Está en la página 1de 28

PROYECTO FINAL GERENCIA Y AUDITORIA DE REDES

JEAN KEVIN TRIANA ROJAS


COD. 20151678004

LUIS FELIPE TRIVIÑO PAREDES


COD. 20152678009

DIEGO ANDRES MATIZ TRIANA


COD. 20152678017

JONATHAN ORTEGON RUIZ


COD. 20152678033

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS


FACULTAD TECNOLÓGICA
GERENCIA Y AUDITORIA DE REDES
BOGOTA D.C.
2017
PROYECTO FINAL GERENCIA Y AUDITORIA DE REDES

JEAN KEVIN TRIANA ROJAS


COD. 20151678004

LUIS FELIPE TRIVIÑO PAREDES


COD. 20152678009

DIEGO ANDRES MATIZ TRIANA


COD. 20152678017

JHONATAN ORTEGON RUIZ


COD. 20152678033

PRESENTADO A:

ING. MIGUEL ÁNGEL LEGUIZAMÓN PAEZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS


FACULTAD TECNOLÓGICA
GERENCIA Y AUDITORIA DE REDES
BOGOTA D.C.
2017
TABLA DE CONTENIDO

TABLA DE CONTENIDO 3

INTRODUCCIÓN 4

2. OBJETIVOS 5
2.1 Objetivo General 5
2.2 Objetivos específicos 5

3. JUSTIFICACIÓN 6

4. DESARROLLO DEL TRABAJO 7


4.1 Amenazas 7
4.1.1 Clasificación de las amenazas 7
4.1.2 Clasificación de los escenarios de riesgo 7
4.1.3 Amenazas de tipo interno 8
4.1.4 Amenazas de tipo externo 10
4.2 Análisis de Procesos 12
4.2.1 Dominios y Niveles de Madurez Según COBIT 12
4.2.1.1 Dominios de COBIT 12
4.2.1.2 Niveles de madurez 13
4.2.2 Ejecución de la auditoría 14
Dominio 1: Comunicación de los objetivos y directivas de la gerencia. 14
Dominio 2: Adquisición y Mantenimiento de la infraestructura tecnológica. 15
Dominio 3: Educacion y capacitacion de los usuarios 16
Dominio 4: Monitorear y evaluar. 17
4.2.3 Informe de auditoría 18

5. CONCLUSIONES 27

BIBLIOGRAFÍA 28
INTRODUCCIÓN

Hoy en día las TI forman parte integral de todas las empresas independientemente de la
naturaleza de la misma y las actividades a las cuales se dedique, facilitando el desarrollo
de sus procesos y el alcanzar los objetivos de negocio propuestos de cada organización.

La evaluación de los requerimientos del negocio, los recursos y procesos de TI, son
bastante importantes para el buen funcionamiento de una compañía y para el
aseguramiento de su éxito en el mercado, para ello cada organización debe velar porque
cada procesos se lleve a cabo de manera eficiente, esta validación puede llevarse a cabo
mediante auditorías internas las cuales permiten recoger, agrupar y evaluar evidencias
mediante las cuales se determina si los procesos definidos y la tecnología seleccionada
mantienen la integridad de la información y promueven el cumplimiento eficaz de los fines
de la organización.

En el presente documento se realiza la aplicación de una auditoría basada en COBIT al


área de TI de la empresa Linktic, con el objetivo de determinar amenazas y fortalezas en los
procesos que ejecuta, a fin de conocer los posibles factores que atenten contra el desarrollo
regular y eficiente de sus actividades.
2. OBJETIVOS

2.1 Objetivo General

Realizar el diagnóstico del área de TI de la empresa Linktic por medio de una auditoría,
basado en los dominios y proceso establecidos en COBIT.

2.2 Objetivos específicos

● Conocer la situación actual de la empresa en el área de TI.

● Identificar las amenazas tanto internas como externas que pueden afectar el área de
TI de la empresa

● Gestionar un plan de auditoría teniendo en cuenta los dominios y proceso


establecidos por COBIT

● Generar los resultados de la auditoría realizada para que sean estudiados por la alta
gerencia de la empresa.
3. JUSTIFICACIÓN

Es de suma importancia realizar una auditoría por lo menos una vez al año para conocer el
estado de los procesos de la organización, y determinar que se está haciendo bien y en que
se está fallando para tomar las respectivas medidas correctivas y poder generar una mejora
continua sin tener que ser alertados por que se evidencian gastos excesivos,
incumplimiento de proyectos, quejas de los clientes, alta rotación de recursos humanos y
cuando los resultados se alejan de los que la empresa espera.

Gracias a la auditoría se puede determinar el grado de madurez de los procesos del área
de TI de la empresa Linktic, además cuáles son las amenazas tanto internas como externas
que pueden impedir su buen desempeño y así poder realizar un análisis que permita la
toma de decisiones por parte de la alta gerencia.
4. DESARROLLO DEL TRABAJO

4.1 Amenazas

4.1.1 Clasificación de las amenazas


Tanto para las amenazas internas como externas se tendrá en cuenta el siguiente cuadro
para realizar la calificación del impacto de la amenaza:

Impacto Descripción

Alto La materialización de la amenaza representa un


problema grave para la empresa, incluso con
implicaciones legales y/o jurídicas, financieras o
de imagen.

