas del patrocinador del programa, patrocinadores de proyectos, 1,00
de la ejecucin del proyecto dentro del programa estratgico comit de direccin, oficina de proyectos, y gerente del proyecto?
global. 7.- La estructura de gobierno de proyectos incluye los mecanismos por Ver respuesta anterior.
medio de los cuales pueden satisfacer esas responsabilidades (tales 1,00
como reportes y revisiones por etapa)?
8.- Se asegura que todos los proyectos de TI cuenten con patrocinadores Si.
con suficiente autoridad para apropiarse de la ejecucin del proyecto 1,00
dentro del programa estratgico global?
101
COBIT
ACTIVIDADES DEL
CALIFICACIN
OBJETIVOS DE
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
PO10.4 - Compromiso
proyecto. *Asegurar
cambios a proyectos.
el control efectivo de
los proyectos y de los
ejecucin del proyecto dentro del contexto del programa global de
de los Interesados.
compromiso de los
1,00
interesados del
participacin y
1.- Est definida la naturaleza del proyecto para confirmar y desarrollar Si.
1,00
mtodos de aseguramiento
para confirmar y desarrollar, entre los interesados, un 2.- Est documentada la naturaleza del proyecto?
Si. 1,00
entendimiento comn del alcance del proyecto y cmo se 3.- Est definido el alcance del proyecto? Si. 1,00
relaciona con otros proyectos dentro del programa global de 4.- Est documentado el alcance del proyecto? Si. 1,00
inversiones facilitadas por TI. La definicin se debe aprobar 5.- Est definid como se relaciona con otros proyectos dentro del Si.
de manera formal por parte de los patrocinadores del 1,00
programa global de inversiones facilitadas por TI?
programa y del proyecto antes de iniciar el proyecto.
6.- La definicin se aprueba de manera formal por parte de los Si.
1,00
patrocinadores del proyecto antes de iniciar el proyecto?
Aprobar el inicio de las etapas importantes del proyecto y 1.- Se aprueba el inicio de las etapas importantes del proyecto? Si. 1,00
mtodos de aseguramiento y
comunicarlo a todos los interesados. La aprobacin de la 2.- Se comunica a todos los interesados? Si. 1,00
revisin de proyectos.
Definir e implementar
A Definir las responsabilidades, relaciones, autoridades y 1.- Estn definidas las responsabilidades, relaciones, autoridades y Si.
1,00
revisin de proyectos.
R proyecto y especificar las bases para adquirir y asignar a los 2.- Se especifica las bases para adquirir y asignar a los miembros Si.
mtodos de
Proyecto.
1,00
miembros competentes del equipo y/o a los contratistas al competentes del equipo y/o a los contratistas al proyecto?
proyecto. La obtencin de productos y servicios requeridos 3.- Se planea y administra la obtencin de productos y servicios Si.
1,00
para cada proyecto se debe planear y administrar para requeridos para cada proyecto?
Y alcanzar los objetivos del proyecto, usando las prcticas de 4.- Se utilizan las prcticas de adquisicin de la organizacin? Si.
1,00
adquisicin de la organizacin.
Eliminar o minimizar los riesgos especficos asociados con 1.- Existe un proceso sistemtico que elimine o minimice riesgos Si.
1,00
revisin de proyectos.
O
Riesgos del Proyecto.
Definir e implementar
los proyectos individuales por medio de un proceso especificos asociados con los proyectos individuales?
Administracin de
aseguramiento y
sistemtico de planeacin, identificacin, anlisis, 2.- Estn establecidos y registrados de forma central los riesgos Si. Se elabora un contrato en el que se
mtodos de
R
PO10.9 -
respuesta, monitoreo y control de las reas o eventos que afrontados por el proceso de administracin de proyectos y el producto incluyen clausulas que contemple esto y se lo
tengan el potencial de ocasionar cambios no deseados. Los entregable del proyecto? supervisa mediante actas de trabajo hasta el
G riesgos afrontados por el proceso de administracin de cumplimiento final del mismo.
1,00
proyectos y el producto entregable del proyecto se deben
A establecer y registrar de forma central.
N Preparar un plan de administracin de la calidad que 1.- Se cuenta con un plan de administracin de la calidad que describa Si.
PO10.10 - Plan
aseguramiento
de Calidad del
1,00
y revisin de
implementar
mtodos de
proyectos.
I implantado. El plan debe ser revisado y acordado de manera 2.- Se revisa este plan y se acuerda de manera formal por todas las Si.
formal por todas las partes interesadas para luego ser partes interesadas para luego ser incorporado en el plan integrado del 1,00
Z incorporado en el plan integrado del proyecto. proyecto?
A Establecer un sistema de control de cambios para cada 1.- Existe un sistema de control de cambios para cada proyecto? Si. Si cambia el escenario antes de la
PO10.11 - Control
1,00
aseguramiento y
de Cambios del
proyecto, de tal modo que todos los cambios a la lnea base planificacin como algo impredecible.
implementar
mtodos de
proyectos.
revisin de
Proyecto.
R
Definir e
del proyecto (Ej. costos, cronograma, alcance y calidad) se 2.- Estos cambios (Ej. costos, cronograma, alcance y calidad) se revisan, Si.
revisen, aprueben e incorporen de manera apropiada al plan aprueben e incorporan apropiadamente al plan integrado del proyecto?
1,00
integrado del proyecto, de acuerdo al marco de trabajo de
gobierno del programa y del proyecto.
1.- Estn identificadas las tareas de aseguramiento requeridas para Si.
del Proyecto y Mtodos
revisin de proyectos.
PO10.12 - Planeacin
Definir e implementar
Identificar las tareas de aseguramiento requeridas para apoyar la acreditacin de sistemas nuevos o modificados durante la
de Aseguramiento.
1,00
aseguramiento y
1.- Se mide el desempeo del proyecto contra los criterios clave del Si, mediante actas de trabajo.
Desempeo, Reporte y Monitoreo
1,00
Definir e implementar mtodos
de aseguramiento y revisin de
evaluar su impacto sobre el proyecto y sobre el programa 4.- Se evala su impacto sobre el programa global? Si. 1,00
global; reportar los resultados a los interesados clave; y 5.- Se reportan los resultados a los interesados clave? Si. 1,00
recomendar, Implementar y monitorear las medidas 6.- Se recomienda las medidas correctivas, segn sea requerido, de Si.
correctivas, segn sea requerido, de acuerdo con el marco de 1,00
acuerdo con el marco de trabajo de gobierno del proyecto?
trabajo de gobierno del programa y del proyecto. 7.- Se implementa las medidas correctivas? Si. 1,00
8.- Se monitorea las medidas correctivas? Si. 1,00
1.- Al final de cada proyecto, los interesados se cercioran de que el Si. Se lo hace mediante la firma de un acta de
Solicitar que al finalizar cada proyecto, los interesados del
aseguramiento y revisin
proyecto haya proporcionado los resultados y los beneficios esperados? entrega-recepcion provisional, despues de 30
Definir e implementar
Proyecto.
102
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se identifica los requerimientos funcionales del negocio que cubran Si. Lo hace la persona que recibe las
el alcance completo de los programas de inversin en TI? llamadas, identifica si lo cumplen. Se basa en
negocio. *Establecer procesos para la integridad/vlidez de
1,00
de cada ao para el siguiente ao, en el se
incluyen todos los requerimientos de TI (tanto
8.- Se acorda los requerimientos tcnicos del negocio que cubran el Si.
1,00
alcance completo de los programas de inversin en TI?
1.- Se Identifica los riesgos asociados con los requerimientos del negocio Si. Se registra en una base de datos , se
AI1.2 - Reporte de Anlisis
Identificar, documentar y
como parte de los procesos organizacionales para el desarrollo de los imprime y se atiende. Se evalua el riesgo 1,00
proceso de negocio.
analizar el riesgo del
2.- Se identifica los riesgos asociados con el diseo de soluciones como Si.
los requerimientos del negocio y diseo de soluciones como
parte de los procesos organizacionales para el desarrollo de los 1,00
parte de los procesos organizacionales para el desarrollo de
requerimientos?
los requerimientos.
3.- Se documenta los riesgos asociados con los requerimientos del Si.
1,00
negocio?
4.- Se analiza los riesgos asociados con los requerimientos del negocio? Si. 1,00
1.- Se desarrolla un estudio de factibilidad que examine la posibilidad de No por el momento. Lo van a implementar.
Formulacin de Cursos de Accin
0,00
de las soluciones propuestas.
2.- La administracin del negocio, apoyada por la funcin de TI evala la Desde Marzo se est haciendo levantamiento
administracin del negocio, apoyada por la funcin de TI, factibilidad? de funciones. Hay cambios en la actualidad y
0,00
D debe evaluar la factibilidad y los cursos alternativos de an no estn establecidos procedimientos
accin y realizar recomendaciones al patrocinador del definidos.
Q negocio. 3.- La administracin del negocio, apoyada por la funcin de TI evala No.
0,00
los cursos alternativos de accin?
U 4.- La administracin del negocio, apoyada por la funcin de TI realiza No.
0,00
recomendaciones al patrocinador del negocio?
I 1.- El patrocinador del negocio aprueba los requisitos funcionales de Como rea de tecnologa se est bajo la
*Elaborar un proceso de aprobacin de
R
requerimientos de negocio propuestos.
1,00
AI1.4 - Requerimientos, Decisin de
I la gerencia.
Factibilidad y Aprobacin.
Conducir un estudio de
soluciones propuestas.
Verificar que el proceso requiere al patrocinador del negocio 2.- El patrocinador del negocio aprueba los requisitos tcnicos de Si.
1,00
R para aprobar y autoriza los requisitos de negocio, tanto negocio?
funcionales como tcnicos, y los reportes del estudio de 3.- El patrocinador del negocio autoriza los requisitos funcionales de Si.
1,00
factibilidad en las etapas clave predeterminadas. El negocio?
patrocinador del negocio tiene la decisin final con respecto 4.- El patrocinador del negocio autoriza los requisitos tcnicos de Si.
E a la eleccin de la solucin y al enfoque de adquisicin. negocio?
1,00
5.- El patrocinador del negocio aprueba los reportes del estudio de Si, ver respuesta anterior
1,00
factibilidad en las etapas clave predeterminadas?
I 6.- El patrocinador del negocio autoriza los reportes del estudio de Si, ver respuesta anterior
factibilidad en las etapas clave predeterminadas?
1,00
M 1.- Se traduce los requerimientos del negocio a una especificacin de No hay formato, no hay documento.
0,00
Traducir los requerimientos del negocio
P Traducir los requerimientos del negocio a una especificacin 2.- Las especificaciones de diseo son aprobadas por la Gerencia? Solo a traves de comunicados o informes de
AI2.1 - Diseo de Alto Nivel.
0,50
de diseo de alto nivel para la adquisicin de software, la gerencia general.
L teniendo en cuenta las directivas tecnolgicas y la 3.- Se reevala los requerimientos cuando sucedan discrepancias Si, se reevala los requerimientos aunque sin
significativas tcnicas durante el desarrollo o mantenimiento.? procedimientos, solo leyendo los pedidos.
E arquitectura de informacin dentro de la organizacin. Tener
nivel.
aprobadas las especificaciones de diseo por gerencia para Ejemplo, piden Autocad para el rea de
M garantizar que el diseo de alto nivel responde a los
requerimientos. Reevaluar cuando sucedan discrepancias
despacho, se evalua si realmente lo necesitan
o no, se lo hace de manera informal porque
0,50
del software de aplicacin. Definir el criterio de aceptacin 4.- Se aprueba los requerimientos para garantizar que corresponden al Si. Son aprobados por los usuarios y por el
de los requerimientos. Aprobar los requerimientos para diseo de alto nivel? departamento de TI, (El especialista en
1,00
garantizar que corresponden al diseo de alto nivel. Realizar aplicativos y la Especialista en base de datos
reevaluaciones cuando sucedan discrepancias significativas y aplicativos).
tcnicas o lgicas durante el desarrollo o mantenimiento. 5.- Se realiza reevaluaciones cuando sucedan discrepancias Si se realizan reevaluaciones, en el caso de
significativas tcnicas durante el desarrollo o mantenimiento del Software adquisicin de sofware hay contratos con
de aplicacin? parmetros hay una base tcnica y de lo
1,00
contrario se lo hace con el personal interno
en base a procedimientos establecidos con
soporte tcnico coordinado con logstica.
6.- Se realiza reevaluaciones cuando sucedan discrepancias Si.
significativas lgicas durante el desarrollo o mantenimiento del Software 1,00
de aplicacin?
1.- Se implementa controles de negocio cuando aplique, en controles de Se realizan auditoras al departamento,
aplicacin automatizados? (auditora interna) mediante documentos se 1,00
Preparar diseo detallado y los requerimientos
3.- El procesamiento de los controles de negocio son completos? Si son completas. Realizan auditorias
1,00
completas tres veces al ao.
Aplicaciones.
Implementar controles de negocio, cuando aplique, en 4.- El procesamiento de los controles de negocio son oportunos? Si son oportunos. (auditoria bases, procesos,
1,00
controles de aplicacin automatizados tal que el etc.).
procesamiento sea exacto, completo, oportuno, autorizado y 5.- El procesamiento de los controles de negocio son autorizados? Si son autorizados por el auditor interno de la
auditable. empresa junto con el departamento de TI a
nivel de la Empresa de Produccin. Para el
Baan lo hacen a nivel corporativo desde 1,00
Quito as como lo relacionado a base de
datos o cualquier contrato o proceso que se
maneje corporativamente.
6.- El procesamiento de los controles de negocio son auditables? Si son auditables. 1,00
103
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se aborda la seguridad de las aplicaciones? Si se aborda. Los auditores tienen su propia
metodologa, verifican los roles que tienen los
Especificar los controles de aplicacin dentro
2.- Se aborda los requerimientos de disponibilidad en respuesta a los Si,Los auditores evalan que las
identificados y en lnea con la clasificacin de datos, la
riesgos identificados? recomendaciones hayan sido implementadas. 1,00
arquitectura de la informacin, la arquitectura de seguridad
de la informacin y la tolerancia a riesgos de la
3.- Se aborda los requerimentos en lnea con la clasificacin de datos? Si, lo hacen en linea. 1,00
organizacin.
4.- Se aborda la arquitectura de la informacin? Eso lo hacen poco. No auditan modelo de
datos, integridad referencial, a ese nivel no 0,00
llegan las auditoras.
