Cobit Cuestionario

Universidad Nacional José Faustino Sánchez
Carrión
E.A.P: Ingeniería de Sistemas
Curso: Auditoría
PROFESOR: Ing. Martín Figueroa Revilla
RESULTADOS DEL
CUESTIONARIO DE COBIT
Diagnóstico de la Seguridad de Información y
Análisis de Riesgos
2015
Presentado por:
- Ángel acuña, Manuel

- Durand silva, Carlos
- Leandro Mendoza, Martin
- Leandro Vásquez, Dugglas
- Navarro Rivera, Jairo
- Obispo Vizcaíno, Gilmar
CUESTIONARIO DE COBIT
pág. 1
Dominio 1: Planear Y Organizar (PO)
PO1: Definir un Plan Estratégico de TI
PO1.1 Administración del Valor de TI
¿Existen inversiones obligatorias, de sustento y
discrecionales que difieren en complejidad y grado
de libertad en cuanto a la asignación de fondos?
PO1.2 Alineación de TI con el Negocio
¿Se encuentran integradas las estrategias de
negocio y de TI, relacionando de manera clara las
metas de la empresa y las metas de TI?
PO1.3 Evaluación del Desempeño y la Capacidad Actual
¿Evalúan el desempeño de los planes existentes y
de los sistemas de información?
PO1.4 Plan Estratégico de TI

¿Tienen creado un plan estratégico de TI?
PO1.5 Planes Tácticos de TI

¿Tienen creado un portafolio de planes tácticos de
TI que se deriven del plan estratégico de TI?
PO1.6 Administración del Portafolio de TI

¿Llevan una buena administración del portafolio de
programas de inversión de TI requerido para lograr
objetivos de negocio estratégicos?
PO2 Definir la Arquitectura de la Información
PO2.1 Modelo de Arquitectura de Información Empresarial
¿Cuentan con un modelo de información
empresarial que facilite el desarrollo de
aplicaciones y las actividades de soporte a la toma
de decisiones?
PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos
¿Manejan un diccionario de datos empresarial que
incluye las reglas de sintaxis de datos de la
organización?
PO2.3 Esquema de Clasificación de Datos
¿Tienen establecido un esquema de clasificación
de datos que se encuentre basado en lo sensible de
la información?
PO2.4 Administración de Integridad
pág. 2
¿Tienen implementado procedimientos que
garanticen la integridad de la información dentro de
La empresa Agraria Azucarera Andahuasi?
PO3 Determinar la Dirección Tecnológica

PO3.1 Planeación de la Dirección Tecnológica
¿Las tecnologías existentes son apropiadas para
tomar decisiones y sirve como potencial para crear
oportunidades de negocio?
PO3.2 Plan de Infraestructura Tecnológica