Medio La materialización de la amenaza puede llegar


a impedir el desempeño normal de las
actividades y labores.

Bajo La materialización de la amenaza no supone


efectos en la empresa a nivel general.
Fuente: Los autores

4.1.2 Clasificación de los escenarios de riesgo


Escenarios de riesgo para diseñar los controles generales y administrativos de la
informática:
1. Planeación de la informática
2. Organización del departamento de informática
3. Seguridad física y respaldo
4. Seguridad de archivos, datos y programas
5. Operación en los centros de procesamiento
6. Desarrollo de sistemas
7. Auditabilidad de los sistemas
8. Eficiencia de los sistemas

Escenarios de riesgo para diseñar los controles en aplicaciones de computador:


1. Origen y preparación de datos
2. Captura y validación de datos
3. Procesamiento y actualización de datos
4. Salidas de la actualización
5. Integridad del sistema y de los datos
6. Acceso a seguridad de los programas
7. Acceso a seguridad de los archivos de datos
8. Cambios a los programas de la aplicación
9. Backup y recuperación
10. Terminales y comunicación de datos
11. Documentación técnica y del usuario
12. Auditabilidad de la aplicación

4.1.3 Amenazas de tipo interno

DEFINICIÓN DE AMENAZA

Escenario de Riesgo​: Departamento de informática

Actividad Sujeta a Control​: Si

Descripción de la Amenaza​.

Código​: 001

Descripción Corta​: Planificación

Calificación del Impacto de la Amenaza​: Medio

Descripción Detallada​.
Errores en la planificación de tiempos de desarrollo.

Complementar la descripción​.
No se están dando los tiempos necesarios o coherentes para el desarrollo de actividades,
hace falta un cronograma claro para los proyectos.

Ejemplo​:
No se estima el tiempo de desarrollo basado en la experiencia de los ingenieros. Esto no
se hace en el momento en que son asignadas las tareas a los demás desarrolladores e
ingenieros

Controles Necesarios

Preventivo: crear un cronograma con si liado entre el usuarios finales y los ingenieros de
más experiencia coherente y justo para todas las partes.
Detectivo: verificar el avance de las actividades contra el cronograma en reuniones
periódicas.
Correctivo: realizar reuniones periódicas para ajustar el cronograma con autorización de
todas las partes.
DEFINICIÓN DE AMENAZA

Escenario de Riesgo: Organización del departamento de informática

Actividad Sujeta a Control: Sí

Descripción de la Amenaza

Código: 002

Descripción Corta​: Roles y responsabilidades no conocidas por los empleados.

Calificación del Impacto de la Amenaza: MEDIO. El desconocimiento de los roles y


responsabilidades por parte de los empleados puede llegar e impedir el funcionamiento
normal de las labores del departamento.

Descripción Detallada

La empresa no informa correcta o completamente el papel que desempeñará el empleado


dentro del departamento, y tampoco se le hace entrega de sus responsabilidades frente al
proceso.

Ejemplo:

Resultado de la materialización de esta amenaza es el desorden dentro del departamento


de informática en tema de operabilidad, la sobrecarga de labores a un empleado y el
desperdicio de tiempos o recursos muertos generando pérdidas a la empresa.

Controles Necesarios

Controles preventivos: Realizar la entrega responsabilidades en el momento de la


contratación de personal detallando su rol dentro de la compañía. En casos de
reemplazos o roles de respaldo, como en los tiempos de vacaciones de empleados, se
deben tener documentadas las tareas y responsabilidades del empleado ausente para
que su reemplazo cumpla con su función a cabalidad.

Controles detectivos: Realizar una evaluación de desempeño periódica a los empleados


con el detalle de sus tareas con el fin de corroborar el total conocimiento de su rol y su
cumplimiento con este.

Controles correctivos: Realizar retroalimentaciones periódicas por parte del encargado del
área de informática al empleado que no conozca sus responsabilidad o no tenga claro su
rol, resultado de las comunicaciones desde la alta gerencia.
4.1.4 Amenazas de tipo externo

​DEFINICIÓN DE AMENAZA

Escenario de Riesgo: ​Planeación de la informática

Actividad Sujeta a Control: Si


Descripción de la Amenaza
Código: 003
Descripción Corta​: Oferta
Calificación del Impacto de la Amenaza​: Media
Descripción Detallada
Ofrecer únicamente soluciones de software y seguridad de la información como Core del
negocio.
Ejemplo​: Solo se oferta al cliente Software ala medida dejando afuera otras soluciones
tecnológicas como la infraestructura TI.
Controles Necesarios​:
Preventivos Realizar estudios de mercado para conocer las tendencias del mercado

Detectivos Pruebas de conocimiento realizadas al personal sobre las nuevas tecnologías.