5.- Se aborda la arquitectura de seguridad de la informacin? No. 0,00
6.- Se aborda la tolerancia a riesgos de la organizacin.? Si lo auditan. 1,00
1.- Se configura el software de aplicaciones adquiridas para conseguir Si, todos los sistemas son parametrizables,
AI2.5 - Configuracin e Implantacin
2.- Se implementa software de aplicaciones adquiridas para conseguir Si. Por ejemplo el BAAN es una aplicacin
los objetivos de negocio? adquirida. Los especialistas de los
aplicativos y bases de datos tambien 1,00
implementan.
1.- Se realizan cambios importantes a los sistemas existentes que Si se realizan mejoras. Estas van de acuerdo a
AI2.6 - Actualizaciones Importantes
A resulten cambios significativos al diseo actual? las necesidades de cada departamento y que
Personalizar e implementar la
funcionalidad automatizada
existentes para el desarrollo de sistemas nuevos? implementacin de todos los sistemas. 1,00
I 1.- Se garantiza que la funcionalidad de automatizacin se desarrolla de Si, est supervisado por el Holding Dinner.
acuerdo con las especificaciones de diseo? Ellos realizan auditoras y constantemente
R monitorean por medio de actas de trabajo y
Desarrollar las metodologas y procesos formales para administrar el proceso de desarrollo de la
Desarrollar, Implementar los recursos y ejecutar un plan de cogen casos criticos y con eso se hace la
0,00
Calidad del
Mantenimie
aplicacione
Desarrollar
Aplicativo.
1,00
software.
Software
AI2.10 -
un plan
nto de
para el
de aplicaciones de software. 2.-Se desarrolla un plan para el mantenimiento de aplicaciones de No hay plan.
software.? 0,00
104
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se genera un plan para adquirir la infraestructura tecnolgica? No cuentan con un plan para reunirse y
verificar el requerimiento del usuario. Por
poltica del rea TI cada 2 Aos se cambian
los equipos, se puede decir que con este
Negociar la compra y adquirir la infraestructura requerida con
1,00
Orellana encargado de los servidores para
que los pase a los servidores de produccin.
Definir el procedimiento/ proceso de adquisicin.
R 5.- Se comprende claramente las responsabilidades al utilizar S cada especialista tiene asignado las
componentes de infraestructura sensitivos por todos aquellos que responsabilidades de sus procesos. 1,00
desarrollan e integran los componentes de infraestructura?
6.- Se monitorea el uso del recurso de infraestructura? Se monitorea, se hace un mantenimiento
E preventivo, mas o menos cada 4 meses a los
1,00
equipos, (servidores, equipos de
usuarios,etc).
1,00
M infraestrucutura? acuerdo el reporte de Help Desk.
2.- Se desarrolla un plan de mantenimiento de la infraestructura? A Nivel de equipos de computacin. Son
P servicios que estan tercerizados.
1,00
Definir estrategia y planear el mantenimiento de infraestructura.
E Desarrollar una estrategia y un plan de mantenimiento de la 5.- El plan de Mantenimiento de la Infraestructura incluye una revisin
infraestructura y garantizar que se controlan los cambios, de peridica contra las necesidades del negocio?
No hay.
0,00
N acuerdo con el procedimiento de administracin de cambios 6.- El plan de Mantenimiento de la Infraestructura incluye una revisin Desarrolladores de aplicativos y Base de
de la organizacin. Incluir una revisin peridica contra las peridica contra la administracin de parches? Datos se encargan en que versiones estan
T necesidades del negocio, administracin de parches y desarrolladas las aplicaciones, Si hay 1,00
estrategias de actualizacin, riesgos, evaluacin de actualizaciones, todo es con licencia no hay
A vulnerabilidades y requerimientos de seguridad. nada pirata.
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
Establecer el ambiente de desarrollo y pruebas para soportar 4.- Se considera la integracin de las aplicaciones en el ambiente de Si.
la efectividad y eficiencia de las pruebas de factibilidad e 1,00
adquisicin y desarrollo?
integracin de aplicaciones e infraestructura, en las primeras 5.- Se considera el desempeo de las aplicaciones en el ambiente de Si.
fases del proceso de adquisicin y desarrollo. Hay que 1,00
adquisicin y desarrollo?
considerar la funcionalidad, la configuracin de hardware y 6.- Se considera la migracin entre ambientes de las aplicaciones en el Si.
software, pruebas de integracin y desempeo, migracin 1,00
ambiente de adquisicin y desarrollo?
entre ambientes, control de la versiones, datos y 7.- Se considera el control de la versiones de las aplicaciones en el Si.
herramientas de prueba y seguridad. 1,00
ambiente de adquisicin y desarrollo?
8.- Se considera los datos y herramientas de prueba de las aplicaciones Si.
1,00
en el ambiente de adquisicin y desarrollo?
9.- Se considera la seguridad de las aplicaciones en el ambiente de Si.
1,00
adquisicin y desarrollo?
10.- Se considera la configuracin de hardware y software de la Si se considera Cuando hay cambios lo hacen
infraestructura en el ambiente de adquisicin y desarrollo? en un solo repositorio y es facil porque toda
1,00
la empresa se actualiza, en los cambios de
versiones es igual.
105
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se desarrolla un plan donde se identifique todos los aspectos No cuentan con un plan, A nivel de aplicativos
tcnicos, la capacidad de operacin y los niveles de servicio requeridos se hace manual de usuarios y manual tecnico,
Desarrollar estrategia para que la solucin sea
puedan tomar la responsabilidad oportunamente por la 2.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
produccin de procedimientos de administracin, de usuario tcnicos, la capacidad de operacin y los niveles de servicio requeridos 0,50
y operativos, como resultado de la introduccin o en las aplicaciones?
actualizacin de sistemas automatizados o de 3.- Se desarrolla un plan donde se identifique todos los aspectos Si, ver respuesta anterior.
infraestructura. tcnicos, la capacidad de operacin y los niveles de servicio requeridos 0,50
en la infraestructura?
4.- Se desarrolla un plan donde se documente todos los aspectos Si, ver respuesta anterior.
tcnicos, la capacidad de operacin y los niveles de servicio requeridos 0,50
en la infraestructura?
1.- Se transfiere el conocimiento de los sistemas a la gerencia de la Se entrega en forma general a la gerencia lo
empresa? que es beneficio. Si se entrega, el plan
1,00
AI4.2 - Transferencia de Conocimiento a la Gerencia del Negocio.
aplicacin. La transferencia de conocimiento incluye la 4.- Se incluye en la transferencia del conocimiento la administracin de Si.
1,00
aprobacin de acceso, administracin de privilegios, privilegios de las aplicaciones e infraestructura?
segregacin de tareas, controles automatizados del negocio, 5.- Se incluye en la transferencia del conocimiento la segregacin de Si.
1,00
respaldo/recuperacin, seguridad fsica y archivo de la tareas de las aplicaciones e infraestructura?
documentacin fuente. 6.- Se incluye en la transferencia del conocimiento los controles Si.
1,00
automatizados del negocio de las aplicaciones e infraestructura?
7.- Se incluye en la transferencia del conocimiento el Si.
1,00
respaldo/recuperacin de las aplicaciones e infraestructura?
8.- Se incluye en la transferencia del conocimiento la seguridad fsica de Si.
1,00
las aplicaciones e infraestructura?
9.- Se incluye en la transferencia del conocimiento el archivo de la Si.
1,00
documentacin fuente de las aplicaciones e infraestructura?
A Transferencia de conocimiento y habilidades para permitir 1.- Se mejora la transferencia de conocimiento para permitir que los Si realizan a traves de la capacitacion del jefe
resultados del entrenamiento
y ampliar la documentacin
procedimiento del usuario
que los usuarios finales utilicen con efectividad y eficiencia usuarios finales utilicen con efectividad y eficiencia el sistema de y el a su vez transmite al resto del personal. 1,00
D
Conocimiento a Usuarios
AI4.3 - Transferencia de
Desarrollar manuales de
el sistema de aplicacin como apoyo a los procesos del aplicacin como apoyo a los procesos del negocio?
como se requiera.
final. * Evaluar los
negocio. La transferencia de conocimiento incluye el 2.- Se mejora las habilidades para permitir que los usuarios finales Si.
Q
Finales.
desarrollo de un plan de entrenamiento que aborde al utilicen con efectividad y eficiencia el sistema de aplicacin como apoyo 1,00
U entrenamiento inicial y al continuo, as como el desarrollo de a los procesos del negocio.?
habilidades, materiales de entrenamiento, manuales de 3.- Se incluye en la transferencia de conocimiento el desarrollo de un Si realizan en linea via remota con virtual
I usuario, manuales de procedimiento, ayuda en lnea,
asistencia a usuarios, identificacin del usuario clave, y
plan de entrenamiento? network conection , manuales
usuario,procedimiento no, asistencia a
de
1,00
procedimiento.
2.- Se capacita al personal tcnico en relacin a las aplicaciones e Si, en parte.
infraestructura atendiendo a los requerimientos de los usuarios de 0,50
E Transferir el conocimiento y las habilidades para permitir al manera efectiva y eficiente?
Operaciones y Soporte.
personal de soporte tcnico y de operaciones que entregue, 3.- Se incluye en el entrenamiento inicial y continuo, el desarrollo de las Si.
1,00
apoyen y mantenga la aplicacin y la infraestructura habilidades del personal de soporte tcnico y de operaciones?
entrenamiento.
asociada de manera efectiva y eficiente de acuerdo a los 4.- Se incluye en el entrenamiento inicial y continuo, los materiales de Si.
I niveles de servicio requeridos. La transferencia del entrenamiento en el desarrollo de las habilidades del personal de soporte 1,00
conocimiento debe incluir al entrenamiento inicial y tcnico y de operaciones?
M continuo, el desarrollo de las habilidades, los materiales de 5.- Se incluye en el entrenamiento inicial y continuo, los manuales de No.
entrenamiento, los manuales de operacin, los manuales de operacin en el desarrollo de las habilidades del personal de soporte 0,00
P procedimientos y escenarios de atencin al usuario. tcnico y de operaciones?
AI5.1 - Control de
estndares consistente con el proceso general de 3.- Se adquiere software para el rea de TI? Si.
corporativo.
Adquisicin.
1,00
T adquisiciones de la organizacin y con la estrategia de
adquisicin para adquirir infraestructura relacionada con TI,
4.- Se adquiere servicios necesarios por el negocio para el rea de TI? Si. 1,00
5.- Se desarrolla y se sigue un conjunto de procedimientos y estndares No
A instalaciones, hardware, software y servicios necesarios por
consistente con el proceso general de adquisiciones de la organizacin?
0,00
el negocio.
R 6.- Se desarrolla y se sigue un conjunto de procedimientos y estndares
consistente con la estrategia de adquisicin?
No
0,00
1.- Se formula un procedimiento para establecer contratos para todos los Salir a convocatoria, se define lo que se va a
proveedores? generar el contrato, las ofertas y documentos,
adicional deben presentarse a sobre cerrado,
minimo tres propuesta de oferta. Es factible
tener mas proveedores, miden la parte
social(todos los trabajadores q esten
gozando el seguro), medio ambiente(dentro de
sus proceso cumplan con el medio ambiente.) 1,00
financiera(informe de los estados de cuenta
AI5 - Adquirir recursos de TI.
106
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Proveedores.
1,00
de propuesta
Seleccionar proveedores de acuerdo a una prctica justa y
Seleccin de
proveedores
un proceso
de solicitud
seleccionar
a travs de
Evaluar y
AI5.3 -
formal para garantizar la mejor viable y encajable segn los
(RFP). 2.- Se selecciona proveedores de acuerdo a una prctica formal? Si. 1,00
requerimientos especificados. Los requerimientos deben estar 3.- Los requerimientos estan optimizados con las entradas de los Si.
optimizados con las entradas de los proveedores potenciales. 1,00
AI5 - Adquirir recursos de TI.
proveedores potenciales?
1.- Se protege los intereses de la organizacin en todo los contratos de Si.
1,00
Desarrollar contratos que protejan los intereses
adquisiciones de software?
de la organizacin. *Realizar adquisiciones de
1,00
adquisiciones de recursos de desarrollo?
3.- Se protege los intereses de la organizacin en todo los contratos de Si.
1,00
adquisiciones de infraestructura?
Proteger y hacer cumplir los intereses de la organizacin en
4.- Se protege los intereses de la organizacin en todo los contratos de Si.
establecidos.
1,00
forma consistente a las solicitdes de
solicitudes (incluyendo mantenimiento y parches) para 3.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
cambios a aplicaciones, procedimientos, procesos, los procesos?
parmetros de sistema y servicio, y las plataformas 4.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
fundamentales. los parmetros de sistema?
5.- Se maneja de manera estndar todas las solicitudes para cambios a Si.
1,00
los servicios?
6.- En las plataformas fundamentales se establecen procedimientos de No hay procedimientos.
0,00
A administracin de cambio formales?
1.- Se garantiza que todas las solicitudes de cambio se evalan los Si se evalan.
D 1,00
Impacto, Priorizacin y
prioridad a cambios en
Evaluar impacto y dar
AI6.2 - Evaluacin de
base a las necesidades
Garantizar que todas las solicitudes de cambio se evalan de impactos en el sistema operacional?
una estructurada manera en cuanto a impactos en el sistema 2.- Se garantiza que todas las solicitudes de cambio se evalan los Si.
Autorizacin.
Q
del negocio.
1,00
impactos en el sistema en su funcionalidad?
AI6 - Administrar cambios.
I
AI6.3 - Cambios de Emergencia.
crtico y de emergencia sigue el
2.- Se establece un proceso para plantear los cambios de emergencia que No.
0,00
R no sigan el proceso de cambio establecido?
proceso aprobado.
Establecer un sistema de seguimiento y reporte para 1.- Se establece un sistema de seguimiento para mantener actualizados a No se lo hace, pero se est trabajando para
M
Seguimiento y
mantener actualizados a los solicitantes de cambio y a los los solicitantes de cambio y a los interesados relevantes? que a travs del sistema ellos conozcan el
Reporte del
Estatus de
Autorizar
0,00
cambios.
Cambio.
AI6.4 -
E 1.- Se actualiza los cambios en los sistemas? Si se actualiza el sistema asociado. 1,00
relevante referente
del Cambio.
M
diseminar la
a cambios.
Entrenamiento.
acuerdo con el plan definido de entrenamiento e implantacin de casa indicaciones bsicas de acuerdo al 0,30
investigacin.