¿La infraestructura tecnológica está implementada
de manera correcta de acuerdo con los planes
estratégicos y tácticos de TI?
PO3.3 Monitoreo de Tendencias y Regulaciones Futuras
¿Manejan procesos para monitorear las tendencias
ambientales del sector / industria, tecnológicas, de
infraestructura, legales y regulatorias?
PO3.4 Estándares Tecnológicos
¿Proporcionan a tiempo soluciones tecnológicas
consistentes, efectivas y seguras para toda La
empresa Agraria Azucarera Andahuasi?
PO3.5 Consejo de Arquitectura de TI
¿Tienen establecido un comité de arquitectura de
TI que proporcione directrices sobre la arquitectura
y asesoría sobre su aplicación, y que verifique el
cumplimiento?
PO4 Definir los Procesos, Organización y Relaciones de TI
PO4.1 Marco de Trabajo de Procesos de TI
¿Tienen Definido un marco de trabajo para el
proceso de TI para ejecutar el plan estratégico de
TI?
PO4.2 Comité Estratégico de TI
¿Existe un comité estratégico de TI a nivel del
consejo?
PO4.3 Comité Directivo de TI
¿Existe un comité directivo de TI (o su equivalente)
compuesto por la gerencia ejecutiva, del negocio y
de TI?
PO4.4 Ubicación Organizacional de la Función de TI
¿Se encuentra Ubicada la función de TI dentro de
la estructura organizacional general?
PO4.5 Estructura Organizacional
pág. 3
¿Se encuentra establecida una estructura
organizacional de TI interna y externa que refleje las
necesidades del negocio?
PO4.6 Establecimiento de Roles y Responsabilidades
¿Están definidos los roles y las responsabilidades
para el personal de TI y los usuarios que delimiten
la autoridad entre el personal de TI y los usuarios
finales?
PO4.7 Responsabilidad de Aseguramiento de Calidad de TI
¿Existen Asignados las responsabilidades para el
desempeño de la función de aseguramiento de
calidad (QA)?
PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento
¿Están Establecido la propiedad y la
responsabilidad de los riesgos relacionados con TI
a un nivel superior apropiado?
PO4.9 Propiedad de Datos y de Sistemas
¿Proporcionan al negocio los procedimientos y
herramientas que le permitan enfrentar sus
responsabilidades de propiedad sobre los datos?
PO4.10 Supervisión
¿Implementan prácticas adecuadas de supervisión
dentro de la función de TI para garantizar que los
roles y las responsabilidades se ejerzan de forma
apropiada?
PO4.11 Segregación de Funciones
¿Han Implementado una división de roles y
responsabilidades que reduzca la posibilidad de
que un solo individuo afecte negativamente un
proceso crítico?
PO4.12 Personal de TI
¿Evalúan los requerimientos de personal de forma
regular o cuando existan cambios importantes en el
ambiente de negocios?
PO4.13 Personal Clave de TI
¿Está definido el personal clave de TI para
minimizar la dependencia en un solo individuo
desempeñando una función de trabajo crítica?
PO4.14 Políticas y Procedimientos para Personal Contratado
¿Cómo aseguraran que los consultores y el
personal contratado que soporta la función de TI
cumplan con las políticas organizacionales de
pág. 4
protección de los activos de información de la
empresa?
PO4.15 Relaciones
¿Establecen y mantienen una estructura óptima de
enlace, comunicación y coordinación entre la
función de TI y otros interesados dentro y fuera de
la función de TI?
PO5 Administrar la Inversión en TI
PO5.1 Marco de Trabajo para la Administración Financiera
¿Está establecido un marco de trabajo financiero
para administrar las inversiones y el costo de los
activos y servicios de TI?
PO5.2 Prioridades Dentro del Presupuesto de TI
¿Tienen implementado un proceso de toma de
decisiones para dar prioridades a la asignación de
recursos a TI para operaciones, proyectos y
mantenimiento?
PO5.3 Proceso Presupuestal
¿Tienen Establecido un proceso para elaborar y
administrar un presupuesto que refleje las
prioridades establecidas en el portafolio
empresarial de programas de inversión en TI?
PO5.4 Administración de Costos de TI
¿Tienen Implementado un proceso de
administración de costos que compare los costos
reales con los presupuestados?
PO5.5 Administración de Beneficios
¿Han Implementado un proceso de monitoreo de
beneficios?
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6.1 Ambiente de Políticas y de Control
¿Están bien definidos los elementos de un
ambiente de control para TI, alineados con la
filosofía administrativa y el estilo operativo de La
PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI
¿Cómo está elaborar el marco de trabajo que
establece el enfoque empresarial general hacia los
riesgos y el control que se alinee con la política de
T?
PO6.3 Administración de Políticas para TI
¿Tienen elaborado un conjunto de políticas que
apoyen la estrategia de TI?
pág. 5
PO6.4 Implantación de Políticas de TI
¿Cómo aseguran de que las políticas de TI se
implantan y se comuniquen a todo el personal
relevante?
PO6.5 Comunicación de los Objetivos y la Dirección de TI
¿Cómo aseguran de que la conciencia y el
entendimiento de los objetivos y la dirección del
negocio y de TI se comunican a los interesados es
apropiado?
PO7 Administrar Recursos Humanos de TI

PO7.1 Reclutamiento y Retención del Personal
¿Cómo realizan los procesos de reclutamiento del
personal de TI para que estén de acuerdo a las
políticas y procedimientos generales de personal de
la organización?
PO7.2 Competencias del Personal
¿De qué manera verifican que el personal tenga las
habilidades para cumplir sus roles con base en su
educación, entrenamiento y/o experiencia?
PO7.3 Asignación de Roles
¿Está Definido los marcos de trabajo para los roles,
responsabilidades y compensación del personal,
incluyendo el requerimiento de adherirse a las
políticas y procedimientos administrativos?
PO7.4 Entrenamiento del Personal de TI
¿Cómo proporcionan a los empleados de TI la
orientación necesaria al momento de la
contratación y entrenamiento continuo para
conservar su conocimiento y aptitudes?
PO7.5 Dependencia Sobre los Individuos
¿Cómo minimizan la exposición a dependencias
críticas sobre individuos clave por medio de la
captura del conocimiento?
PO7.6 Procedimientos de Investigación del Personal
¿Aplican las verificaciones de antecedentes en el
proceso de reclutamiento de TI?
PO7.7 Evaluación del Desempeño del Empleado
¿Se realizan de manera periódica las evaluaciones
de desempeño al personal que labora dentro de La
PO7.8 Cambios y Terminación de Trabajo
pág. 6
¿Toman medidas preventivas respecto a los
cambios en los puestos, en especial las
terminaciones de los contratos del personal dentro
de La empresa Agraria Azucarera Andahuasi?
P08. Administrar la Calidad.
PO8.1 Sistema de Administración de Calidad
¿Existe un sistema de administración de calidad
que proporcione un estándar que este alineado con
los requerimientos del negocio?
PO8.2 Estándares y Prácticas de Calidad
¿Existen la presencia de estándares o buenas
prácticas para los procesos de TI?
PO8.3 Estándares de Desarrollo y de Adquisición

¿Se realiza el seguimiento del ciclo de vida de los
proyectos a través de un estándar?
PO8.4 Enfoque en el Cliente de TI

¿Existe un enfoque de calidad en el cliente, que
estén alineados con buenas prácticas?
PO8.5 Mejora Continua

¿Existe un plan de calidad que promueva la
mejora continua?
PO8.6 Medición, Monitoreo y Revisión de la Calidad

¿Existe medición, monitoreo y revisión de la calidad
en La empresa Agraria Azucarera Andahuasi?
P09. Evaluar y Administrar los Riesgos de TI.
PO9.1 Marco de Trabajo de Administración de Riesgos
¿Cómo administran el riesgo de TI? ¿Existe un
plan?
PO9.2 Establecimiento del Contexto del Riesgo