Correctivos. Capacitar al departamento técnico en las nuevas tendencias de tecnologías


de TI.

DEFINICIÓN DE AMENAZA

Escenario de Riesgo:​ Planeación de la informática

Actividad Sujeta a Control: ​Sí

Descripción de la Amenaza

Código:​ 004
Descripción Corta​: Costos
Calificación del Impacto de la Amenaza:​ Alto.

Descripción Detallada:
Altos costos en el licenciamiento de herramientas de desarrollo, normalmente cobradas
en dólares.

Ejemplo:

Se hace uso de tecnologías y de IDE’s con un alto costo de licenciamiento lo cual debido
a los cambios diarios del TRM incrementar el presupuesto de licenciamiento y afectar la
operación.

Controles Necesarios

Preventivos:
Capacitar al recurso humano en herramientas de desarrollo de código abierto.
Contratar las licencias por un periodo donde el precio no se vea afectado por factores
externos.

Detectivos:
Supervisar el alza en el precio del dólar.
Notificar al proyecto, el aumento en las tarifas de las licencias.

Correctivos:
Aumentar el costo de los servicios prestados, para que la empresa no se vea afectada.
Gestionar el proceso de solicitud de “Partner” con las organizaciones dueñas de las
licencias, para obtener un precio de licenciamiento más bajo.
4.2 Análisis de Procesos

4.2.1 Dominios y Niveles de Madurez Según COBIT

A continuación se definirá para cada uno de los dominios de COBIT aquellos procesos que
son aplicables a la compañía Linktic.

4.2.1.1 Dominios de COBIT

DOMINIO 1. PLANIFICAR Y ORGANIZAR (PO)

Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia.


Objetivo de control:
PO6.2 Responsabilidad de la gerencia por las políticas

DOMINIO 2. ADQUISICIÓN E IMPLEMENTACIÓN (AI)


Proceso: AI3 Adquisición y Mantenimiento de la infraestructura tecnológica.
Objetivos de control:
AI3.3 Seguridad del software de sistemas

DOMINIO 3. ENTREGAR Y DAR SOPORTE (DS)


Proceso: DS7 Educación y capacitación de los usuarios
Objetivos de control:
DS7.1 Identificación de las necesidades de la capacitación
DS7.2 Organización de la capacitación

DOMINIO 4. MONITOREAR Y EVALUAR (ME)


Proceso: ME1 Monitoreo de los Procesos
Objetivos de control:
ME1.2 Evaluación de Desempeño
ME1.3 Evaluación de satisfacción del cliente
4.2.1.2 Niveles de madurez

A partir de los niveles de madurez de los procesos definidos por COBIT se realizó un
análisis para determinar el nivel en el que se enmarcan los diferentes procesos del área de
sistemas, los niveles de madurez que se utilizaron son los siguientes:

Nivel de Descripción
Madurez

0 No existente. Carencia completa de cualquier proceso reconocible. La empresa no


ha reconocido siquiera que existe un problema a resolver.

1 Inicial. Existe evidencia que la empresa ha reconocido que los problemas


existen y requieren ser resueltos. Sin embargo; no existen procesos
estándar en su lugar existen enfoques ad hoc que tienden a ser
aplicados de forma individual o caso por caso. El enfoque general
hacia la administración es desorganizado.

2 Repetible Se han desarrollado los procesos hasta el punto en que se siguen


procedimientos similares en diferentes áreas que realizan la misma
tarea. No hay entrenamiento o comunicación formal de los
procedimientos estándar, y se deja la responsabilidad al individuo.
Existe un alto grado de confianza en el conocimiento de los individuos
y, por lo tanto, los errores son muy probables.

3 Definido Los procedimientos se han estandarizado y documentado, y se han


difundido a través de entrenamiento. Sin embargo, se deja que el
individuo decida utilizar estos procesos, y es poco probable que se
detecten desviaciones. Los procedimientos en sí no son sofisticados
pero formalizan las prácticas existentes.

4 Administrado Es posible monitorear y medir el cumplimiento de los procedimientos


y tomar medidas cuando los procesos no estén trabajando de forma
efectiva. Los procesos están bajo constante mejora y proporcionan
buenas prácticas. Se usa la automatización y herramientas de una
manera limitada o fragmentada.

5 Optimizado Los procesos se han refinado hasta un nivel de mejor práctica, se


basan en los resultados de mejoras continuas y en un modelo de
madurez con otras empresas. TI se usa de forma integrada para
automatizar el flujo de trabajo, brindando herramientas para mejorar
la calidad y la efectividad, haciendo que la empresa se adapte de
manera rápida.

Fuente: COBIT 4.1 http://www.slinfo.una.ac.cr/documentos/EIF402/cobit4.1.pdf


4.2.2 Ejecución de la auditoría

Dominio 1: Comunicación de los objetivos y directivas de la gerencia.

Proceso Implementación de las políticas, los procedimientos y las normas

Descripción del 1. El gerente solicita la publicación de las políticas en la intranet


Proceso
2. Se publican las diferentes normas, procedimientos y políticas
en la intranet.