AI7.1 -
1.- Se establece un plan de pruebas basado en los estndares de la No cuentan con un plan pero si se realizan
0,50
AI7.2 - Plan de Prueba.
slida) y la metodologa
(criterio de entrada y
organizacin? pruebas.
estrategia de prueba
Definir y revisar una
de plan de prueba
Establecer un plan de pruebas basado en los estndares de la 2.- Dentro de los estndares de la organizacin se definen los roles? No hay estandares. 0,00
operacional.
AI7 - Instalar y acreditar soluciones y cambios.
organizacin que define roles, responsabilidades, y criterios 3.- Dentro de los estndares de la organizacin se definen las No.
0,00
de entrada y salida. Asegurar que el plan esta aprobado por responsabilidades?
las partes relevantes. 4.- Dentro de los estndares de la organizacin se definen los criterios No.
0,00
de entrada y salida?
5.- Se asegura que el plan est aprobado por las partes relevantes? Si se aprueban por las partes. 1,00
1.- Se establece un plan de implantacin y respaldo y vuelta atrs? Hay un cronograma de trabajo aprobado por
requirimientos de negocio
Construir y mantener un
Implantacin.
acreditados.
pruebas de
de Prueba.
aceptacin
Establecer
finales.
Conversin
conversaci
Ejecutar la
integraci
Sistemas y
AI7.5 -
n del
Datos.
2.- Cuentan con una migracin de infraestructuras como parte de los No.
incluyendo pistas de auditoria, respaldo y vuelta atrs. 0,00
mtodos de desarrollo de la organizacin?
1.- Las Pruebas de cambios independientemente estn de acuerdo con los No tienen plan de pruebas.
AI7.6 - Pruebas
de Cambios.
pruebas de
aceptacin
prueba y
conducir
finales.
107
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Asegurar que el dueo de proceso de negocio y los 1.- Se asegura que el dueo de proceso de negocio evala los resultados No hay plan pero si lo hacen
0,50
Establecer ambiente de
pruebas de aceptacin
interesados de TI evalan los resultados de los procesos de de los procesos de pruebas como determina el plan de pruebas?
prueba y conducir
AI7.7 - Prueba de
Aceptacin Final.
AI7 - Instalar y acreditar soluciones y
pruebas como determina el plan de pruebas. Remediar los 2.- Se asegura que los interesados de TI evalan los resultados de los Si se lo realiza empiricamente.
I 0,50
A procesos de pruebas como determina el plan de pruebas?
finales.
Seguimiento a pruebas, controlar la entrega de los sistemas 1.- Se controla la entrega de los sistemas cambiados a operaciones, Si.
produccin con base
I 1,00
AI7.8 - Promocin a
convenidos.
Produccin.
acreditacin
R
liberacin a
de implantacin. Obtener la aprobacin de los interesados 2.- Se obtiene la aprobacin de los interesados clave, tales como Si.
E clave, tales como usuarios, dueo de sistemas y gerente de usuarios, dueo de sistemas y gerente de operaciones cuando sea 1,00
I apropiado?
N operaciones. Cuando sea apropiado, ejecutar el sistema en
R paralelo con el viejo sistema por un tiempo, y comparar el 3.- Se ejecuta el sistema en paralelo con el viejo sistema por un tiempo? Si. 1,00
T comportamiento y los resultados. 4.- Se compara el comportamiento y los resultados? Si. 1,00
A 1.- Se establece procedimientos en lnea con los estndares de gestin de No cuentan con un software. Cuando el
E
Implantacin.
pruebas de
aceptacin
Establecer
Revisin
AI7.9 -
finales.
0,00
de negocio y facilita el entendimiento comn entre el cliente y requerimientos y las prioridades de negocio?
el(los) prestador(es) de servicio. El marco de trabajo incluye 3.- El marco de trabajo facilita el entendimiento comn entre el cliente y No cuentan con un marco de trabajo.
0,00
procesos para la creacin de requerimientos de servicio, el(los) prestador(es) de servicio?
TI.
definiciones de servicio, acuerdos de niveles de servicio 4.- El marco de trabajo incluye procesos para la creacin de No cuentan con marco de trabajo pero si con
0,50
(SLAs), acuerdos de niveles de operacin (OLAs) y las fuentes requerimientos de servicio? SLAs.
de financiamiento. Estos atributos estn organizados en un 5.- El marco de trabajo mantiene acuerdos de niveles de servicio (SLAs), No cuentan con Marco de Trabajo.
0,25
catlogo de servicios. El marco de trabajo define la acuerdos de niveles de operacin (OLAs) y las fuentes de financiamiento?
estructura organizacional para la administracin del nivel de 6.- El marco de trabajo define la estructura organizacional para la No cuentan con Marco de Trabajo.
servicio, incluyendo los roles, tareas y responsabilidades de administracin del nivel de servicio incluyendo los roles, tareas y
los proveedores externos e internos y de los clientes. 0,00
responsabilidades de los proveedores externos e internos y de los
clientes?
DS1 Definir y administrar los niveles de servicio
Definicin de
Construir un
mtricas cualitativas y cuantitativas para la medicin del parmetros al 100%. Esto est en proyecto.
Servicio.
sern entregados tcnicamente los servicios para soportar el (los) SLA(s) estandar. 0,50
convenios de
Operacin.
Niveles de
Definir los
de manera ptima?
Y
SLAs.
soportar el (los) SLA(s) de manera ptima. Los OLAs 2.- Los OLAs especifican los procesos tcnicos en trminos entendibles No en su totalidad, solo una parte.
0,50
especifican los procesos tcnicos en trminos entendibles para el proveedor?
para el proveedor y pueden soportar diversos SLAs. 3.- Los OLAs pueden soportar diversos SLAs? No tecnicamente, los soportan empricamente.
0,50
D 1.- Se monitorean continuamente los criterios de desempeo No se monitorean, slo en el sistema se
Monitorear continuamente los criterios de desempeo 0,50
Monitorear y reportar
DS1.5 - Monitoreo y
A
Cumplimento de los
actualizar el catlago
de servicios de TI.
el desempeo del
punta. *Revisar y
y de los Contratos.
Niveles de Servicio
0,50
plan de mejora de
apoyo. *Crear un
Revisar los SLAs y
los Acuerdos de
los contratos de
los acuerdos de niveles de servicio y los contratos de apoyo, los niveles de servicio y los controles de apoyo? pero no formalmente.
servicios.
P para asegurar que son efectivos, que estn actualizados y que 2.- Se revisan regularmente con los proveedores externos los acuerdos de En parte.
se han tomado en cuenta los cambios en requerimientos, los niveles de servicio y los controles de apoyo?
O para asegurar que son efectivos, que estn actualizados y que
0,50
se han tomado en cuenta los cambios en requerimientos.
R 1.- Se identifican todos los servicios de los proveedores? Si, pero falta estructurar. Tener una sola
Identificar y categorizar las
T
relaciones de los servicios
DS2.1 - Identificacin de
Proveedores.
inconveniente.
criticidad. Mantener documentacin formal de relaciones
2.- Se categorizan los de acuerdo al tipo de proveedor, significado y No.
tcnicas y organizacionales que cubren los roles y 0,00
criticidad?
responsabilidades, metas, entregables esperados, y
3.- Se mantiene una documentacin formal de relaciones tcnicas? No. 0,00
credenciales de los representantes de estos proveedores.
4.- Se mantiene una documentacin formal de relaciones No hay.
0,00
organizacionales?
1.- Se formaliza el proceso de gestin de relaciones con proveedores para
Habra que revisar el requerimento de
cada proveedor? calificacin de proveedores. Logistica debe de
Definir y documentar los procesos de
proveedores para cada proveedor. Los dueos de las proveedor en el sistema BAAN se almacena
relaciones deben enlazar las cuestiones del cliente y los datos del proveedor, caso contrario por
proveedor y asegurar la calidad de las relaciones basadas en internet, otra opcin es por paginas amarillas
la confianza y transparencia. (Ej.: a travs de SLAs). o contactar a travs de otros amigos de otras
empresas.
2.- Los dueos de las relaciones enlazan las cuestiones del cliente y Si.
1,00
proveedor?
3.-aseguran la calidad de las relaciones basadas en la confianza y Si.
1,00
transparencia?
108
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se identifican los riesgos relacionados con la habilidad de los No se tienen identificados los riesgos a pesar
proveedores para mantener un efectivo servicio de entrega de forma de que se tiene la matriz de riesgo. Si est
*Monitore plazo de la relacin del servicio para todos los interesados.
suspensin de proveedores. *Evaluar las metas de largo
0,00
Proveedor.
Monitoreo
Desempe
Identificar,
riesgos del
prestacin
mitigar los
0,00
valorar y
DS2.4 -
del
del
los requerimientos del negocio actuales y que se adhiere 2.- Se aseguran que el proveedor est cumpliendo con los requerimientos Si.
1,00
continuamente a los acuerdos del contrato y a SLAs, y que el del negocio?
1.- Se establece un proceso de planeacin para la revisin del Si se establece. (Especialista en Soporte).
1,00
Establecer un proceso de planeacin para la revisin del desempeo?
desempeo y la capacidad de
Planeacin para la revisin del
Desempeo y la Capacidad.
Establecer un proceso de
desempeo y la capacidad de los recursos de TI, para 2.- Se establece un proceso de planeacin para la revisin de la Si. Se esta haciendo diagnstico de redes,
DS3.1 - Planeacin del
1,00
los recursos de TI.
asegurar la disponibilidad de la capacidad y del desempeo, capacidad de los recursos de TI? Base de Datos, Sistema Operativo.
con costos justificables, para procesar las cargas de trabajo 3.- Los planes de capacidad y desempeo hacen uso de tcnicas de Indirectamente si aprovechan los recursos y
acordadas tal como se determina en los SLAs. Los planes de modelo apropiadas para producir un modelo de desempeo, de capacidad metodologias de los proveedores, se basan en
capacidad y desempeo deben hacer uso de tcnicas de de los recursos de TI, tanto actual como pronosticado? tcnicas apropiadas. Cada especialista de la
modelo apropiadas para producir un modelo de desempeo, Empresa de Produccin interacta con los 0,50
Capacidad y
T
capacidad
actiual de
Revisar el
DS3.2 -
TI en intervalos regulares para determinar si existe suficiente regulares? documento, solo se lo hace como una funcin
Actual.
DS3 Administrar el desempeo y la capacidad
de TI.
y la
Desempeo Futuros.
DS3.3 - Capacidad y
contingencias, requerimientos de almacenamiento y ciclos de 2.- La empresa garantiza que los planes de contingencia son El plan de contingencia existe pero falta la
Realizar un plan de
falta potencial de
Recursos de TI.
vida de los recursos de TI. Deben tomarse medidas cuando el considerados de forma apropiada sobre los recursos individuales de TI? implementacin, solo est escrito. Falta
D desempeo y la capacidad no estn en el nivel requerido, inversin que permita la implementacin.
TI.
Desarrollar planes de continuidad de TI con base en el marco 1.- La empresa desarrolla planes de continuidad de TI con base en el No.
planes de continuidad de
Desarrollar y mantener
de trabajo, diseado para reducir el impacto de una marco de trabajo, diseado para reducir el impacto de una interrupcin
Continuidad de TI.
DS4.2 - Planes de
interrupcin mayor de las funciones y los procesos clave del mayor de las funciones?
negocio. Los planes deben considerar requerimientos de
resistencia, procesamiento alternativo, y capacidad de 0,00
TI.
0,00
Crticos de TI.
valoracin de
impacto al
negocio y
anlisis de
riesgo.
resistencia y establecer prioridades en situaciones de 2.- Los puntos determinados en el plan construyen resistencia Si lo tienen pero est incompleto, pero si
0,00
recuperacin. Evitar la distraccin de recuperar los puntos estableciendo prioridades en situaciones de recuperacion? estan conscientes que se debe hacer.
menos crticos y asegurarse de que la respuesta y la 3.- Se considera los requerimientos de resistencia, respuesta y Si, en el plan de contingencia, pero el plan no
0,00
recuperacin estn alineadas con las necesidades recuperacin para diferentes niveles de prioridad? esta implantado.
109
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se ejecutan procedimientos de control de cambios, para asegurar que Si , se lo hace desde el Holding.
DS4.4 - Mantenimiento
Exhortar a la gerencia de TI a definir y ejecutar
base a los objetivos de
procedimientos de control de cambios, para asegurar que el el plan de continuidad de TI se mantenga actualizado?
recursos de TI con
Continuidad de TI.
recuperacin.
categorizar los
Identificar y
del Plan de
plan de continuidad de TI se mantenga actualizado y que
refleje de manera continua los requerimientos actuales del 1,00
negocio. Es esencial que los cambios en los procedimientos y
las responsabilidades sean comunicados de forma clara y
oportuna.
Probar el plan de continuidad de TI de forma regular para 1.- Se prueba el plan de continuidad de TI de forma regular para asegurar No hay plan de continuidad, en el manual de
plan de continuidad sea vigente.
procedimientos de control de
que los sistemas de TI pueden ser recuperados de forma efectiva? procedimiento estn descritas las funciones
cambios para asegurar que el
o desastre?
DS4 Garantizar la continuidad del servicio
2.- Se asegura de que todos las partes involucradas reciban sesiones de No.
Asegurarse de que todos las partes involucradas reciban
Continuidad de TI.
continuidad de TI.
asegurar que los planes se distribuyan de manera segura? con el Departamento de Desarrollo
resultados de las
con base en los
Reanudaci
0,50
planes de
capacitaci
n sobre
Servicios
Planear y
DS4.8 -
d de TI.
llevar a
est recuperando y reanudando los servicios. Esto puede recuperando y reanudando los servicios? cuando ocurre.
de TI.
cabo
n y
representar la activacin de sitios de respaldo, el inicio de 2.- Se aseguran que los responsables del negocio entiendan los tiempos No.
E procesamiento alternativo, la comunicacin a clientes y a los de recuperacin de TI?
0,00
G Almacenar fuera de las instalaciones todos los medios de 1.- Se almacena fuera de las instalaciones todos los medios de respaldo No.
0,00
DS4.9 - Almacenamiento de Respaldos Fuera de
La administracin del sitio de almacenamiento externo a las 3.- La administracin del sitio de almacenamiento externo a las No tienen.
instalaciones, debe apegarse a la poltica de clasificacin de instalaciones, est apegada a la poltica de almacenamiento de datos de 0,00
Y datos y a las prcticas de almacenamiento de datos de la la empresa?
empresa. La gerencia de TI debe asegurar que los acuerdos 4.- La gerencia de TI se asegura que los acuerdos con sitios externos sean No.
0,00
con sitios externos sean evaluados peridicamente, al menos evaluados peridicamente?