¿Cuentan con un contexto o áreas a las cuales se
evalúan los riesgos que suceden normalmente?
PO9.3 Identificación de Eventos

¿Cuentan con un registro de los riesgos frecuentes
o más comunes que se suscitan?
PO9.4 Evaluación de Riesgos de TI

¿Se realizan evaluación de forma probabilística y
las clasifican?
PO9.5 Respuesta a los Riesgos
pág. 7
¿Se ha desarrollado un proceso de respuesta ante
los riesgos que se tienen identificados para poder
mitigar los niveles de tolerancia de riesgos?
PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos
¿Si ha creado un plan de riesgos este se le realiza
un mantenimiento o monitoreo?
P10. Administrar Proyectos.

PO10.1 Marco de Trabajo para la Administración de Programas
¿Cómo organizan los proyectos de TI en portafolio
y programas?
PO10.2 Marco de Trabajo para la Administración de Proyectos

¿Utilizan algún tipo de, metodología para
administrar los proyectos?
PO10.3 Enfoque de Administración de Proyectos

¿Los proyectos de TI tienen una estructura de
gobierno de proyecto?
PO10.4 Compromiso de los Interesados

¿Qué tan importante es la participación de los
interesados dentro de PY?
PO10.5 Declaración de Alcance del Proyecto

¿Los alcances del proyecto son documentados?
PO10.6 Inicio de las Fases del Proyecto

¿Qué criterios toman en cuenta para el inicio de
los proyectos?
PO10.7 Plan Integrado del Proyecto

¿Hay una documentación para la integración del
proyecto?
PO10.8 Recursos del Proyecto

¿Cómo asignan a los responsables de los
proyectos?
PO10.9 Administración de Riesgos del Proyecto

¿Se realiza un análisis de los riesgos que se
puedan suscitar?
PO10.10 Plan de Calidad del Proyecto

¿Dentro de todos los proyectos se crean un plan de
calidad?
PO10.11 Control de Cambios del Proyecto
pág. 8
¿Existe un control de cambios?
PO10.12 Planeación del Proyecto y Métodos de Aseguramiento

¿Existen sistemas acreditas por La empresa
Agraria Azucarera Andahuasi?
PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto

¿Se realizan una medición de sus proyectos
basándose en los alcances, cronogramas, cálida,
costo y riesgos?
PO10.14 Cierre del Proyecto

¿Cómo se realiza el proceso de cierre de los
proyectos quienes intervienen?
Dominio 02: Adquirir e Implementar (AI)

AI1 Identificar Soluciones Automatizadas
AI1.1 Definición y Mantenimiento de los Requerimientos Técnicos y
Funcionales del Negocio
¿Identifican y priorizan los requerimientos de
negocio?
AI1.2 Reporte de Análisis de Riesgos

¿Existen reportes de análisis asociados a los
requerimientos del negocio?
AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción

Alternativos
¿La implementación de requerimientos son puestos
a un estudio de factibilidad?
AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación
¿El visto bueno de los requerimientos es dado por
el jefe del área finanzas?
AI2 Adquirir y Mantener Software Aplicativo

AI2.1 Diseño de Alto Nivel
¿La aprobación de los diseños de los nuevos
requerimientos es realizados por los gerentes?
AI2.2 Diseño Detallado

¿Se prepara el diseño detallado y los
requerimientos técnicos de software de aplicación?
AI2.3 Control y Posibilidad de Auditar las Aplicaciones

¿Existen controles de aplicación automatizados?
AI2.4 Seguridad y Disponibilidad de las Aplicaciones

pág. 9
¿Existe la seguridad de las aplicaciones y los
requerimientos de disponibilidad ante la presencia
de los riesgos?
AI2.5 Configuración e Implantación de Software Aplicativo Adquirido

¿Se han adquiridos software de aplicaciones que
ayuden a lograr los objetivos del negocio, cómo
cuáles?
AI2.6 Actualizaciones Importantes en Sistemas Existentes
¿Se realizan procesos de desarrollo de sistemas
nuevos dentro de La empresa Agraria Azucarera
Andahuasi?
AI2.7 Desarrollo de Software Aplicativo
¿Cuándo se realiza un software de aplicaciones
este es documentado y se aseguran todos los
aspectos legales?
AI2.8 Aseguramiento de la Calidad del Software
¿Existe un plan que asegure la calidad del
software?
AI2.9 Administración de los Requerimientos de Aplicaciones

¿Se realiza un seguimiento a los cambios del
requerimiento a través de la gestión de cambios?
AI2.10 Mantenimiento de Software Aplicativo

¿Se han creado estrategias para el mantenimiento
de software?
AI3 Adquirir y Mantener Infraestructura Tecnológica

AI3.1 Plan de Adquisición de Infraestructura Tecnológica
¿Existe un plan al momento de adquirir e
implementar una infraestructura tecnológica?
AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

¿Existen controles internos que ayuden a la
seguridad de los recursos informáticos?
AI3.3 Mantenimiento de la Infraestructura

¿Se realiza mantenimientos de la infraestructura
tecnológica?
AI3.4 Ambiente de Prueba de Factibilidad