3. Se envía un correo a todo el informando la publicación en la


intranet de una nueva norma, procedimientos y políticas o su
respectiva mejora.

4. El jefe de cada área realiza una reunión con los integrantes de


su área socializando la publicación.

5.Se indica que se inicie la ejecución de la norma, procedimiento


o política

Nivel de Madurez Administrado

Entrada Solicitud de publicación de normas

Salida Publicación en la intranet


Dominio 2: Adquisición y Mantenimiento de la infraestructura tecnológica.

Proceso AI3 Adquisición y Mantenimiento de la infraestructura


tecnológica

Descripción del 1. La adquisición y mantenimiento de la infraestructura se


Proceso realiza con la publicación de los servicios y/o productos
requeridos en el portal de la compañía.
2. Los interesados presenten sus propuestas a la
compañía.
3. El área comercial de la empresa elige la propuesta que
más convenga analizando costos y tiempo.
4. Se realiza la contratación estableciendo las cláusulas de
cumplimiento y poniendo límites de tiempo para que el
proveedor haga entrega del producto.
5. Realizar reuniones con el proveedor para levantamiento
de requerimientos, o para aclarar las especificaciones
técnicas del producto/servicio solicitado.
6. El proveedor hace entrega del producto o presta el
servicio en los tiempos establecidos en la contratación.

Nivel de Madurez Administrado

Entrada Solicitud del producto o servicio que necesita la compañía, en el


que se establecen las especificaciones técnicas y de tiempo

Salida Entrega del producto o servicio al área de IT de la compañía, el


cual es revisado y aprobado.
Dominio 3: Educacion y capacitacion de los usuarios

Proceso DS7. Educación y Capacitación de los usuarios

Descripción del 1.El jefe inmediato solicita al área de recursos humanos una
Proceso capacitación.

2.Recursos humanos selecciona el personal que debe


capacitarse

3.El área de recursos humanos programa la fecha y hora de la


capacitación y la informa a la persona que realizó la solicitud.

4.Se realiza la capacitación a la fecha y horas programadas y se


firma hoja de asistencia.

Nivel de Madurez Repetible pero intuitivo

Entrada Solicitud de Capacitación

Salida Llevar a cabo la capacitación programada


Dominio 4: Monitorear y evaluar.

Proceso Monitoreo de los Procesos

Descripción del ● Semanalmente se debe enviar un reporte al área de


Proceso riesgos, quien es la encargada de analizar los riesgos
más frecuentes con el fin de encontrar un solución para
mitigar los riesgos existentes.

● Se debe enviar un reporte de rentabilidad semanalmente,


el cual permite realizar el cálculo de la rentabilidad
basada en un documento que envían del área de
contabilidad, con el fin de calcular la rentabilidad de
mensual, trimestral o semestral.

Nivel de Madurez Inicial

Entrada Reporte de riesgos, Reporte de rentabilidad

Salida ● Documentación de los riegos más frecuentes .


● Rentabilidad de mensual, trimestral o semestral.
4.2.3 Informe de auditoría

INFORME DE AUDITORÍA

Entidad Auditada:​ Linktic

Alcance de la auditoría: ​Mesa de ayuda (Soporte y Desarrollo), Linktic

Norma Aplicada: COBIT, 4.1, Dominio 1, Planificar Y Organizar (PO) - P06


Comunicación de los objetivos y directivas de la gerencia.

Organización: Compañía de desarrollo y consultoría de Software, integrada por un


equipo de expertos en diferentes áreas, que ofrece a sus clientes el diseño e
implementación de sistemas eficientes y confiables para sus empresas, utilizando las
últimas tecnologías y dando un acompañamiento permanente que garantiza una total
transferencia tecnológica.
Linktic provee a sus clientes un servicio de calidad brindándoles soluciones tecnológicas
que los ayuden a adaptarse al ambiente competitivo actual.

Objetivos de la Organización:

● Proveer soluciones de software apoyados en tecnologías en constante evolución,


en todas las áreas demandantes de desarrollo informático inteligente aplicado a la
gestión de procesos productivos, buscando permanentemente la diferenciación
por la calidad del servicio y la satisfacción del cliente.
● Ser una Empresa reconocida y elegida como “socio tecnológico” de sus clientes
por la calidad de las propuestas y el estricto cumplimiento de los compromisos
asumidos.
● Desarrollar cuidadosamente nuestros recursos humanos para asegurar una
cultura institucional basada en la ética, la innovación y la búsqueda permanente
de la excelencia, para que estas sean las bases para un crecimiento sustentable
que aseguren el futuro de nuestra Compañía.

Departamento de Mesa de Ayuda: ​Soporte y desarrollo de software para sus clientes.