D una vez por ao, respecto al contenido, a la proteccin 5.- Se aseguran de la compatibilidad del hardware y del software para Si, pero falta implementar la poltica de
ambiental y a la seguridad. Asegurarse de la compatibilidad poder recuperar los datos archivados y peridicamente probar y renovar renovar y probar.
A del hardware y del software para poder recuperar los datos los datos archivados?
archivados y peridicamente probar y renovar los datos
0,50
R archivados.
Una vez lograda una exitosa reanudacin de las funciones de 1.-La gerencia de TI ha establecido procedimientos para valorar lo Se est implementando.
proteccin
Definir, establecer implement
administracin de miento y la
almacena
DS4.10 -
Revisin
n.
0,50
de
O 1.- El nivel apropiado de seguridad de TI dentro de la organizacin esta No, falta implementar bastante. Se cambi
de Seguridad Administracin de
Administrar la seguridad de TI al nivel ms alto apropiado en linea sobre los requerimientos del negocio? todas las configuraciones de los ruteadores,
y operar un
proces de
(cuentas).
identidad
P
DS5.1 -
dentro de la organizacin, de manera que las acciones de se lleva registro de todos los que se estn
0,30
administracin de la seguridad estn en lnea con los conectando, hicieron un estudio (Sliced cord,
O requerimientos del negocio. Deloitte, proporcionaron una matriz para
implementar las seguridades. y controles).
R Trasladar los requerimientos de negocio, riesgos y 1.- Los requerimientos del negocio dentro de un plan de seguridad de TI Si.
mantener un
seguridad de
DS5.2 - Plan
cumplimiento dentro de un plan de seguridad de TI completo, se trasladan teniendo en consideracion la infraestructura de TI en cuanto 1,00
T
Definir y
plan de
de TI.
Asegurar que todos los usuarios (internos, externos y 1.- Los usuarios y su actividad en TI son identificados de manera unica? Si.
DS5 Garantizar la seguridad de los sistemas
1,00
mantenimiento) deben ser identificables de manera nica. en lnea con las necesidades del negocio?
DS5.3 - Administracin de Identidad.
Permitir que el usuario se identifique a travs de mecanismos 3.- Se asegura que los derechos de acceso del usuario se solicitan por la Si.
de autenticacin. Confirmar que los permisos de acceso del gerencia del usuario para ser aprobados por el responsable del sistema? 1,00
usuario al sistema y los datos estn en lnea con las
necesidades del negocio definidas y documentadas y que los 4.- Las identidades del usuario y los derechos de acceso se mantienen en Cada aplicativo tiene su administrador. El
potenciales.
requerimientos de trabajo estn adjuntos a las identidades un repositorio central? administrador del aplicativo maneja las
del usuario. Asegurar que los derechos de acceso del usuario seguridades, el adminstrador de Base de
1,00
se solicitan por la gerencia del usuario, aprobados por el Datos las seguridades a nivel de BD., y el
responsable del sistema e implementado por la persona Administrador de comunicaciones el acceso a
responsable de la seguridad. Las identidades del usuario y la red.
los derechos de acceso se mantienen en un repositorio 5.- Se despliegan tcnicas efectivas en procedimientos rentables, que se No lo tienen.
central. Se despliegan tcnicas efectivas en coste y mantienen actualizados para establecer la identificacin del usuario?
procedimientos rentables, y se mantienen actualizados para 0,00
establecer la identificacin del usuario, realizar la
autenticacin y habilitar los derechos de acceso.
Garantizar que la solicitud, establecimiento, emisin, 1.- Los privilegios relacionados con la creacion de cuentas de usuarios, Es uno de los puntos a mejorar, actualmente
suspensin, modificacin y cierre de cuentas de usuario y de son tomados en cuenta por un conjunto de procedimientos de la gerencia se hace a travs de los procedimientos de
DS5.4 - Administracin de Cuentas del
privilegios y derechos de acceso de los
los privilegios relacionados, sean tomados en cuenta por un de cuentas de usuario? soporte. No hay manual de usuario. No hay
Revisar y validar peridicamente los
Usuario.
110
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
de Incidente de
procedimientos
Implementar y
travs de la red
informacin a
tcnicos y de
Definir claramente y comunicar las caractersticas de para que puedan ser clasificados propiamente por el proceso de gestin contingencia. Si hay mal uso en la red, lo
Seguridad.
mantener
controles
flujo de
incidentes de seguridad potenciales para que puedan ser de incidentes? primero que se hace es bloquear el problema
0,00
clasificados propiamente y tratados por el proceso de gestin y comunicar al jefe y se toman medidas
de incidentes y problemas. correctivas. No hay procedimiento
DS5 Garantizar la seguridad de los sistemas
establecido.
1.- Se garantiza que la tecnologa relacionada con la seguridad sea Si. No tienen problemas con eso a pesar de
Proteccin de
de Seguridad.
d de menera
la Tecnologa
vulnerabilida
evaluaciones
Garantizar que la tecnologa relacionada con la seguridad resistente al sabotaje? que no hay sotfware que revise cada
regular.
DS5.7 -
Realizar
sea resistente al sabotaje y no revele documentacin de documento o correo, no tienen ese tipo de 0,50
de
travs de la red.
procedimientos
la generacin, cambio, revocacin, destruccin, distribucin, proteccion de las llaves contra modificaciones o divulgaciones no En la mayoria de los casos encriptan la
Criptogrficas.
Implementar y
informacin a
tcnicos y de
autorizadas? informacin.
flujo de
DS5.8 -
1,00
llaves criptogrficas estn implantadas, para garantizar la
proteccin de las llaves contra modificaciones y divulgacin
no autorizadas.
1.- La empresa cuenta con medidas preventivas en toda la organizacin Utilizan Kapersky y a travs de la consola
DS5.9 - Prevencin, Deteccin
administracin de identidad
Definir, establecer y operar
para proteger los sistemas de la informacin de TI? controlan como va el tema de los virus. El
y Correccin de Software
Malicioso.
R Uso de tcnicas de seguridad y procedimientos de 1.- La empresa usa tcnicas de seguridad y procedimientos de Si. Routeadores, firewall estn trabajando
Seguridad de
d de menera
vulnerabilida
evaluaciones
administracin asociados (por ejemplo, firewalls, administracin asociados para autorizar acceso y controlar los flujos de para ver quienes pueden acceder a la red.
DS5.10 -
regular.
Realizar
la Red.
E dispositivos de seguridad, segmentacin de redes, y deteccin informacin hacia las redes? Kapersky tambien tienen un firewall local y 1,00
de
de intrusos) para autorizar acceso y controlar los flujos de otro perimetral que siempre est trabajando
G informacin desde y hacia las redes. en la seguridad de acceso a la red.
1.- Las transacciones de datos sensibles se intercambian a travs de una Tienen un proxy para la web pero no tienen
A
DS5.11 - Intercambio de
0,50
privilegios y derechos
ruta o medio con controles para proporcionar autenticidad de contenido? para el correo electronico.
peridicamente los
Datos Sensitivos.
de acceso de los
Revisar y validar
R Transacciones de datos sensibles se intercambian solo a 2.- Las transacciones de datos sensibles se intercambian a travs de una En parte.
0,50
usuarios.
travs de una ruta o medio con controles para proporcionar ruta o medio con controles para prueba de envo?
autenticidad de contenido, prueba de envo, prueba de 3.- Las transacciones de datos sensibles se intercambian a travs de una En parte.
0,50
recepcin y no repudio del origen. ruta o medio con controles prueba de recepcin?
Y 4.- Las transacciones de datos sensibles se intercambian a travs de una En parte.
0,50
ruta o medio con controles para no repudio del origen?
Identificar todos los costos de TI y equipararlos a los 1.- Se identifican todos los costos de TI para soportar un modelo de Se identifican los costos en trminos globales
mapearlos a los brindados/proce
tecnologa, etc) y con los servicios
infraestructura
sos de negocio
Definicin de
servicios de TI para soportar un modelo de costos costos transparente? por departamento pero no est detallado o
soportados.
D
Mapear la
Servicios.
DS6.1 -
costos unitarios.
los costos de TI
Contabilizacin
servicios de TI
con bases en
DS6.2 -
1,00
S reportarse de acuerdo con los sistemas de medicin
financiera de la empresa.
O
1.- Se define un modelo de costos de TI? Si. 1,00
P
DS6.3 - Modelacin de Costos y Cargos.
1,00
O Con base en la definicin del servicio, definir un modelo de
costos que incluya costos directos, indirectos y fijos de los
contabilizacin de costos de la empresa?
3.- Se garantiza que los cargos por servicios son identificables en el Si.
1,00
R servicios, y que ayude al clculo de tarifas de reintegros de
cobro por servicio. El modelo de costos debe estar alineado
modelo de costos de TI?
4.- Se garantiza que los cargos por servicios son medibles en el modelo Si.
1,00
T
costos.
Mantenimiento
del Modelo de
polticas de
mantener
Costos.
Entrenamiento y Educacin.
DS7 Educar y entrenar a usuarios
incluya: 2.- Se actualiza de forma regular el programa de entrenamiento para Ver respuesta anterior.
Estrategias y requerimientos actuales y futuros del negocio. cada grupo objetivo de empleados? 0,00
Valores corporativos (valores ticos, cultura de control y
seguridad, etc.) 3.- El programa de entrenamiento incluye estrategias y requerimientos Si.
1,00
Implementacin de nuevo software e infraestructura de TI actuales y futuros del negocio?
(paquetes y aplicaciones) 4.- El programa de entrenamiento incluye valores corporativos? Si. 1,00
Habilidades, perfiles de competencias y certificaciones 5.- El programa de entrenamiento incluye la Implementacin de nuevo Si incluye. (BAAN).
1,00
actuales y/o credenciales necesarias. software e infraestructura de TI?
Mtodos de imparticin (por ejemplo, aula, web), tamao 6.- El programa de entrenamiento incluye habilidades, perfiles de Recursos Humanos elegir a las personas
0,00
del grupo objetivo, accesibilidad y tiempo. competencias y certificaciones actuales y/o credenciales necesarias? indicadas.
7.- El programa de entrenamiento incluye mtodos de imparticin? Si. 1,00
Con base en las necesidades de entrenamiento identificadas, 1.- Se designa instructores de entrenamiento a los grupos objetivo? Si. 1,00
DS7.2 - Imparticin de
identificar: a los grupos objetivo y a sus miembros, a los 2.- Se organiza el entrenamiento de los grupos objetivo con tiempo Si.
Entrenamiento y
programa de
capacitacin.
Construir un
Educacin.
111
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- Se evala el contenido del entrenamiento al finalizar la capacitacin Se est armando el plan de capacitacin y se
DS7 Educar y entrenar a
Entrenamiento Recibido.
*Identificar y evaluar los
capacitacin, intrusin y
respecto a la calidad?
percepcin y retencin del conocimiento, costo y valor. Los
3.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
resultados de esta evaluacin deben contribuir en la 0,00
respecto a la efectividad?
definicin futura de los planes de estudio y de las sesiones de
4.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
entrenamiento. 0,00
respecto a la percepcin y retencin del conocimiento?
5.- Se evala el contenido del entrenamiento al finalizar la capacitacin No.
0,00
respecto al costo y valor?
1.- Existen procedimientos de monitoreo basados en los niveles de No hay procedimientos definidos.
0,00
Crear procedimientos de clasificacin (severidad e
problema?
Establecer la funcin de mesa de servicio, la cual es la
3.- Los procedimientos de monitoreo permiten priorizar cualquier No.
conexin del usuario con TI, para registrar, comunicar, 0,00
DS8.1 - Mesa de Servicios.
problema?
atender y analizar todas las llamadas, incidentes reportados,
4.- Existen procedimientos de escalamiento basados en los niveles de No.
requerimientos de servicio y solicitudes de informacin.
jerrquicos).
rastreo de llamadas, incidentes, solicitudes de servicio y 2.- El sistema trabaja estrechamente con los procesos de administracin Si.
1,00
necesidades de informacin. Debe trabajar estrechamente
E con los procesos de administracin de incidentes,
de incidentes?
3.- El sistema trabaja estrechamente con los procesos de administracin Si.
1,00
N administracin de problemas, administracin de cambios,
administracin de capacidad y administracin de
de problemas?
4.- El sistema trabaja estrechamente con los procesos de administracin Si.
1,00
T disponibilidad. Los incidentes deben clasificarse de acuerdo de cambios?
al negocio y a la prioridad del servicio y enrutarse al equipo 5.- El sistema trabaja estrechamente con los procesos de administracin Si.
R de administracin de problemas apropiado y se debe de capacidad?
1,00
mantener informados a los clientes sobre el estatus de sus 6.- El sistema trabaja estrechamente con los procesos de administracin Si.
E consultas. de disponibilidad?
1,00
A Establecer procedimientos de mesa de servicios de manera 1.- Existen procedimientos de mesa de servicios? No existen procedimientos bien elaborados. 0,00
DS8.3 - Escalamiento de
0,00
R inmediata sean escalados apropiadamente de acuerdo con de forma inmediata de acuerdo con los lmites acordados en el SLA?
Incidentes.
los lmites acordados en el SLA (niveles de servicio) y, si es 3.- Se garantiza que la asignacin de incidentes permanece en la mesa de No.
adecuado, brindar soluciones alternas. Garantizar que la servicios?
asignacin de incidentes y el monitoreo del ciclo de vida
Y permanecen en la mesa de servicios, independientemente de 0,00
qu grupo de TI est trabajando en las actividades de
resolucin.
incidentes.
Incidentes.
A
cerrar
0,50
usuarios (por
s de estatus)
Tendencias.
Informar a
Anlisis de
S
DS8.5 -
tiempos de respuesta, as como para identificar tendencias de 2.- Los reportes emitidos por la mesa de servicios permite a la gerencia Solo se lo emite como informativo.
problemas recurrentes de forma que el servicio pueda medir el desempeo del servicio y los tiempos de respuesta? 0,50
O mejorarse de forma continua.
Establecer una herramienta de soporte y un repositorio
P 1.- Existe una herramienta de soporte que contenga toda la informacin No.
procedimientos de
Repositorio y Lnea
0,00
administracin de
la configuracin.
central que contenga toda la informacin relevante sobre los relevante sobre los elementos de configuracin?
Configuracin.
configuracin.
repositorio de
planeacin de
*Actualizar el
O
Desarrollar
elementos de configuracin. Monitorear y grabar todos los 2.- Existe un repositorio central que contenga toda la informacin No.