¿Cuenta con herramientas de prueba de TI?
AI4 Facilitar la Operación y el Uso

AI4.1 Plan para Soluciones de Operación
pág. 10
¿Está documentado los aspectos técnicos de cada
TI?
AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio

¿Se realiza la capacitación a los ejecutivos para
que puede dan manejar de forma eficiente los
sistemas informáticos par que pueden aceptar la
TI?
AI4.3 Transferencia de Conocimiento a Usuarios Finales

¿Se realizan capacitaciones a los usuarios finales
de las Tecnologías que se implementan?
AI4.4 Transferencia de Conocimiento al Personal de Operaciones y

Soporte
¿El personal de soporte conoce los procedimientos
para realizar mantenimiento de las nuevas
tecnologías que se implementen y le puedan
ayudar a su mantenimiento?
AI5 Adquirir recursos de TI
AI5.1 Control de Adquisición
¿La empresa Agraria Azucarera Andahuasi emplea
una serie de procedimientos y estándares en el
proceso de adquisición de nuevos activos o
servicios?
AI5.2 Administración de Contratos con Proveedores
¿La empresa Agraria Azucarera Andahuasi emplea
procedimientos en los contratos con los
proveedores, ya sea en temas legales, financieros,
organizacionales?
AI5.3 Selección de Proveedores
¿La empresa Agraria Azucarera Andahuasi lleva a
cabo la selección de proveedores, teniendo en
cuenta los requerimientos actuales de la empresa
así como también la opción más viable para esta?
AI5.4 Adquisición de Recursos de TI
¿La empresa Agraria Azucarera Andahuasi en la
parte contractual (adquisiciones) tiene en cuenta la
protección de sus propios intereses, a través de
derechos u obligaciones planteadas en el contrato?
AI6 Administrar Cambios
AI6.1 Estándares y Procedimientos para cambios
¿La empresa Agraria Azucarera Andahuasi
establece procedimientos de cambios formales
para manejar de manera estándar todas las
aplicaciones?
AI6.2 Evaluación de Impacto, Priorización y Autorización
pág. 11
¿La empresa Agraria Azucarera Andahuasi luego
de implementar las aplicaciones, se evalúa y mide
el impacto en los usuarios?
AI6.3 Cambios de Emergencia
cabo cambios de emergencia con los procesos que
no siguen lo establecido?
AI6.4 Seguimiento y Reporte del Estatus de Cambio
¿La empresa Agraria Azucarera Andahuasi realiza
seguimiento y reporte de todos los cambios en las
aplicaciones?
AI6.5 Cierre y Documentación del Cambio

¿La empresa Agraria Azucarera Andahuasi en la
parte contractual (adquisiciones) tiene en cuenta la
protección de sus propios intereses, a través de
derechos u obligaciones planteadas en el contrato?
AI7 Instalar y acreditar soluciones y cambios
AI7.1 Entrenamiento
capacitación y entrenamientos al grupo de
operaciones del área de TI por cada proyecto de
sistema de información?
AI7.2 Plan de Prueba
¿La empresa Agraria Azucarera Andahuasi tiene
establecido algún plan de prueba que define roles,
responsabilidades? ¿Esta se encuentra aprobada
por las partes relevantes?
AI7.3 Plan de Implantación
establecido algún plan de implantación y respaldo?
¿Esta se encuentra aprobada por las partes
relevantes?
AI7.4 Ambiente de Prueba
¿La empresa Agraria Azucarera Andahuasi cuenta
con un entorno seguro de pruebas con las medidas
de seguridad, controles internos, etc. necesarias?
AI7.5 Conversión de Sistemas y Datos
con un Plan de conversión de datos o migración de
infraestructura, así como también pistas de
auditoría, respaldo?
AI7.6 Pruebas de Cambios
pruebas de Cambios, tomando en cuenta la
seguridad y el desempeño?
AI7.7 Prueba de Aceptación Final
pág. 12
¿Los resultados de los procesos de pruebas son
evaluados por el dueño del proceso de negocio y
los interesados, de acuerdo a lo establecido en el
plan de pruebas?
AI7.8 Promoción a Producción
controla la entrega de los sistemas cambiados a
operaciones, de acuerdo a lo establecido en el plan
de implantación?
AI7.9 Revisión Posterior a la Implantación
establece procedimientos en línea con los
estándares de gestión de cambios
organizacionales?
Dominio 03: Entregar y dar Soporte (DS)
DS1 Definir administrar los niveles de servicio
DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio
¿Actualmente La empresa Agraria Azucarera
Andahuasi cuenta un marco de trabajo formal de
administración de niveles de servicio entre cliente y
el prestador de servicio?
DS1.2 Definición de Servicios
definido sus servicios de TI y estas se encuentran
almacenadas de manera centralizada por medio de
catálogo o portafolio de servicios?
DS1.3 Acuerdos de Niveles de Servicio
¿La empresa Agraria Azucarera Andahuasi define
y acuerda convenios de niveles de servicio para
todos los procesos críticos de TI?
DS1.4 Acuerdos de Niveles Operación
¿Los acuerdos de niveles de operación explican la
forma en que se va a entregar de los servicios?
DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio

monitorea continuamente los criterios de
desempeño para el nivel de servicio? ¿Emite
reportes sobre el cumplimiento de niveles de
servicio?
DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos
¿La empresa Agraria Azucarera Andahuasi revisa
regularmente con los proveedores internos y
externos los acuerdos de servicio y contratos?
DS2 Administrar los servicios de terceros
DS2.1 Identificación de Todas las Relaciones con Proveedores
identificado todos los servicios de proveedores y los
pág. 13
tiene categorizados de acuerdo al tipo de
proveedor, significado y criticidad?
DS2.2 Gestión de Relaciones con Proveedores
¿Se tiene formalizado el proceso de gestión de
relaciones con los proveedores?
DS2.3 Administración de Riesgos del Proveedor