Objetivos del área auditada dentro de la organización:

● Cumplir con los requerimientos de desarrollo de software oportunamente,


haciendo las entregas en las fechas establecidas con los clientes, para ello se
hará continuamente retroalimentación a través de reuniones y documentos que
permitan cumplir con los estándares de calidad y eficiencia.
● Capacitar a los empleados de la compañía en diferentes tecnologías de desarrollo
de software actuales, aplicaciones móviles, aplicaciones web, web services,
arquitectura SOA entre otros.
● Promover el crecimiento profesional de los empleados de la compañía a través de
compromisos que se fijarán entre la empresa y el empleado que lo incentiven a
continuar sus estudios de posgrado, maestría, así como certificaciones y cursos
para así tener dentro de la compañía profesionales de TI altamente cualificados en
el uso de herramientas de construcción de software como (NetBeans, Eclipse y
PL/SQL Developer).
Funciones – Subfunciones - Tareas

● Dirección de proyectos
○ Participar en las estrategias y definir metodologías para el diseño y
desarrollo de sistemas.
○ Cotización de los Desarrollos que se van a ejecutar.
○ Planeación del diseño y desarrollo de sistemas (Coordinar).
○ Relación con los clientes (Establecer necesidades del proyecto).
○ Validar prototipos funcionales, como las soluciones que se van a brindar a
los clientes.
○ Elaboración de Cronogramas de Desarrollo.
● Ejecución de proyectos
○ Documentación del Desarrollo.
○ Definición de Lenguajes a trabajar (Junto a líder técnico).
○ Determinar las características de los prototipos de cada proyecto.
○ Implementación de Solución Tecnológica.
○ Pruebas Funcionales.
● Soporte Usuario Final
○ Corrección de Errores en el desarrollo.
○ Desarrollar nuevos requerimientos en el software ya existente.
○ Actualización de la Documentación del Desarrollo (Si es requerido).

DIAGNÓSTICO:

Todas las normas, procedimientos y políticas se encuentran disponibles en la intranet de


Linktic, adicionalmente cada proceso, política y norma que se publica, se envía un correo
electrónico a todo el personal informando, la publicación del mismo, sin embargo los jefes
de cada área realizan un socialización para resolver dudas acerca de las normas,
procedimientos y políticas con el fin de que su área quede informada.
● Se recomienda que los jefes de cada área realizar un seguimiento oportuno a su
personal al momento de realizar un procedimiento.
● Se recomienda llevar una bitácora de los inconvenientes presentados durante la
ejecución de las políticas, normas y procedimientos.

Nivel de Madurez: Administrado

CONCLUSIONES:
● Es posible monitorear y medir el cumplimiento de las políticas y procedimientos y
tomar medidas cuando los procesos no están trabajando de forma efectiva.
● Los procesos están bajo constante mejora y proporcionan buenas prácticas.
● Se usa la automatización y herramientas de una manera limitada o fragmentada.
INFORME DE AUDITORÍA

Entidad Auditada:​ Linktic

Alcance de la auditoría: ​Mesa de ayuda (Soporte y Desarrollo), Linktic

Norma Aplicada: COBIT, 4.1, Dominio 2, Adquirir e Implementar (PO) - AI3 Adquisición y
Mantenimiento de la infraestructura tecnológica-AI3.3 Seguridad del software de
sistemas

Organización: Compañía de desarrollo y consultoría de Software, integrada por un


equipo de expertos en diferentes áreas, que ofrece a sus clientes el diseño e
implementación de sistemas eficientes y confiables para sus empresas, utilizando las
últimas tecnologías y dando un acompañamiento permanente que garantiza una total
transferencia tecnológica.
Linktic provee a sus clientes un servicio de calidad brindándoles soluciones tecnológicas
que los ayuden a adaptarse al ambiente competitivo actual.

Objetivos de la Organización:

● Proveer soluciones de software apoyados en tecnologías en constante evolución,


en todas las áreas demandantes de desarrollo informático inteligente aplicado a la
gestión de procesos productivos, buscando permanentemente la diferenciación
por la calidad del servicio y la satisfacción del cliente.
● Ser una Empresa reconocida y elegida como “socio tecnológico” de sus clientes
por la calidad de las propuestas y el estricto cumplimiento de los compromisos
asumidos.
● Desarrollar cuidadosamente nuestros recursos humanos para asegurar una
cultura institucional basada en la ética, la innovación y la búsqueda permanente
de la excelencia, para que estas sean las bases para un crecimiento sustentable
que aseguren el futuro de nuestra Compañía.

Departamento de Mesa de Ayuda: ​Soporte y desarrollo de software para sus clientes.