Base de
DS9.1 -
activos y los cambios a los activos. Mantener una lnea base relevante sobre los elementos de configuracin? 0,00
DS9 Administrar la configuracin
R de los elementos de la configuracin para todos los sistemas 3.- Se monitorean todos los activos y los cambios a los activos?
y servicios como punto de comprobacin al que volver tras el
En parte. 0,50
T cambio.
4.- Se graban todos los activos y los cambios a los activos?
1.- Existen procedimientos de configuracin?
En parte.
No.
0,50
0,00
E
inicial y establecer lneas
DS9.2 - Identificacin y
Recopilar informacin
sobre la configuracin
gestin y rastro de todos los cambios al repositorio de 3.- Est integrado el procedimiento de configuracin con la gestin de No.
0,00
base.
verificar y confirmar la integridad de la configuracin actual integridad de la configuracin actual e histrica? formal o establecido.
Integridad de la
Configuracin.
configuracin
deteccin del
autorizado).
software no
(incluye la
e histrica. Revisar peridicamente el software instalado 2.- Se revisan peridicamente los datos de configuracin para confirmar No.
0,00
contra la poltica de uso de software para identificar la integridad de la configuracin actual e histrica?
software personal o no licenciado o cualquier otra instancia 3.- Se revisa peridicamente el software instalado contra la poltica de Si. Se lo revisa cada seis meses cuando se
de software en exceso del contrato de licenciamiento actual. uso de software personal o no licenciado o cualquier otra instancia de hace el mantenimiento de equipos. 1,00
Reportar, actuar y corregir errores y desviaciones. software en exceso del contrato de licenciamiento actual?
Implementar procesos para reportar y clasificar problemas 1.- Existen procesos para reportar problemas que han sido identificados No.
0,00
que han sido identificados como parte de la administracin como parte de la administracin de incidentes?
DS10 Administrar los problemas
Clasificacin de Problemas.
DS10.1 - Identificacin y
de incidentes. Los pasos involucrados en la clasificacin de 2.- Existen procesos para clasificar problemas que han sido No.
Identificar y clasificar
problemas son similares a los pasos para clasificar identificados como parte de la administracin de incidentes?
problemas.
2.- El sistema mantiene pistas de auditora que pemita rastrear la causa No.
Resolucin de
112
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
DS10.3 - Cierre
registros de los
de Problemas.
Disponer de un procedimiento para cerrar registros de
*Mantener
problemas.
problemas.
DS10 Administrar los
*Revisar el
problemas
estatus de
Resolver
Para garantizar una adecuada administracin de problemas 1.- Se garantiza una adecuada administracin de problemas? No. 0,00
DS10.4 - Integracin
Administraciones de
almacenamiento y para mejorar y crear
de las
Administracin de
0,50
del Negocio para
2.- Se verifica que todos los datos que se espera procesar se procesan Se cumple pero no en un 100%
Datos.
Almacenamiento y
regulatorios. 2.- Existen procedimientos para el almacenaniento de los datos? Ver respuesta anterior. 0,50
3.- Existen procedimientos para la retencin de los datos? Ver respuesta anterior. 0,50
1.- Existen procedimientos para mantener un inventario de medios No. Se lo hace empricamente.
procedimientos
segura, medios
Administracin
de Libreras de
0,00
para desechar
implementar
mantener e
almacenados?
Sistema de
y equipo.
DS11.3 -
Medios.
Definir,
inventario de medios almacenados y archivados para 2.- Existen procedimientos para mantener un inventario de medios No.
0,00
asegurar su usabilidad e integridad. archivados?
E 3.- Se aseguran de la usabilidad e integridad de los medios? No. 0,00
N Definir e implementar procedimientos para asegurar que los 1.- Existen procedimientos para la proteccin de datos sensitivos que No hay procedimientos.
de acuerdo
esquema.
Eliminaci
Respaldar
0,00
DS11.4 -
los datos
requerimientos de negocio para la proteccin de datos aseguren los requerimientos del negocio?
n.
T
al
sensitivos y el software se consiguen cuando se eliminan o 2.- Existen procedimientos para la proteccin del software que aseguren No.
0,00
transfieren los datos y/o el hardware. los requerimientos del negocio?
R 1. Existen procedimientos de respaldo de los sistemas en lnea alineado Existen un procedimiento pero no est
0,50
restauracin de datos.
procedimientos para
DS11.5 - Respaldo y
Definir, mantener e
Definir e implementar procedimientos de respaldo y 2. Existen procedimientos de respaldo de las aplicaciones en lnea Existen un procedimiento pero no est
implementar
0,50
restauracin de los sistemas, aplicaciones, datos y alineado con los requerimientos de negocio y el plan de continuidad? documentado.
G documentacin en lnea con los requerimientos de negocio y 3. Existen procedimientos de respaldo de los datos en lnea alineado con Existen un procedimiento pero no est
0,50
el plan de continuidad.
A los requerimientos de negocio y el plan de continuidad?
4. Existen procedimientos de respaldo de la documentacin en lnea
documentado.
Existen un procedimiento pero no est
0,50
R alineado con los requerimientos de negocio y el plan de continuidad?
Definir e implementar las polticas y procedimientos para 1.- Existen procedimientos para identificar los requerimientos de
documentado.
No hay procedimientos.
procedimiento
Requerimiento
s de Seguridad
Administraci
0,00
mantener e
n de Datos.
DS11.6 -
Definir,
para la
Y datos para conseguir los objetivos de negocio, las polticas 2.- Existen procedimientos para aplicar los requerimientos de seguridad
de seguridad de la organizacin y requerimientos aplicables al recibo?
No.
0,00
regulatorios
1.- Se define los centros de datos fsicos para el equipo de TI? Estn Implcitos en el proceso porque solo
D estn aqu. En las otras partes no hay, solo se 1,00
DS12.1 - Seleccin y Diseo del
Definir el nivel requerido de
Definir y seleccionar los centros de datos fsicos para el lo maneja en forma remota.
A equipo de TI para soportar la estrategia de tecnologa ligada 2.- Se selecciona los centros de datos fsicos para el equipo de TI? Si. 1,00
proteccin fsica.
Centro de Datos.
a la estrategia del negocio. Esta seleccin y diseo del 3.- Se soporta la estrategia de tecnologa ligada a la estrategia del Si por medio del plan estrtegico.
R esquema de un centro de datos debe tomar en cuenta el riesgo negocio?
1,00
asociado con desastres naturales y causados por el hombre. 4.- La seleccin de un centro de datos toma en cuenta el riesgo asociado Se tienen identificado los desastres en el data
0,50
Tambin debe considerar las leyes y regulaciones con desastres naturales y causados por el hombre? center.
correspondientes, tales como regulaciones de seguridad y de 5.- El diseo del esquema de un centro de datos toma en cuenta el riesgo Se tienen identificado los desastres en el data
S salud en el trabajo. asociado con desastres naturales y causados por el hombre? center.
0,50
O 6.- Se considera las leyes y regulaciones correspondientes, tales como Si, por medio del comit de salud y seguridad
regulaciones de seguridad y de salud en el trabajo? en el trabajo.
1,00
P 1.- Existen medidas de seguridad fsicas alineadas con los Si pero falta implementar medidas de
DS12 Administrar el ambiente fsico
DS12.2 - Medidas de
T mantenga un perfil bajo respecto a la presencia de 4.- Se establecen las responsabilidades sobre la resolucin de incidentes Si.
de seguridad fsica?
operaciones crticas de TI. Deben establecerse las
E responsabilidades sobre el monitoreo y los procedimientos 1,00
de reporte y de resolucin de incidentes de seguridad fsica.
1.- Existen procedimientos para otorgar el acceso a locales, edificios y Si.
Implementar medidas de
reas de acuerdo con las necesidades del negocio, incluyendo las 1,00
Definir e implementar El acceso a locales, edificios y reas emergencias?
ambiente fsico.
debe justificarse, autorizarse, registrarse y monitorearse. 2.- Existen procedimientos para limitar el acceso a locales, edificios y Si.
Esto aplica para todas las personas que accedan a las reas de acuerdo con las necesidades del negocio, incluyendo las 1,00
instalaciones, incluyendo personal, clientes, proveedores, emergencias?
visitantes o cualquier tercera persona. 3.- Existen procedimientos para revocar el acceso a locales, edificios y Si.
reas de acuerdo con las necesidades del negocio, incluyendo las 1,00
emergencias?
1.- Existen medidas de proteccin contra factores ambientales? Si. 1,00
o, monitoreo y
(mantenimient
Administrar el
Ambientales.
Proteccin
incluidos).
Disear e implementar medidas de proteccin contra factores 2.- Existen dispositivos especializados para monitorear y controlar el
ambiente
DS12.4 -
Si.
reportes
Factores
Contra
1,00
fsico
leyes y los reglamentos, los requerimientos tcnicos y del negocio, las 0,50
acceso fsico.
implementar
Instalaciones
comunicaciones y de suministro de energa, de acuerdo con especificaciones del proveedor y los lineamientos de seguridad y salud?
DS12.5 -
Definir e
Fsicas.
las leyes y los reglamentos, los requerimientos tcnicos y del 2.- El equipo de suministro de energa, esta administrado de acuerdo con Ver respuesta anterior.
negocio, las especificaciones del proveedor y los las leyes y los reglamentos, los requerimientos tcnicos y del negocio, las 0,50
lineamientos de seguridad y salud. especificaciones del proveedor y los lineamientos de seguridad y salud?
Definir, implementar y mantener procedimientos estndar 1.- Existen procedimientos estndar para operaciones de TI? Falta elaborar procedimientos. 0,00
DS13 Administrar las
DS13.1 - Procedimientos e
cambios, procedimientos
operacin (incluyendo
para operaciones de TI y garantizar que el personal de 2.- El personal de operaciones est familiarizado con todas las tareas de Si.
de escalamiento, etc).
manuales, planes de
procedimientos de
Instrucciones de
Operacin.
113
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
1.- La programacion de trabajos est organizado de una manera mas Si, para eso se aplica el PHVA (Planear, Hacer,
DS13.2 - Programacin de
Pogramacin de cargas de
trabajo y de programas en
E Organizar la programacin de trabajos, procesos y tareas en eficiente, maximizando el desempeo y la utilizacion para cumplir con los Verificar y Actuar).
requerimientos del negocio?
1,00
la secuencia ms eficiente, maximizando el desempeo y la
N utilizacin para cumplir con los requerimientos del negocio. 2.- La programacion de procesos esta organizado de una manera mas Si.
Tareas.
lote.
Deben autorizarse los programas iniciales as como los eficiente, maximizando el desempeo y la utilizacion para cumplir con los 1,00
T cambios a estos programas. Los procedimientos deben requerimientos del negocio?
R implementarse para identificar, investigar y aprobar las 3.- La programacion de tareas esta organizado de una manera mas Si.
salidas de los programas estndar agendados. eficiente, maximizando el desempeo y la utilizacion para cumplir con los 1,00
E requerimientos del negocio?
G Definir e implementar procedimientos para monitorear la 1.- Existen procedimientos para monitorear la infraestructura de TI? No est claramente, se lo hace empricamente
0,00
DS13.3 - Monitoreo
de la Infraestructura
procesar y resolver
A
problemas.
que en los registros de operacin se almacena suficiente 2.- Existen procedimientos para monitorear los eventos relacionados? No.
de TI.
Sensitivos y Dispositivos
0,50
DS13.4 - Documentos
D
medios, etc).
2.- Existen prcticas de registros sobre los activos de TI ms sensitivos No, solo en parte.
de TI ms sensitivos tales como formas, instrumentos
A negociables, impresoras de uso especial o dispositivos de
tales como formas, instrumentos negociables, impresoras de uso especial
o dispositivos de seguridad?
0,50
R seguridad. 3.- Existe una administracin de inventarios adecuados sobre los activos No, solo en parte.
de TI ms sensitivos tales como formas, instrumentos negociables, 0,50
impresoras de uso especial o dispositivos de seguridad?
S 1.- Existen procedimientos para garantizar el mantenimiento oportuno de Si.
*Implementar/establecer un proceso
la infraestructura?
Establecer el enfoque de para salvaguardar los dispositivos
O 1,00
interferencia, perdida o robo.
programa de infraestructura.
Aplicar cambios o arreglos al
P
del Hardware.
Definir e implementar procedimientos para garantizar el 2.- Existen procedimientos para reducir la frecuencia y el impacto de las Si.
O mantenimiento oportuno de la infraestructura para reducir la fallas de la infraestructura?
1,00
frecuencia y el impacto de las fallas o de la disminucin del
R desempeo.
T 3.- Existen procedimientos para reducir la disminucin del desempeo de Si.
la infraestructura?
E 1,00
Establecer un marco de trabajo de monitoreo general y un alcance, la metodologa y el proceso a seguir para medir la solucin y la 0,00
enfoque que definan el alcance, la metodologa y el proceso a entrega de servicios de TI?
monitoreo.
Monitoreo.
seguir para medir la solucin y la entrega de servicios de TI, y 2.- Se establece un enfoque que definan el alcance, la metodologa y el No hay.
0,00
Monitorear la contribucin de TI al negocio. Integrar el marco proceso a seguir para medir la solucin y la entrega de servicios de TI?
de trabajo con el sistema de administracin del desempeo 3.- Se monitorea la contribucin de TI al negocio? No hay. 0,00
corporativo. 4.- Se integra el marco de trabajo de TI con el sistema de administracin No hay.
0,00
del desempeo corporativo?
1.- Se definen un conjunto balanceado de objetivos de desempeo que Si por medio del Balance Score Card, se
ME1.2 - Definicin y Recoleccin de
1,00
van acordes con las metas del negocio? registran los indicadores.
Identificar y recolectar objetivos
2.- Se aprueban los objetivos de desempeo de cada uno de los procesos Si.
medibles que apoyen a los
Mtodo de
Monitoreo.
monitoreo?
I
ME1.3 -
O 1.- Se comparan de forma peridica el desempeo contra las metas? Si por medio del Balanced Scorecard, se
Desempeo.
desempeo
1,00
Evaluacin
R
del
3.- Los reportes de estatus incluyen el grado en el que se han alcanzado Si.
desempeo del portafolio empresarial de programas de 1,00
los entregables obtenidos?
inversin habilitados por TI, niveles de servicio de programas
Ejecutivos.
1,00
evaluacin?
A 3.- Se identifican e inician medidas correctivas basadas en reportes? Si. 1,00
4.- En el seguimiento del monitoreo se incluye: Si.
R a) Una revisin.
ME1.6 - Acciones Correctivas.
b) La negociacin.