¿Se tienen identificados y mitigados los riesgos
relacionados con la habilidad de los proveedores
para mantener un efectivo servicio de entrega de
forma segura y eficiente?
DS2.4 Monitoreo del Desempeño del Proveedor
¿Actualmente La empresa Agraria Azucarera
Andahuasi tiene establecido un proceso de
monitoreo a la prestación del servicio del proveedor
para asegurarse de que esté cumpliendo con los
requerimientos del negocio actuales?
DS3 Administrar el desempeño y la capacidad
DS3.1 Planeación del Desempeño y la Capacidad
establecido un proceso de planeación para la
revisión del desempeño y la capacidad de los
recursos de TI de acuerdo a lo establecido en los
niveles de servicio?
DS3.2 Capacidad y Desempeño Actual
la capacidad y el desempeño actual de los recursos
de TI de forma regular, para asegurar que pueda
prestar servicios con base en los niveles de
servicios acordados?
DS3.3 Capacidad y Desempeño Futuro
cabo un pronóstico de desempeño y capacidad de
los recursos de TI de forma regular, para tratar de
minimizar el riesgo de interrupciones de servicios?
¿La empresa Agraria Azucarera Andahuasi brinda

la capacidad y desempeño requeridos para estar al
nivel requerido de servicio?
DS3.5 Monitoreo y Reporte
monitorea constantemente el desempeño y la
capacidad de los recursos de TI?
DS4 Garantizar la continuidad del servicio
DS4.1 Marco de Trabajo de Continuidad de TI
con un marco de trabajo de continuidad de TI que
de soporte a la infraestructura organizacional y a los
planes de contingencias?
pág. 14
DS4.2 Planes de Continuidad de TI
con planes de continuidad de TI basados en el
marco de trabajo y que consideren los
requerimientos de resistencia, procesamiento
alternativo y capacidad de recuperación de todos
los servicios críticos de TI?
DS4.3 Recursos Críticos de TI
¿La empresa Agraria Azucarera Andahuasi pone
énfasis en los puntos más críticos del plan de
continuidad de TI y la alineación de estas al
negocio?
DS4.4 Mantenimiento del Plan de Continuidad de TI
¿La gerencia de TI de La empresa Agraria
Azucarera Andahuasi tiene definido y actualmente
ejecutando los procedimientos de control de
cambios?
DS4.5 Pruebas del Plan de Continuidad de TI
¿Se realizan pruebas al plan de continuidad de TI
de forma constante en La empresa Agraria
Azucarera Andahuasi?
DS4.6 Entrenamiento del Plan de Continuidad de TI
¿Las partes involucradas en el plan de continuidad
de TI reciben sesiones de habilitación de forma
constante respecto a los procesos y sus roles y
responsabilidades en caso de incidente o desastre?
DS4.7 Distribución del Plan Continuidad de TI
¿Actualmente en La empresa Agraria Azucarera
Andahuasi existe una estrategia de distribución
definida para asegurar que los planes se
distribuyan de manera apropiada y segura y que
estén siempre disponibles cuando se requiera?
DS4.8 Recuperación y Reanudación de los Servicios de TI
¿Durante el período de recuperación de TI, se
tienen activados sitios de respaldo, se realizan
procesamientos alternativos, se les comunica a los
cliente o terceros o se realizan procedimientos de
reanudación?
DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones
¿Se tienen almacenados fuera de las instalaciones,
los medios de respaldo, documentación y otros
recursos de TI críticos, necesarios para la
recuperación de TI y planes de continuidad del
negocio?
DS4.10 Revisión Post Reanudación
¿La Gerencia de TI ha establecido procedimientos
para valorar lo adecuado del plan y actualizar el
plan si así lo requiere?
DS5 Garantizar la seguridad de los sistemas
pág. 15
DS5.1. Administración de la Seguridad de TI
administra la seguridad de TI?
DS5.2. Plan de Seguridad de TI

con un plan de seguridad de TI?
DS5.3. Administración de Identidad

¿Existen mecanismos y procedimientos que
aseguren que el usuario se autentique antes de
utilizar las funciones del sistema para la obtención
de la información?
DS5.4. Administración de Cuentas del Usuario

¿Se lleva a cabo una debida administración de
cuentas de usuario por parte del administrador de
usuarios basado en procedimientos establecidos?
DS5.5. Pruebas, Vigilancia y Monitoreo de la Seguridad

¿Se lleva a cabo un adecuado monitoreo de la
seguridad de TI en La empresa Agraria Azucarera
Andahuasi, con la finalidad de garantizar un nivel de
seguridad adecuado?
DS5.6. Definición de Incidente de Seguridad