Objetivos del área auditada dentro de la organización:

● Cumplir con los requerimientos de desarrollo de software oportunamente,


haciendo las entregas en las fechas establecidas con los clientes, para ello se
hará continuamente retroalimentación a través de reuniones y documentos que
permitan cumplir con los estándares de calidad y eficiencia.
● Capacitar a los empleados de la compañía en diferentes tecnologías de desarrollo
de software actuales, aplicaciones móviles, aplicaciones web, web services,
arquitectura SOA entre otros.
● Promover el crecimiento profesional de los empleados de la compañía a través de
compromisos que se fijarán entre la empresa y el empleado que lo incentiven a
continuar sus estudios de posgrado, maestría, así como certificaciones y cursos
para así tener dentro de la compañía profesionales de TI altamente cualificados en
el uso de herramientas de construcción de software como (NetBeans, Eclipse y
PL/SQL Developer).
Funciones – Subfunciones - Tareas

● Dirección de proyectos
○ Participar en las estrategias y definir metodologías para el diseño y
desarrollo de sistemas.
○ Cotización de los Desarrollos que se van a ejecutar.
○ Planeación del diseño y desarrollo de sistemas (Coordinar).
○ Relación con los clientes (Establecer necesidades del proyecto).
○ Validar prototipos funcionales, como las soluciones que se van a brindar a
los clientes.
○ Elaboración de Cronogramas de Desarrollo.
● Ejecución de proyectos
○ Documentación del Desarrollo.
○ Definición de Lenguajes a trabajar (Junto a líder técnico).
○ Determinar las características de los prototipos de cada proyecto.
○ Implementación de Solución Tecnológica.
○ Pruebas Funcionales.
● Soporte Usuario Final
○ Corrección de Errores en el desarrollo.
○ Desarrollar nuevos requerimientos en el software ya existente.
○ Actualización de la Documentación del Desarrollo (Si es requerido).

DIAGNÓSTICO:

● La información financiera que se maneja en los sistemas de Linktic. Por este


motivo se hace importante que esta información no sea accedida por usuarios no
autorizados. Para ello la empresa le ha indicado a los desarrolladores del software
que debe establecer mecanismos de seguridad a nivel de la aplicación tales como
autenticaciones y cifrados. Además de establecer canales de comunicaciones
seguros.
● Esto se verifica en el ambiente de pruebas por la oficina de sistemas de Software.
Si las pruebas son correctas se habilita el paso a producción, en caso contrario se
envía un reporte al proveedor solicitando revisar los mecanismos de seguridad en
la aplicación.
● Se recomienda contratar a un experto en seguridad que verifique que el software
proporcionado por el proveedor garantiza la seguridad de la información que se
maneja en el sistema. Este experto debe hacer un escaneo en la aplicación con el
fin de encontrar vulnerabilidades.
● Se recomienda que el escaneo que haga el experto no se haga únicamente sobre
la aplicación sino sobre el servidor de aplicaciones y sobre la base de datos para
disminuir al máximo los inconvenientes de seguridad y así asegurar que la
información no va a ser modificada ni consultada por usuarios no autorizados.

Nivel de Madurez​: Administrado


CONCLUSIONES:
● Es posible monitorear y medir el cumplimiento de las políticas y procedimientos y
tomar medidas cuando los procesos no están trabajando de forma efectiva.
● Los procesos deben tener las medidas apropiadas de seguridad para no crear
vulnerabilidades en las aplicaciones de los clientes ni de la empresa.
● Se debe verificar con el área de desarrollo que se están cumpliendo las políticas
de seguridad en todos los ambientes y bases de datos.
● Es importante programar escaneos regulares por parte de un experto en todas las
áreas que contengan información sensible.

INFORME DE AUDITORÍA

Entidad Auditada:​ Linktic

Alcance de la auditoría: ​Mesa de ayuda (Soporte y Desarrollo), Linktic

Norma Aplicada: COBIT, 4.1, Dominio 3, Entrega Y Soporte (DS) - DS7 Educar y
Entrenar a los Usuarios DS7.1 Identificación de las necesidades de la capacitación
DS7.2 Organización de la capacitación

Organización: Compañía de desarrollo y consultoría de Software, integrada por un


equipo de expertos en diferentes áreas, que ofrece a sus clientes el diseño e
implementación de sistemas eficientes y confiables para sus empresas, utilizando las
últimas tecnologías y dando un acompañamiento permanente que garantiza una total
transferencia tecnológica.
Linktic provee a sus clientes un servicio de calidad brindándoles soluciones tecnológicas
que los ayuden a adaptarse al ambiente competitivo actual.

Objetivos de la Organización:

● Proveer soluciones de software apoyados en tecnologías en constante evolución,


en todas las áreas demandantes de desarrollo informático inteligente aplicado a la
gestión de procesos productivos, buscando permanentemente la diferenciación
por la calidad del servicio y la satisfacción del cliente.
● Ser una Empresa reconocida y elegida como “socio tecnológico” de sus clientes
por la calidad de las propuestas y el estricto cumplimiento de los compromisos
asumidos.
● Desarrollar cuidadosamente nuestros recursos humanos para asegurar una
cultura institucional basada en la ética, la innovación y la búsqueda permanente
de la excelencia, para que estas sean las bases para un crecimiento sustentable
que aseguren el futuro de nuestra Compañía.

Departamento de Mesa de Ayuda: ​Soporte y desarrollo de software para sus clientes.