1,00
Identificar e iniciar medidas correctivas basadas en el c) Establecimiento de respuestas de administracin
monitoreo del desempeo, evaluacin y reportes. Esto incluye d) Asigancin de responsabilidades por la correccin.
el seguimiento de todo el monitoreo, de los reportes y de las e) Rastreo de los resultados de las acciones comprometidas?
evaluaciones con: Revisin, negociacin y establecimiento 5.- En el seguimiento de los reportes se incluye: Si.
de respuestas de administracin. Asignacin de a) Una revisin.
responsabilidades por la correccin. Rastreo de los b) La negociacin.
1,00
resultados de las acciones comprometidas. c) Establecimiento de respuestas de administracin.
d) Asignacin de responsabilidades por la correccin.
e) Rastreo de los resultados de las acciones comprometidas?
6.- En el seguimiento de las evaluaciones se incluye: Si.
a) Una revisin.
b) La negociacin.
1,00
c) Establecimiento de respuestas de administracin.
d) Asignacin de responsabilidades por la correccin.
e) Rastreo de los resultados de las acciones comprometidas?
114
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
de Control Interno.
Monitorizacin del
Marco de Trabajo
marco de trabajo de control de TI para satisfacer los objetivos 1,00
actividades de
Monitorear y
controlar las
ME2.1 -
ambiente de control de TI y el marco de trabajo de control de 2.- Se compara el ambiente de control de TI y el marco de trabajo de Si.
1,00
TI para satisfacer los objetivos organizacionales. control de TI para satisfacer los objetivos organizacionales?
3.- Se mejora el ambiente de control de TI y el marco de trabajo de control Si.
1,00
de TI para satisfacer los objetivos organizacionales?
1.- Se monitorea la eficiencia y efectividad de los controles internos de Si. Auditora interna ejecuta las auditoras
Crear cuadro
Revisiones de
de mandos.
Auditora.
revisin de la gerencia de TI? informticas y ellos emiten un irforme de lo 1,00
ME2.2 -
1,00
auditados.
para identificar y
1,00
ME2 Monitorear y Evaluar el Control Interno
Control.
evaluacin?
Evaluacin.
Evaluar la completitud y efectividad de los controles de 2.- Se evala la completitud y efectividad de los controles de gerencia No.
gerencia sobre los procesos, polticas y contratos de TI por sobre las polticas de TI por medio de un programa continuo de auto- 0,00
medio de un programa continuo de auto-evaluacin. evaluacin?
3.- Se evala la completitud y efectividad de los controles de gerencia No tienen control de autoevaluacin solo las
sobre los contratos de TI por medio de un programa continuo de auto- auditoras internas y externas. 0,00
evaluacin?
1.- Se obtiene un aseguramiento adicional de la completitud de los Si.
Monitorear el
proceso para
excepciones
remediar las
identificar y
de control.
1,00
miento del
Obtener, segn sea necesario, aseguramiento adicional de la controles internos por medio de revisiones de terceros?
Asegura-
evaluar y
Interno.
ME2.5 -
Control
1,00
los controles operados
Monitorear el proceso
aseguramiento sobre
servicios externos?
M Evaluar el estado de los controles internos de los
para Terceros.
por terceros.
para obtener
2.- Se confirma que los proveedores de servicios externos cumplen con Si.
proveedores de servicios externos. Confirmar que los 1,00
O proveedores de servicios externos cumplen con los
los requerimientos legales?
3.- Se confirma que los proveedores de servicios externos cumplen con Si.
requerimientos legales y regulatorios y obligaciones 1,00
N contractuales.
los requerimientos regulatorios?
4.- Se confirma que los proveedores de servicios externos cumplen con Si.
1,00
I las obligaciones contractuales?
1.- Se identifican acciones correctivas derivadas de los controles de Si.
T evaluacin y los informes?
1,00
ME2.7 - Acciones
interesados clave.
Reportar a los
R
los requerimientos
Identificar, sobre una base continua, leyes locales e estndares, procedimientos y metodologas de TI de la organizacin?
Cumplimientos
Contractuales.
internacionales, regulaciones, y otros requerimientos 2.- Se identifican, sobre una base continua, regulaciones que se deben de Si.
externos que se deben de cumplir para incorporar en las cumplir para incorporar en las polticas, estndares, procedimientos y 1,00
polticas, estndares, procedimientos y metodologas de TI de metodologas de TI de la organizacin?
Y la organizacin. 3.- Se identifican, sobre una base continua, otros requerimientos Si.
externos que se deben de cumplir para incorporar en las polticas, 1,00
estndares, procedimientos y metodologas de TI de la organizacin?
E 1.- Se revisan las polticas, estndares, procedimientos y metodologas de Si.
1,00
Requerimientos Externos.
Evaluar cumplimiento de
ME3 Garantizar el Cumplimiento Regulatorio
TI?
procedimientos de TI.
polticas, estndares y
actividades de TI con
ME3.2 - Optimizar la
de TI?
A metodologas de TI para garantizar que los requisitos legales,
regulatorios y contractuales son direccionados y
3.- Se garantizan que los requisitos legales son direccionados y Si.
1,00
comunicados?
L comunicados. 4.- Se garantizan que los requisitos regulatorios son direccionados y Si.
1,00
comunicados?
U 5.- Se garantizan que los requisitos contractuales son direccionados y Si.
1,00
comunicados?
A 1.- Se verifica el cumplimiento de polticas de TI con los requerimientos Si.
1,00
ME3.3 - Evaluacin del
legales y regulatorios?
Cumplimiento con
R
Crear cuadro de
Requerimientos
de cumplimiento.
Positivo del
ME3.5 - Reportes
1,00
regulatorios con
otras funciones
provenientes e
Integrados.
Integrar los
2.- Se integra los reportes de TI sobre requerimientos regulatorios con las Si, por medio del departamento legal.
regulatorios y contractuales con las salidas similares 1,00
salidas similares provenientes de otras funciones del negocio?
provenientes de otras funciones del negocio.
3.- Se integra los reportes de TI sobre requerimientos contractuales con Si, por medio del departamento legal.
1,00
las salidas similares provenientes de otras funciones del negocio?
1.- Se define el marco de gobierno de TI con la visin completa del Si se lo hace.
1,00
ME4 Proporcionar Gobierno de
1,00
consejo y de los ejecutivos hacia las
Definir, establecer y alinear el marco de gobierno de TI con la entorno de control y Gobierno Corporativo?
visin completa del entorno de control y Gobierno 3.- Se alinea el marco de gobierno de TI con la visin completa del Si.
Corporativo. Basar el marco de trabajo en un adecuado 1,00
entorno de control y Gobierno Corporativo?
actividades de TI.
Gobierno de TI.
proceso de TI y modelo de control y proporcionar la rendicin 4.- Se basa el marco de trabajo en un adecuado proceso de TI? Si. 1,00
de cuentas y prcticas inequvocas para evitar una rotura en
5.- Se basa el marco de trabajo en un adecuado modelo de control? Si.
TI
1,00
el control interno y la revisin. Confirmar que el marco de
gobierno de TI asegura el cumplimiento con las leyes y 6.- El marco de trabajo proporciona la rendicin de cuentas y prcticas Si.
1,00
regulaciones y que esta alineado, y confirma la entrega de, la inequvocas para evitar una rotura en el control interno y la revisin?
estrategia y objetivos empresariales. Informa del estado y 7.- Se aseguran que el marco de gobierno de TI est cumpliendo con las Si.
1,00
cuestiones de gobierno de TI. leyes y regulaciones?
8.- Se aseguran que el marco de gobierno de TI est alineado con las Si.
1,00
leyes y regulaciones?
9.- Se informa del estado y cuestiones de gobierno de TI? Si. 1,00
115
COBIT
ACTIVIDADES DEL
OBJETIVOS DE
CALIFICACIN
PROCESOS
CONTROL
DOMINIO
PROCESO
DETALLE OBJETIVO CONTROL PREGUNTAS RESPUESTAS
Facilitar el entendimiento del consejo directivo y de los 1.- Se da a conocer al consejo directivo sobre temas estratgicos de TI? Solo en parte. 0,50
ejecutivos sobre temas estratgicos de TI tales como el rol de 2.- Se da a conocer a los ejecutivos sobre temas estratgicos de TI?
Revisar, avalar, alinear y comunicar el desempeo
de TI, la estrategia de TI, el manejo de recursos y
Administrar los programas de inversin habilitados con TI, 1.- Se administra los programas de inversin habilitados con TI, as como Si.
1,00
as como otros activos y servicios de TI, para asegurar que otros activos y servicios de TI?
T
Crear cuadro
ofrezcan el mayor valor posible para apoyar la estrategia y 2.- Se implementa un enfoque disciplinado de la administracin del Si.
mandos.
1,00
los objetivos empresariales. Asegurarse de que los resultados portafolio?
O de negocio esperados de las inversiones habilitadas por TI y 3.- El departamento de TI garantiza la optimizacin de los costos por la Si.
ME4 Proporcionar Gobierno de TI
1,00
R el alcance completo del esfuerzo requerido para lograr esos
resultados est bien entendido, que se generen casos de
prestacin de servicios?
4.- El departamento garantiza las capacidades de TI? Si. 1,00
E 1.- Se revisa la inversin de TI por medio de evaluaciones peridicas? Si, por medio del presupuesto y el control
parte de la gerencia de
Resolver los hallazgos
las recomendaciones
presupuestario. 1,00
Administracin de
de la evaluaciones
implantacin por
independientes y
acordadas.
Recursos.
medio de evaluaciones peridicas de las iniciativas y 2.- Se revisa el uso de los activos de TI por medio de evaluaciones Si.
ME4.4 -
de negocio actuales y futuros. 3.- Se revisa la asignacin de los activos de TI por medio de evaluaciones Si.
peridicas? 1,00
Y Trabajar con el consejo directivo para definir el nivel de 1.- Se trabaja con el consejo directivo para definir el nivel de riesgo de TI No.
Generar un reporte de gobierno
0,00
riesgo de TI aceptable por la empresa y obtener garanta aceptable por la empresa?
ME4.5 - Administracin de
razonable que las practicas de administracin de riesgos de 2.- Se aseguran que el riesgo actual de TI no excede el riesgo aceptable de No.
0,00
E TI son apropiadas para asegurar que el riesgo actual de TI no direccin?
Riesgos.
excede el riesgo aceptable de direccin. Introducir las 3.- Se introduce las responsabilidades de administracin de riesgos en la No.
de TI.
empresa? 1,00
A
la estrategia empresarial.
Revisar, avalar, alinear y
TI cumple las expectativas. Donde los objetivos confirmados 2.- Se informa a la alta direccin sobre los portafolios relevantes de TI? Si.
Desempeo.
Independiente.
Aseguramiento
Generar un
reporte de
conformidad de TI con la legislacin y regulacin relevante; 2.- Se garantiza de forma independiente la conformidad de TI con las Si.
ME4.7 -
117
para el cumplimiento aceptable y el porcentaje <60% para el cumplimiento no
aceptable.
ANLISIS:
119
ANLISIS:
120
ANLISIS:
121
RESULTADO DE LOS PROCESOS DEL DOMINIO ADQUIRIR E
IMPLEMENTAR
Con el siguiente grfico se muestra los procesos evaluados en el dominio Adquirir e
Implementar:
ANLISIS:
122
RESULTADO DE LOS PROCESOS DEL DOMINIO ENTREGAR Y DAR
SOPORTE
Se detallan los procesos del dominio Entregar y Dar Soporte los cules han sido
evaluados en el siguiente grfico:
ANLISIS:
Para este anlisis se detallan a continuacin los procesos de menor cumplimiento del
dominio Entregar y Dar Soporte:
123
Administrar los servicios de Terceros, con un 58% el departamento no
cuenta con un control donde se asegure las tareas y responsabilidades de las
terceras partes que estn claramente definidas, que cumplan y satisfagan los
requerimientos del negocio.
Garantizar la Seguridad de los Sistemas, con un 56% est por debajo del
lmite de aceptacin no se salvaguarda la informacin contra uso no
autorizado, divulgacin, modificacin, dao o prdida.
124
Administrar los Problemas, con un 0% no se investigan las causas
subyacentes de las alteraciones de los servicios de TI, que permitan
determinar posibles soluciones de la manera ms eficaz para que no vuelvan a
ocurrir.
125
RESULTADO DE LOS PROCESOS DEL DOMINIO MONITOREAR Y
EVALUAR
El dominio Monitorear y Evaluar se compone de 4 procesos que son evaluados en el
grfico siguiente:
ANLISIS:
126
4.1.2.1.1.4 RESULTADO FINAL DE LA EVALUACIN POR OBJETIVOS
DE CONTROL
127
ANLISIS:
ANLISIS:
Para el anlisis se considera el proceso, debido a que todos los objetivos de control
son de menor cumplimiento indicndonos que el departamento de sistemas debe
128
optar por un diseo estructural en entornos de informacin para facilitar la
comprensin y asimilacin de las interfaces para los usuarios.
ANLISIS:
130
ANLISIS:
131
PROCESO PO5 - ADMINISTRAR LA INVERSION DE TI
ANLISIS:
132
PROCESO PO6 - COMUNICAR LAS ASPIRACIONES Y LA DIRECCIN
DE LA GERENCIA
ANLISIS:
133
PROCESO PO7 - ADMINISTRAR RECURSOS HUMANOS DE TI
ANLISIS:
ANLISIS:
La evaluacin de cada objetivo de control refleja que cinco de los seis objetivos de
este proceso, tienen el menor porcentaje de cumplimiento y son:
136
PROCESO PO9 - EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI
ANLISIS:
En este proceso los seis objetivos de control que lo conforman tienen un menor
porcentaje de cumplimiento, lo cual se detalla a continuacin:
138
PROCESO PO10 - ADMINISTRAR PROYECTOS
ANLISIS:
139
DOMINIO ADQUIRIR E IMPLEMENTAR
ANLISIS:
De los cuatro objetivos de control que conforman este proceso solo uno, que
corresponde al Estudio de Factibilidad y Formulacin de Cursos de Accin
Alternativos tiene un 0% lo que indica que no realizan estudios de factibilidad para
la implementacin de requerimientos como se define en los estndares de desarrollo
y tampoco identifican soluciones alternas que sean rentables para la organizacin.
140
PROCESO AI2 - ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
ANLISIS:
La evaluacin de cada uno de los 10 objetivos que conforman este proceso revela
que tres de ellos obtuvieron menor porcentaje de cumplimiento y son:
Diseo de Alto Nivel, con un 38% indica que para la adquisicin de software,
no se tiene en cuenta las directivas tecnolgicas y la arquitectura de
informacin de la organizacin y que la incompatibilidad tcnica o lgica no
es evaluada.