¿Los incidentes que puedan ocurrir están definidos
y clasificados con la finalidad de que puedan ser
tratados de la mejor manera?
DS5.7. Protección de la Tecnología de Seguridad

¿Se utiliza tecnología para la protección de
seguridad de la información de La empresa Agraria
Azucarera Andahuasi? y en caso de que exista
¿Qué medidas se toman para proteger dicha
tecnología?
DS5.8. Administración de Llaves Criptográficas

administra el uso llaves criptográficas con la
finalidad de protegerlas de modificaciones y
divulgaciones no autorizadas?
DS5.9. Prevención, Detección y Corrección de Software Malicioso

¿Se utilizan antivirus u otro software relacionada a
la neutralización de software malicioso?
DS5.10. Seguridad de la Red

¿Qué medidas de seguridad en la red (firewall,
dispositivos de seguridad, segmentación de la red)
pág. 16
se toman actualmente para proteger el flujo de
información en la misma?
DS5.11. Intercambio de Datos Sensitivos

¿Los datos sensibles se intercambian a través de
medios seguros para asegurar la autenticidad de la
información?
DS6 Identificar y asignar costos

DS6.1. Definición de Servicios
¿Se tienen identificados los costos de TI y su
relación con los servicios de TI?
DS6.2. Contabilización de TI
¿La asignación de costos de TI se realiza tomando
en cuenta la relación que tienen estos con los
servicios TI y en base a un modelo de costos
establecido?
DS6.3. Modelación de Costos y Cargos

¿El modelo de costos garantiza un uso adecuado
de recursos?
DS6.4. Mantenimiento del Modelo de Costos

¿El modelo de costos se revisa y compara de forma
regular con la finalidad de acreditar la relevancia
para el negocio y actividades de TI?
DS7 Educar y entrenar a los usuarios

DS7.1. Identificación de Necesidades de Entrenamiento y Educación
¿Se realizan la planificación y actualización
periódica de programas de entrenamiento al
personal con la finalidad de lograr que cumplan con
los objetivos del negocio y a la vez sean
capacitados en el uso de TI?
DS7.2. Impartición de Entrenamiento y Educación

¿Se identifican a los grupos para el entrenamiento,
a los instructores, y se lleva un registro de
asistencias y evaluaciones de dichos eventos?
DS7.3. Evaluación del Entrenamiento Recibido

¿Se analizan los resultados obtenidos en los
programas de entrenamiento con la finalidad de que
sirvan como base para la elaboración de programas
posteriores?
DS8 Administrar la mesa de servicio y los incidentes

DS8.1. Mesa de Servicios
pág. 17
¿Se realizan la planificación y actualización
periódica de programas de entrenamiento al
personal con la finalidad de lograr que cumplan con
los objetivos del negocio y a la vez sean
capacitados en el uso de TI?
DS8.2. Registro de Consultas de Clientes

¿Se identifican a los grupos para el entrenamiento,
a los instructores, y se lleva un registro de
asistencias y evaluaciones de dichos eventos?
DS8.3. Escalamiento de Incidentes

posteriores?
DS8.4. Cierre de Incidentes

posteriores?
DS8.5. Análisis de Tendencias

¿Se emiten reportes a la gerencia con la finalidad
de mostrar el desempeño obtenido mediante los
servicios y sus tiempos de respuesta, así como
también las incidencias que se hayan presentado?
DS9 Administrar la configuración

DS9.1. Repositorio y Líneas Base de Configuración
¿Existen herramientas de soporte y un centro de
almacenamiento que contenga la información
relevante sobre los activos o elementos de
configuración?
DS9.2. Identificación y Mantenimiento de Elementos de Configuración

¿Existen procedimientos de configuración para dar
soporte y gestionar los cambios al repositorio de
configuración?
DS9.3. Revisión de Integridad de la Configuración

¿Se realizan revisiones periódicas de los datos de
configuración para verificar y confirmar la integridad
de la configuración actual e histórica, a la vez se
revisan las aplicaciones software instalados con la
finalidad de evitar malas configuraciones en ellos?
DS10 Administrar los problemas
DS10.1. Identificación y Clasificación de Problemas
¿Se identifican los problemas tomando en cuenta la
categoría, impacto, urgencia y prioridad de estos,
pág. 18
como su relación con los elementos relacionados
con los mismos?
DS10.2. Rastreo y Resolución de Problemas

¿Se consideran pistas de auditoria para poder
rastrear, analizar y determinar las posibles causas
de problemas que puedan reportarse?
DS10.3. Cierre de Problemas

¿Se dispone de procedimientos para el cierre de
registro de problemas ya sea luego de resolver el
error o también de acordar con el negocio como se
manejara dicho problema?
DS10.4. Integración de las Administraciones de Cambios, Configuración y
Problemas
¿La administración de los problemas está integrada
con la administración de cambios y configuración?
DS11 Administrar los Datos

DS11.1. Requerimientos del Negocio para Administración de Datos
¿Para cada proceso solo se procesan los datos
necesarios y los resultados obtenidos se obtienen
de forma precisa y oportuna?
DS11.2. Acuerdos de Almacenamiento y Conservación

¿Se tienen definidos procedimientos para archivar,
almacenar y retener los datos de forma efectiva y
eficiente?
DS11.3. Sistema de Administración de Librerías de Medios