Objetivos del área auditada dentro de la organización:

● Cumplir con los requerimientos de desarrollo de software oportunamente,


haciendo las entregas en las fechas establecidas con los clientes, para ello se
hará continuamente retroalimentación a través de reuniones y documentos que
permitan cumplir con los estándares de calidad y eficiencia.
● Capacitar a los empleados de la compañía en diferentes tecnologías de desarrollo
de software actuales, aplicaciones móviles, aplicaciones web, web services,
arquitectura SOA entre otros.
● Promover el crecimiento profesional de los empleados de la compañía a través de
compromisos que se fijarán entre la empresa y el empleado que lo incentiven a
continuar sus estudios de posgrado, maestría, así como certificaciones y cursos
para así tener dentro de la compañía profesionales de TI altamente cualificados en
el uso de herramientas de construcción de software como (NetBeans, Eclipse y
PL/SQL Developer).
Funciones – Subfunciones - Tareas

● Dirección de proyectos
○ Participar en las estrategias y definir metodologías para el diseño y
desarrollo de sistemas.
○ Cotización de los Desarrollos que se van a ejecutar.
○ Planeación del diseño y desarrollo de sistemas (Coordinar).
○ Relación con los clientes (Establecer necesidades del proyecto).
○ Validar prototipos funcionales, como las soluciones que se van a brindar a
los clientes.
○ Elaboración de Cronogramas de Desarrollo.

● Ejecución de proyectos
○ Documentación del Desarrollo.
○ Definición de Lenguajes a trabajar (Junto a líder técnico).
○ Determinar las características de los prototipos de cada proyecto.
○ Implementación de Solución Tecnológica.
○ Pruebas Funcionales.

● Soporte Usuario Final


○ Corrección de Errores en el desarrollo.
○ Desarrollar nuevos requerimientos en el software ya existente.
○ Actualización de la Documentación del Desarrollo (Si es requerido).

DIAGNÓSTICO:

● Las capacitaciones se realizan únicamente cuando se considera absolutamente


necesario.

● Durante la capacitación no se entrega ningún tipo de material de apoyo, pero se


puede acceder a un portal Moodle en donde se encuentra un mini curso de apoyo
para el personal.

● No hay un control sobre la asistencia a las capacitaciones.

● No se realizan pruebas de conocimiento posterior a la capacitación.


Nivel de Madurez​:

Luego del análisis de madurez se se evidencia que la empresa no cuenta con políticas
de capacitacitación y no se encuentra institucionalizada dicha práctica, sin embargo se
percibe la conciencia de tenerlo, por lo tanto se concluye que el el proceso alcanza el
grado de​ Repetible pero intuitivo.

CONCLUSIONES:

● Se debe organizar un plan que permita establecer la manera en que se deben


realizar las capacitaciones, y todo el personal debería ser capacitado una vez
ingresa a la compañía, o cada vez que vaya a ser involucrado en un proceso en el
cual no haya participado con anterioridad.

● Es necesario establecer un plan que permita organizar un horario adecuado para


que se pueda dar la capacitación así como buscar espacios adecuados para
brindarles, en lugares en donde no se presenten distracciones, es necesario
realizar un análisis del tema de la capacitación para evaluar cuál debería ser el
tiempo adecuado para abarcar todos los temas necesarios.

● Se recomienda elaborar material para el personal capacitado que pueda ser


consultado en cualquier momento por el personal.

● Debe instaurarse una política en la compañía para capacitar el personal bien sea
dentro de la empresa o prestando las facilidades para que los empleados se
capaciten fuera de ella.

INFORME DE AUDITORÍA

Entidad Auditada:​ Linktic

Alcance de la auditoría: ​Mesa de ayuda (Soporte y Desarrollo), Linktic

Norma Aplicada:​ COBIT, 4.1, Dominio 4, Monitorear y evaluar (ME)


ME1.3 Evaluación de satisfacción del cliente
Organización: Compañía de desarrollo y consultoría de Software, integrada por un
equipo de expertos en diferentes áreas, que ofrece a sus clientes el diseño e
implementación de sistemas eficientes y confiables para sus empresas, utilizando las
últimas tecnologías y dando un acompañamiento permanente que garantiza una total
transferencia tecnológica.
Linktic provee a sus clientes un servicio de calidad brindándoles soluciones tecnológicas
que los ayuden a adaptarse al ambiente competitivo actual.

Objetivos de la Organización:

● Proveer soluciones de software apoyados en tecnologías en constante evolución,


en todas las áreas demandantes de desarrollo informático inteligente aplicado a la
gestión de procesos productivos, buscando permanentemente la diferenciación
por la calidad del servicio y la satisfacción del cliente.
● Ser una Empresa reconocida y elegida como “socio tecnológico” de sus clientes
por la calidad de las propuestas y el estricto cumplimiento de los compromisos
asumidos.
● Desarrollar cuidadosamente nuestros recursos humanos para asegurar una
cultura institucional basada en la ética, la innovación y la búsqueda permanente
de la excelencia, para que estas sean las bases para un crecimiento sustentable
que aseguren el futuro de nuestra Compañía.

Departamento de Mesa de Ayuda: ​Soporte y desarrollo de software para sus clientes.