ANLISIS:
Este proceso est conformado por cuatro objetivos de control de los cuales el de
menor cumplimiento es el que corresponde al Mantenimiento de la Infraestructura
que obtuvo un 50% lo que implica que no tienen un plan de mantenimiento bien
definido en lo referente al control de cambios en la infraestructura tecnolgica que
garantice que las aplicaciones crticas de la empresa se vean afectadas en su
desempeo.
142
PROCESO AI4 - FACILITAR LA OPERACIN Y EL USO
Facilitar la operacin y el uso hace referencia a cuatro objetivos de control los cuales
no todos pasan el porcentaje de cumplimiento, en el siguiente grfico se detalla el
porcentaje de cumplimiento.
ANLISIS:
143
usuario y de operacin, as como entrenamiento necesario al personal
involucrado incluyendo la gerencia, para el correcto uso del sistema. La base
de conocimientos est en proceso.
ANLISIS:
La valoracin de los cuatro objetivos de control de este proceso nos revela que todos
los objetivos superan el porcentaje aceptable de cumplimiento, lo que refleja que se
aplican polticas y procedimientos para la adquisicin de las TI y que la relacin con
los proveedores se maneja en forma estratgica cuidando todos los aspectos.
144
PROCESO AI6 - ADMINISTRAR CAMBIOS
ANLISIS:
De los cinco objetivos de control que conforman este proceso, dos no alcanzan el
porcentaje aceptable de cumplimiento y son:
145
PROCESO AI7 - INSTALAR Y ACREDITAR SOLUCIONES Y CAMBIOS
ANLISIS:
Este proceso est compuesto de nueve objetivos de control, cinco de los cuales
obtuvieron un porcentaje de menor cumplimiento y son:
146
Ambiente de Prueba, con un 50% implica que aunque cuentan con un
ambiente de prueba, este no est basado en un estndar pero si cuidan de no
afectar los datos.
Pruebas de Cambio, con un 33% muestra que a pesar que en las pruebas de
cambio se considera la seguridad y el desempeo el no contar con un plan de
pruebas las acciones que se tomen son inconsistentes.
147
DOMINIO ENTREGAR Y DAR SOPORTE
ANLISIS:
De los seis objetivos de control que conforman el proceso Definir y Administrar los
niveles de servicio, los de menor cumplimiento son los cinco que se detallan a
continuacin:
148
Acuerdos de Niveles de Servicios, con un 50% muestra que a pesar de que a
nivel de aplicaciones cuentan con SLAs, no es suficiente para asegurar la
alineacin de TI con los objetivos del negocio.
149
PROCESO DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS
ANLISIS:
Monitoreo del Desempeo del Proveedor, con un 50% que indica que se
monitorea el desempeo del proveedor aunque no existe un proceso definido.
150
PROCESO DS3 ADMINISTRAR EL DESEMPEO Y LA CAPACIDAD
ANLISIS:
152
PROCESO DS4 GARANTIZAR LA CONTINUIDAD DEL SERVICIO
ANLISIS:
En este anlisis se consideran los objetivos de control crticos del proceso, los cuales
se detallan a continuacion:
Distribucin del Plan de Continuidad de TI, con un 50% determina que las
reuniones que se realizan con el departamento de desarrollo organizacional
para definir estrategias en caso de emergencia, cumplen a medias con lo que
significa contar con un plan de continuidad probado y debidamente
comunicado.
154
PROCESO DS5 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
ANLISIS:
156
PROCESO DS6 IDENTIFICAR Y ASIGNAR COSTOS
ANLISIS:
En los cuatro objetivos de control que conforman este proceso se identific que el de
menor cumplimiento es:
DS6.1 Definicin de Servicios con un 50% indica que se los costos de TI son
identificados en trminos globales pero no estn clasificados.
157
PROCESO DS7 EDUCAR Y ENTRENAR A LOS USUARIOS
ANLISIS:
Este proceso consta de tres objetivos de control y en la evaluacin los que obtuvieron
el menor cumplimiento son:
ANLISIS:
Se evalu cada objetivo de este proceso determinando que los que obtuvieron el
menor porcentaje de cumplimiento son:
159
Cierre de Incidentes, con un 0% nos revela que los incidentes no son
registrados apropiadamente y tampoco se confirma cual fue la accin tomada
y acordada con el cliente.
160
ANLISIS:
161
PROCESO DS10 ADMINISTRAR LOS PROBLEMAS
ANLISIS:
162
PROCESO DS11 ADMINISTRAR LOS DATOS
ANLISIS:
163
Acuerdos de Almacenamiento y Conservacin, con un 50% relaciona que
no existen procedimientos para el archivo, almacenamiento y retencin de los
datos, solo se hacen respaldos de informacin y nicamente lo que indica el
usuario cuando realizan mantenimiento.
164
PROCESO DS12 ADMINISTRAR EL AMBIENTE FSICO
ANLISIS:
165
PROCESO DS13 ADMINISTRAR LAS OPERACIONES
ANLISIS:
Los objetivos de menor cumplimiento de este proceso son los que se detallan a
continuacin:
166
Monitoreo de la Infraestructura de TI, con un 0% revela la falta de
procedimientos definidos ya que de manera emprica realizan el monitoreo de
la infraestructura de TI.
167
DOMINIO MONITOREAR Y EVALUAR
ANLISIS:
168
PROCESO ME2 - MONITOREAR Y EVALUAR EL CONTROL INTERNO
ANLISIS:
169
PROCESO ME3 - GARANTIZAR EL CUMPLIMIENTO REGULATORIO
ANLISIS:
Se puede verificar que despus del anlisis desarrollado en este proceso, los objetivos
de control que lo conforman cumplen con el 100% lo que indica que por medio del
departamento legal de la empresa se toman todas las medidas para garantizar el
cumplimiento con las regulaciones internas y externas.
170
PROCESO ME4 - PROPORCIONAR GOBIERNO DE TI
ANLISIS:
Los objetivos de control con menor porcentaje de cumplimiento en este proceso son:
En el grfico se puede verificar que solo estn detallados todos los objetivos crticos
que tienen un porcentaje de 0% de los cuales se dieron a conocer al jefe del
departamento de TI quien escogi cinco de estos objetivos para que sean
desarrolladas las polticas.
ANLISIS:
175
internas o externas, pero siempre sern constantes y pueden ocurrir en cualquier
momento, el objetivo es impedir impactos al negocio.
ANLISIS:
ANLISIS:
Para segmentar los niveles de riesgo/sensibilidad se realiz una tabla donde se ubic
los valores repetidos de la multiplicacin de amenazas/objetos de mayor a menor con
el nmero de repeticiones, adems el nmero total de celdas de la matriz. Para dividir
las celdas en regiones de mayor, mediano y menor riesgo se realiz la resta del total
de celdas con el total de las repeticiones dividido para cuatro (= ((48-12)/4)), dando
un total de nueve (9) para determinar los siguientes rangos:
178
ALTO RIESGO = De 1 a 9 celdas
En la siguiente tabla se verifica las reas de alto, mediano y bajo riesgos clasificados
por color:
Nota: Las celdas con valor repetido se las considera una sola vez para la numeracin
de los niveles de riesgo.
179
ANLISIS:
180
POLTICA PARA EL MONITOREO DE Cdigo:
TENDENCIAS Y REGULACIONES FUTURAS XXX-GG-TI-P005
TECNOLOGA DE LA INFORMACIN Versin: 1
Pgina 1 de 1
I. OBJETIVO
II. ALCANCE
III. POLTICAS
181
POLTICA DEL COMIT ESTRATGICO Cdigo:
DE TI XXX-GG-TI-P005
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pgina 1 de 2
I. OBJETIVO
II. ALCANCE
III. POLTICAS
I. OBJETIVO
II. ALCANCE
III. POLTICAS
d) Regular todas las adquisiciones bajo contratos que estipulen todo tipo de
pruebas y revisiones antes de ser aceptadas.
I. OBJETIVO
II. ALCANCE
III. POLTICAS
186
POLTICA PARA RECURSOS CRTICOS Cdigo:
DE TI XXX-GG-TI-P005
Versin: 1
TECNOLOGA DE LA INFORMACIN
Pagina 1 de 1
I. OBJETIVO
II. ALCANCE
III. POLTICAS
187
CONCLUSIONES y RECOMENDACIONES
CONCLUSIONES
Se concluye que los objetivos de control son necesarios para garantizar el correcto
funcionamiento, la calidad de los resultados y la mejora continua de las operaciones
as como tambin para detectar debilidades y riesgos potenciales de cada proceso del
departamento.
188
RECOMENDACIONES
Proteccin de datos.
189
ANEXOS
Relacionar las metas del negocio con las de PO1.1 - Administracin del Valor
0,17 90%
TI. de TI.
Relacionar las metas del negocio con las de PO1.2 - Alineacin de TI con el
0,17 50%
TI. Negocio.
Identificar dependencias crticas y desempeo PO1.3 - Evaluacin del Desempeo
TI
0,17 100%
actual. y la Capacidad Actual.
Construir un plan estratgico para TI. PO1.4 - Plan Estratgico de TI. 0,17 100%
Construir planes tcticos para TI. PO1.5 - Planes Tcticos de TI. 0,16 100%
Analizar portafolios de programas y
PO1.6 - Administracin del
administrar portafolios de servicios y 0,16 100%
Portafolio de TI.
proyectos.
Crear y mantener modelo de informacin PO2.1 - Modelo de Arquitectura de
0,25 47%
corporativo/empresarial. Informacin Empresarial.
PO2 - Definir la Arquitectura de la
191
EVALUACIN POR CONTROLES - COBIT
PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
incluyendo comits y ligas a los interesados y PO4.5 - Estructura Organizacional. 0,07 100%
proveedores.
Establecer e implantar roles y
PO4.6 - Establecimiento de Roles y
responsabilidades de TI, incluida la 0,07 100%
Responsabilidades.
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.7 - Responsabilidad de
responsabilidades de TI, incluida la 0,07 0%
Aseguramiento de Calidad de TI.
supervisin y segregacin de funciones.
Establecer e implantar roles y PO4.8 - Responsabilidad sobre el
responsabilidades de TI, incluida la Riesgo, la Seguridad y el 0,07 14%
supervisin y segregacin de funciones. Cumplimiento.
Establecer e implantar roles y
PO4.9 - Propiedad de Datos y de
responsabilidades de TI, incluida la 0,07 33%
Sistemas.
supervisin y segregacin de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.10 - Supervisin. 0,07 100%
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.11 - Segregacin de
responsabilidades de TI, incluida la 0,07 100%
Funciones.
supervisin y segregacin de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.12 - Personal de TI. 0,07 100%
supervisin y segregacin de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.13 - Personal Clave de TI. 0,07 100%
supervisin y segregacin de funciones.
Establecer e implantar roles y
PO4.14 - Polticas y Procedimientos
responsabilidades de TI, incluida la 0,07 100%
para Personal Contratado.
supervisin y segregacin de funciones.
Establecer e implantar roles y
responsabilidades de TI, incluida la PO4.15 - Relaciones. 0,07 50%
supervisin y segregacin de funciones.
192
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
PO6 - Comunicar las Aspiraciones y la PO5 - Administrar la Inversin en Dar mantenimiento al portafolio de programas PO5.1 - Marco de Trabajo para la
0,20 100%
de inversin. Administracin Financiera.
PO5.2 Prioridades dentro del
Dar mantenimiento al portafolio de proyectos. 0,20 33%
Presupuesto de TI.
193
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
Definir un sistema de administracin de PO8.1 - Sistema de Administracin
0,17 50%
PO8 - Administrar la Calidad calidad. de Calidad.
Establecer y mantener un sistema de PO8.2 - Estndares y Prcticas de
0,17 50%
administracin de calidad. Calidad.
Crear y comunicar estndares de calidad a PO8.3 - Estndares de Desarrollo y
0,17 13%
toda la organizacin. de Adquisicin.
Crear y comunicar estndares de calidad a PO8.4 - Enfoque en el Cliente de
0,17 83%
toda la organizacin. TI.
Crear y administrar el plan de calidad para la
PO8.5 - Mejora Continua. 0,16 0%
mejora continua.
Medir, monitorear y revisar el cumplimiento PO8.6 - Medicin, Monitoreo y
0,16 0%
de las metas de calidad. Revisin de la Calidad.
Evaluar y seleccionar respuestas a riesgo. PO9.5 - Respuesta a los Riesgos. 0,16 17%
194
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
Definir e implementar mtodos de PO10.5 - Declaracin de Alcance
0,07 100%
aseguramiento y revisin de proyectos. del Proyecto.
Definir e implementar mtodos de PO10.6 - Inicio de las Fases del
0,07 100%
aseguramiento y revisin de proyectos. Proyecto.
Definir e implementar mtodos de PO10.7 - Plan Integrado del
0,07 100%
aseguramiento y revisin de proyectos. Proyecto.
PO10 - Administrar Proyectos
195
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
operativa. Operacin.
AI4.2 - Transferencia de
Desarrollar metodologa de transferencia de
Conocimiento a la Gerencia del 0,25 100%
conocimiento.
Negocio.
Desarrollar manuales de procedimiento del
usuario final. * Evaluar los resultados del AI4.3 - Transferencia de
0,25 100%
entrenamiento y ampliar la documentacin Conocimiento a Usuarios Finales.
como se requiera.
Desarrollar documentacin de soporte tcnica AI4.4 - Transferencia de
para operaciones y personal de soporte. * Conocimiento al Personal de 0,25 57%
Desarrollar y dar entrenamiento. Operaciones y Soporte.
adquisicin de TI de acuerdo con las polticas AI5.1 - Control de Adquisicin. 0,25 67%
de adquisiciones a nivel corporativo.
197
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
valoracin de riesgo.
Identificar y categorizar los recursos de TI con DS4.4 - Mantenimiento del Plan de
0,10 100%
base a los objetivos de recuperacin. Continuidad de TI.
Definir y ejecutar procedimientos de control
DS4.5 - Pruebas del Plan de
de cambios para asegurar que el plan de 0,10 50%
Continuidad de TI.
continuidad sea vigente.
Probar regularmente el plan de continuidad de DS4.6 - Entrenamiento del Plan de
0,10 20%
TI. Continuidad de TI.
Desarrollar un plan de accin a seguir con DS4.7 - Distribucin del Plan de
0,10 50%
base en los resultados de las pruebas. Continuidad de TI.