¿Se tienen definidos e implementados
procedimientos para mantener un inventario de
medios almacenados para asegurar la usabilidad e
integridad?
DS11.4. Eliminación
¿Existen procedimientos de eliminación,
transferencias de datos y/o hardware que sirvan
para la protección de datos sensibles?
DS11.5. Respaldo y Restauración

¿Existe un plan de continuidad de negocio que
respalde los sistemas, aplicaciones, los datos y
documentación en línea?
DS11.6. Requerimientos de Seguridad para la Administración de Datos

¿Existen políticas de seguridad aplicables a la
recepción, procesamiento, almacenamiento y
salida de los datos?
pág. 19
DS12 Administrar el ambiente físico
DS12.1. Selección y Diseño del Centro de Datos
¿Existe un centro de datos que tome en cuenta el
riesgo asociado con desastres naturales y
causados por el hombre?
DS12.2. Medidas de Seguridad Física

¿Existen medidas de seguridad alineadas con los
requerimientos del negocio?
DS12.3. Acceso Físico

¿Existe una administración de acceso a las áreas
de acuerdo con las necesidades del negocio?
DS12.4. Protección Contra Factores Ambientales

¿Se ha implementado medidas de protección
contra factores ambientales?
DS12.5. Administración de Instalaciones Físicas

¿Se administra las instalaciones físicas de acuerdo
con las leyes y los reglamentos, los requerimientos
técnicos y del negocio?
DS13 Administrar las operaciones

DS13.1. Procedimientos e Instrucciones de Operación
¿Existe procedimiento estándar para operaciones
de TI que garantice que el personal de operaciones
esté familiarizado con todas las tareas de
operación?
DS13.2. Programación de Tareas

¿Emplea un programa de trabajos que maximice el
desempeño para cumplir con los requerimientos del
negocio?
DS13.3. Monitoreo de la Infraestructura de TI

¿Se monitorea la infraestructura de TI y los eventos
relacionados?
DS13.4. Documentos Sensitivos y Dispositivos de Salida

¿Se da una administración de inventarios adecuado
sobre los activos de TI más sensitivos?
DS13.5. Mantenimiento Preventivo del Hardware

¿Existe procedimientos para garantizar el
mantenimiento oportuno del a infraestructura de TI
para así disminuir el impacto de las fallas o el
desempeño?
Dominio 04: Monitorear y Evaluar (ME)

ME1 Monitorear y Evaluar el Desempeño de TI
pág. 20
ME1.1. Enfoque del Monitoreo
¿Existe en La empresa Agraria Azucarera
Andahuasi un marco de trabajo que le permita
monitorear la contribución de TI al negocio?
ME1.2. Definición y Recolección de Datos de Monitoreo

¿Existen procesos dentro de La empresa Agraria
Azucarera Andahuasi para la recolección de
información precisa, que permita medir los objetivos
y poder compararlos con las metas?
ME1.3. Método de Monitoreo

¿En la empresa el proceso de monitoreo tiene a fin
un método que mida el desempeño importancia de
TI en la organización?
ME1.4. Evaluación del Desempeño

¿Se evalúa periódicamente el desempeño de La
empresa Agraria Azucarera Andahuasi con
respecto a las metas?
ME1.5. Reportes al Consejo Directivo y a Ejecutivos
reportes administrativos sobre el avance de la
organización hacia metas identificadas e identifica
las desviaciones?
ME1.6. Acciones Correctivas

identifica medidas correctivas basadas en el
monitoreo y aplica estas medidas?
ME2 Monitorear y Evaluar el Control Interno

ME2.1. Monitorización del Marco de Trabajo de Control Interno
¿Existe un ambiente adecuado para realizar el
control de Ti que permita monitorear de forma
continua y así cumplir los objetivos de La empresa
ME2.2. Revisiones de Auditoría

¿Se evalúa la eficiencia y efectividad de los
controles internos de revisión de la gerencia de TI?
ME2.3. Excepciones de Control

¿Existen excepciones de control y se reportan a los
interesados?
ME2.4. Control de Auto Evaluación
pág. 21
¿Existe un programa de continuo de auto-evolución
que evalué la completitud y efectividad de los
controles de gerencia sobre los procesos, políticas
y contratos de TI?
ME2.5. Aseguramiento del Control Interno
¿Existe una revisión de terceros de los controles
internos?
ME2.6. Control Interno para Terceros

¿La empresa Agraria Azucarera Andahuasi evalúa
el estado de los controles internos para servicios
externos (proveedor)?
ME2.7. Acciones Correctivas

¿En los controles de evaluación y los informes se
identifican e implementan acciones correctivas?
ME3 Garantizar el Cumplimiento Regulatorio

ME3.1. Identificar los Requerimientos de las Leyes, Regulaciones y
Cumplimientos Contractuales
una base continua que permite identificar
requerimientos externos que deben cumplir para
incorporar en las políticas y metodologías de TI de
La empresa Agraria Azucarera Andahuasi?
ME3.2. Optimizar la Respuesta a Requerimientos Externos

¿Se revisa y ajusta las políticas, estándares y
metodologías de TI para garantizar los requisitos
legales y regulatorios?
ME3.3. Evaluación del Cumplimiento con Requerimientos Externos

¿Existe una evaluación del cumplimiento con
requerimientos externos?
ME3.4. Aseguramiento Positivo del Cumplimiento