Objetivos del área auditada dentro de la organización:

● Cumplir con los requerimientos de desarrollo de software oportunamente,


haciendo las entregas en las fechas establecidas con los clientes, para ello se
hará continuamente retroalimentación a través de reuniones y documentos que
permitan cumplir con los estándares de calidad y eficiencia.
● Capacitar a los empleados de la compañía en diferentes tecnologías de desarrollo
de software actuales, aplicaciones móviles, aplicaciones web, web services,
arquitectura SOA entre otros.
● Promover el crecimiento profesional de los empleados de la compañía a través de
compromisos que se fijarán entre la empresa y el empleado que lo incentiven a
continuar sus estudios de posgrado, maestría, así como certificaciones y cursos
para así tener dentro de la compañía profesionales de TI altamente cualificados en
el uso de herramientas de construcción de software como (NetBeans, Eclipse y
PL/SQL Developer).

Funciones – Subfunciones - Tareas

● Dirección de proyectos
○ Participar en las estrategias y definir metodologías para el diseño y
desarrollo de sistemas.
○ Cotización de los Desarrollos que se van a ejecutar.
○ Planeación del diseño y desarrollo de sistemas (Coordinar).
○ Relación con los clientes (Establecer necesidades del proyecto).
○ Validar prototipos funcionales, como las soluciones que se van a brindar a
los clientes.
○ Elaboración de Cronogramas de Desarrollo.

● Ejecución de proyectos
○ Documentación del Desarrollo.
○ Definición de Lenguajes a trabajar (Junto a líder técnico).
○ Determinar las características de los prototipos de cada proyecto.
○ Implementación de Solución Tecnológica.
○ Pruebas Funcionales.

● Soporte Usuario Final


○ Corrección de Errores en el desarrollo.
○ Desarrollar nuevos requerimientos en el software ya existente.
○ Actualización de la Documentación del Desarrollo (Si es requerido).

DIAGNÓSTICO:

● Se tiene implementado un mecanismo muy básico que le permite medir la


satisfacción de sus clientes en los servicios prestados.

● Se debe implementar un plan que permita medir la satisfacción del cliente con los
servicios prestados, como por ejemplo encuestas más detalladas.

Nivel de Madurez​: Inicial

Luego del análisis de madurez se se evidencia que la empresa no cuenta con un proceso
enfocado netamente a la satisfacción del cliente, ya que lo hace mientras se presenta el
producto desarrollado, teniendo como concepto lo que el cliente manifiesta. Por tal motivo
el nivel de madurez es inicial.

CONCLUSIONES:

● Se debe generar un proceso enfocado a la satisfacción del cliente, como


encuestas, llamadas frecuentes, con el fin de medir la fidelidad del cliente.
● El mecanismo para medir la satisfacción debe abarcar todos los aspectos, desde
los requerimientos, el trato de las personas, los tiempos acordados, el valor
agregado, entre otros.
● Los resultados del proceso de satisfacción, debe servir como insumos para medir
el rendimiento del equipo, la fidelidad del cliente y las lecciones aprendidas para
mejorar como organización.
5. CONCLUSIONES

Se logró realizar la auditoría para el área de Tecnologías de la Información para la


empresa Linktic, haciendo uso de los dominios y proceso ofrecidos por COBIT,

Se ha conocido y documentado el nivel de madurez de los procesos analizados de la


empresa Linktic, específicamente en el área de TI, departamento objetivo de este proyecto.

Se ha generado un plan de auditoría detallado para la Linktic, allí se han evaluado cada uno
de los aspectos en los cuales se desarrollan las actividades de la gerencia de TI,
evidenciando falencias y de igual manera realizando propuestas para mejorar el proceso de
las mismas.

La implementación de COBIT en la empresa involucra directamente al personal que


desempeña sus labores en los diferentes departamentos y procesos que existen en la
empresa, por lo que es necesario un conocimiento claro de las tareas y políticas que
puedan existir dentro de la respectiva área, de esta forma se conforman los comités que
ayudarán a cumplir los diferentes objetivos de control que se han definido anteriormente en
la ejecución de la auditoría
BIBLIOGRAFÍA

Fuzi Chistopher (2013), Porlamar, Aplicación de Auditoría COBIT al departamento de


informática de la empresa EKIPA, C.A.

Almanza Gómez, Álvaro Iván (2012). LA APLICACIÓN DE COBIT EN LAS


ORGANIZACIONES ¿VALE LA PENA EL ESFUERZO?. Recuperado de
http://repository.unimilitar.edu.co/bitstream/10654/6537/2/AlmanzaGomezAlvaroIvan2012.pd
f

GOVERNANCE INSTITUTE, (2017). ​Biblioteca.info.unlp.edu.ar​. Retrieved 5 June 2017,


from https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf

Modelo de madurez para el control interno


http://redyseguridad.fip.unam.mx/proyectos/cobit/seccion_informativa/pdfscobit/apendices/a
pendice3 .pdf

Cobit 4.1 En Español Recuperado de


https://biblioteca.info.unlp.edu.ar/uploads/docs/cobit.pdf