DS4.9 - Almacenamiento de
Planear la recuperacin y reanudacin de los
Respaldos Fuera de las 0,10 30%
servicios de TI.
Instalaciones.
Planear e implementar el almacenamiento y la
proteccin de respaldos. Establecer los DS4.10 - Revisin Post
0,10 50%
procedimientos para llevar a cabo revisiones Reanudacin.
post reanudacin.
Definir, establecer y operar un proceso de DS5.1 - Administracin de la
0,09 30%
administracin de identidad (cuentas). Seguridad de TI.
Definir y mantener un plan de seguridad de TI. DS5.2 - Plan de Seguridad de TI. 0,09 50%
potenciales. Identidad.
Revisar y validar peridicamente los
DS5.4 - Administracin de Cuentas
privilegios y derechos de acceso de los 0,09 0%
del Usuario.
usuarios.
Establecer y mantener procedimientos para
DS5.5 - Pruebas, Vigilancia y
mantener y salvaguardar las llaves 0,09 60%
Monitoreo de la Seguridad.
criptogrficas.
Implementar y mantener controles tcnicos y
DS5.6 - Definicin de Incidente de
de procedimientos para proteger el flujo de 0,09 0%
Seguridad.
informacin a travs de la red.
Realizar evaluaciones de vulnerabilidad de DS5.7 - Proteccin de la Tecnologa
0,09 50%
manera regular. de Seguridad.
Realizar evaluaciones de vulnerabilidad de DS5.8 - Administracin de Llaves
0,09 100%
manera regular. Criptogrficas.
Establecer y mantener procedimientos para
DS5.9 - Prevencin, Deteccin y
mantener y salvaguardar las llaves 0,09 100%
Correccin de Software Malicioso.
criptogrficas.
Monitorear incidentes de seguridad, reales y
DS5.10 - Seguridad de la Red. 0,09 100%
potenciales.
DS5.11 - Intercambio de Datos
Definir y mantener un plan de seguridad de TI. 0,10 50%
Sensitivos.
198
EVALUACIN POR CONTROLES - COBIT
PROCESOS ACTIVIDADES DEL PROCESO OBJETIVOS DE CONTROL PESO %
DS7.1 - Identificacin de
Identificar y categorizar las necesidades de
Necesidades de Entrenamiento y 0,33 57%
capacitacin de los usuarios.
Educacin.
DS7.2 - Imparticin de
usuarios
(funcional y jerrquico).
Detectar y registrar incidentes/solicitudes de DS8.2 - Registro de Consultas de
0,20 100%
servicio/solicitudes de informacin. Clientes.
DS9.2 - Identificacin y
Recopilar informacin sobre la configuracin
Mantenimiento de Elementos de 0,33 0%
inicial y establecer lneas base.
Configuracin.
Verificar y auditar la informacin de la
configuracin (incluye la deteccin del DS9.3 - Revisin de Integridad de la
0,34 33%
software no autorizado). Actualizar el Configuracin.
repositorio de configuracin.
199
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
DS10.1 - Identificacin y
DS10 Administrar los Identificar y clasificar problemas.
Clasificacin de Problemas
0,25 0%
problemas DS10.2 - Rastreo y Resolucin de
Realizar anlisis de causa raz. 0,25 0%
Problemas
Resolver problemas. Revisar el estatus de
DS10.3 - Cierre de Problemas 0,25 0%
problemas.
Emitir recomendaciones para mejorar y crear DS10.4 - Integracin de las
una solicitud de cambio relacionada. Mantener Administraciones de Cambios, 0,25 0%
registros de los problemas. Configuracin y Problemas.
Traducir los requerimientos de DS11.1 - Requerimientos del
almacenamiento y conservacin a Negocio para Administracin de 0,17 25%
procedimientos. Datos.
DS11 Administrar los datos
200
EVALUACIN POR CONTROLES - COBIT
PROCES OS ACTIVIDADES DEL PROCES O OBJETIVOS DE CONTROL PES O %
0,14 100%
control interno de TI. de Trabajo de Control Interno.
201
ANEXO 3: RESUMEN DE OBJETIVOS DE CONTROL DE MENOR
CUMPLIMIENTO
OBJETIVOS DE CONTROL %
PO1.2 - Alineacin de TI con el Negocio 50%
PO2.1 - Modelo de Arquitectura de Informacin Empresarial 47%
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificacin de Datos 0%
PO2.4 - Administracin de Integridad 25%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comit Estratgico de TI 0%
PO4.3 - Comit Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO4.8 - Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento 14%
PO4.9 - Propiedad de Datos y de Sistemas 33%
PO4.15 - Relaciones 50%
PO5.2 - Prioridades dentro del Presupuesto de TI 33%
PO5.5 - Administracin de Beneficios 33%
PO6.5 - Comunicacin de los Objetivos y la Direccin de TI 50%
PO7.4 - Entrenamiento del Personal de TI 0%
PO7.5 - Dependencia Sobre los Individuos 50%
PO8.1 - Sistema de Administracin de Calidad 50%
PO8.2 - Estndares y Prcticas de Calidad. 50%
PO8.3 - Estndares de Desarrollo y de Adquisicin 13%
PO8.5 - Mejora Continua 0%
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad 0%
PO9.1 - Marco de Trabajo de Administracin de Riesgos 50%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
PO9.3 - Identificacin de Eventos 50%
PO9.4 - Evaluacin de Riesgos de TI 50%
PO9.5 - Respuesta a los Riesgos 17%
PO9.6 - Mantenimiento y Monitoreo de un Plan de Accin de Riesgos 50%
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos 0%
AI2.1 - Diseo de Alto Nivel 38%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI2.10 - Mantenimiento de Software Aplicativo 50%
AI3.3 - Mantenimiento de la Infraestructura 50%
AI4.1 - Plan para Soluciones de Operacin 50%
AI4.4 - Transferencia de Conocimiento al Personal de Operaciones y Soporte 57%
AI6.3 - Cambios de Emergencia 33%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.1 - Entrenamiento 30%
AI7.2 - Plan de Prueba 30%
AI7.4 - Ambiente de Prueba 50%
AI7.5 - Conversin de Sistemas y Datos 0%
AI7.6 - Pruebas de Cambios 33%
202
OBJETIVOS DE CONTROL DE MENOR CUMPLIMIENTO
OBJETIVOS DE CONTROL %
DS1.1 - Marco de Trabajo de la Administracin de los Niveles de Servicio 21%
DS1.3 - Acuerdos de Niveles de Servicio 50%
DS1.4 - Acuerdos de Niveles de Operacin 50%
DS1.5 - Monitoreo y Reporte del Cumplimento de los Niveles de Servicio 50%
DS1.6 - Revisin de los Acuerdos de Niveles de Servicio y de los Contratos 50%
DS2.1 - Identificacin de Todas las Relaciones con Proveedores 13%
DS2.4 - Monitoreo del Desempeo del Proveedor 50%
DS3.2 - Capacidad y Desempeo Actual 0%
DS3.3 - Capacidad y Desempeo Futuros 0%
DS3.4 - Disponibilidad de Recursos de TI 50%
DS3.5 - Monitoreo y Reporte 50%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Crticos de TI 0%
DS4.5 - Pruebas del Plan de Continuidad de TI 50%
DS4.6 - Entrenamiento del Plan de Continuidad de TI 20%
DS4.7 - Distribucin del Plan de Continuidad de TI 50%
DS4.8 - Recuperacin y Reanudacin de los Servicios de TI 25%
DS4.9 - Almacenamiento de Respaldos Fuera de las Instalaciones 30%
DS4.10 - Revisin Post Reanudacin 50%
DS5.1 - Administracin de la Seguridad de TI 30%
DS5.2 - Plan de Seguridad de TI 50%
DS5.4 - Administracin de Cuentas del Usuario 0%
DS5.6 - Definicin de Incidente de Seguridad 0%
DS5.7 - Proteccin de la Tecnologa de Seguridad 50%
DS5.11 - Intercambio de Datos Sensitivos 50%
DS6.1 - Definicin de Servicios 50%
DS7.1 - Identificacin de Necesidades de Entrenamiento y Educacin 57%
DS7.3 - Evaluacin del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS8.5 - Anlisis de Tendencias 50%
DS9.1 - Repositorio y Lnea Base de Configuracin 25%
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin 0%
DS9.3 - Revisin de Integridad de la Configuracin 33%
DS10.1 - Identificacin y Clasificacin de Problemas 0%
DS10.2 - Rastreo y Resolucin de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas 0%
DS11.1 - Requerimientos del Negocio para Administracin de Datos 25%
DS11.2 - Acuerdos de Almacenamiento y Conservacin 50%
DS11.3 - Sistema de Administracin de Libreras de Medios 0%
DS11.4 - Eliminacin 0%
DS11.5 - Respaldo y Restauracin 50%
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos 0%
DS12.5 - Administracin de Instalaciones Fsicas 50%
DS13.1 - Procedimientos e Instrucciones de Operacin 50%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
DS13.4 - Documentos Sensitivos y Dispositivos de Salida 50%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluacin 0%
ME4.2 - Alineamiento Estratgico 38%
ME4.5 - Administracin de Riesgos 0%
OBJETIVOS DE CONTROL %
PO2.2 - Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos 0%
PO2.3 - Esquema de Clasificacin de Datos 0%
PO3.3 - Monitoreo de Tendencias y Regulaciones Futuras 0%
PO3.5 - Consejo de Arquitectura de TI 0%
PO4.2 - Comit Estratgico de TI 0%
PO4.3 - Comit Directivo de TI 0%
PO4.7 - Responsabilidad de Aseguramiento de Calidad de TI 0%
PO7.4 - Entrenamiento del Personal de TI 0%
PO8.5 - Mejora Continua 0%
PO8.6 - Medicin, Monitoreo y Revisin de la Calidad 0%
PO9.2 - Establecimiento del Contexto del Riesgo 0%
AI1.3 - Estudio de Factibilidad y Formulacin de Cursos de Accin Alternativos 0%
AI2.8 - Aseguramiento de la Calidad del Software 0%
AI6.4 - Seguimiento y Reporte del Estatus de Cambio 0%
AI7.5 - Conversin de Sistemas y Datos 0%
DS3.2 - Capacidad y Desempeo Actual 0%
DS3.3 - Capacidad y Desempeo Futuros 0%
DS4.2 - Planes de Continuidad de TI 0%
DS4.3 - Recursos Crticos de TI 0%
DS5.4 - Administracin de Cuentas del Usuario 0%
DS5.6 - Definicin de Incidente de Seguridad 0%
DS7.3 - Evaluacin del Entrenamiento Recibido 0%
DS8.1 - Mesa de Servicios 0%
DS8.3 - Escalamiento de Incidentes 0%
DS8.4 - Cierre de Incidentes 0%
DS9.2 - Identificacin y Mantenimiento de Elementos de Configuracin 0%
DS10.1 - Identificacin y Clasificacin de Problemas 0%
DS10.2 - Rastreo y Resolucin de Problemas 0%
DS10.3 - Cierre de Problemas 0%
DS10.4 - Integracin de las Administraciones de Cambios, Configuracin y Problemas 0%
DS11.3 - Sistema de Administracin de Libreras de Medios 0%
DS11.4 - Eliminacin 0%
DS11.6 - Requerimientos de Seguridad para la Administracin de Datos 0%
DS13.3 - Monitoreo de la Infraestructura de TI 0%
ME1.1 - Enfoque del Monitoreo 0%
ME2.4 - Control de Auto Evaluacin 0%
ME4.5 - Administracin de Riesgos 0%
204
ANEXO 5: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI
(A)
ANALISIS DE RIESGO DE TI
Objetivo general: Identificar las causas de los riesgos potenciales, en el rea de TI y cuantificarlos para que la gerencia pueda tener informacin suficiente
al respecto y optar por el diseo e implantacin de los controles correspondientes a fin de minimizar los efectos de las causas de los riesgos, en los diferente
puntos de anlisis.
En conjunto con la Jefe de TI se han identificado las amenazas y los objetos. Para categorizar los riesgos se utilizar el mtodo matricial
Amenazas Objetos
Prdida de datos Archivos de base de datos
Desastre fsico Computadoras/Discos
Robo Programas
Errores Terminal de operacin
Acceso ilegal Reportes
Violacin de privacidad Circuitos de comunicacin
Terminales
Infraestructura
Anlisis de Amenazas
Prdida de Prdida de
datos datos
Desastre
Desastre fsico
fsico
Robo Robo
Errores Errores
Violacin de Violacin de
privacidad privacidad
205
ANEXO 6: FORMATO DE APLICACIN ANLISIS DE RIESGOS DE TI
(B)
Anlisis de Objetos
Archivos de Archivos de
base de datos base de datos
Computadoras/ Computadoras
Discos /Discos
Programas Programas
Terminal de Terminal de
operacin operacin
Reportes Reportes
Circuitos de Circuitos de
comunicacin comunicacin
Terminales Terminales
Infraestructura Infraestructura
Nota: Si los evaluadores consideran que existen otras amenazas y objetos que los enlistados, pueden incrementarlos en la matriz para el anlisis de riesgo y
aplicar la evaluacin
206
ANEXO 7: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (1)
207
ANEXO 8: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (2)
208
ANEXO 9: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (3)
209
ANEXO 10: APLICACIN ANLISIS DE RIESGOS EN EL
DEPARTAMENTO DE SISTEMAS (4)
210
BIBLIOGRAFA
IT Governance Institute. (2007). COBIT 4.1, Pgs. 6, 9, 12, 13, 19, 29 , 33,
37, 41, 47, 51, 55, 59, 63, 67, 73, 77, 81, 85, 89, 93, 97, 101, 105, 109, 113,
117, 121, 125, 129, 133, 137, 141, 145, 149, 153, 157, 161, 165, Rolling
Meadows,EE.UU.: IT Governance Institute.
211
DEFINICIONES DE TRMINOS
AD HOC: Es una locucin latina que significa literalmente para esto. Se refiere a
una solucin elaborada especficamente para un problema o fin preciso.
212
DELPHI: Es una metodologa de investigacin multidisciplinaria para la realizacin
de pronsticos y predicciones.
HOST: Se refiere a las computadoras conectadas a una red, que proveen y utilizan
servicios de ella.
214
PROCESO: Por lo general, un conjunto de procedimientos influenciados por las
polticas y estndares de la organizacin.
QMS: Asegurar las funciones de una organizacin eficiente y ofrecer sus objetivos
de negocio, incluyendo el cumplimiento de los requisitos del cliente.
STAKEHOLDERS: Son las personas a quienes pueden afectar o son afectados por
las actividades de una empresa.
215