¿Se toma acciones correctivas de forma oportuna
para resolver cualquier brecha de cumplimiento del
proceso?
ME3.5. Reportes Integrados
¿La empresa Agraria Azucarera Andahuasi integra
los reportes de TI sobre requerimientos legales,
regulatorios contractuales con las salidas similares
provenientes de otras funciones del negocio?
ME4 Proporcionar Gobierno de TI

ME4.1. Establecimiento de un Marco de Gobierno de TI
¿Existe un marco de gobierno de TI que
proporcione una visión completa de control y
pág. 22
gobierno corporativo que asegure el cumplimiento
leyes y regulaciones?
ME4.2. Alineamiento Estratégico

¿En la organización hay un comité estratégico de TI
encargado de brindar orientación estratégica a la
gerencia respecto a TI, y que facilite la alineación
de TI con el negocio?
ME4.3. Entrega de Valor

¿Los activos de TI apoyan las estrategias y los
objetivos de La empresa Agraria Azucarera
Andahuasi, y los resultados de las inversiones son
las esperadas?
ME4.4. Administración de Recursos

¿Existe una evaluación periódica hacia los activos
de TI para asegurar que siempre estén alineados
con los objetivos estratégicos de La empresa
ME4.5. Administración de Riesgos
¿La empresa Agraria Azucarera Andahuasi que
tipo de metodología utiliza para definir nivel de
riesgo?
ME4.6. Medición del Desempeño

el progreso hacia las metas identificadas
basándose en el desempeño de las TI?
ME4.7. Aseguramiento Independiente

¿Existen medidas que garanticen de forma
independiente la conformidad de TI con la
legislación y la regulación relevante?
pág. 23

Cobit Cuestionario

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cobit Cuestionario

Cargado por

Copyright:

Formatos disponibles

Universidad Nacional José Faustino Sánchez

- Ángel acuña, Manuel

PO1.4 Plan Estratégico de TI

PO1.5 Planes Tácticos de TI

PO1.6 Administración del Portafolio de TI

PO3 Determinar la Dirección Tecnológica

PO3.2 Plan de Infraestructura Tecnológica

PO7 Administrar Recursos Humanos de TI

PO8.3 Estándares de Desarrollo y de Adquisición

PO8.4 Enfoque en el Cliente de TI

PO8.5 Mejora Continua

PO8.6 Medición, Monitoreo y Revisión de la Calidad

PO9.2 Establecimiento del Contexto del Riesgo

PO9.3 Identificación de Eventos

PO9.4 Evaluación de Riesgos de TI

PO9.5 Respuesta a los Riesgos

P10. Administrar Proyectos.

PO10.2 Marco de Trabajo para la Administración de Proyectos

PO10.3 Enfoque de Administración de Proyectos

PO10.4 Compromiso de los Interesados

PO10.5 Declaración de Alcance del Proyecto

PO10.6 Inicio de las Fases del Proyecto

PO10.7 Plan Integrado del Proyecto

PO10.8 Recursos del Proyecto

PO10.9 Administración de Riesgos del Proyecto

PO10.10 Plan de Calidad del Proyecto

PO10.11 Control de Cambios del Proyecto

PO10.12 Planeación del Proyecto y Métodos de Aseguramiento

PO10.13 Medición del Desempeño, Reporte y Monitoreo del Proyecto

PO10.14 Cierre del Proyecto

Dominio 02: Adquirir e Implementar (AI)

AI1.2 Reporte de Análisis de Riesgos

AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción

AI2 Adquirir y Mantener Software Aplicativo

AI2.2 Diseño Detallado

AI2.3 Control y Posibilidad de Auditar las Aplicaciones

AI2.4 Seguridad y Disponibilidad de las Aplicaciones

AI2.5 Configuración e Implantación de Software Aplicativo Adquirido

AI2.9 Administración de los Requerimientos de Aplicaciones

AI2.10 Mantenimiento de Software Aplicativo

AI3 Adquirir y Mantener Infraestructura Tecnológica

AI3.2 Protección y Disponibilidad del Recurso de Infraestructura

AI3.3 Mantenimiento de la Infraestructura

AI3.4 Ambiente de Prueba de Factibilidad

AI4 Facilitar la Operación y el Uso

AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio

AI4.3 Transferencia de Conocimiento a Usuarios Finales

AI4.4 Transferencia de Conocimiento al Personal de Operaciones y

AI6.2 Evaluación de Impacto, Priorización y Autorización

AI6.5 Cierre y Documentación del Cambio

AI7.7 Prueba de Aceptación Final

DS1.5 Monitoreo y Reporte del Cumplimiento de los Niveles de Servicio

DS2.3 Administración de Riesgos del Proveedor

¿La empresa Agraria Azucarera Andahuasi brinda

DS5.2. Plan de Seguridad de TI

DS5.3. Administración de Identidad

DS5.4. Administración de Cuentas del Usuario

DS5.5. Pruebas, Vigilancia y Monitoreo de la Seguridad

DS5.6. Definición de Incidente de Seguridad

DS5.7. Protección de la Tecnología de Seguridad

DS5.8. Administración de Llaves Criptográficas

DS5.9. Prevención, Detección y Corrección de Software Malicioso

DS5.10. Seguridad de la Red